Femte juli

Nätet till folket!

C-22: Kanadas nya datalagring och Chat Control i ett

av

Även Kanada är på väg mot ett mer reglerat och övervakat internet. Lagförslag C-22 öppnar för metadata-lagring, ökad myndighetsåtkomst och hårdare kontroll av digital kommunikation.

Kanada följer nu EU, Australien, Storbritannien och andra länder som reglerar internet. Lagförslag C-22 (Lawful Access Act, 2026) är regeringens nya försök att införa datalagring och utöka dess åtkomst till digital kommunikation.

Enkelt uttryckt innebär C-22:

  • Hårdare regler för sociala medier, digitala plattformar, meddelandetjänster och operatörer.
  • Ökade befogenheter för myndigheter. Till exempel tillgång till metadata och krav på samarbete som öppnar för mer omfattande krav i framtiden.
  • Skydd för barn online — samma argument som i många länder används för att motivera ökad kontroll av digital kommunikation.
  • Nya regler kring AI-genererat sexuellt material och sexuella deepfakes.
  • Möjlighet till utökad spårbarhet och datalagring.

Det vill säga ungefär samma saker som i andra västländer som försöker ta kontrollen över internet.

Kritiken från yttrandefrihetsaktivister, jurister, teknikexperter och integritetsorganisationer är omfattande:

  • Lagring av metadata kan avslöja människors hela sociala liv. Nätverk och relationer kan kartläggas utan att innehåll behöver läsas. Journalister, aktivister och oppositionella riskerar därmed övervakning.
  • Datalagringen är inte begränsad till misstänktas data. Istället skapas ett system där hela befolkningens metadata sparas »ifall det behövs senare«.
  • Om tjänster måste möjliggöra spårbarhet och åtkomst, skapas indirekt tryck mot totalsträckskrypterad (E2EE) kommunikation. Meddelande-appen Signal hotar att lämna Kanada om lagen blir verklighet.
  • Detaljerna kan senare fastställas genom regleringar och ministerbeslut som rundar den öppna demokratiska processen i parlamentet. Detta gör det lättare för regeringen att till exempel utöka datatyper, förlänga lagringstider och bredda övervakningen.

Argumenten känns igen. Och på samma sätt som när det gäller liknande lagar i andra länder finns det inga garantier mot ändamålsglidning.

Diskussionen i Kanada är extra känslig med tanke på att en tidigare regering har spärrat bankkonton för personer som deltagit i politiska protester. Medborgarna vet alltså att politiken inte tvekar att använda extraordinära maktbefogenheter.

Oh, Canada!

CC0

Merkel, sociala medier och demokratin

av

Tysklands tidigare förbundskansler Angela Merkel prisades idag av EU för sitt ledarskap. I sitt tacktal kritiserade hon sociala medier, som hon menar är ett hot mot demokratin.

Idag tilldelades ett 20-tal personer den nyinrättade Europeiska förtjänstorden. Bland dem Tysklands tidigare förbundskansler Angela Merkel. I sitt tacktal i Europaparlamentet sa hon bland annat:

»Och demokratin är också under press. Och här vill jag bara nämna ett område där Europeiska unionen enligt min mening idag är en föregångare. Det gäller utvecklingen av så kallade sociala medier, där fakta plötsligt inte längre är fakta, där sanningar kan kallas lögner och lögner kan kallas sanningar, där känslor och fakta blandas samman. Och därmed är själva grundvalarna för den europeiska upplysningen i fara.«

Naturligtvis missförstås och vantolkas en hel del i sociala medier. Som i all mänsklig kommunikation. Och som i traditionella medier.

Det hanterar man rimligen bäst genom att ta debatten, inte genom att försöka begränsa den.

Att Merkel av många hålls ansvarig för delar av dagens tyska och europeiska problem spelar sannolikt också in. Många är upprörda. Och en del av dem ger uttryck för sina åsikter och känslor på sociala medier — inte alltid på ett elegant sätt.

Det går därför att förstå att Merkel ogillar sociala medier. Men det är svårt att frigöra sig från misstanken om att det kanske snarare är kritiken i sig än informationsbäraren som stör henne.

Och detta är knappast unikt för Merkel. Makthavare har i alla tider haft ett komplicerat förhållande till offentlig kritik. Därför ser vi också återkommande krav på ökad kontroll över informationsflöden, hårdare reglering av nätplattformar och olika former av styrning av vad som anses acceptabelt innehåll online.

Merkels anförande kan ses som ännu en signal om att Europas politiska ledning vill koppla ett fastare grepp om internet och sociala medier. (Även AI fick för övrigt en kritisk passning i talet.)

Det känns som om detta är en kamp där insatserna hela tiden höjs.

• Se även MEP Charlie Weimers (SD) relaterade kommentar på X »

CC0

Google svävar på målet om säkerhet i molnet

av

Kan man lita på att amerikanska molntjänster inte delar din data med myndigheterna? Svaret är nej. Använder du dem bör allt viktigt vara egenhändigt krypterat.

Ny Teknik rapporterar om ett panelsamtal hos Bahnhof om vem som har makten och kontrollen över data som lagras i molnet. Rekommenderad läsning.

Kärnfrågan är om svensk data som är lagrad hos till exempel Google kan lämnas ut till amerikanska myndigheter under CLOUD Act och liknande lagar.

»Lagen, som antogs i USA 2018, ger FBI och andra brottsbekämpande myndigheter rätten att begära ut data från tech- och molntjänstleverantörer – oavsett var dessa efterfrågade data är placerade i världen.«

Googles samhällspolitiska chef i Sverige, Irene Ek, säger att Google Cloud står fast vid sina kunder och bestrider den här typen av utlämningskrav så långt de kan juridiskt. Men sedan?

» – Det rör sig om rent hypotetiska fall. Men i så fall säger vi till kunden att vi vill ha tillgång till deras data, men samtidigt inte kan berätta varför (…). Kunden kan då vägra att lämna ut den till oss.«

Vilket då rimligen bygger på att datan är krypterad och att endast kunden har krypteringsnyckeln.

Men krypterad data kan de knappast vägra att lämna ut, även om myndigheterna kanske inte kommer åt innehållet i läsbar form.

Således bör slutsatsen vara: Lagra bara egenhändigt krypterad information i amerikanska molntjänster. Eller molntjänster i allmänhet.

• Ny Teknik: Frågan om USA-moln som Google inte vill svara på – ”Full transparens” »

CC0

Det EU ser och inte ser

av

EU:s digitala politik motverkar sina egna mål och skrämmer bort nyföretagande.

EU:s nya app för åldersverifiering riskerar att öka beroendet av Apple och Google. Samtidigt säger man sig vilja minska vårt beroende av amerikansk Big Tech.

Man utesluter andra OS trots att EU-kommissionen har upphöjt ökad interoperabilitet till ett honnörsord i sina nya regleringar.

Det är svårt att få EU-ledarnas ord och handling att gå ihop.

Det är inte heller som att man gör det lättare för europeiska företag att slå sig in på marknaden. Eller att ens starta.

Det är bara Big Tech som har resurser nog att hantera all den compliance som följer med EU:s Digital Services Act och Digital Markets Act.

Det är en helt ny byråkrati som byggs upp i Bryssel och som förgrenar sig ut i medlemsstaterna när teknik, pappersexercis och innehåll skall regleras och kontrolleras.

Regelverken är ofta vaga kring vilket innehåll plattformarna förväntas agera mot. Men mycket tydliga med att företagen kan drabbas av astronomiska böter om de inte följer de politiska signalerna.

Jag håller fast vid min tes att politikerna inte begriper vad de sysslar med. De gör saker för att de låter bra – även om de i praktiken är verklighetsfrånvända.

De förstår inte att de skapar oväntade (well…) och oönskade konsekvenser. Deras utopiska idéer blockerar deras varseblivning.

Priset vi får betala är att Europa hamnar på efterkälken när företag etablerar sig i länder med rimligare lagstiftning och mindre byråkrati.

CC0

EU:s åldersapp strider mot EU:s egna regler

av

EU:s egna regler om konkurrens och den inre marknaden kan sätta stopp för den app för åldersverifiering som nu lanseras. Den kan även strida mot unionens Digital Markets Act.

På veckans internationella konferens om säkerhet för minderåriga online upprepade EU-kommissionens ordförande Ursula von der Leyen sitt budskap från när hon lanserade unionens nya app för ålderskontroll…

»Finally, any age restriction model depends on reliable age verification. And here, we have good news: We have developed an age verification app that will soon be available, and it ticks all the boxes the highest privacy standards in the world, it works on any device, it is easy to use and it is fully open source. Here in Denmark, it will be rolled out by summer. It is built on the success of our European COVID App; you might recall that one.«

Det där är helt enkelt inte sant. EU:s nuvarande lösning för åldersverifikation (»mini-wallet«) fungerar i praktiken bara på Apples iOS och de distributioner av Android som finns inom Googles ekosystem. Det innebär att alternativa Android-distributioner som LineageOS, GrapheneOS och /e/OS riskerar att exkluderas i den nuvarande designen.

Att vissa OS stängs ute kan vara ett brott mot EU:s egna regler om den inre marknaden. Det kan bli väldigt intressant om någon driver saken i domstol. Bland annat har EU långtgående regler för teknikneutralitet.

Om vissa produkter eller operativsystem i praktiken inte kan använda centrala samhällsfunktioner eller får sämre tillgång till nätplattformar, då kan man argumentera för att marknaden snedvrids. Särskilt om dessa är lagliga i EU.

Konkurrensrätten kan därmed bli relevant, om en dominerande aktör gynnas genom att EU‑lösningen knyts till dess infrastruktur, speciellt om det tränger undan alternativa system.

Samtidigt som man nu lägger kontrollen över åldersverifieringen i Apples och Googles händer, vill EU:s Digital Markets Act motverka att stora IT-företag agerar grindvakter. Syftet är att stärka interoperabiliteten, stimulera öppna ekosystem och minska beroendet av Apple och Google. Hur detta är tänkt att gå ihop med den nya EU-appen är oklart.

Någon lösning för stationära datorer och laptops finns inte. Där kommer du förmodligen att få upp en QR-kod som du sedan måste skanna med appen i mobiltelefonen. Vilket alltså kräver att du har en kompatibel mobiltelefon för att kunna använda sociala medier med mera på din dator.

Här riskerar EU-kommissionen att snärja in sig i sina egna regelverk. Det är som att den ena handen inte vet vad den andra gör.

Sammanfattningsvis: Om lösningen i praktiken utestänger vissa operativsystem, ökar beroendet av två amerikanska gatekeepers, kräver vissa typer av mobiltelefon, försvårar anonymitet och påverkar öppen interoperabilitet – då kan proportionalitetsfrågan bli väldigt relevant.

Min bedömning är att EU:s modell för åldersverifiering — i sin nuvarande form — kommer att falla om den prövas av EU-domstolen.

Relaterat:
• EU lägger förslag om åldersgränser online i sommar »

CC0

EU lägger förslag om åldersgränser online i sommar

av

EU-kommissionens ordförande Ursula von der Leyen säger att man tänker lägga fram ett förslag om åldersgränser för sociala medier redan i sommar.

Det är anmärkningsvärt då den expertpanel som man tillsatt för att utreda frågan ännu inte har kommit med sina rekommendationer. Vilket tyder på att kommissionen förbereder ett förslag utan att invänta de sakkunnigas bedömning.

Ett frågetecken är vilket mandat EU egentligen har. Dataskyddsförordningen GDPR ger medlemsstaterna möjlighet att införa åldersgränser på 13-16 år, men kräver det inte.

Och om en medlemsstat inför åldersgränser, då tvingar EU:s Digital Services Act (DSA) plattformarna att följa dem. Men även DSA lämnar alltså beslutet om specifika åldersgränser till medlemsstaterna.

Europaparlamentet har visserligen antagit en resolution om en åldersgräns på 16 år för sociala medier. Men en resolution är bara en åsikt, inte lag.

EU har alltså redan delegerat själva beslutet om åldersgränser till medlemsstaterna. Frågan är vilken rättslig grund kommissionen kommer att hänvisa till om den vill gå bortom detta.

Sannolikt saknar EU kompetens för att påtvinga medlemsstaterna åldersgränser för sociala medier. Vad man däremot kan göra är att besluta att plattformar måste verifiera användarnas ålder.

• EU kan förbjuda sociala medier för unga – förslag väntas redan i sommar »
• EU eyes rules to curb social media for kids by summer »

Relaterat:
• Flopp för Australiens åldersgräns för sociala medier »
• Åldersgränser för sociala medier – EU mot verkligheten »
• Sociala medier är barnens sista fria rum »

CC0

Var ett fritt och öppet internet bara en parentes?

av

Vi tar stora kliv mot ett mer reglerat och kontrollerat internet. Men varför just nu?

Låt mig börja med att säga att samma lagar och regler skall gälla på internet som i samhället i övrigt. Naturligtvis.

Men utifrån det borde vi väl inte behöva några särskilda lagar för internet över huvud taget?

Vad vi ser är specialregler. EU:s Digital Services Act, Digital Markets Act, Audiovisual Media Directive, Chat Control, åldersgränser med ID-krav och så vidare.

Vi skrev redan när DSA antogs att det var tillfället då politiken tog makten över internet. Samt att nästa mandatperiod i EU – det vill säga nu – är tidpunkten då politiken börjar utöva denna makt.

Eftersom allt för få brydde sig, har politikens planer rullat på. Och nu är vi där vi är.

Det är kanske orättvist att jämföra EU med länder som Kina och Ryssland, men delar av den tekniska infrastrukturen är i praktiken densamma: system för att kontrollera informationsflöden, identifiera användare och kartlägga kommunikation.

EU:s ambition att i ökande grad styra och kontrollera det offentliga samtalet online kan knappast ha undgått någon. Med datalagring öppnas möjligheten att skapa sociogram som kartlägger våra nätverk. Chat Control är i grunden en idé om att införa AI-stödd analys av innehållet i alla våra elektroniska meddelanden. Med EU:s digitala plånbok får vi ett samhälle där vi får blippa oss fram.

Verktygen är i stort sett desamma som de som används i skurkstater. Även om syftet hos oss för tillfället är ett annat. Vem som styr och vad som gäller i morgon kan vi inte veta.

Politiken lider av en oemotståndlig frestelse att reglera allt man kommer över. Det är det som är politikens grej. Man behöver motivera sin existens. Man får en möjlighet att ändra på samhället i linje med sina politiska visioner. Man får bestämma över andra.

Att detta tycks ske överallt samtidigt är oroväckande men inte speciellt konstigt. Politiken är ett internationellt nätverk där man åker på samma konferenser, lyssnar på samma talare, exponeras för samma idéer och utbyter erfarenheter. Samma ämnen trendar. Just nu är det politiska modet att försöka tämja internet.

Att internet har hamnat i politikens kikarsikte beror också på att nätet utmanar makten. Folk har fått en låda att tala ifrån. Besvärliga medborgare faktakollar, ifrågasätter och lägger sig i. Det narrativ man odlar utmanas. Motstånd mot dåliga förslag kan idag organiseras mer effektivt än tidigare.

Det är en ständig dragkamp. Vi måste fortsätta försvara yttrandefriheten, rätten till privatliv och ett fritt och öppet internet. Men vi behöver också en plan B: att granska, begränsa och kontrollera de kontrollsystem som nu byggs upp. För när sådana verktyg väl existerar tenderar de förr eller senare att missbrukas.

CC0

Sociala medier är barnens sista fria rum

av

Tänk om det är barn och ungas minskade frihet som tynger dem — inte sociala medier. Och ifall en åldersgräns för sociala medier bara gör saken värre.

Tänk dig att du är tolv år gammal. Du är mobbad och har svårt att få vänner. Men i sociala medier har du hittat några jämnåriga som du kan diskutera och dela dina tankar med. Och du har upptäckt en grupp som handlar om det som fascinerar dig mest: astronomi.

Men en dag införs åldersgränser för sociala medier. Plötsligt är du ensam och övergiven igen. För att våra politiker inte förstår vad de sysslar med och vilka konsekvenserna blir.

Det finns otaliga fler exempel på hur unga människor skapar sin egen trygghet, mening och gemenskap på sociala medier.

Ensamma barn behöver internet mer än vad politikerna förstår. För vissa är internet den enda plats där de får vara fria. Att stänga dem ute är i många fall direkt hjärtlöst.

De utåtriktade och populära kommer säkert att klara sig ändå. Men andra kommer att drabbas hårt.

Sedan kan man undra vad våra politiker har tänkt sig att ungarna skall göra istället. Undersökningar pekar på att 62% av amerikanska barn i åldern 8–12 år aldrig har gått eller cyklat någonstans utan en vuxens sällskap. För många av oss som växte upp på 60- och 70-talen framstår det som absurt.

Kombinationen av att stänga ute unga från sociala medier samtidigt som deras sociala autonomi begränsats i den fysiska världen kan komma att driva både barn och föräldrar till vansinne.

Tidskriften Psyche har en intressant artikel: Children have lost the freedom to explore and play independently. They now seek out autonomy in digital landscapes.

Ett par nedslag i texten:

»In fact, for some children, the internet may be one of the last remaining spaces where they can grow up doing what children everywhere have evolved to do: independently play and explore with their peers.« (…)

»In physical spaces, we restrict the movement of children and refuse to let them play and explore without us. But that doesn’t mean they won’t look for ways to escape. In the past two decades, children have found a new place to roam: the endless jungle of the internet.« (…)

»When we look carefully at how kids engage with the digital landscape, the desire for independent exploration becomes impossible to miss. Children play online games and use social media not simply because of addictive algorithms. Instead, as research from the social scientists Emily Weinstein and Carrie James suggests, platforms and applications for connection can help young people stay in near-constant contact with each other.«

Men nu tänker politiken alltså dra ur sladden. På grund av missriktad välvilja. Eller möjligen för att ett fritt och okontrollerat informationsflöde uppfattas som politiskt besvärligt.

Här har artikel 13 i Barnkonventionen (som är svensk lag) en del att säga…

»Barnet har rätt till yttrandefrihet. Denna rätt innefattar frihet att oberoende av territoriella gränser söka, ta emot och sprida information och tankar av alla slag, muntligen, skriftligen eller i tryck, i konstnärlig form eller genom annat uttrycksmedel som barnet väljer.«

Vilket ligger väldigt nära vad de grundläggande mänskliga rättigheterna garanterar oss alla, inklusive barn och unga. Europakonventionens artikel tio:

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Relaterat:
• Flopp för Australiens åldersgräns för sociala medier »
• Åldersgränser för sociala medier – EU mot verkligheten »

CC0

Åldersgränser för sociala medier – EU mot verkligheten

av

EU:s åldersverifiering för sociala medier och eventuella begränsningar av VPN är som en tågolycka i slow motion. Som vanligt begriper politikerna och deras funktionärer inte vad de sysslar med.

Den app EU har tagit fram för att upprätthålla nationella åldersgränser för sociala medier har uppenbara problem. Inte nog med att den hackades så snart den presenterades. Den kommer inte att fungera på alla operativsystem.

IT-säkerhetsexperten Karl Emil Nikka har konstaterat att denna app bara fungerar på iOS (iPhone) och varianter av Android som är inom Googles ekosystem (vilket utesluter en rad Android-telefoner). Något stöd för Windows, macOS eller Linux finns inte. Detta har Nikka nu dubbelkollat (se videon nedan) och fått bekräftat av EU-kommissionen.

Ändå stod kommissionens ordförande Ursula von der Leyen och hävdade att appen fungerar på alla operativsystem. Och ändå stod kommissionär Henna Virkkunen och krävde att medlemsstaterna börjar använda den så snart som möjligt. Detta är direkt verklighetsfrånvänt.

Vad gäller något slags åtgärder mot VPN för att upprätthålla de eventuella åldersgränserna är förvirringen ännu större.

EU har identifierat något som man upplever som ett problem: att unga kan ta sig förbi en åldersgräns för sociala medier. Med skygglappar mot alla andra aspekter av frågan vill man därför införa åldersgränser (eller värre) för VPN. Det är som att kasta in en bomb i något mycket större – nämligen vår grundläggande IT-säkerhet.

Att man inte begriper vad man sysslar med är ingen ursäkt. Detta är allmänfarligt.

Möjligen börjar problembilden sjunka in hos vissa EU-tjänstemän. Kommissionens chef för avdelningen för skydd av minderåriga uttrycker sig svävande i Politico.

»If you read the political debate … some form of ban” is coming, the European Commission’s digital department’s head of minors protection, Martin Harris-Hess, said at POLITICO’s AI & Tech Week in Brussels. But the EU’s efforts must extend beyond a simple “binary yes or no ban” and instead focus on making the online space safer for all minors. (…) While saying that legally, an EU-wide ban is a possibility, Harris-Hess rejected the word “ban” as “emotionally laden” and said measures would face “practical difficulties,” as evidenced in Australia.«

Vilket är EU-lingo för att frågan kanske är mer komplicerad än man först föreställde sig och att man vill justera narrativet.

Men alla i Politicos panel håller inte med…

»Sonia Livingstone — a professor at the London School of Economics and Political Science who is leading the Commission’s panel of experts — came out strongly against a blanket ban on the panel, telling POLITICO that age restrictions are not easy to define or implement.

“The ban sounds simple, and it isn’t,” she said. “What will we ban? Which services? How will we ban them? What will we provide for children when we have banned them? How will we even know if we have banned them? And what about the children who find the workarounds? Aren’t they even more at risk? So it’s not the simple route,” Livingstone said.«

Till detta skall man lägga att flera av EU:s medlemsstater har förklarat att de inte vill använda EU-appen för åldersverifiering, utan att de tänker hitta på egna lösningar.

Långsamt håller frågan på att drabbas av ett klassiskt EU-problem: Först beslutar man. Sedan tar man reda på fakta. Först därefter kommer debatten, trots att det inte saknats varnande röster under processen.

För mer om detta se Bli Säker-podden nedan.

• Politico: EU must go beyond ‘binary yes or no ban’ on social media, top official says »

Relaterat:
• Kommer EU att förbjuda VPN-tjänster? »
• Flopp för Australiens åldersgräns för sociala medier »

CC0

Europol bryter mot lagen – igen

av

Europol fortsätter att lagra stora mängder persondata i strid mot lagen. Och det är inte första gången.

Redan tidigare har Europol avslöjats med att lagra mer persondata än vad som är tillåtet. Då har man löst det genom att ändra lagen i efterhand. Europol har de senaste åren också fått utökat mandat. Trots detta klarar man inte att hålla sig inom lagens ramar.

Den här gången anklagas Europol för att använda ett informellt/skugg-IT-system utanför officiella regelverk. Systemet skall ha använts för att lagra och analysera stora mängder persondata, inklusive sådan som inte får sparas enligt EU-lag. Problemet rör särskilt bristande kontroll, transparens och rättslig grund för databehandlingen.

Vissa anställda menar att myndigheten »skyddar lagen samtidigt som den bryter mot den«. EU:s datatillsynsmyndighet (EDPS) har tidigare kritiserat Europol för olaglig lagring av stora datamängder. Trots detta tycks liknande verksamhet ha fortsatt via andra system.

Detta väcker frågor om rättssäkerhet, proportionalitet och tillsyn. Och det kommer lagom till att politiken vill utöka Europols mandat – igen. Samt dubbla dess budget.

Computer Weekly rapporterar:

»Previously unseen evidence indicates that vast volumes of sensitive data were made available to Europol’s analysts via the CFN [Computer Forensic Network], a system with significant security and privacy flaws that did not fully log who accessed data, or whether it had been modified or deleted. For years, it operated without effective official scrutiny, even as it became central to the agency’s analytical work.«

»Within a few years, though, the CFN evolved far beyond its original purpose, becoming what one former senior official described as a “black hole” for unregulated data analysis by Europol’s cyber crime unit. Large volumes of data could be stored and analysed with fewer constraints than in the agency’s formal systems.«

Det förefaller som att den europeiska polismyndigheten verkar utom demokratisk kontroll, trots att den redan har fått nästan allt den har pekat på.

Läs mer i Computer Weeklys granskning:
• ‘They protect the law while breaking it’: Inside Europol’s shadow IT system »

Relaterade tidigare bloggposter:
• Europol får fortsätta registrering av icke misstänkta (februari 2022) »
• EU gör Europol till ett europeiskt NSA (maj 2022) »
• Europol får utökat mandat för övervakning (maj 2022) »
• EU vill göra Europols olagliga registrering av icke misstänkta laglig (januari 2022) »
• Europol ges tillgång till persondata hos internetoperatörerna (oktober 2021) »

CC0