Antikindermisbruikplan van EU-Commissie accepteert veel false positives

De Europese Commissie wil seksueel misbruik van kinderen in de onlineomgeving steviger aanpakken. Inmiddels is een intern document daarover naar buiten gekomen, met een visie van de Commissie die veel vertrouwen toont in algoritmen en veel false positives voor lief lijkt te nemen.

De Europese Commissie kwam in mei met een voorstel voor een verordening om seksueel misbruik van kinderen in de onlineomgeving harder aan te pakken. Het idee is dat child sexual abuse materials - dat zijn foto's en video's van misbruik, zowel eerder geïdentificeerde als nieuwe - en grooming zoveel mogelijk moeten worden bestreden. De achtergrond daarvan is dat er op dit vlak nog geen effectieve, gecoördineerde aanpak bestaat in Europa en dat de bestrijding nu nog veelal afhangt van vrijwilligheid. Providers en platforms zijn nog niet verplicht om stappen te zetten en zelfs het vrijwillige juridische kader komt in de zomer van 2024 te vervallen. Daarom heeft de Commissie enige haast met dit voorstel.

De druk komt ook van maatschappelijke organisaties als de Internet Watch Foundation. Deze organisatie concludeerde onlangs dat nu in Duitsland tien keer zoveel kindermisbruikmateriaal wordt gehost als in 2020 en dat het land de vierde plaats inneemt van EU-lidstaten die het meeste kindermisbruikmateriaal hosten. Nederland, Frankrijk en Letland staan er wat dat betreft ook slecht op. Susie Hargreaves van de IWF is gelet op de slechte score van Duitsland en Nederland niet blij met hoe deze landen zich opstellen. "De Europese Commissie stelt maatregelen voor om kinderen te beschermen, maar de grootste oppositie tegen hun voorstel komt uit Nederland en Duitsland, twee landen die tot de slechtste behoren als het gaat om het hosten van inhoud van seksueel misbruik van kinderen."

Het doel van dit Commissie-voorstel zal ongetwijfeld op weinig tegenstand kunnen rekenen, maar er kwam dus wel de nodige weerstand toen duidelijk werd hoe de Commissie het bestrijden van seksueel misbruik van kinderen in de onlineomgeving wil bereiken. In het kort komt het erop neer dat gebruikers er bij onlinecommunicatie niet meer zeker van kunnen zijn dat niemand meekijkt. Berichten tussen mobiele telefoons, e-mails en zelfs chatcommunicatie die via end-to-endencryptie is versleuteld, kunnen worden gescand. Om dat laatste te bereiken, zijn vermoedelijk achterdeurtjes nodig. Alle private digitale communicatie zal bijvoorbeeld door middel van client-side scanning automatisch geanalyseerd worden en in het geval van een verdenking volgt er een melding bij de politie.

Acceptatie van false positives

Het zal niet verbazen dat dit door critici wordt aangeduid als 'chatcontrol' en dat velen zich grote zorgen maken om de gevolgen voor de privacy. Het zal wellicht ook niet verbazen dat er bij uitstek één EU-lidstaat is die zich met een kritische houding en een zekere argwaan mengt in de discussie over de totstandkoming van deze regels: Duitsland. Onze oosterburen tonen zich geregeld voorvechters van fundamentele vrijheden en rechten in EU-verband. Zo ook nu. Uit een uitgelekt intern document waar het Duitse Netzpolitik.org over publiceerde, blijkt dat Duitsland maar liefst 61 kritische vragen heeft gesteld aan de Commissie.

Misschien wel een van de lastigste onderwerpen in het voorstel is de omgang met false positives en vooral hoe dat zoveel mogelijk ingedamd kan worden. Daar heeft Duitsland een directe vraag over gesteld.

Hoe volwassen zijn state-of-the-arttechnieken om valspositieve treffers te voorkomen? Welk deel van de valspositieve treffers kan worden verwacht als technologie wordt gebruikt om grooming te detecteren? Acht de Commissie het nodig om te bepalen dat treffers alleen openbaar worden gemaakt als de methode aan bepaalde parameters voldoet, bijvoorbeeld een trefkans van 99,9 procent dat de desbetreffende inhoud geschikt is, om valspositieve treffers te verminderen?

Daar kwam het volgende antwoord op, getuige het eveneens door Netzpolitik.org naar buiten gebrachte document met alle antwoorden.

De Commissie heeft benadrukt dat er geschikte technieken zijn, waarvan sommige al jaren in gebruik zijn (bijvoorbeeld PhotoDNA). De nauwkeurigheid van de technologie voor het detecteren van grooming is ongeveer 90 procent. Dit betekent dat in negen van de tien gevallen inhoud die door het systeem wordt herkend, grooming betreft. Valspositieve meldingen zouden dan worden herkend en eruit gefilterd worden door het EU-centrum. De Commissie heeft geen numerieke vaststellingen gedaan om openheid voor technologie en vooruitgang te waarborgen.

'De nauwkeurigheid van de technologie voor het detecteren van grooming is ongeveer 90 procent'Dit antwoord maakt duidelijk dat de Commissie ook rekening houdt met false positives. De achtergrond hiervan is dat detectiesoftware die ingezet zal worden om kindermisbruikmateriaal op te sporen, geenszins foutloos kan opereren. Ook contextinformatie is hierbij vaak van belang en daar zullen software en algoritmen lang niet altijd rekening mee houden of het op de juiste manier interpreteren. Dat betekent dat volstrekt onschuldige berichten, video's en foto's tussen onschuldige mensen desondanks op de schermen van onderzoekers kunnen komen, omdat ze aangemerkt zijn als verdacht. Het genoemde EU-centrum betreft een nog op te richten EU-agentschap dat niet zozeer rechtsmacht krijgt, maar een meer ondersteunende rol moet spelen, zoals het afhandelen van meldingen die geflagd zijn als verdacht.

Wat in het antwoord vooral opvalt, is het relatief grote aantal false positives dat de Commissie lijkt te accepteren. Als we ervan uitgaan dat de genoemde nauwkeurigheid van 90 procent juist is, dan zijn dat bij een miljoen potentieel verdachte meldingen in totaal 100.000 false positives. Duitsland had in zijn vraag ook aan de orde gesteld of er voorwaarden moeten worden gesteld om het aantal false positives flink in te dammen, zoals de genoemde nauwkeurigheid van 99,9 procent. De Commissie wil daar dus niet aan, om de 'openheid voor technologie en vooruitgang te waarborgen'.

Gevolgen van veel valse meldingen, kanttekeningen en kritiek

Dit heeft de nodige gevolgen. Uitgaande van het voorbeeld van een miljoen door de software gedetecteerde gevallen, leidt dat tot 100.000 hits die handmatig moeten worden gecontroleerd. Dat moet, even los van de vraag of ze hiervoor de bevoegdheid en voldoende middelen krijgen, gebeuren door onderzoekers van het EU-centrum. Zij krijgen dan dus in potentie veel legale content te zien waar kinderen op staan. De Commissie gaf ook aan dat providers niet verplicht worden om geautomatiseerde meldingen van aangemerkte, verdachte conversaties te controleren.

In dat kader heeft Duitsland ook de vraag gesteld of de technologie zo ontwikkeld kan worden dat er gedifferentieerd kan worden tussen afbeeldingen van kinderen in een normale situatie, zoals op het strand, en afbeeldingen van kinderen in een misbruiksituatie. Daar antwoordt de Commissie heel kort op: 'algoritmen kunnen daarop getraind worden'.

Daar zijn kanttekeningen bij te plaatsen. Emma Llansó, directeur van het Free Expression Project van het Center for Democracy & Technology, stipte onder meer aan dat het bepaald niet eenvoudig is om machinelearningclassifiers te ontwikkelen om kindermisbruik te detecteren en daarbij accuraat onderscheid te maken tussen een normale situatie en een misbruiksituatie. Daar komt volgens haar bij dat het herkennen van nieuw, nog onbekend misbruikmateriaal betekent dat er een grote dataset met legaal materiaal moet worden verzameld om de software of kunstmatige intelligentie te trainen. Dat betekent het verzamelen van bijvoorbeeld willekeurige berichten van sociale media, wat vanuit databeschermingsoogpunt gevoelig ligt.

'Jaarlijks zullen meer dan 3 miljoen vaak intieme berichten en foto's op onjuiste gronden worden onthuld'Een fervent criticus van het Commissie-voorstel is het Europees Parlementslid Patrick Breyer van de Piratenpartij. Hij plaatst de door de Commissie omschreven nauwkeurigheid in perspectief, wijzend naar de 29 miljoen geautomatiseerde kindermisbruikmeldingen die jaarlijks binnenkomen bij het Amerikaanse National Center for Missing & Exploited Children. Uitgaande van de situatie dat dat aantal ook in de EU aan de orde zal zijn als de plannen doorgaan, zullen 'jaarlijks meer dan 3 miljoen vaak intieme berichten en foto's op onjuiste gronden worden onthuld', stelt hij. Bovendien kan dat aantal in de praktijk nog verder oplopen, denkt Breyer. "In werkelijkheid is (...) het foutpercentage van het geheime algoritme waarschijnlijk veel te laag. In andere talen dan Engels zullen er veel meer fouten zijn. Volgens de Zwitserse federale politie is tot 86 procent van de geautomatiseerde meldingen aan het Ncmec strafrechtelijk irrelevant."

De Europarlementariër blijft dan ook stellig in zijn oordeel over het plan van de Commissie: "We kunnen ontelbare valse vermoedens van gezagsgetrouwe EU-burgers niet accepteren als gevolg van foutgevoelige geautomatiseerde zoekopdrachten in onze privégesprekken. Politie en providers hebben niet het recht om volledig legale naaktfoto's of intieme chats van volwassenen en minderjarigen in te zien. Het blootstellen van gevoelige foto's en gesprekken aan onbekende personen is vatbaar voor misbruik en kan leiden tot de verspreiding van dergelijk materiaal."