Chat Control – slutet för privat korrespondens online

»The EU wants to have all private chats, messages, and emails automatically searched for suspicious content, generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance through fully automated real-time messaging and chat control and the end of secrecy of digital correspondence.«

Patrick Breyer, ledamot av Europaparlamentet för Piratpartiet, DE.

Länk: Messaging and chat control – The End of the Privacy of Digital Correspondence »

Frågetecken kring polisens hemliga dataavläsning

Ett år har gått sedan polisen fick möjlighet till hemlig dataavläsning. Den innebär att myndigheterna kan installera spionprogram hos personer som är misstänkta för brott (och i deras omgivning) som ger tillgång till allt som görs och allt som finns lagrat i en dator eller på en surfplatta eller mobiltelefon.

Sveriges Radio meddelar:

»I den statliga utredningen som låg till grund för lagförslaget bedömde man att den här sortens övervakning skulle användas i liknande omfattning som hemlig rumsavlyssning, alltså buggning, vilket godkänns omkring 100 gånger per år.

På knappt ett år har svenska domstolar fattat beslut i nära 500 ansökningar om hemlig dataavläsning, enligt siffror från Säkerhets- och integritetsskyddsnämnden, som Ekot tagit del av.

Nämnden vill inte svara på hur många som godkänts, men i regel brukar den här sortens ansökningar beviljas, säger nämndens ordförande Gunnel Lindberg.«

Det vore värdefullt att få reda på varför denna övervakning är fem gånger vanligare än man tänkt sig. Framförallt vore det intressant att få veta vilka typer av brott den hemliga dataavläsningen använts för att utreda. Här finns starka skäl att misstänka något slags ändamålsglidning – där verktyget använts mer generöst än bara mot de mycket allvarliga brott som var tänkt från början. Som det brukar bli med övervakningslagar.

Dessutom är grundproblemet detsamma som tidigare: För att kunna använda hemlig dataavläsning måste myndigheterna använda sig av säkerhetsbrister i våra IT-system. Dessa brister förblir då utan åtgärd, istället för att täppas till. Vilket gör hela vår IT-infrastruktur mer sårbar vad gäller till exempel kriminell verksamhet, spioneri och dataintrång.

Och det blir värre:

»Det är Säkerhets- och integritetsskyddsnämnden som ska granska hur den hemliga dataavläsningen används, och ordförande Gunnel Lindberg säger att det är svårt att få resurserna att räcka till för en effektiv tillsyn

SR: Polisen använder spionprogram mer än väntat »

Medborgarrättsorganisationer rasar mot EU:s nya nätcensur

Ett 60-tal organisationer har skrivit brev till Europaparlamentets ledamöter och vädjat till dem om att rösta nej till förordningen om terror-relaterat innehåll online (TERREG/TCO).

Bland undertecknarna finns bland andra Amnesty, Europeiska Medborgarrätsuniuonen, EFF, EDRi, Polska Helsingfors-kommittén, Human Rights Watch, Internationella Juristkommissionen, CCC, La Quadrature Du Net,  Reportrar utan gränser, Statewatch, Wikimedia och svenska DFRI.

De praktiska problemen med TERREG är:

  • Flaggat material skall som huvudregel plockas ner inom en timma, vilket blir praktiskt svårt att hantera för mindre plattformar.
  • Denna snäva tidsram ger inget utrymme för rättsliga överväganden – och någon föregående rättslig prövning kommer inte att ske.
  • Myndigheter i ett EU-land kan beordra nedtagning av material i en annan medlemsstat, utan klartecken från den senare.
  • Nerplockat material skall inte kunna laddas upp igen. Även om texten (efter förhandlingar) noga undviker ordet ”uppladdningsfilter” – så är användning av just automatiska uppladdningsfilter den enda praktiskt användbara metoden. Och uppladdningsfilter innebär att allt som du och alla andra laddar upp måste granskas av maskiner inna det kan publiceras.

Det finns även invändningar mot att detta kan komma att drabba journalistisk verksamhet, forskning, dokumentation och lagföring av övergrepp.

Förslaget är dessutom oroväckande svävande när det gäller att definiera vad som egentligen anses vara terrorism och terror-relaterat.

Elefanten i rummet – som tyvärr inte berörs i brevet – är att detta även etablerar en censur av åsikter online i EU. Förvisso terroristers åsikter. Men när principen väl är etablerad kan det ändras med ett klubbslag.

Tar man ett steg tillbaka och betraktar den större bilden – då kan man konstatera att samtidigt som TERREG är på väg att bli lag, så är EU-apparaten även på väg att kräva av-kryptering och granskning av nätanvändarnas meddelanden och e-post i namn av att skydda barn mot övergrepp. Sammantaget blir detta en storebrorsstat som granskar, analyserar och i förekommande fall censurerar det mesta som sker online.

Länkar:
• DW: Rights groups slam EU online terrorist content law »
• Liberties: Free Speech Advocates Urge EU Legislators to Vote ’No’ to Automated Censorship Online »

Facebooks position om sektion 230 kan göra alla webhotell och internetoperatörer ansvariga för att kontrollera allt deras kunder gör

Idag är det åter utskottsförhör med Facebooks Mark Zuckerberg i det amerikanska representanthuset. I ett skrivet uttalande som skall ligga till grund för utfrågningen säger Facebook något intressant och möjligen oroväckande om den omdebatterade sektion 230 i the Communications Decency Act (som ger plattformarna budbärarimmunitet så länge de tillhandahåller en ren tjänst utan att göra egna redaktionella överväganden):

»Instead of being granted immunity, platforms should be required to demonstrate that they have systems in place for identifying unlawful content and removing it.«

»Platforms should not be held liable if a particular piece of content evades its detection — that would be impractical for platforms with billions of posts per day — but they should be required to have adequate systems in place to address unlawful content.«

Vilket naturligtvis är lätt att säga för Facebook, som har stora resurser till sitt förfogande.

Detta riskerar dock att drabba mindre plattformar, startups och nya konkurrenter till de sociala mediejättarna – även om Zuckerberg säger att ett sådant här system bör anpassas efter respektive plattforms storlek. Risken är att detta kommer att leda till en konkurrensbegränsning, till de etablerade jättarnas fördel.

Här skall man också komma ihåg att sektion 230 ursprungligen inte skrevs med tanke på sociala medieplattformar – utan för att skydda webhotell och internetoperatörer från att bli stämda för vad deras kunder har för sig. Vilket är ett problem som kommer att återuppstå om sektion 230 skrotas.

Med den modell Zuckerberg föreslår kan sådana företag komma att bli tvingade att hålla koll på allt som deras användare har för sig. Vilket i praktiken är omöjligt.

Länk: Zuckerberg suggests how to tweak tech’s liability shield »

Facebook lanserar policy för mänskliga rättigheter

Facebook har lanserat en policy för mänskliga rättigheter. Den presenteras så här:

»Facebook’s mission is to give people the power to build community and bring the world closer together. We build social technologies to enable the best of what people can do together.

Our principles are: give people a voice; serve everyone; promote economic opportunity; build connection and community; keep people safe and protect privacy.

We recognize all people are equal in dignity and rights. We are all equally entitled to our human rights, without discrimination. Human rights are interrelated, interdependent and indivisible.«

Vilket ju i stort sett låter rimligt. Även om en och annan kanske invänder att det där med »protect privacy« skorrar lite falskt.

Man kan också fundera över formuleringen »serve everyone«.

I övrigt innehåller dokumentet rätt mycket corporate fluff och en del politiskt trendriktiga formuleringar som kanske kan bli svåra att omsätta i praktiken – som det är nu för tiden.

Facebook: Corporate Human Rights Policy (PDF) »

Om rätten till privatliv och privat kommunikation

Decennier av krypskytte mot kryptering från regeringar världen över; EU:s idéer om avkryptering och granskning av meddelanden och e-post; FRA-lagen med sin ändamålsglidning som ger allt fler myndigheter tillgång till innehållet i våra elektroniska kommunikationer… Exemplen på hoten mot vår rätt till privatliv och privat kommunikation online är många.

Men varför är denna rätt så viktig att den betraktas som en grundläggande mänsklig rättighet?

Man kan resonera längs flera olika spår.

Till exempel är fri åsiktsbildning och fri debatt en förutsättning för en fungerande demokrati. Det finns goda skäl att anta att själva vetskapen eller misstanken om att någon kikar över vår axel inskränker denna fria åsiktsbildning. Mycket av framstegen i vårt samhälle bygger på idéer som till en början var kontroversiella eller till och med olagliga.

Man kan också fundera i banorna av att laglydiga medborgare skall lämnas i fred av staten. En stat som betraktar alla sina medborgare som potentiella brottslingar som måste övervakas och vars kommunikationer måste granskas – det är en stat som inte respekterar sitt folk. Staten skall vara till för medborgarna, inte behandla oss som undersåtar.

Om man ansluter sig till idén om att människan har vissa naturliga rättigheter (liv, säkerhet och egendom) då anser man förmodligen också att frihet har ett positivt värde för såväl individen som samhället. Denna frihet inskränks om man är övervakad och därmed måste anpassa sitt beteende för att inte göra något som kan misstolkas. I övervakningsstaten har även den som är oskyldig mycket att frukta.

Även om du har rent mjöl i påsen och även om du själv aldrig kommer att få övervakningsstatens ögon på dig – så bör du ändå vara för rätten till privatliv. Visselblåsaren Edward Snowden uttryckte saken så här: Att vara emot rätten till privatliv bara för att man inte har något att dölja, det är som att vara emot yttrandefriheten bara för att man inte har något att säga.

Sedan har vi naturligtvis risken för att vi någon gång kommer att få en regering med auktoritära böjelser. För en sådan är övervakning av medborgarnas kommunikationer ett utmärkt verktyg för att komma åt dissidenter, för att kartlägga oliktänkande och för att hindra att oppositionella organiserar sig. Varför ge överheten ett sådant verktyg?

Det behöver inte vara en ondskefull regering. Det räcker med någon obalanserad befattningshavare på mellannivå för att dessa verktyg skall kunna missbrukas. Eller överdriven ambition. Missriktad välvilja. Eller inkompetens.

Steg för steg blir övervakningsstaten allt mer omfattande – på bekostnad av medborgarnas rätt till privatliv. Oavsett vilket slags regering vi har kan det inte fortsätta hur långt som helst. I vart fall inte utan att samhället blir outhärdligt att leva i.

Hela idén med grundläggande mänskliga rättigheter är att de utgör individens skydd mot staten. Därför skall man inte kompromissa om dem. Utan dem kan staten göra precis som den vill och individen blir då rättslös.

Sociala media, användarnas rättigheter och nya statligt godkända censorer

Sociala medias ofta till synes slumpartade censur av inlägg och avstängning av användare är en ständig källa till irritation. Speciellt som det inte går att kontakta de olika plattformarna – och då den som censureras inte får reda på varför. Vilket blir extra problematiskt med tanke på nätjättarnas dominerande ställning i debatten.

Men det kan bli ändring på den saken. I EU:s föreslagna Digital Services Act (DSA) vill man att den som blir censurerad skall få veta varför – och även få en reell möjlighet att överklaga beslutet.

Även om detta är detaljreglering av hur privata företag skall bedriva in verksamhet – så kommer många användare säkert att välkomna att de nu kommer att få något som ger viss ”rättsäkerhet”. (Även om begreppet rättssäkerhet snarare handlar om förhållandet mellan individen och staten / rättsväsendet.)

Problemet med DSA är att förordningen vill införa ett nytt censurinstrument – så kallade ”trusted flaggers” som enligt förslaget skall representera ”kollektiva intressen” och som skall få en egen gräddfil till respektive sociala medieplattforms abuse-avdelning.

Det skall förvisso vara offentligt vilka dessa ”trusted flaggers” är. Och om de missköter si skall de kunna mista sitt uppdrag. Men det ligger fortfarande något obehagligt över att införa statligt godkända nätgranskare. Speciellt om dessa skall företräda ”kollektiva intressen” – vilket förmodligen kommer att öppna dörren för olika särintressen och identitetspolitiska överväganden. Vilket kan bli en soppa.

Generellt sett bör gränserna för det fria ordet sättas av lagstiftaren och sedan upprätthållas av ett oväldigt rättsväsende. Att sätta icke-statliga aktörer som officiellt godkända censorer kommer garanterat att skapa helt nya konflikter.

Nu gäller det att se till att DSA behåller ”rättssäkerheten” för sociala medias användare – samtidigt som ”trusted flaggers” inte ytterligare bidrar till polariseringen av samhällsdebatten.

Relaterat:
• At a glance: Does the EU Digital Services Act protect freedom of expression? »
• Nätjättarnas makt är ett frihetligt dilemma »

EU hotar rätten till privat korrespondens online

EU är på väg att ge grönt ljus för granskning av dina meddelanden och även din e-post.

Vi har skrivit om detta tidigare – men vi tänker fortsätta tjata, eftersom debatten om detta är närmast obefintlig.

Motivet man anger den här gången är att man vill kontrollera så att du inte ägnar dig åt sexuella övergrepp på barn. Vilket tycks räcka för att tysta all kritik.

Få känner till förslaget, det finns i princip ingen debatt om det, media är ointresserade, Europaparlamentet har i stort sett sagt ja redan i förväg – och givet syftet är det möjligt att de flesta människor anser att ändamålet helgar medlen.

Men innan vi ställs inför fullbordat faktum tycker vi att det är en del saker du bör känna till.

Det handlar alltså om dina meddelanden och din e-post. (Möjligen undantaget e-post som är PGP-krypterad användare till användare, som i princip är omöjlig att komma åt.) Men vanliga meddelanden i olika appar och vanliga e-postmeddelanden skall kunna avkrypteras, granskas och analyseras. Det gäller även bilder och videofilmer som du sänder – samt video-mötestjänster som Skype, Zoom med flera.

Detta är en gigantisk uppgift. Därför kommer det att ske automatiskt.

Problemet är att algoritmerna inte är speciellt bra på detta. När Schweiz provade något liknande gick det nio falska flaggningar på en äkta.

Det innebär alltså att i nio fall av tio kommer misstanken om sexuella övergrepp mot barn att riktas mot någon oskyldig. Vilket innebär att den som är oskyldig har mest att frukta.

Flaggade meddelanden kommer sedan att överföras till en privat organisation i USA. Där skall de granskas igen och i förekommande fall översändas till polis eller andra myndigheter och organisationer.

Och när det gäller sexuella övergrepp mot barn kommer det att räcka med en misstanke – även om den är felaktig – för att du skall få problem.

Du kan vara oskyldigt misstänkt utan att ens veta om det förrän polisen knackar på dörren – eller innan du stoppas i något främmande lands passkontroll. Den som är oskyldig har, som sagt, mest att frukta.

Men det är inte det enda problemet.

I och med att dina meddelanden och din e-post kommer att kunna avkrypteras blir de även tillgängliga för allehanda myndigheter och underrättelseorgan. Kom ihåg amerikanska NSA:s devis: Collect it all.

Man kan även fundera på hur EU resonerar. Ena stunden vill man skydda användarnas data mot företag som Google, Facebook med flera. Och i nästa ögonblick vill man att våra meddelanden och vår e-post skall avkrypteras – vilket kommer att göra innehållet i dessa tillgängligt för just Google, Facebook och alla andra företag du använder för dina meddelanden och din e-post.

Vi vet dessutom att sådana här lagar alltid drabbas av ändamålsglidning.

När man väl använt sexuella övergrepp mot barn som murbräcka – då kommer man med största säkerhet att utvidga mandatet för att även kunna söka efter annat. Så är det i princip alltid. Finns verktygen, då kommer man ständigt att hitta nya användningsområden.

Europeiska datatillsynsmyndigheten (EDPS) anser att lagförslaget varken är nödvändigt eller proportionerligt. Det saknar laglig grund, tydliga regler och tillräckliga skyddsåtgärder.

EU-parlamentets utredningstjänst (EPRS) anser att en sådan här lag endast bör inriktas mot personer som är misstänkta för att ägna sig åt något brottsligt. Man pekar även på att förslaget strider mot dataskyddsförordningen, GDPR.

UNICEF menar att förbättrad integritet och dataskydd för barn är bättre än automatisk övervakning av deras kommunikation.

Men i Europaparlamentet har en stor majoritet sagt ja till att gå vidare med lagstiftningsarbetet. Trilogförhandlingar pågår. Samtliga svenska partier i parlamentet har röstat ja till att gå vidare, utom Vänsterpartiet som är avvaktande.

Sedan blir det snabbehandling. Den konsoliderade texten väntas släppas av EU-kommissionen i april och godkännas i Europaparlamentet under sessionen i maj månad.

Även om alla sympatiserar med syftet och även om det råder stor politisk enighet – så är detta ett hot mot rätten till privat kommunikation online.

Vilket är allvarligt. Rätten till privatliv och privat korrespondens är en grundläggande rättighet – fastlagen i bland annat Europakonventionen om de mänskliga rättigheterna. Men det tycks ingen bry sig om.

Hur som helst bör du vara medveten om att det i princip är slut med privat korrespondens online. I den mån sådan i praktiken alls existerat.

Länkar:
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• Fyra problem med förslaget om automatisk granskning av privat kommunikation »
• The End of the Privacy of Digital Correspondence »
• SD, MP, S, M, C, L och KD är för övervakning av chatt, email och videosamtal »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »

EU-domstolen: Även ”inbäddade” bilder på nätet kan kräva tillstånd

EU-domstolen har kommit fram till att »inbäddade« bilder – det vill säga bilder som inte ligger på den publicerande sitens server, utan är inlänkade – kräver den ursprungliga upphovsmannens tillstånd. Men tydligen bara om man kringgår skyddsåtgärder mot inbäddning som vidtagits av rättighetsinnehavaren.

Det aktuella förhandsavgörandet handlar om hur Deutsche Digitale Bibliothek (DDB) – som drivs av Stiftung Preußischer Kulturbesitz (SPK) och som själva har licens för de bilder de publicerar – skall hantera andra siter som använder bilder från DDB genom att länka / bädda in bilder och thumbnails på sina siter.

EU-domstolen skriver:

»Artikel 3.1 i Europaparlamentets och rådets direktiv 2001/29/EG av den 22 maj 2001 om harmonisering av vissa aspekter av upphovsrätt och närstående rättigheter i informationssamhället ska tolkas på så sätt att den omständigheten att upphovsrättsligt skyddade verk som med upphovsrättsinnehavarens tillstånd har gjorts tillgängliga och fritt åtkomliga för allmänheten på en annan webbplats integreras i en tredje parts internetsida, genom tekniken med inbäddning, utgör en överföring till allmänheten, i den mening som avses i denna bestämmelse, om integreringen sker genom att skyddsåtgärder mot inbäddning som har vidtagits eller ålagts av rättighetsinnehavaren kringgås.«

Ur motiveringen:

»När upphovsrättsinnehavaren har vidtagit eller ålagt sina licenstagare att använda sig av begränsningsåtgärder mot inbäddning för att begränsa tillgången till upphovsrättsinnehavarens verk från andra webbplatser än dess licenstagares webbplatser, utgör det första tillgängliggörandet på den ursprungliga webbplatsen och det andra tillgängliggörandet, genom tekniken med inbäddning, följaktligen olika överföringar till allmänheten, och därför krävs att de berörda rättighetsinnehavarna lämnar sitt tillstånd med avseende på var och en av dem (se, analogt, dom av den 29 november 2017, VCAST, C‑265/16, EU:C:2017:913, punkt 49).«

Det är intressant att notera att domstolen med sitt beslut går emot generaladvokatens förslag, vilket i och för sig inte är unikt men ovanligt.