Femte juli

Nätet till folket!

Henrik Alexandersson

EDRi om den nya EU-kommissionen och de digitala frågorna

av

Den Brysselbaserade gruppen för digitala rättigheter, EDRi, har sammanfattat Europaparlamentets utfrågning av de nya EU-kommissionärerna.

Om den nya svenska kommissionären Ylva Johansson skriver man så här:

Sweden’s Ylva Johansson, Commissioner-designate for Home affairs, will inherit a portfolio including cybercrime, terrorist content Regulation and issues relating to privacy and surveillance. Whilst her hearing was relatively light on digital questions, it was certainly heavy in evasive answers. Her insistence on fundamental rights was a good start, but her call for compromise between security and privacy fell into the age-old myth of the two rights as mutually exclusive.

Läs hela sammanställningen här »

Övervakning av icke misstänkta och andra problem med regeringens förslag om hemlig dataavläsning

av

Det är dags för grupparbete kring regeringens lagrådsremiss om hemlig dataavläsning. Länk (PDF) »

Här är några nedslag i den föreslagna lagtexten. Vi börjar med begreppsdefinitionerna (2.1.1§, sid 8):

I lagen avses med avläsningsbart informationssystem: en elektronisk kommunikationsutrustning eller ett användarkonto till, eller en på motsvarande sätt avgränsad del av, en kommunikationstjänst, lagringstjänst eller liknande tjänst,

Notera att man inte bara vill kunna installera spionprogram på datorer, telefoner, surfplattor, spelkonsoler, smarta tv-apparater, smarta högtalare m.m. – utan även komma åt användarkonton för till exempel e-post, molntjänster och appar.

Detta backas upp i 2.1.4§ på sidan 9, där det även framgår att det handlar om informationssystem som den misstänkte kan tänkas komma att använda men ännu inte använder:

Hemlig dataavläsning som gäller kommunikationsavlyssnings-, kommunikationsövervaknings- eller platsuppgifter får även avse ett avläsningsbart informationssystem som det finns synnerlig anledning att anta att den misstänkte under den tid som tillståndet avser har kontaktat eller kommer att kontakta.

I 2.1.6§ på sidan 9 kan vi även läsa följande:

Hemlig dataavläsning enligt första stycket får användas endast på en plats där det finns särskild anledning att anta att den misstänkte kommer att uppehålla sig. Om platsen är någon annan stadigvarande bostad än den misstänktes, får tillstånd till hemlig dataavläsning beviljas endast om det finns synnerlig anledning att anta att den misstänkte kommer att uppehålla sig där.

Notera att de statliga spionprogrammen alltså även skall kunna användas på annan utrustning än den som tillhör den misstänkte. Till exempel sådan som tillhör flick/pojkvänner, släkt och vänner, arbetsplats etc. I 8§ framgår att detta även gäller e-post, molntjänster m.m.

Så till 2.1.12§ på sidan 11:

Vid hemlig dataavläsning får den verkställande myndigheten, efter särskilt tillstånd, i hemlighet skaffa sig tillträde till och installera tekniska hjälpmedel på en plats som annars skyddas mot intrång.

Det är svårt att tolka detta på annat sätt än att myndigheterna – utöver att hacka sig in i människors datorer m.m. – även får rätt att göra inbrott för att installera spionprogram.

Och vad gäller hackandet, så skriver man i 2.1.22§ på sidan 13:

När ett tillstånd till hemlig dataavläsning har beviljats får de tekniska hjälpmedel som behövs för avläsningen och upptagningen användas. Om det är nödvändigt får systemskydd brytas eller kringgås och tekniska sårbarheter utnyttjas.

Vilket bekräftar misstanken att myndigheterna, när de får tillgång till hemlig dataavläsning, kommer att vara mer intresserade av att utnyttja säkerhetsbrister i våra IT-system än att sådana åtgärdas. Vilket naturligtvis kommer att försämra IT-säkerheten för alla.

Så långt den primära lagtexten. Det bör även nämnas att det framgår att polisen får »använda såväl hårdvara som programvara« för att bereda sig tillgång till människors datorer och tekniska utrustning.

Det finns mer att ösa ur i lagrådsremissen. Men redan de delar av lagtexten som återges ovan borde få riksdagen att tänka till innan man godkänner lagen.

Det handlar inte bara om en extremt integritetskränkande form av övervakning – som även kommer att drabba andra än människor som är misstänkta för brott – utan även om att lämna hela vår IT-infrastruktur sårbar för kända säkerhetsbrister.

Alla EU-länder får tillgång till allt som lagras i molntjänster

av

Det pågår en kapprustning vad gäller tillgång till medborgares, företags och organisationers information som finns lagrad i till exempel molntjänster. I USA finns en så kallad Cloud Act, som ger myndigheterna rätt att begära ut information oavsett i vilket land den finns lagrad. Och som vi har rapporterat tidigare följer EU efter med eEvidence, eller eBevis:

»Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare [edit: samt kommunikationsdata och lagrad information] från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst. Någon nedre gräns för när detta kan anses vara befogat anges inte.

Vilket är en signal om att dammluckorna nu kan öppnas – och att (…) information skall utlämnas även till EU-länder vars rättsstat, rättssäkerhet och sätt att hantera känslig information kan ifrågasättas.

Denna information skall lämnas ut inom tio dagar, eller i brådskande fall inom sex timmar.«

Detta är en fråga som tyvärr hamnat i medieskugga medan andra EU-förslag som det nya upphovsrättsdirektivet har diskuterats. Därför är det välkommet att fler nu börjar uppmärksamma frågan. I Svenska Dagbladet har tankesmedjan Fores vikarierande programchef för digitala samhällsfrågor Jonas Andersson Schwarz idag en i stort sett korrekt debattartikel om eBevis. Han skriver bland annat:

»Sveriges EU-parlamentariker bör tydligt motsätta sig rådets förslag av en rad principiella skäl. EU:s digitaliseringspolitik bör inte landa i en kapprustning med USA och Kina om vem som snabbast kan underminera medborgerlig integritet och nationell suveränitet. Det finns en rad progressiva saker kommissionen och parlamentet har gjort och bör fortsätta göra för att stärka rättssäkerheten och stävja problemen med vissa it-tjänsteföretags stora dominans. Men att urholka medborgares möjligheter att överklaga datauthämtningsorder från fjärran länder kommer inte att göra mycket åt det problemet, snarare befästa rådande ordning.«

I Sverige har regeringen redan påbörjat arbetet med eBevis i form av en förordning våren 2018.

Länkar:

• Vår tidigare bloggpost om eBevis med länksamling och resurser »

• SvD: Kafkaartat förslag från EU:s ministerråd »

Lyssnings-tips: Joe Rogan möter Edward Snowden

av

I en nästan tre timmar lång podcast samtalar den amerikanske komikern och Youtube-profilen Joe Rogan med NSA-visselblåsaren Edward Snowden.

Länk till Youtube-filmen »

Det är ett mycket intressant samtal. Och om du inte orkar lyssna igenom hela podcasten, då finns några highlights i skriftlig form här: The Most Important Moments From Edward Snowden’s Appearance On Joe Rogan’s Podcast »

Och här är en länk till en av Snowdens tekniska referenser: The Many Identifiers in Our Pockets – A primer on mobile privacy and security »

Enjoy!

Kommer Frankrike att driva ut Google från den europeiska marknaden?

av

Anta att du har en web-sida. Anta vidare att du kan stifta en lag som tvingar dem som länkar till din sida att ge dig pengar. Anta slutligen att lagstiftningen även kan tvinga andra att länka till din sida. Det vore kanske lönsamt och praktiskt för dig. Men olämpligt och fel på så många andra plan. Ändå är detta precis vad franska mediehus vill.

Det handlar om artikel 15 (11) i EU:s nya upphovsrättsdirektiv – den så kallade länkskatten. Den föreskriver att den som länkar till tidningar och media med mer än enstaka ord skall betala en licensavgift. Vilket i sig är en märklig och bakvänd idé. Så Google vägrar. Vilket gör fransmännen rasande. Härom veckan krävde de att en ny EU-myndighet inrättas för att tvinga Google att betala länkskatt.

Och nu tar man det hela till nästa steg. AFP/F24 rapporterar:

French media firms said Thursday that they would drag Google before the country’s competition regulator over its refusal to pay for displaying their content in search results, setting up a legal fight over a new EU copyright law.

Du kan även läsa mer hos Emanuel Karlsten: Franska medier slår tillbaka mot Google – går till domstol för att tvinga sökjätten betala »

Först var det Youtube som meddelade att man kan komma att blockera alla användare i EU på grund av upphovsrättsdirektivets krav på uppladdningsfilter (artikel 13/17). Och nu försöker fransmännen driva frågan om länkskatten till en punkt där det enklaste och kanske rimligaste för Google kan vara att helt sluta länka till europeiska media.

EU:s upphovsrättsdirektiv, Frankrike och mediehus med förlegade affärsmodeller riskerar att förvandla EU till ett digitalt ökenlandskap.

Grönt ljus för polisen att använda ansiktsigenkänning

av

Samtidigt som många länder säger nej till ansiktsigenkänning – på grund av att den är allt för integritetskränkande och svepande – får den svenska polisen grönt ljus av Datainspektionen.

»Datainspektionen konstaterar att polisen har ett berättigat intresse av att använda ansiktsigenkänning och att Nationellt forensiskt centrum får hantera personuppgifterna på det sätt som föreslås. Polisen har också vidtagit lämpliga åtgärder för att skydda de uppgifter som hanteras. (…)

– Det är angeläget att polisen tar ställning till hur länge uppgifterna får sparas innan de startar skarpt med ansiktsigenkänningen eftersom det är viktigt ur integritetssynpunkt, säger Linda Olander som är jurist på Datainspektionen.«

Datainspektionen: Polisen får använda ansiktsigenkänning för att utreda brott »

Problemen med hemlig dataavläsning

av

Nu lägger regeringen fram sitt förslag om hemlig dataavläsning. Här går vi igenom några av problemen med denna nya form av övervakning.

Se filmen på Youtube »

Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.

Svårt att göra rimlig lagstiftning av EU:s upphovsrättsdirektiv

av

Arbetet med att göra EU:s nya upphovsrättsdirektiv till lag har börjat, såväl i Sverige som i EU. Man kan ana att de tjänstemän som arbetar med frågan börjar inse direktivets vidare problem och implikationer. Detta inte minst efter att Frankrike bestämt sig för att rusa i förväg med den så kallade länkskatten – vilket har resulterat i att Google helt enkelt har slutat publicera länkar med substans till franska media.

I Sverige har Justitiedepartementet satt upp en referensgrupp för att diskutera genomförandet av direktivet inklusive de kontroversiella delarna »länkskatt« och »uppladdningsfilter«. Det hela verkar rätt avslaget, om man får tro rapporterna. Emanuel Karlsten skriver om gårdagens möte:

»Promemorian innehöll få kontroversiella förslag. Det förefaller också som att de flesta som deltog på mötet inte hade hunnit läsa igenom promemorian innan mötet och därför inte hunnit ha någon kvalificerad åsikt. Promemorian är även denna gång en tjänstemannaprodukt och alltså inte ens regeringens inofficiell åsikt.«

Politikerna försöker gömma sig bakom departementets tjänstemän, som i sin tur gömmer sig bakom tungrodda promemorior. Detta kommer förmodligen inte att leda någonstans alls. Istället kommer frågan att bli en rent politisk strid som avgörs i riksdagen.

I EU bedriver man också en dialog med inblandade parter, för att få fram något slags riktlinjer eller vägledning för hur direktivet skall implementeras i medlemsstaterna. Det verkar inte heller gå överdrivet bra.

Utifrån vad som framkommit från mötet den 15 oktober verkar man mest trampa vatten.

Detta är precis vad man kunde vänta sig. Politikerna röstar igenom en orimlig lagstiftning som är omöjlig att driva igenom utan att offra viktiga värden – vilket de tjänstemän som skall göra lag av besluten inte kan göra något åt. Här finns inbyggda problem, målkonflikter och juridiska återvändsgränder. Men direktivet är klubbat. Resultatet lär bli dålig lagstiftning.

Vilket i sin tur belyser problemet med att politiker har makt över sådant de inte begriper sig på.

Länkar:
• Emanuel Karlsten: Här är justitiedepartementets tolkning av ”länklicensen” »
• EDRi: EU copyright dialogues: The next battleground to prevent upload filters »
Frankrike vill ha en ny EU-myndighet för att tvinga Google att betala ”länkskatt” »

USA: Förenklat förfarande i upphovsrättstvister med böter på upp till 30.000 USD

av

Den amerikanska kongressens representanthus har med överväldigande majoritet röstat igenom »the Copyright Alternative in Small-Claims Enforcement Act« (CASE Act).

Det handlar om ett förenklat rättsligt förfarande där den som till exempel råkat använda en upphovsrättsskyddad bild på nätet kan dömas till böter på upp till 30.000 USD. EFF skriver:

The CASE Act creates a new body in the Copyright Office which will receive copyright complaints, notify the person being sued, and then decide if money is owed and how much. This new Copyright Claims Board will be able to fine people up to $30,000 per proceeding. Worse, if you get one of these notices (maybe an email, maybe a letter—the law actually does not specify) and accidentally ignore it, you’re on the hook for the money with a very limited ability to appeal. $30,000 could bankrupt or otherwise ruin the lives of many Americans.

Nu återstår att se om lagen kan stoppas i senaten.

Det kan finnas skäl även för oss svenskar att vara oroliga. USA tenderar att vilja tillämpa sin lagstiftning över hela världen. Dessutom tenderar sådana här lagar att spridas till Europa.

EFF: The House Votes in Favor of Disastrous Copyright Bill »

Hemlig dataavläsning: Nu lägger regeringen ett skarpt förslag

av

Efter flera års vånda har regeringen idag meddelat att man nu lägger fram sitt förslag om hemlig dataavläsning. På torsdag fattar regeringen beslut om en lagrådsremiss.

Vad det handlar om är att man vill att myndigheterna i hemlighet skall få installera spionprogram (även kallade statstrojaner) på människors datorer, mobiltelefoner, surfplattor och andra digitala enheter.

Till exempel kommer man att kunna använda enheternas kamera och mikrofon för avlyssning. Man kommer att kunna avläsa krypterad kommunikation innan den krypteras eller efter att den avkrypterats. Man kommer också att kunna komma åt enhetens alla filer, bilder, kontakter och allt annat som finns lagrat. Fler detaljer kommer när lagrådsremissen blir offentlig senare i veckan.

Vi har skrivit om detta flera gånger tidigare – och då beskrivit bland annat följande problem:

Om staten skall agera hackare kommer de säkerhetshål som används att förbli okända istället för att rapporteras och åtgärdas. Detta gör våra datorer sårbara för attacker och spionage från till exempel kriminella element och främmande makt. På så sätt gör förslaget oss alla – privatpersoner, företag och myndigheter – mindre säkra.

En fråga är om staten kommer att utveckla egna spionprogram – eller om man kommer att köpa dem av främmande makt eller kanske rent av på den svarta marknaden, vilket knappast är lämpligt.

Inrikesminister Mikael Damberg (S) säger att hemlig dataavläsning bara kommer att kunna användas för att utreda allvarlig brottslighet. Men det är ju ett löfte man brukar ge, för att sedan svika. Ändamålsglidning har snarare blivit regel än undantag vad gäller verktyg för övervakning.

Det är också värt att notera att utredningen om hemlig dataavläsning även öppnar för hemlig avläsning av innehåll hos internetoperatörer och plattformar. Nu återstår att se om detta finns kvar i regeringens slutliga förslag.

En detalj, som inte diskuterats, men som är värd att vara uppmärksam på är risken för missbruk av systemet. Med statstrojaner får myndigheterna inte bara möjlighet att avlyssna och avläsa – utan även plantera information, som till exempel falska bevis. Sådant kommer naturligtvis inte att vara tillåtet, men vi vet att manipulation av bevis emellanåt förekommer och att alla anställda inom de rättsvårdande myndigheterna inte alltid följer reglerna.

I slutet av veckan kommer det att finnas ett mer detaljerat förslag i form av en lagrådsremiss att granska. Man räknar med att lagen skall träda ikraft den 1 mars 2020. Lagen är tidbegränsad till fem år och skall därefter utvärderas.

Länkar:
Inrikesminister Mikael Dambergs presskonferens (Youtube) »
• SVT: Regeringen presenterar lagrådsremiss om hemlig dataavläsning »
• DN: Polisen ska få möjlighet till hemlig dataavläsning »
• Aftonbladet: Damberg: Polis redo för hemlig dataavläsning »
• Aftonbladet: M om hemlig dataavläsning: Sent och för klent »

Ur arkivet:
Nästa stridsfråga: Hemlig dataavläsning »
Ny lag vill att internetoperatörer skall lämna ut information om innehåll i användares kommunikation »