Dagliga nyheter om nätfrihet och integritet
Just nu tar vi tillfället i akt – när politik och EU har sommarlov – att uppdatera denna site vad gäller både form och funktion.
Det kommer att innebära lägre frekvens på postningar under någon vecka.
I början av augusti kommer du att få en uppdaterad sida med fler funktioner och ett upplägg som gör det lättare att följa frågornas beslutsgång.
Passa på att prenumerera på inlägg (se högerspalten) och att följa oss på Twitter: @femtejuli
EU-kommissionen vill nu förbjuda kontantbetalningar större än 10.000 euro (drygt 100.000 SEK) – och anonyma betalningar med »virtual cash«, det vill säga kryptovalutor.
Redan 2017 ville EU-kommissionen införa en gräns för kontantbetalningar. Förslaget lades dock på is när 90% av de tillfrågade i en opinionsmätning visade sig vara emot ett sådant förslag. Men nu är det alltså dags igen.
Denna gång går man även fram med ett förbud mot anonyma betalningar med digitala valutor och mot anonyma digitala plånböcker. Hur nu det är tänk att gå till.
Man vill även inrätta en Anti-Money Laundering Authority (AMLA).
Syftet sägs vara att bekämpa penningtvätt, brottslighet och terrorism.
»At present, only certain categories of crypto-asset service providers are included in the scope of EU AML/CFT rules. The proposed reform will extend these rules to the entire crypto sector, obliging all service providers to conduct due diligence on their customers. Today’s amendments will ensure full traceability of crypto-asset transfers, such as Bitcoin, and will allow for prevention and detection of their possible use for money laundering or terrorism financing. In addition, anonymous crypto asset wallets will be prohibited, fully applying EU AML/CFT rules to the crypto sector.«
Detta innebär inget förbud mot digitala valutor som sådana – men att de måste omfattas av samma krav på kundkännedom och spårbarhet som gäller på banken. Det lär knappast räcka med att transaktioner är spårbara i respektive kryptovalutas digitala huvudbok (ledger). Och på samma sätt som på banken kommer användare att behöva förklara större transaktioner.
En av de få röster i politiken som höjs mot förslaget kommer från ledamoten av Europaparlamentet Patrick Breyer (PP, DE):
»Generally prohibiting anonymous payments would at best have minimal effects on crime, but it would deprive innocent citizens of their financial freedom. The medicines or sex toys I buy is nobody’s business. To collect donations, dissidents around the world are increasingly dependent on anonymous donations in virtual currencies. Where every financial transaction is captured and saved forever, this creates a honey pot for malicious hackers and law enforcement as well as a chilling government shadow over every purchase or donation.
Instead, we need to think about ways we can bring the best attributes of cash into our digital future. We have a right to pay and donate online without our personal transactions being recorded. If the EU believes it can regulate virtual currencies at a regional level, it hasn’t understood the global nature of the Internet.«
Det är även intressant med den föreslagna EU-myndigheten mot penningtvätt – Anti-Money Laundering Authority (AMLA). Den skall ses i kombination med idén om Interconnected bank account registers vars funktion är att hålla koll på alla banktransaktioner i EU. Sammantaget kommer detta att ge EU insyn i och kontroll över alla privatpersoners, företags och organisationers ekonomi.
Dessa förslag kan – ur ett principiellt perspektiv – ses som ett angrepp mot medborgarnas rätt att fritt disponera och använda sina egna pengar. Men EU-kommissionen ser alltså saken på ett annat sätt.
Länkar:
• EU-kommissionen: Beating financial crime – Commission overhauls anti-money laundering and countering the financing of terrorism rules »
• MEP Patrick Breyer: EU attack on cash and virtual cash results in financial paternalism »
Österrikes högsta domstol sänder nu en intressant fråga till EU-domstolen: Är samtycke (till användarvillkor) samma sak som ett kontrakt mellan Facebook och användarna?
Det är Facebooks fiende nummer ett, Max Schrems, som driver ärendet. Tidigare har han bland annat stoppat dataöverföring från Facebook i Europa till USA, där det inte finns samma skydd för persondata som i EU.
Reuters rapporterar:
»The civil case revolves around Schrems’ assertion that Facebook deprives users of the rights and protections they enjoy under the EU’s privacy law, the General Data Protection Regulation (GDPR), by treating consent as a contract that empowers it to use their data to deliver targeted ads.«
Kärnfrågan tycks vara om ett samtycke till Facebooks användarvillkor underminerar GDPR.
Detta är en knivig fråga där användarvillkor, rätten att ingå kontrakt och EU-lag möjligen kolliderar.
Länkar:
• Reuters: Austrian activist Schrems’ Facebook complaint referred to EU court »
• Noyb: Austrian Supreme Court asks CJEU if Facebook ”undermines” the GDPR by confusing ’consent’ with an alleged ’contract’ »
NSO-gruppens spionprogramvara Pegasus har väckt uppmärksamhet i internationell press den senaste tiden. Bland annat tycks den ha använts för politiskt spionage i Mexiko och för att spionera på journalister i Ungern.
Även om ett land skaffar sig möjlighet att övervaka människors telekommunikationer i syfte att bekämpa brottslighet och terrorism – så tenderar sådana verktyg alltid att användas för mindre ädla syften.
Vilket är värt att hålla i minne – då mycket talar för att även svensk polis använder just Pegasus för sin hemliga dataavläsning.
Dessutom finns ett grundläggande problem, som ständigt måste påpekas: För att spionprogram skall kunna användas för till exempel hemlig dataavläsning krävs att säkerhetshål i vår IT-infrastruktur lämnas öppna och oskyddade, för att kunna användas av myndigheterna. På så sätt blir vi alla mindre säkra – när dessa säkerhetsluckor lämnas öppna även för till exempel kriminella och främmande makt.
Runt om i EU vrider politikerna nu på sig. Hur skall de till exempel kunna kritisera Ungerns påstådda spioneri mot media och medborgarrättsaktivister när de själva ofta använder samma spionprogramvara; när de givit Europol i uppdrag att knäcka krypterad kommunikation – och när de givit grönt ljus för meddelandetjänster och e-post-företag att avkryptera och granska sina användares kommunikationer i jakt på olämpligt innehåll?
Idag har EU-domstolens generaladvokat presenterat sin rekommendation till dom i målet där Polen begärt att artikel 17 (som kommer att leda till uppladdningsfilter) i EU:s nya upphovsrättsdirektiv skall upphävas.
Generaladvokaten föreslår att artikel 17 inte skall upphävas – men rekommenderar att medlemsstaterna visar sunt förnuft vid implementeringen.
Det är värt att notera att detta inte är en dom, utan en rekommendation till dom. EU-domstolen följer oftast – men inte alltid – generaladvokatens rekommendationer.
Det är dock intressant att generaladvokaten inte hyser någon tvekan om att artikel 17 kommer att leda till uppladdningsfilter.
»As I will explain in this Opinion, that provision imposes on those providers obligations to monitor the content posted by the users of their services in order to prevent the uploading of protected works and subject matter which the rightholders do not wish to make accessible on those services. Such preventive monitoring will, as a general rule, take the form of filtering that content using software tools.«
Generaladvokaten förutser även att detta kan komma att bli problematiskt, då det finns motstridiga intressen:
»That filtering raises complex questions, put forward by the applicant, with regard to the freedom of expression and information of users of sharing services, guaranteed in Article 11 of the Charter of Fundamental Rights of the European Union (‘the Charter’). Further to its judgments in Scarlet Extended, (6)SABAM (7) and Glawischnig-Piesczek, (8) the Court will have to determine whether, and as the case may be the circumstances in which, such filtering is compatible with that freedom. It will have to take account of the advantages, but also the risks of such filtering and, in that connection, ensure that a ‘fair balance’ is maintained between, on the one hand, the interest of rightholders in the effective protection of their intellectual property and, on the other, the interest of those users, and the general public, in the free flow of information online.«
Han menar dock att om man följer de förbehåll som finns i artikel 17, då kan den stå kvar som den är.
»In this Opinion, I shall explain that, in my view, the EU legislature may, while observing freedom of expression, impose certain monitoring and filtering obligations on certain online intermediaries, provided, however, that those obligations are circumscribed by sufficient safeguards to minimise the impact of such filtering on that freedom. Since Article 17 of Directive 2019/790 contains, in my view, such safeguards, I shall propose that the Court should rule that that provision is valid and, consequently, that it should dismiss the action brought by the Republic of Poland. (9)«
Frågan är dock om medlemsstaterna verkligen tar hänsyn till dessa »safeguards« när direktivet görs till nationell lagstiftning. Detta speciellt som medlemsstaterna väljer lite olika vägar för sin implementation.
Enkelt uttryckt blir varje enskild medlemsstats implementation av artikel 17 avgörande. Anser man att ett lands lagstiftning strider mot nämnda skyddsåtgärder – då kan man starta en separat rättsprocess, som kan drivas ända upp till EU-domstolen.
Striden kommer alltså att stå land för land.
Jag får dock ett intryck av att generaladvokaten inte känner sig helt tvärsäker. Det är något i texten som antyder att domstolen kan komma till en annan slutsats. Vilket som sagt vore ovanligt, men inte unikt. Men stalltipset är ändå att man går på generaladvokatens linje.
De flesta av EU:s medlemsstater vill ha datalagring – det vill säga lagring av data om medborgarnas telekommunikationer, e-post, uppkopplingar, mobilpositioner m.m.
Samtidigt har EU-domstolen upprepade gånger sagt nej till svepande lagring av allas teledata utan misstanke om brott.
I ett internt arbetsdokument (PDF) från EU-kommissionen till ministerrådet gör man nu ett försök att hitta vägar runt EU-domstolens domar.
Man skissar på tre olka möjligheter:
Man tittar även närmare på EU-domstolens domar, som kan tillåta datalagring med begränsat syfte eller i begränsad omfattning, om det finns rimliga skäl.
I sammanhanget är »nationell säkerhet« något av en fribiljett. Här är en formulering ur dokumentet, som enkelt kan användas för att motivera datalagring hur länge som helst:
»The threat to national security must be serious, genuine and present or foreseeable as assessed by national authorities according to Member States’ individual threat/risk assessment taking into account national specificities.«
I punkt 3b blir det intressant. Här talar man om att datalagringen skall kunna inriktas mot vissa personer eller vissa geografiska områden. Det vill säga att det faktiskt skall finnas något slags misstanke eller risk i botten.
»In relation to categories of persons, the Court indicates that targeted retention legislation based on objective evidence can be directed at persons whose traffic and location data are likely to reveal a link, at least an indirect one, with serious criminal offences, to contribute in one way or another to combating serious crime or to preventing a serious risk to public security or a risk to national security.«
»Geographical targeting measures may include areas where the competent national authorities consider, based on objective and non-discriminatory factors, that there exists, in one or more geographical areas, a situation characterised by a high risk of preparation for or commission of serious criminal offences. Those areas may include places with a high incidence of serious crime, places that are particularly vulnerable to the commission of serious criminal offences, such as places or infrastructure which regularly receive a very high volume of visitors, or strategic locations, such as airports, stations or tollbooth areas.«
Vilket naturligtvis är en förbättring jämfört med idag, då data om allas alla telekommunikationer lagras.
Dock blir man lite betänksam när dokumentet utvecklar sitt resonemang om målinriktad datalagring. Vad gäller geografiska mål skriver nämner man bland annat följande exempel:
»…sensitive critical infrastructure sites, transport hubs, areas with above average crime rates or that may be a target for serious crime or are high security risk e.g. affluent neighbourhoods, places of worship, schools, cultural and sports venues, political gatherings and international summits, houses of parliament, law courts, shopping malls etc.«
Till exempel kan man ifrågasätta det lämpliga i att samla in metadata som kan identifiera deltagarna på ett politiskt möte.
Här talar man även om att utöka datalagringen till att även gälla OTT communication services, det vill säga meddelande-appar och meddelandetjänster online. Förmodligen avses även sociala media.
Ett annat alternativ är »quick freeze«:
»The CJEU held that competent authorities may issue an order, subject to effective judicial review, requiring electronic communications service providers to carry out, for a specified (renewable) period of time, the expedited retention of traffic and location data in their possession, subject to strict access safeguards. This resembles the so-called “quick freeze” or “data preservation” mechanism.«
Men det bygger på att man redan i ruta ett samlar in telekommunikationsdata om alla medborgare, oavsett om det finns misstanke eller ej. Vilket EU-domstolen alltså säger nej till.
Ett annat alternativ som föreslås är »generalised retention of IP addresses assigned to the source of an Internet connection for serious crime and serious threats to public security«. Men för att kunna göra det som tänkt behöver man förbjuda VPN-uppkopplingar, vilket är något man helst inte vill peta i.
Slutligen talar man även om möjligheten att ägna sig åt allmän datalagring, men bara av »civil identity data«.
»The term “data related to civil identity” is described by the Court as data that should not make it possible to get to know the date, time, duration and addressees of the communications, nor the places where they took place, or how often this happened with specific persons within a given period. Apart from “contact details of [those] users”, it is not, however, specified what this term encompasses and to what extent, if any, it is different data compared with “subscriber data”16. In the digital environment, the notion of civil identity should cover data identifying the subscribers.«
Vilken väg ministerrådet kommer att förorda är än så länge oklart. Men här kommer ett stalltips, som bygger på följande fråga i dokumentet:
»Do Member States consider there is merit in revisiting the ‘data matrix’ exercise initiated by Europol in 2018 to try to find ways to devise a targeted retention system that fulfils the Court’s requirements?«
Man öppnar alltså för att låta Europol sköta ett målinriktat system för datalagring. Vilket passar som hand i handske med att EU redan givit Europol rätt att använda sig av privata företags olika datasystem och register. Det vill säga att man ger Europol en direktlina in till datalagringen hos de olika operatörerna och tjänsteleverantörerna.
Vilket – ur medlemsstaternas perspektiv – är det enklaste.
• Dokumentet: Non-paper on the way forward on data retention – Presentation by the Commission and exchange of views (PDF) »
I veckan antog Europaparlamentet EU:s nya regelverk som låter operatörerna av-kryptera och gå igenom sina användares elektroniska meddelanden och e-post, i namn av att bekämpa sexuella övergrepp mot barn. I höst kommer nästa steg, där detta är tänkt att bli obligatoriskt.
MEP Patrick Breyer (PP, DE) skriver:
»But this is not the end of the story: For autumn 2021, European Commission announced that it will propose a follow-up legislation that will make the use of chatcontrol mandatory for all e-mail and messenger providers. This legislation might then also affect securely end-to-end encrypted communications. However, a public consultation by the Commission on this project showed that the majority of respondents, both citizens and stakeholders, were opposed to an obligation to use chat control. Over 80% of respondents opposed its application to end-to-end encrypted communications. As a result, the Commission postponed the draft law announced for July to September 2021.«
Hur man tänkt sig komma åt end-to-end-krypterade meddelanden är en gåta. Vi får se vad kommissionen föreslår efter EU:s sommarlov, som börjar nu eft parlamentets juli-session.
• MEP Patrick Breyer (PP, DE): Messaging and ChatControl »
Relaterat:
• #ChatControl – kommentarer dagen efter »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden (med länksamling) »
I går röstade Europaparlamentet – som vi rapporterat – för att elektroniska meddelanden och e-post skall avkrypteras och analyseras i jakt på övergrepp mot barn. Här kommer en del reaktioner och information.
Till att börja med röstade de tre svenska miljöpartisterna mot sin grupplinje – och gav alltså sitt stöd till förslaget. Det börjar bli ett mönster att MP:s ledamöter överger partiets tidigare linje för medborgarnas rätt till privatliv.
Europaparlamentets vice talman Marcel Kolaja (PP, CZ) är kritisk:
»According to Kolaja, it is necessary to protect children, but mass surveillance through private messages scanning is not the proper solution, saying it could affect many citizens. The adopted derogation is “a big blow to our digital privacy,” Kolaja said.«
EDRi kommenterar:
»Diego Naranjo, head of policy at European Digital Rights (EDRi), told EURACTIV the proposal was “rushed”, and failed to strike a balance between the right to privacy and the need to protect children online because “the discussion was instead shifted from rational to emotional arguments.”«
Ur samma artikel:
»Alexander Hanff, a former victim of child abuse (…) openly criticised the provision, arguing it will deprive victims of channels for confidential counselling. “It will not prevent children from being abused, it will simply drive the abuse further underground, make it more and more difficult to discover it. It will ultimately lead to more children being abused,” Hanff said.«
MEP Patrick Breyer (PP, DE) kommenterar:
»The adoption of the first ever EU regulation on mass surveillance is a sad day for all those who rely on free and confidential communications and advice, including abuse victims and press sources. The regulation deals a death blow to the confidentiality of digital correspondence. It is a general breach of the dam to permit indiscriminate surveillance of private spaces by corporations – by this totalitarian logic, our post, our smartphones or our bedrooms could also be generally monitored. Unleashing such denunciation machines on us is ineffective, illegal and irresponsible.
Indiscriminate searches will not protect children and even endanger them by exposing their private photos to unknown persons, and by criminalising children themselves. Already overburdened investigators are kept busy with having to sort out thousands of criminally irrelevant messages. The victims of such a terrible crime as child sexual abuse deserve measures that prevent abuse in the first place. The right approach would be, for example, to intensify undercover investigations into child porn rings and reduce of the years-long processing backlogs in searches and evaluations of seized data.«
MEP Sophie in ‘t Veld (LIB, NL) säger:
»Whenever we asked critical questions about the legislative proposals, immediately the suggestion was created that I wasn’t sufficiently committed to fighting child sexual abuse.«
Detta är som vi tidigare noterat en tillfälliga regler. Nu gäller det att vara uppmärksam vad gäller nästa steg, som blir en mer permanent lagstiftning – som kan komma att bli mer omfattande och omfatta fler syften.
Länkar:
• EP vice-president slams ePrivacy derogation »
• New EU law allows screening of online messages to detect child abuse »
• EU Parliament lets companies look for child abuse on their platforms, with reservations »
• MEP Patrick Breyer »
• #ChatControl – idag klubbas EU:s övervakning av elektronisk kommunikation »
Idag har Europaparlamentet beslutat att dina meddelanden och din e-post skall avkrypteras och dess innehåll granskas.
Syftet är att bekämpa barnporr och sexuella övergrepp mot barn. Med tanke på ämnets känsliga natur har det lett till att berättigad kritik och omsorg om medborgarnas rätt till privatliv helt hamnat i skugga.
Läs vår tidigare beskrivning av frågan, dess bakgrund och process här. »
Dagens beslut gäller en tillfällig reglering, som i ett senare steg är tänkt att ersättas med ett mer permanent regelverk. Och här gäller det att se upp.
När frågan återkommer finns det många som vill utöka denna massövervakning av våra elektroniska kommunikationer till att även gälla andra syften. Det finns även de som vill se detta som ett allmänt verktyg i massövervakningens tjänst.
Så vi fortätter att bevaka frågan – för att uppmärksamma eventuell ändamålsglidning.
Länkar:
• MEP Patrick Breyer (PP, DE) »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden »
• Se gårdagens debatt i Europaparlamentet här (18:25-19:05) »
IT-attacken från gruppen rEvil som bland annat tagit ner Coops kassasystem bygger enligt uppgift på en zero-day-exploit – det vill säga en tidigare okänd säkerhetslucka.
Därför är detta ett lämpligt tillfälle att påminna om att myndigheternas användning av hemlig dataavläsning bygger på att det finns säkerhetsluckor – samt att dessa förblir okända och öppna för angrepp. De är en förutsättning för att polisen skall kunna installera sina spionprogram.
Säkerhetsluckor måste uppmärksammas och åtgärdas – om vi inte skall lämna dörren öppen för till exempel ransomware (som i detta fall), nätbedragare och spioner. Men istället lämnas dessa säkerhetsluckor fortsatt öppna, med polisens goda minne. På så sätt blir vi alla mindre säkra.
Nu går det naturligtvis inte att säga om det finns en direkt koppling mellan rEvils angrepp i detta fall och svensk eller utländsk polis användning av trojaner – eftersom det är hemligt vilka verktyg som används. Men det beskriver risken på ett pedagogiskt sätt.
I det aktuella fallet skulle det behövas en haverikommission som inte bara utreder vad som skett – utan även om myndigheterna haft något ansvar för att attacken kunnat äga rum.