EU-domstolen säger nej till datalagring – igen

Idag har EU-domstolen presenterat ännu en dom som säger nej till urskiljningslös datalagring utan misstanke om brott.

Redan 2014 upphävde EU-domstolen EU:s datalagringsdirektiv – med hänvisning till att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens. 2016 kom ytterligare en dom med samma innebörd, efter att Storbritannien och Sverige inte rättat sig efter den tidigare domen.

Dagens dom i EU-domstolen riktar sig mot Frankrike, Belgien och Storbritannien – men får konsekvenser för alla medlemsstater som inte rättat sig efter tidigare domar och fortsatt din lagring av data om alla medborgares tele- och datakommunikationer. Till exempel Sverige.

EU-domstolen säger i korthet följande:

  • EU-lag står över nationell lag, även vad gäller datalagring.
  • Datalagring får bara förekomma om det finns en konkret misstanke om brott eller ett konkret hot mot nationell säkerhet.
  • Datalagring skall vara ett undantag, inte ett normaltillstånd.
  • Beslut om datalagring skall fattas av domstol eller motsvarande myndighet.
  • Svepande, urskiljningslös datalagring utan konkret misstanke om brott är inte tillåten.

Vad innebär detta?

  • Den svenska datalagringen i sin senaste utformning skulle med största säkerhet inte klara en prövning i EU-domstolen.
  • Detta gäller även andra medlemsstater som inte följer tidigare domar i ärendet.
  • Domen komplicerar saken för EU-kommissionär Ylva Johansson, som meddelat att EU-kommissionen planerar att lägga fram ett nytt datalagringsdirektiv.

Kommentarer:

EDRi:

“Today’s judgement is a massive blow to existing laws in France, UK and Belgium and to other current data retention practices by Member States”, said Diego Naranjo, Head of Policy at European Digital Rights (EDRi). “With this judgement, the CJEU essentially rules that, States can only engage in general and indiscriminate data retention when they face a “serious threat to national security” that is present or foreseeable, when subject to a court or administrative body review. The CJEU has put a stop to current illegal practices and disregards practices that are not under a national court’s scrutiny in the name of national security or in the fight against “terrorism””, he added.

Privacy International:

”Today’s judgment reinforces the rule of law in the EU. In these turbulent times, it serves as a reminder that no government should be above the law. Democratic societies must place limits and controls on the surveillance powers of our police and intelligence agencies.

While the Police and intelligence agencies play a very important role in keeping us safe, they must do so in line with certain safeguards to prevent abuses of their very considerable power. They should focus on providing us with effective, targeted surveillance systems that protect both our security and our fundamental rights.”

Datalagring fungerar inte

En rapport från Europaparlamentets utredningstjänst  noterar följande:

• In Austria, as of 2015, there is no more blanket data retention law in effect. Since then, the crime clearance rate has massively increased (from 44% in 2015 to 52.5% in 2018), the number of reported crimes has decreased.
• In the Netherlands, there is no longer any indiscriminate data retention law in effect since 2016. Since then, the crime clearance rate has increased considerably (from 25.5% in 2016 to 28.5% in 2018).
• In Germany, the indiscriminate retention of communications data is no longer in force since 2011. Since then, the crime clearance rate has slightly increased (from 55% in 2011 to 58% in 2018), the number of of recorded crime has decreased (from 6 million in 2011 to 5.6 million in 2018).
Italy has had blanket data retention in effect for years. The crime clearance rate has remained pretty much the same.
• In Spain, indiscriminate data storage is in effect. The the number of offences is roughly stable, the crime clearance rate has dropped considerably. Also, in the area of cybercrime, the supposed benefits which would be visible in the crime rate significantly increased, however, the clearance rate has declined substantially.
• In Sweden – the country of origin of the European Security Commissioner – indiscriminate data retention is practiced. The crime clearance rate has decreased (from 17% in 2009 to 14% in 2018).

A similar US data retention program has also been found to have produced new leads in only two cases.

Lagring av data om alla medborgares alla tele- och datakommunikationer tycks alltså leda till sämre uppklarningsprocent.

Länkar:

• EU-domstolens pressmeddelande (PDF)»
• EDRi: The data retention regimes of France, United Kingdom and Belgium are illegal says CJEU »
• Privacy International: Ruling by EU’s highest court finds that UK, French and Belgian mass surveillance regimes must respect privacy, even in the context of national security »
• MEP Patrick Breyer, Pp DE »
• Europaparlamentets studie om datalagringens effektivitet »
• Joint NGO letter: No data retention in the EU!  (PDF)»

Aktuell lista – så hotar EU vårt fria och öppna internet

Femte juli

Här är en sammanställning över aktuella EU-projekt och initiativ som hotar vårt fria och öppna internet.

Beslut som redan har fattats:

  • EU:s upphovsrättsdirektiv gör plattformarna ansvariga om användarna lägger upp upphovsrättsskyddat innehåll. Detta kommer att leda till uppladdningsfilter och granskning av allt som alla laddar upp.
  • EU:s upphovsrättsdirektiv etablerade även den märkliga »länkskatten« – det vill säga att nätplattformar kan tvingas betala om de länkar till etablerad media. (I Frankrike vill man även tvinga t.ex. Google att länka.)

Upphovsrättsdirektivet skall vara implementerat i medlemsstaternas lagstiftning senast sommaren 2021.

Beslut i pipelinen för denna mandatperiod:

  • Det har aviserats att EU:s nya Digital Services Act kommer att ge oss enhetliga regler för vad som får publiceras på nätet i EU.
  • EU-kommissionär Ylva Johansson har meddelat att man kommer att göra ett nytt försök att införa allmän datalagring – trots att EU-domstolen upphävde det förra direktivet på principiella grunder.
  • EU-kommissionen och Europol arbetar med att knäcka kryptering och/eller etablera bakdörrar.
  • EU-kommissionen vill att sociala nätverk och meddelandeplattformar skall avkryptera, läsa och analysera sina användares meddelanden – och i förekommande fall anmäla olämpligt innehåll till myndigheterna.
  • Om ministerrådet får som det vill kommer förordningen om terror-relaterat innehåll att leda till censur av åsikter – plus övervakning och filtrering av allt som alla användare laddar upp (uppladdningsfilter).
  • EU-kommissionens ordförande Ursula von der Leyen vill se en digital identitet för alla EU-medborgare – som kommer att krävas för det mesta du gör på internet och i den digitala världen.
  • Europol kommer att ges automatiserad tillgång till data från privata företag.

Övrigt:

  • I en studie som Europaparlamentet beställt inför the Digital Services Act föreslår författarna en digital järnridå – det vill säga att internet i EU omges med en brandvägg, som i Kina.
  • Det tyska EU-ordförandeskapet vill se en gemensam databas för automatiserad ansiktsigenkänning och annan biometrisk data.
  • Förslag om en »internet-skatt« återkommer ständigt i nya former.

Detta är bara några av alla förslag som lagts fram eller diskuterats de senaste månaderna.

Delseger för OVPN i The Pirate Bay-mål

TorrentFreak:

»After two movie companies demanded that VPN provider OVPN preserve data relating to an IP address used by The Pirate Bay, the parties have been arguing the case in court. In an early victory for OVPN, the court has now ruled that the financial penalties demanded by the movie outfits are inappropriate because the VPN asserts it has no useful information to hand over.«

• TorrentFreak: The Pirate Bay – OVPN Wins First Stage of Information Injunction Battle »

• Bakgrund: Den ständiga jakten på The Pirate Bay – filmbolag ger sig på VPN-tjänst »

Den ständiga jakten på The Pirate Bay – filmbolag ger sig på VPN-tjänst

Trots årtionden av rättsprocesser lever The Pirate Bay vidare som vanligt.

Samtidigt fortsätter nöjesindustrin sina försök att få stopp på verksamheten. Nu senast är det filmbolagen SF och Nordisk Film som är på krigsstigen.

Spåren ledde till Coludflare, vidare till ISP:n OBEnetwork och slutligen till VPN-operatören OVPN. Nu har filmbolagen begärt ett informationsföreläggande mot OVPN hos Patent- och Marknadsdomstolen. Men OVPN konstaterar att de inte kan lämna den begärda informationen – då de varken lagrar trafikuppgifter, tidsstämplar, DNS-upplag, IP-adresser, MAC-adresser eller information om ackumulerad bandbredd.

Det skall bli intressant att se hur detta kommer att utvecklas. För oavsett om det beslutas om vite, så finns det inga loggar att lämna ut. VPN-tjänster omfattas inte av kravet på datalagring.

OVPN:s advokat, Michael Lettius på Glimstedts Advokatbyrå konstaterar i sin inlaga:

Tillhandahållandet av VPN-tjänster utgör inte en sådan anmälningspliktig verksamhet som avses i 2 kap. 1 § lagen (2003:389) om elektronisk kommunikation (”LEK”) och därmed omfattas inte heller tillhandahållande av sådana tjänster av lagringsskyldigheten i 6 kap. 16 a § LEK. Av förarbetena till den gällande lydelsen av lagrummet framgår att bl.a. VPN-tjänster inte omfattas då ”det konstateras att förslaget inte innebär att sådana uppgifter ska lagras eftersom sådana tjänster aktiveras först efter internetåtkomsten”.

Ändringen avseende lagringsskyldigheten (och flera andra lagändringar) var påkallade av EU-domstolens dom i det s.k. Tele2-målet 2016. EU-domstolen fastslog i detta och ett annat mål bl.a. att undantag från skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt och att, vad gäller lagring, de lagrade uppgifterna sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats.

Sammantaget medför det anförda att OVPN – som alltså inte tillhandahåller någon elektronisk kommunikationstjänst – inte omfattas av lagringsskyldigheten enligt LEK och därmed inte heller av rekvisiten i det åberopade lagrummet i lagen (1960:729) om upphovsrätt litterära och konstnärliga verk (…)

En lärdom, om man gräver ner sig i länkarna, är dock att det under vissa omständigheter kan gå att se vem som använder en viss IP-adress just nu. Detta är dock inget som behöver bekymra vanliga VPN-användare, som ju hoppar till nya IP-adresser varje gång de kopplar upp sig. Men vill man verkligen känna sig säker – till exempel om man vill sända ett synnerligen konfidentiellt meddelande – då kan det kanske vara lämpligt att koppla upp och ner sig mot sin VPN för just detta tillfälle. Men det får betraktas som överkurs.

OVPN kommenterar fallet:

»Vi bestrider helt och hållet Rättighetsalliansens påstående att OVPN har ”illojala syften” och att vår affärsidé är att hjälpa kriminella undgå rättsvårdande myndigheter. Tvärtom används OVPN av flera olika kundgrupper, som exempelvis journalister, advokater, politiker, myndigheter och konsumenter. För att vara helt tydlig: Vi stödjer inte på något sätt eller förespråkar användning av OVPN för att begå brott. Det är väldigt tydligt i våra Allmänna Villkor.

OVPN:s huvudfokus är att skydda människor från hackare och massövervakning. Vi går mot tider där regeringar, lagligt eller olagligt, avlyssnar sina och andras medborgare på en orimligt stor skala. Vi anser helhjärtat att människor bör uppleva samma integritet oavsett om man talar med en person på internet eller ansikte-mot-ansikte.

Vi står fast vid vår övertygelse om ett övervakningsfritt samhälle.«

Fortsättning lär följa.

Länkar:
• OVPN bestrider informationsföreläggande »
• Rättighetsalliansens ansökan om informationsföreläggande (PDF) »
• Inlaga från OVPN:s advokat (PDF) »
• TorrentFreak: The Pirate Bay’s IP Address Belongs to a VPN Provider, ISP Tells Court »

Fyll gärna på i kommentarsfältet om du hittar något intressant i dokumenten eller om du har nyheter i ärendet.

Felaktig data från dansk datalagring kan ha spridits i hela EU

Som vi tidigare rapporterat har Danmark haft problem med sin datalagring. Under åtta års tid han felaktig data ha använts i upp till 10.000 polisutredningar.

Nu utreder både den danska motsvarigheten till Datainspektioner och EU:s European Data Protection Board vad som skett. Tusentals rättsfall har åter öppnats för att se om felaktig data lett till felaktiga domar eller beslut.

Till att börja med pekar detta på risker, brister och osäkerhet i de uppgifter om hämtas ut från lagringen av data om medborgarnas tele- och nätkommunikationer. Men även EU:s princip om informationsdelning kan förvärra problemen. Den piratpartistiske ledamoten av Europaparlamentet Patrick Breyer förklarar:

»This issue is also highly problematic considering that Denmark exchanges communications data with other Member States. While the Commission said Denmark was obliged under the data protection directive to notify recipients of false communications data, the Danish police representative said they were only answering questions from receiving authority. The data protection authority would need to make sure all receiving authorities are notified of errors and, in the meantime, notified that the data MAY be erroneous.«

Enkelt uttryckt: EU:s informationsdelning mellan medlemsstaterna och i olika gemensamma databaser riskerar att sprida uppgifter som bygger på felaktig data i så vida kretsar att det kan bli svårt att rätta till.

Detta väcker även frågor om hur den svenska datalagringen granskas och kvalitetssäkras.

Länkar:
• MEP Patrick Breyer (PP, DE) om bristerna i den danska datalagringen »
• Ur arkiven – Danmark: Datalagringen igång igen efter att allvarliga brister avslöjats »

EU förbereder nytt direktiv om datalagring

I corona-krisens skugga förbereder EU ett nytt direktiv om datalagring. Som bekant ogiltigförklarade EU-domstolen det förra direktivet, eftersom det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv.

EU-kommissionären för säkerhet och »inrikes frågor« Ylva Johansson har beställt en studie av hur ett nytt direktiv kan rullas ut. Riktlinjerna tycks ha en kraftig slagsida till förmån för att datalagring skall införas. (EDIT: Studien kan ha beställts innan Johansson tillträdde, då förmodligen på tjänstemannanivå. Vilket dock inte ändrar något i sak.)

Digital Courage kommenterar saken bland annat så här:

»In November 2019, the EU Commission ordered a study on mass data retention of telephone and internet data. The Belgian consulting firm Milieu was awarded the contract and is to complete the study by mid-2020. Milieu is to prepare a “retrospective fact finding support study”, which is to provide the Commission with facts supporting the reflection process that has been ongoing since 2017. We have criticised this reflection process on several occasions, because it merely explores options for blanket mass surveillance without examining alternatives that may be more favourable to the people’s fundamental rights.«

Den piratpartistiske, tyske ledamoten av Europaparlamentet Patrick Breyer skriver i ett uttalande:

»Instead of an independent scientific study, a commercial consultant firm has been contractually obliged to accept all changes to the final report the EU Commission demands. Instead of a transparent procedure, only government representatives in Council are being informed about the process. Instead of involving all affected groups in the study, data protection authorities, professional associations and civil society will not even be asked. Instead of an open-ended approach, EU Security Commissioner Johannsson has already spoken out in favour of new ‘legislation for data retention’ late last year in the Civil Liberties Committee.«

Det verkar med andra ord som om EU-kommissionen (och förmodligen även ministerrådet) redan på förhand bestämt sig för att ignorera eller runda EU-domstolens kritik mot datalagringen.

• Digital Courage: Blanket data retention: biased study by the EU Commission »
• MEP Patrick Breyer (Pp) »
• Utredningens hårt censurerade beställning / direktiv (PDF) »

Kommer smitto-krisen att leda oss in i en Storebrors-stat?

Den pågående smitto-krisen kan leda in i en Storebrors-stat.

Ett exempel är hur appar snabbt och enkelt kan sättas upp för att hålla koll på människors risk-status och var de befinner sig. I Kina är detta redan verklighet. I Aftonbladet beskriver Mattias Beijmo några av riskerna:

För de som tycker att stater mer fritt ska få tillgång till våra digitala fotspår är coronaviruset en gudagåva. På samma sätt som kriget mot terrorismen varit ständig förklaringsmodell för allsköns kränkningar av vår integritet, kommer nu viruset vara det som öppnar portarna för att innovativt använda appar som redan finns i vår mobil för att skydda samhället.

Så kan det säkert vara. Dagens Nyheter tycks redan driva den linjen på ledarplats. Det är bara en tidsfråga tills myndigheter och politiska partier hakar på.

När systemet sedan är infört, då är risken uppenbar att det blir kvar. För att det kan vara bra att ha. För att polisen tycker det är praktiskt. För att det underlättar planering av kollektivtrafiken. Och så vidare.

Våra mobiler är redan idag spårsändare som låter myndigheterna kartlägga var vi befunnit oss, så infrastrukturen finns redan på plats. Företag som Google och Facebook säljer redan data om användarnas beteende. Och det finns redan appar som övervakar vår hälsa.

Något större principiellt paradigmskifte är det inte heller. Med FRA-lagen är det redan klart att staten kan skanna av en stor del av våra elektroniska kommunikationer. Och med datalagringen har en princip etablerats som ger myndigheterna klartecken till att betrakta hela befolkningen som potentiella skurkar och terrorister.

Om smitto-krisen tvingar på oss en ny typ av övervakning, då står sista försvarslinjen vid hur lagstiftningen reglerar hur den får användas. Vilket inte är något absolut skydd mot missbruk av systemet. Men det enda som i så fall står mellan oss och ett dystopiskt Storebrors-samhälle.

Nu gäller det att vara uppmärksam och vaksam.

/ HAX

Det kommersiella alternativet till datalagring och hemlig dataavläsning – utanför lagen?

Protocol.com rapporterar:

»U.S. law enforcement agencies signed millions of dollars worth of contracts with a Virginia company after it rolled out a powerful tool that uses data from popular mobile apps to track the movement of people’s cell phones, according to federal contracting records and six people familiar with the software.

The product, called Locate X and sold by Babel Street, allows investigators to draw a digital fence around an address or area, pinpoint mobile devices that were within that area, and see where else those devices have traveled, going back months, the sources told Protocol.«

Detta är intressant. Det finns med andra ord kommersiella tjänster som gör samma saker som datalagringen och i viss mån hemlig dataavläsning.

Den centrala frågan är om detta kan ske utanför vad som regleras i lag. Vilket i så fall är problematiskt.

En annan aspekt är att detta är en tjänst (utvecklad för anpassad annonsering) som kan köpas av i princip vem som helst.

Länk: Through apps, not warrants, ‘Locate X’ allows federal law enforcement to track phones »

Datalagring även för meddelandeappar och sociala media?

Säkerhetspolisen och regeringskansliet har idag haft en smått förvirrad kommunikation om datalagring, genom media.

Först ut var Säpo-chefen Klas Friberg, i DN:

»Ett nytt EU-direktiv ger medlems­staterna möjlighet att låta brottsbekämpande myndigheter få tillgång till information från meddelandetjänster i appar och sociala medier. Men ett förslag som bereds i Regeringskansliet innebär att Sverige nu avstår från den möjligheten. Konsekvensen blir att svenska brottsbekämpande myndigheter kommer att sakna viktiga och moderna verktyg för att hantera terroristbrott, spioneri och annan allvarlig brottslighet. Regeringen måste nu skyndsamt utreda frågan.«

Sedan var det dags för digitaliseringsminister Anders Ygeman i SR:

»– Jag delar i grunden säkerhetspolisens bedömning att kommunikationstjänster som liknar sms och andra, ska omfattas av dagens reglering, säger han.« (…)

»– Jag tror att det finns ett missförstånd, mellan regeringskansliet och säkerhetspolisen i vilken lagstiftning du kan reglera den här möjligheten, där Säkerhetspolisen menar att det här bör gå att reglera inom ramen för EU-kodexen, och där regeringskansliets uppfattning är att det här inte räcker, utan att du också måste ändra inhämtningslagen, och då får vi sätta oss ner mellan regeringskansliets och säkerhetspolisens jurister, för att se hur vi bäst kan lösa det.«

Enkelt uttryckt: Både Säpo och regeringen är överens om att datalagringen även bör omfatta meddelandeappar och sociala media.

Hur det skall gå till är dock oklart. Plattformar som Facebook lagrar förvisso radan allt användarna gör. Men hur det skall gå till att få alla olika meddelandeappar med i datalagringen framgår inte.

Sedan är frågan om det alls behövs. Vi har redan den vanliga datalagringen – som lagrar data om alla svenskars alla telekommunikationer, e-postmeddelanden, nätuppkopplingar, mobilpositioner med mera. Snart får vi även hemlig dataavläsning. Vilket innebär att myndigheterna kan bereda sig tillgång till misstänkta personers (m.fl.) smartphones, plattor, datorer m.m. – där de dels kan undersöka allt innehåll (filer, bilder, videos, ljud, kontakter, meddelanden etc.); dels använda kamera och mikrofon för övervakning; dels se allt som görs på enheten i realtid; dels  dels läsa meddelanden som sänds via appar innan de krypterats eller efter att de avkrypterats.

Myndigheterna har alltså redan mycket omfattande tillgång till både icke-misstänktas och misstänktas kommunikationer. Nu vill man utvidga detta till att gälla alla svenskars alla meddelanden via appar. Man tänker uppenbarligen inte ge sig förrän man har kontroll över alla folkets kommunikationer.

Vilket är ett uttryck för att våra politiker betraktar hela svenska folket som potentiella skurkar och terrorister – som ständigt måste övervakas och kontrolleras. Vilket står i kontrast till Europakonventionen om skydd för de de mänskliga rättigheterna – som slår fast att den som inte är misstänkt för brott har rätt till privatliv och privat korrespondens. Och i kontrast mot EU-domstolens principbeslut om att staten inte får bedriva urskiljningslös övervakning av hela folkets telekommunikationer utan misstanke om brott.

Länkar:
• DN Debatt: ”Regeringsnej till EU-direktiv gör Säpos arbete svårare” »
• SR: Säpochefen kritiserar regeringsförslag »
• SR: Ygeman – det råder ett missförstånd »

Uppdatering: Efter att ha ägnat en stor del av dagen till att rota i EU-dokument och att försöka förstå Säpo-chefens utspel – så får jag nog hålla med digitaliseringsminister Ygeman om att Säpo tycks ha missuppfattat saken. Eller så är det ett märkligt PR-utspel med oklart syfte. Men någon egentlig substans bakom Klas Fribergs uttalanden är svåra att finna.