EU:ssa etenee lainsäädäntö, joka velvoittaisi viestipalvelut skannaamaan käyttäjien sisältöjä lapsiin kohdistuvan seksuaaliväkivallan (CSAM) havaitsemiseksi – myös päästä päähän salatuissa palveluissa. Tätä kokonaisuutta kutsutaan yleisesti nimellä Chat Control. Tavoite (lasten suoja) on oikea, mutta keinot (laaja, ennaltaehkäisevä skannaus) jakavat Euroopan syvästi: missä kulkee raja tehokkaan suojan ja massavalvonnan välillä? Tässä analyysissä avaan, mitä oikeasti on pöydällä, missä valmistelu menee juuri nyt ja mitkä ovat tekniset, oikeudelliset ja yhteiskunnalliset reunaehdot.
Mitä esitetään – ja kuka sen teki?
Lähtökohta on komission vuonna 2022 antama asetusehdotus ”Regulation laying down rules to prevent and combat child sexual abuse” (CSA-asetus). Se loisi pysyvät säännöt CSAM-sisällön havaitsemiseen, raportointiin ja poistamiseen sekä perustaisi uuden EU-keskuksen tukemaan torjuntaa. Ehdotus mahdollistaisi palvelukohtaiset havaitsemismääräykset, jotka käytännössä velvoittaisivat palveluita skannaamaan käyttäjäsisältöjä tietyin edellytyksin. Koska valtaosa verkkoviestinnästä on nykyään salattua, havaitseminen käytännössä siirtyisi loppukäyttäjän laitteelle (ns. client-side scanning). (EUR-Lex)
Missä mennään elokuussa 2025?
Kevään ja kesän aikana hanke on uudelleen vauhdittunut. Tanskan EU-puheenjohtajuus on ajanut asiaa määrätietoisesti, ja useat jäsenmaat ovat siirtyneet myönteisemmälle kannalle. Useiden koosteiden mukaan tukea löytyy nyt reilulta enemmistöltä jäsenmaita, toiset vielä epäröivät ja muutamat vastustavat. Julkisessa keskustelussa pyörii myös aikataulu, jossa jäsenmaiden lopullisia kantoja haetaan alkusyksystä ja parlamenttiäänestystä on väläytetty 14. lokakuuta 2025 – aikataulu, jota yksityisyysjärjestöt pitävät hälyttävänä. (Huom: päivämäärä on suunniteltu ja voi muuttua päätöksenteon edetessä.) (TechRadar, Digital Watch Observatory)
Samalla kansalaisaktivismi on kiihtynyt. Fight Chat Control –kampanja käynnistyi 6.8.2025 ja tarjoaa EU-kansalaisille työkalut ottaa suoraan yhteyttä meppeihin. Se kokoaa jäsenmaiden kantoja ja selittää esityksen vaikutukset yksityisyyteen ja salaukseen. (fightchatcontrol.eu)
Mitä “skannaus” käytännössä tarkoittaa?
Teknisesti esitysten ydin on asiakaspuolen (client-side) skannaus: sisältö analysoidaan käyttäjän laitteessa ennen salausta ja lähetystä. Jos algoritmi havaitsee “osuman” (tunnetun CSAM-hashin, mahdollisen grooming-kuvion, tms.), se laukaisee ilmoituksen. Tämä lähestymistapa menee salauksen ohi eikä muodollisesti “avaa” sitä – mutta seuraukset ovat samat: salattuun viestintään tuodaan valvontamekanismi, joka voi erehtyä (false positives), vuotaa ja laajentua tarkoitusperistä toiseen. (Brussels Signal)
Oikeudelliset reunaehdot: vahva yksityisyyssuoja – mutta myös lapsen suoja
Euroopan ihmisoikeustuomioistuin (EIT) linjasi Podchasov v. Russia -ratkaisussa (2024), että salauksen heikentäminen tai takaovien edellyttäminen johtaa käytännössä yleiseen ja umpimähkäiseen valvontaan, joka rikkoo oikeutta yksityisyyteen (EIS 8 art.). Päätöstä on laajasti luettu niin, että päästä päähän -salauksen kiertäminen viranomaispääsyn mahdollistamiseksi ei ole “tarpeellista demokraattisessa yhteiskunnassa”. (Electronic Frontier Foundation, Center for Democracy and Technology, The Washington Post)
Euroopan parlamentin LIBE-valiokunta taas muokkasi jo 2023 kantaansa suuntaan, jossa indiskriminointia (kaikkien viestien ennaltaehkäisevä seulonta) rajoitetaan ja salaus tunnustetaan suojeltavaksi. Sittemmin neuvostossa on haettu kompromisseja – välillä “vapaaehtoisen skannauksen” kautta, välillä uudelleenbrändättyinä muotoiluina (upload moderation) – mutta riski on, että pakollinen, yleinen skannaus palaa tekstiin eri nimellä. (Wikipedia)
Tämän päälle on vielä EU-neuvoston oikeuspalvelun aiempia arvioita, joiden mukaan joukko- ja ennaltaehkäisevän skannauksen laillisuus on vähintään kyseenalainen – sama tulkinta kuuluu laajasti akateemisissa ja kansalaisjärjestöjen muistioissa. (The Guardian)
Bottom line: lainsäätäjän on sovitettava kaksi perusoikeutta: lasten suojelu ja kaikkien oikeus yksityisyyteen ja turvalliseen viestintään. Tällä hetkellä oikeuskäytäntö ja EU:n perusoikeuskehys kallistuvat varovaisuuden puolelle, jos keino on laaja ennaltaehkäisevä skannaus.
Mikä muuttui kesän 2025 aikana?
Poliittisesti momentum on selvästi kasvanut. Tanskan johdolla neuvosto on hakenut “keskitietä”, mutta käytännössä client-side-skannaus jää ytimeen – ja juuri se on sekä tietoturvan että oikeuden kannalta ongelmallinen. Yksityisyysjärjestöt ja teknologia-yritykset varoittavat, että “keskitie” on tekniikkaa kiertävä termi samalle asialle: yleinen skannaus. Techradarin tuore raportointi tuo esiin myös parlamentin sisäisiä paineita jatkaa nykyistä vapaaehtoista skannausta vain jos pakollinen malli hyväksytään – kriitikoiden sanoin “poliittinen kiristys”. (On hyvä huomata, että prosessi on liikkuva ja väitteet perustuvat vuotoihin/luonnoksiin.) (TechRadar)
Samanaikaisesti useat seurantasivustot laskevat tukijoita ja epäilijöitä: riittävän suuri maajoukko näyttäisi nyt kallistuvan skannauksen puolelle – mikä ei vielä takaa läpimenoa, mutta tekee siitä aiempaa realistisemman. (Digital Watch Observatory)
Turvallisuus vs. turvallisuus: miksi salaus on myös lasten suojaa
On inhimillisesti helppoa ajatella, että “jos teko estää pahaa, se on oikea teko”. Tietoturvassa asia ei ole näin suoraviivainen. Salaus suojaa lapsia aivan konkreettisesti: se suojaa perheiden viestintää, terveydenhuolto- ja koulutuspalvelujen dataa, kodin IoT-laitteita, pankkiasiointia – ja myös uhreja, jotka ottavat yhteyttä tukipalveluihin. Kun salauksen eheys murtuu (vaikka “vain laitteessa”), avataan ovia tietomurroille, valtiolliselle vakoilulle ja rikollisten väärinkäytölle. “Hyvä tahto” ei poista teknisiä haavoittuvuuksia. Tätä viestiä ovat toistaneet EFF, EDRi, tutkijat ja jopa EIT:n linjaukset tukevat näkemystä. (Electronic Frontier Foundation, European Digital Rights (EDRi))
Mitä vaihtoehtoja on pöydällä?
1) Kohdennetut, oikeudellisesti valvotut havaitsemismääräykset
Jos havaitsemista tehdään, sen tulee kohdistua yksilöityihin epäilyihin, tiukasti aikarajattuna ja tuomioistuimen valvomana, ei koko väestöön. LIBE-valiokunnan suunta 2023 liikkui tähän suuntaan. (Wikipedia)
2) Metadatapohjainen tutkinta ja rikosverkostojen torjunta
Laajat data-mallit (ilman sisältöjen massaluentaa) voivat auttaa kohdistamaan resursseja, kunnioittaen viestien sisältösalausta.
3) Laiton materiaali pois lähteestä
CSAM-ekosysteemit nojaavat usein pilvipalveluihin, jakosivustoihin ja maksujärjestelmiin. Panostus isäntäpalvelujen valvontaan, kansainväliseen poistoyhteistyöhön ja EU-keskuksen tehokkaaseen koordinointiin voi tuottaa enemmän kuin kaikkien viestien seulonta. (Tätä komission alkuperäinen ehdotuskin sivuaa EU-keskuksen mandaatissa.) (EUR-Lex)
4) Resurssit poliisille ja tuomioistuimille
Digitalisoitu tutkinta on työvoima- ja osaamisintensiivistä. Ilman resursointia valvonta karkaa säädösten edelle.
5) Vapaaehtoiset lapsilukot & laite-/alustatyökalut
Kotien, koulujen ja vanhempien käyttöön on tarjolla teknisiä keinoja ilman yleistä valvontaa.
“Mutta skannaus on jo olemassa”—eikö vapaaehtoisuus riitä?
EU:ssa on ollut väliaikainen poikkeus ePrivacy-direktiivistä, joka salli tietyt vapaaehtoiset käytännöt CSAM:n havaitsemiseksi tietyissä palveluissa. Nyt politiikkajuna ajaa kohti pakollisuutta ja laajennusta. Tämä muuttaa mittakaavan: vapaaehtoinen skannaus tietyssä rajatussa palvelussa ≠ järjestelmä, jossa kaikki viestit kaikissa palveluissa seulotaan ennen salausta. (EUR-Lex)
Mitä tämä tarkoittaa Suomelle?
- Palvelut & innovaatiot: Jos pakko koskisi myös päästä päähän salattuja palveluja, osa toimijoista (esim. Signal-tyyppiset) vetäytyisi markkinoilta mieluummin kuin heikentäisi salausta. Se kaventaisi suomalaisten valinnanvaraa ja heikentäisi kilpailua.
- Toimittajat, lähdesuoja, sote-data: Yleinen client-side-skannaus murentaa luottamusta viestintään, mikä koituu kalliiksi etenkin sensitiivisissä ammateissa.
- Yritykset ja kyberturva: Salauksen heikennys on riskikerroin yritysten tietoturvassa ja kansallisessa huoltovarmuudessa.
Miten tästä voi edetä kestävästi?
- Sano suoraan mitä tehdään: jos kyse on client-side-skannauksesta, sitä ei pidä peittää muotoiluilla. Rehellisyys tekniikasta on edellytys mielekkäälle oikeudelliselle punninnalle.
- Pida perusoikeusvaaka tasapainossa: lasten suojelu kyllä, mutta keinoin, jotka eivät johda yleiseen ja umpimähkäiseen valvontaan. EIT:n linja on selkeä. (Electronic Frontier Foundation)
- Pane painetta lähteisiin: EU-keskuksen koordinaatio, nopea poistoyhteistyö ja rikosverkostojen talouskanavien katkaisu todennäköisesti tuottaa enemmän nettohyötyä kuin kaikkien viestien seulonta. (EUR-Lex)
- Rahoita osaamista: poliisin, syyttäjien ja tuomioistuinten digikyvykkyys ratkaisee, ei yksin lainsäädäntö.
- Säilytä vahva salaus: se on turvallisuuden perusta, ei uhka sille. Heikentäminen avaa ovet myös rikollisille ja vihamielisille valtioille. (The Washington Post)
Mitä seuraavaksi?
Syksyn 2025 keskeiset päivät ovat jäsenmaiden kantojen lukkiutuminen varhaisessa syyskuussa ja parlamentin suunniteltu äänestys 14. lokakuuta. Aikataulu on poliittinen – ja voi venyä (tai kiristyä). Yksityisyyden kannalta ratkaiseva kysymys on, muuttuuko teksti niin, että yleinen client-side-skannaus putoaa pois, vai jääkö se ytimeen uuden termin alla. Tällä hetkellä molemmat kehityskulut ovat mahdollisia. (TechRadar)
Yhteenveto
- Tavoite (lasten suoja) on kiistatta perusteltu.
- Keino (yleinen, ennaltaehkäisevä skannaus) on teknisesti haavoittuva ja oikeudellisesti erittäin riskialtis.
- Oikeuskäytäntö (EIT) ja parlamentin aiemmat linjaukset puoltavat kohdennettuja toimia, eivät yleistä seulontaa. (Electronic Frontier Foundation, Wikipedia)
- Syksy 2025 ratkaisee, valitaanko Euroopassa malli, joka suojelee lapsia ja samalla säilyttää vahvan salauksen – vai avataanko ovi ennakkotapaukselle, jota muutkin maailmassa voivat käyttää massavalvonnan perusteluna. (fightchatcontrol.eu)
Lisälukemista (tuoreimmat jutut):
(Huom. prosessi elää: yllä esitetyt päivämäärät ja valtioiden rintamalinjat perustuvat tämän hetken raportointiin ja voivat muuttua.)