Tirsdag forrige uke meldte Euractiv at de politiske hovedgrupperingene i Europaparlamentet hadde blitt enige om utkastet til ny forordning om forebygging og bekjempelse av seksuelt misbruk av barn, den såkalte «CSAM-forordningen» (Child Sexual Abuse Material Regulation). Det var opprinnelig ventet en avstemning om lovforslaget i LIBE-komiteen den uken, men skarpe uenigheter om avveiingen mellom retten til privatliv og bekjempelse av overgrep mot barn har ført til utsettelser, både i Rådet og i Europaparlamentet. Etter tirsdagens politiske enighet ventes endelig avstemning 17. november.

Forslaget til CSAM-forordningen ble fremsatt av Europakommisjonen i 2022. Kommisjonens forslag kom i kjølvannet av en rekke vedtak om bedre rettsvern for barn mot seksuelle overgrep, bl.a. et parlamentsvedtak fra 2019 om styrking av barns rettigheter i anledning trettiårsdagen for FNs barnekonvensjon, samt rådskonklusjoner fra 2019 og en kommisjonsstrategi fra 2020 om mer effektiv bekjempelse av seksuelt misbruk av barn. Siden 2021 har en midlertidig forordning åpnet for særlige unntak fra kommunikasjonsverndirektivet i forbindelse med bekjempelse av seksuelt misbruk av barn, men forordningen utløper i august 2024, og skal erstattes med en permanent rettsakt.  

Lovforslaget tar sikte på å overvåke og bekjempe overgrepsmateriale om barn (CSAM) på nett og i mellommenneskelige kommunikasjonstjenester. Forordningen retter seg mot vertstjenester og tilbydere av mellommenneskelige kommunikasjonstjenester, samt softwareapplikasjonsforhandlere (som AppStore). Tjenestetilbyderne pålegges å gjøre rimelige tiltak for å vurdere, begrense og rapportere om risiko for at deling av CSAM eller såkalt «grooming» av mindreårige på nett finner sted ved hjelp av deres tjenester. Medlemsstatene skal utpeke koordinerende myndigheter som blant annet skal gjennomgå aktørenes risikovurderinger, og ha myndighet til å begjære fjerning av CSAM eller sperring av visse tjenester når CSAM avdekkes. Forslaget inneholder også regler om ofres rett til bistand og informasjon. Et eget EU-senter skal ha særlig ansvar for å støtte og lette gjennomføringen av forordningen, bl.a. i forbindelse med sporing, rapportering, fjerning eller deaktivering. Europol skal ha rett til informasjon fra EU-senteret, herunder om tilbydernes rapportering. Kommisjonens forslag forutsetter at senteret skal ligge samme sted som Europol, og ha et omfattende samarbeid med dem.   

Til tross for omfattende politisk støtte til tiltak for bedre bekjempelse av overgrep mot barn på nett, er forslaget kontroversielt: Dette gjelder særlig bruken av såkalt «sporingsordre», som de koordinerende myndighetene kan begjære for domstolene i eget land, hvis de mener det er betydelig risiko for CSAM i en tjeneste. EU-senteret skal opprettholde en database over indikasjoner på CSAM og stille til rådighet teknologi som setter tjenestetilbyderne i stand til å gjennomføre sporingsordren. En sporingsordre forplikter tjenestetilbyderne til å spore opp CSAM eller grooming-kommunikasjon. En sporingsordre vil være et unntak fra den beskyttelsen brukere vanligvis har krav på etter GDPR og Kommunikasjonsverndirektivet. Ytringsfrihetsaktivister og tjenestetilbydere har vist til at kryptering brytes og kommunikasjon scannes, også for brukere som ikke er mistenkt for noe ulovlig. EUs egen datatilsynsmyndighet (EDPS) og Det europeiske personvernrådet (EDPB) har også ment at forslaget går altfor langt, og viser særlig til at kriteriene for å utstede en sporingsordre er vage, at teknologiene som brukes for å fremskaffe indikasjoner på CSAM er upresise, og at Europols tilgang til senterets informasjon er underlagt for lite kontroll. Rådets egen rettstjeneste skal visstnok også ha vært kritisk til om forslaget respekterer grunnleggende rettigheter. Endelig har mange pekt på at EU-domstolen tidligere har slått fast at generell masselagring av brukeres metadata var i strid med EUs Charter om grunnleggende rettigheter, både i saken om datalagringsdirektivet og i senere saker om nasjonal datalagring i medlemsstatene.

Det er svært ulike oppfatninger innad i EU om avveiingen mellom personvernet og effektiv bekjempelse av overgrep på nett, både mellom politikere og mellom medlemsstatene. Særlig Tyskland og Polen har vært bekymret for at Kommisjonens forslag gjorde for store inngrep i personvernet. Andre mener behovet for å bekjempe overgrep på nett må veie tyngre enn disse innvendingene, et syn som blant annet synes å få støtte i Danmark og Sverige: I et dansk samlenotat fremlagt i forbindelse med rådsmøtet for justis- og innenrikssaker 19. – 20. oktober i år fremgår at den danske regjerningen generelt stiller seg positive til intensjonene bak lovforslaget, og støtter at ende-til-ende-krypterte tjenester ikke unntas. I et faktapromemoria fra juni 2022 skriver den svenske regjerningen at den «välkomnar förslaget».  

Den politiske avtalen fra forrige uke skal ifølge Euractiv innebære at omfanget av en sporingsordre må rettes mot visse grupper, og det gjøres noen prosessuelle endringer for Europols tilgang til opplysninger fra EU-senteret. Det stilles også krav til de teknologiske løsningene som brukes for å identifisere CSAM, blant annet slik at de må underlegges uavhengig revisjon. Det spanske formannskapet skal tidligere, som et kompromiss, ha foreslått at sporingsordre ikke skal kunne brukes mot såkalt «ny CSAM», det vil si CSAM som ikke ennå er spredt på nettet, men som kun identifiseres gjennom slike teknologier, før det det kan dokumenteres at teknologiene er sikre og presise. Fordi selve teksten i det politiske kompromisset ikke er tilgjengelig, er en del detaljer i avtalen uklare, blant annet om kravene til uavhengig revisjon også er knyttet til slike midlertidige begrensninger i bruken av sporingsordre, slik det spanske formannskapet foreslo.  

En annen diskusjon har vært lokaliseringen av det nye EU-senteret. Kommisjonens forslag forutsatte at det skulle ligge i Haag i Nederland, men dette skal nå visstnok være fjernet.

Utkastet er foreslått hjemlet i artikkel 114 TEUV, som gjelder det indre marked, og er merket EØS-relevant. Det samme gjelder den midlertidige forordningen av 2022, men den er fortsatt under vurdering hos EFTA-statene, selv om den er trådt i kraft i EU.