Vi tittar närmare på hur EU förhåller sig till de mänskliga rättigheterna online. Denna gång handlar det om rätten till privatliv och privat kommunikation.
Datalagring
EU-domstolen har flera gånger sagt nej till urskiljningslös lagring av data om allas alla tele- och datakommunikationer utan misstanke om brott. Ändå har såväl Sverige som flera andra EU-länder datalagring som strider mot domstolens beslut. I Sverige utreds nu frågan nu en gång till och i EU funderar man på hur man bäst skall kunna kringgå domstolens beslut.
EU upphäver rätten till privat korrespondens
Datalagring och Chat Control (meddelandekontroll) är exempel på hur EU inskränker vår rätt till privatliv och privat korrespondens.
Rätten till privatliv och privat korrespondens är en konventionsskyddad mänsklig rättighet.
Mänskliga rättigheter är individens yttersta försvar mot övergrepp från staten. Och rätten till privatliv är till för att staten inte skall veta allt om alla. Den vars privatliv blottas för överheten blir sårbar och utlämnad till politikers och byråkraters godtycke. Människor skall helt enkelt ha rätt till en privat sfär.
Rätten till privatliv skall gälla även online. FN:s så kallade 5 juli-deklaration (A/HRC/RES/20/8) slår fast att mänskliga rättigheter skall gälla även online. Men hur står det till i verkligheten?
Precis som när det gäller yttrandefriheten online kommer mycket av lagstiftningen från EU.
Datalagringen har varit en följetong i EU-politiken. Den går ut på att lagra data om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner med mera.
2014 upphävde EU-domstolen EU:s datalagringsdirektiv. För att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv.
Generell, svepande övervakning får inte ske utan misstanke om brott.
Sedan dess har domstolen gång på gång givit medlemsstaterna bakläxa för att de ändå fortsätter med datalagringen. Kreativiteten för att kringgå domstolens beslut har varit stor. EU-kommissionen och EU:s ministerråd funderar just nu på ett nytt datalagringsdirektiv.
Även Sverige har tvingats ändra sin lag om datalagring. Dock är det troligt att även den nya svenska, reviderade lagen om datalagring strider mot EU-domstolens principiella beslut.
Ett annat, högaktuellt hot mot rätten till privat kommunikation är det som populärt kallas Chat Control. EU-kommissionen föreslår att alla medborgares all e-post, alla elektroniska meddelanden och andra elektroniska kommunikationer skall avkrypteras, öppnas – och att dess innehåll skall granskas.
Detta är med andra ord tillfället då man inte bara bereder sig tillgång till metadata om våra kommunikationer – utan även själva innehållet.
Syftet sågs vara att kontrollera att du inte sprider barnporr. Vilket är ett syfte man tar till då EU egentligen inte har rätt att fatta beslut som rör nationell säkerhet. Och vem vill eller vågar väl argumentera mot ett förslag som går ut på att bekämpa sexuella övergrepp mot barn?
När detta system sedan finns på plats, då kan syftet lätt utökas. Det vore inte första gången. Övervakningslagar brukar drabbas av ändamålsglidning. Frågan diskuteras redan i ministerrådet.
Chat Control är med alla rimliga måttstockar en kränkning av rätten till privatliv och privat korrespondens. En kränkning av en av våra grundläggande mänskliga rättigheter.
I EU:s ministerråd gör Tyskland halvhjärtat motstånd mot Chat Control. Och i Europaparlamentet finns ett visst motstånd.
Men för att Chat Control skall kunna stoppas – då krävs att frågan kommer upp på dagordningen i samhällsdebatten, att media intresserar sig och att folk börjar protestera.
Förlorar vi rätten till privat korrespondens online nu, då lär den vara borta för alltid.
Vi måste protestera när de mänskliga rättigheterna inskränks. Innan det är för sent.
Länkar Chat Control:
• Chat Control – The End of the Privacy of Digital Correspondence »
• EU avskaffar rätten till privat korrespondens »
• EU-förslag: 18-årsgräns för alla meddelandeappar »
• The EU’s Proposal on CSAM Is a Dangerous Misfire »
Datalagring: EU-kommissionen blundar för sina egna synder
När EU-kommissionen går igenom tillståndet för rättsstaten i unionen väljer den att bortse från sina egna övertramp. Till exempel vad gäller datalagring.
EU-kommissionen har publicerat sin årliga Rule of Law Report. I den tar man upp tillståndet för rättsstaten i EU och dess medlemsstater.
Det är även intressant att se vad den inte tar upp. Som datalagring.
Som bekant upphävde EU-domstolen redan 2014 direktivet om datalagring. Domstolen säger alltså nej till urskillningslös lagring av data om allas alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner med mera utan misstanke om brott.
Domstolen har sedan dess upprepat sin dom, gång på gång, när medlemsstater struntat i den. Danmark och Belgien är exempel på länder som på olika vägar försöker kringgå domen.
Även Sverige har en reviderad lag om datalagring, som också bryter mot den grundprincip som EU-domstolen slagit fast: Ingen urskiljningslös datalagring utan misstanke om brott.
Enda skälet till att Sverige inte fått förnyad kritik av domstolen är att vårt fall inte har prövats. Ännu.
Men det är inte bara medlemsstaterna som konstrar. EU-kommissionen själv har struntat i Europaparlamentets begäran om att se till att medlemsstaterna följer EU-domstolens utslag.
Istället har kommissionen samarbetat med ministerrådet för att hitta sätt att fortsätta datalagra ändå.
Detta nämns över huvud taget inte i kommissionens Rule of Law Report – trots att det handlar om att man struntar i EU-domstolens utslag.
Man ignorerar även konventionen och stadgan om de mänskliga rättigheterna, som slår fast medborgarnas rätt till privatliv och privat kommunikation. Detta är dokument som utgör delar av EU:s fördrag – vars väktare, i teorin, skall vara EU-kommissionen…
Länkar:
• EU Rule of Law Report: Data Retention is a blind spot »
• EU-kommissionen: 2022 Rule of law report »
Relaterade tidigare poster:
• EU-domstolen upprepar: Det är förbjudet att använda allmän datalagring »
• Den ständiga striden om datalagring »
Den ständiga striden om datalagring
Under ett par årtionden har datalagring varit en het stridsfråga i EU. Ständigt presenterar medlemsstaterna ny lagstiftning på området – som gång på gång slås ner av EU-domstolen och/eller av nationella författningsdomstolar.
2014 upphävde EU-domstolen EU:s datalagringsdirektiv. Den menat att urskiljningslös lagring av data om alla medborgares alla telekommunikationer strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privat korrespondens.
Det hindrar dock inte medlemsstaterna från att vilja datalagra ändå. Till exempel försöker Belgien komma runt EU-domstolens beslut genom att lagstifta om datalagring som inriktas på vissa platser och individer. Men i praktiken innebär även detta förslag att alla människor som rör sig ute i samhället kommer att drabbas.
När Frankrike försökte gå fram med ny lagstiftning sa landets konstitutionella råd nej – med hänvisning till den franska Deklarationen om om mänskliga och medborgerliga rättigheter från 1789.
Danmark, Irland, Portugal och Tjeckien är andra exempel på länder som obstruerar mot EU-domstolens beslut.
Även Sverige har stiftat en lag om datalagring som försöker kringgå EU-domstolens beslut, men som av allt att döma ändå strider mot det.
Undantaget är Tyskland, där landets nya koalitionsregering säger att man tänker sluta med datalagring.
Nyligen hölls ett panelsamtal om frågan med experter och aktivister från olika EU-länder. Bland annat påpekades att EU-kommissionen måste sluta stå på ministerrådets sida i frågan. Istället måste kommissionen leva upp till sin roll som fördragens väktare (i vilka de mänskliga rättigheterna ingår) och stå upp för EU-domstolens beslut.
Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:
»The bulk collection of information on non-suspects everyday communications and movements constitutes an unprecedented attack on our right to privacy and is the most invasive method of mass surveillance directed against the state’s own citizens. (…) The anecdotal results are nowhere close to the damage this surveillance weapon inflicts on our societies, as a recent survey found. The persistent violation of fundamental rights, circumvention of case-law, pressuring of judges and ignorance of facts is an attack on the rule of law we need to stop!«
Läckta EU-dokument: Ministerrådet vill ha allmän meddelandekontroll och lagstifta om kryptering
Att EU verkligen har ambitionen att granska innehållet i alla människors alla elektroniska kommunikationer framgår av ministerrådets egna dokument.
Nyligen skrev jag om riskerna med EU:s nya Chat Control / meddelandekontoll. Det vill säga av-kryptering och inspektion av innehållet i alla dina elektroniska kommunikationer. Vars syfte är att kontrollera att du inte ägnar dig åt sexuella övergrepp på barn.
Jag påpekade även risken för ändamålsglidning. Nu visar det sig att EU:s ministerråd redan planerat för sådan.
I ett läckt dokument från 11 april visar det sig att medlemsstaternas justitie- och inrikesministrar (Morgan Johansson för Sverige) enkelt uttryckt vill utöka idén om Chat Control till att även gälla terrorism. Och det finns även dokument som pekar på att Chat Control är tänkt att omfatta kamp mot all slags brottslighet:
»… lawful and targeted access to encrypted information in the context of criminal investigations and prosecutions…«
Tänk på barnen, var alltså bara en förevändning. En murbräcka.
Ministrarna vill också ha en EU-förordning om »tillgång till digital information inklusive krypterad data«.
Man tänker alltså lagstifta om att ge myndigheterna tillgång till krypterad information. Vilket med nödvändighet leder till att sådan kryptering korrumperas och blir osäker. Antingen har man säker kryptering eller så har man det inte. Man kan inte bli bara lite gravid.
Dessutom vill ministrarna att AI skall användas för att processa massdata i kampen mot allvarlig brottslighet, våldsam extremism och terrorism. Fler syften lär tillkomma, som vanligt.
Här kan det vara på sin plats att påpeka att Europakonventionen om de mänskliga rättigheterna slår fast att rätten till privatliv och privat korrespondens är en grundläggande mänsklig rättighet.
Vilket är den princip som EU-domstolen lutade sig mot när den upphävde EU:s datalagringsdirektiv 2014.
Då handlade det om att samla in data om alla människors alla elektroniska kommunikationer, utan misstanke om brott. Nu vill man alltså göra ett liknande försök, men inriktat på innehållet i våra kommunikationer. Vilket känns en smula skamlöst.
Detta och mycket annat kommer att diskuteras på ministerrådsmötet i Luxemburg den 9 juni.
• Data retention and decryption: Justice and Home Affairs Council wants more surveillance »
• EU counter-terror shopping list: sanctions against “radical rhetoric”, intelligence agencies in asylum proceedings »
Steg för steg mot en europeisk övervakningsstat
EU är på väg att skapa en övervakningsstat i klass med den amerikanska. Genom många små steg har vi nått en punkt där denna övervakning blir ett demokratiskt problem.
Vår bild av övervakningsstaten är den som återfinns i populärkulturen och möjligen hos amerikanska NSA. Ständig övervakning överallt där allt samkörs i realtid med allehanda register. Collect it all. Allt är sedan tillgängligt med en knapptryckning.
Existensen av ett globalt övervakningsnätverk – som till en början kallades Echelon – förnekades och avfärdades som konspirationsteorier. Sedan kom Snowdens avslöjanden och visade att precis så är det. Och mer därtill.
Här i Europa har det inte gått riktigt lika fort. Vi överför förvisso stora mängder insamlad data till amerikanska NSA. I flera länder har detta krävt speciallagstiftning.
Många EU-länder har krav på lagring av data om allas alla samtal och elektroniska kommunikationer – trots att EU-domstolen upphävt EU:s datalagringsdirektiv. Det stred mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.
Dessutom har EU-staterna en massa egna påfund. Säkerhet är ju trots allt en nationell kompetens. I Sverige har vi till exempel FRA-lagen, långt nere på det sluttande planet. Plus allehanda former av övervakning som polisen samlat på sig under åren.
Till exempel hemlig dataavläsning, vilket innebär att myndigheterna får rätt att installera statliga trojaner på människors datorer, telefoner, plattor med mera. Lite som den skandalomsusade spionmjukvaran Pegasus – som använts för att spionera på den politiska oppositionen i både Polen och Spanien. Journalister är en annan drabbad grupp.
Ibland gör myndigheterna trevare. Som när Säpo bad internetoperatören Bahnhof att få koppla in sig direkt till delar av företagets tekniska infrastruktur. Det skulle liksom vara enklare så än om polisen behöver fråga varje gång… Vilket var ett samtal som Bahnhofs stridbare VD Jon Karlung hade sinnesnärvaro nog att spela in och offentliggöra.
Vilket leder oss till Europols nyligen utökade mandat. I detta ingår nämligen rätten att koppla upp sig direkt mot privata aktörer och deras data. Varesig de senare vill eller ej. Det nya mandatet ger även Europol rätt att samla information om människor som inte är misstänkta för brott. (Vilket man visserligen även gjort tidigare, men då utan lagligt stöd.)
Och nu – Chat Control. Som innebär att alla våra meddelanden, chattar, all e-post, IP-samtal och andra elektroniska kommunikationer skall av-krypteras, öppnas och granskas. Av maskiner. Detta i namn av att bekämpa sexuella övergrepp mot barn. Vilket är ett syfte som enkelt kan utökas – på samma sätt som alla övervakningslagar drabbas av ändamålsglidning.
Många olika EU-finansierade projekt har de senaste tio åren utvecklat allt från biometrisk identifiering; automatiserad realtidsanalys av inkommande övervakningsbilder; automatiserad ansiktsigenkänning i realtid; AI-stödd beteendeanalys; samkörning av övervakningsverktyg och register – till lyktstolpar med högtalare och mikrofon för kameraövervakade områden. Idag börjar allt detta bli tillgängligt för myndigheterna.
Nu kopplas systemen samman. Utöver Europols register skall även polisen i olika EU-länder få direkt access till varandras databaser. Vad kan möjligen gå fel?
Utöver att vi hela tiden har samarbetat med amerikanska NSA – så börjar även EU och dess medlemsstater nu nå en så omfattande grad av övervakning att det är problematiskt ur ett demokratiskt perspektiv.
Ny belgisk datalagring kan förbjuda meddelandeappar som Signal
Med ny lagstiftning om datalagring ställer Belgien krav på meddelandetjänster att spara information som de i vissa fall inte har. Vilket kan innebära ett stopp för appar som Signal.
Belgien gör ett nytt försök att gå runt EU-domstolens nej till generell datalagring. (Lagring av data om allas alla telefonsamtal, SMS, meddelanden, uppkopplingar, positionsdata m.m.)
Som vi tidigare rapporterat kan den nya ”riktade” belgiska datalagringen ändå leda till att data om allas alla telekommunikationer kan komma att lagras, eller sådan data för alla som vistas på speciella platser eller i vissa områden.
Nu har ytterligare information tillkommit. Bits of Freedom skriver:
»The new Belgian proposal goes beyond the previous data retention obligation. Under the ”old” legislation, a provider was only obliged to retain data they collected anyway. Data that the provider did not have could not be retained. You can’t keep what you don’t have. (…) The new Belgian proposal, however, doesn’t leave it at that. The new proposed legislation forces providers to record that data on behalf of the government, even if the provider doesn’t see a need for it itself. The proposal therefore is not only an obligation to retain data, but also to record it.«
Vilket slår mot meddelandeappar som Signal:
»It means that chat services such as Signal will become illegal. The developers of Signal pride themselves on the fact that they really only store the data they genuinely need, and no more than that. They do so, because you can’t leak what you don’t have. Signal only knows when an account was created, and when a user last connected to the network. It does not keep track of who sends a message to whom and when. But the Belgians now want to force Signal not only to keep track of that, but also to store that information for a very long time. And since that is exactly what Signal does not want to do, it means Signal is doomed.«
Den föreslagna nya belgiska datalagringen är intressant , då den kan ses som en testballong för de EU-stater som vill kringgå EU-domstolens förbud mot svepande datalagring. Att gå denna väg, land för land, har redan diskuterats som alternativ till ett nytt EU-direktiv.
Vilket innebär att även Sverige kan få liknande lagstiftning i framtiden.
I ett närbesläktat svenskt fall hotar Post- och Telestyrelsen internetoperatören Bahnhof med vite om de inte lämnar ut information om portnummer, trots att sådan inte finns lagrad.
Den ständigt växande övervakningsstaten
Hur mycket övervakning kan vi införa innan den blir ett demokratiskt problem? Bryr sig någon?
Förra veckan gav Europaparlamentet polismyndigheten Europol rätt att registrera människor som inte är misstänkta för brott. Europol fick även direkt tillgång till data hos privata aktörer som Facebook, Google och Microsoft.
För två veckor sedan beslutade riksdagen om »modernare regler för användningen av tvångsmedel«. Polisen får rätt att genomsöka externa servrar och molntjänster. Enskilda kan tvingas att låsa upp sin mobiltelefon om polisen vill titta i den. Med mera.
ChatControl2 innebär att alla elektroniska meddelanden och all e-post skall avkrypteras och att dess innehåll skall granskas. Den senaste informationen är att detta förslag kommer att läggas fram denna vecka, efter upprepade förseningar.
ChatControl2 / meddelandekontroll bryter – enligt intern kritik i EU-kommissionen – mot förbudet mot generell övervakning, förslaget är tekniskt oklart och det respekterar inte individens rätt till privatliv. Ändå ser det ut att nu läggas fram.
Samtidigt pågår utfrågningar i Europaparlamentet på grund av att medlemsstater som Polen och Spanien använt övervakningsverktygt Pegasus för att spionera på oppositionella. Till och med ledamöter av parlamentet har avlyssnats och deras mobiler genomsökts.
Trots EU-domstolens upprepade protester tänker EU-kommissionen även lägga fram ett nytt förslag till datalagring. Det vill säga lagring av data om alla medborgares alla telefonsamtal, meddelanden, uppkopplingar och mobilpositioner.
Ett antal EU-länder – däribland Sverige – struntar för övrigt i att EU-domstolen redan för åtta år sedan sa nej till datalagring. Den svenska lagen på området lär vara olaglig, om den skulle prövas rättsligt. Regeringens envishet är på gränsen till domstolstrots.
Detta är bara några exempel på vad som är aktuellt, nyligen klubbats eller är på gång.
Lägg till detta all övervakning som redan beslutats inom ramen för till exempel hemlig dataavläsning, FRA-spaning åt allehanda myndigheter och årtionden av samlad, ständigt expanderande lagstiftning på området.
Övervakning läggs till övervakning. Förr eller senare blir den ett demokratiskt problem. Men ingen tycks bry sig.
Frågan är om någon ens har en total överblick över alla former av övervakning som införts på nationell respektive EU-nivå.
EU:s Digital Services Act klar för beslut
Ingen rätt till anonymitet online, ingen rätt till kryptering, inget förbud mot datalagring eller uppladdningsfilter. Myndigheter i ett EU-land kan beordra borttagning av innehåll på servrar i en annan medlemsstat – även om det inte är olagligt i det senare. Dessutom statligt godkända nätcensorer. Det är några av punkterna från slutförhandlingen om EU:s nya Digital Services Act.
Efter 16 timmars förhandlingar mellan EU-kommissionen, ministerrådet och Europaparlamentet finns nu en överenskommelse om EU:s Digital Services Act. Det finns dock ingen sammanställd slutlig text ännu. Men en del saker vet vi redan.
Låt oss börja med att se hur Europaparlamentet presenterar saken i sitt pressmeddelande:
• Access to platforms’ algorithms now possible
• Online platforms will have to remove illegal products, services or content swiftly after they have been reported
• Protection of minors online reinforced; additional bans on targeted advertising for minors as well as targeting based on sensitive data
• Users will be better informed how content is recommended to them
En god nyhet är att användare som censureras av sociala media kan komma att få någon form av möjlighet att överklaga.
Så över till den mer kritiske ledamoten av Europaparlamentet Patrick Breyer (PP, DE):
»We were able to prevent removal obligations for search engines. We could also prevent the indiscriminate collection of the cell phone numbers of all uploaders to adult platforms, which would have endangered their privacy and the safety of sex workers due to foreseeable data hacks and leaks. Minors will be protected from surveillance advertising on online platforms. However, the ban on using sensitive personality traits (e.g. a person’s political opinion, diseases or sexual preferences) for targeted manipulation and targeting was heavily watered down.«
»Our online privacy will not be protected by a right to use digital services anonymously, nor by a right to encryption, a ban on data retention, or a right to generally opt-out of surveillance advertising in your browser (do not track). Freedom of expression on the Internet is not protected from error-prone censorship machines (upload filters), nor from arbitrary platform censorship. Cross-border removal orders issued by illiberal member states without a court order can take down media reports and information that is perfectly legal in the country of publication.«
Dessutom står förslaget om Trusted Flaggers (betrodda anmälare / statligt godkända nätcensorer) kvar, då det inte mött något egentligt motstånd eller ens ifrågasatts under förhandlingarna. Läs mer om problemen med Trusted Flaggers här »
Nu när förhandlingarna är klara kommer förordningen sannolikt att godkännas av EU:s ministerråd och Europaparlamentet utan ändringar.
Vi återkommer när det finns en slutlig, konsoliderad text.
EU-domstolen upprepar: Det är förbjudet att använda allmän datalagring
EU-domstolen har idag – återigen – slagit fast att medlemsstater inte kan använda sig av olaglig datalagring i rättsfall.
Med anledning av ett uppmärksammat rättsfall på Irland upprepar EU-domstolen att medlemsstater inte får använda den datalagring som redan ogiltigförklarats av densamma i sina nationella domstolar.
2014 upphävde domstolen EU:s datalagringsdirektiv. Den slog fast att allmän, urskiljningslös lagring av data om medborgarnas tele- och datakommunikationer inte får förekomma utan konkret misstanke om brott. Sådan lagring strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.
Om datalagring alls skall förekomma måste den begränsas i omfattning och tid samt avse ett specifikt hot eller brott.
Vilket många medlemsstater i stort sett har struntat i. Domstolen skriver i ett pressmeddelande:
»The Court confirms that EU law precludes the general and indiscriminate retention of traffic and location data relating to electronic communications for the purposes of combating serious crime.
The national court may not impose a temporal limitation on the effects of a declaration of invalidity of a national law that provides for such retention.«
Dagens dom kan bli vägledande för domstolar i hela EU.
Länkar:
• EU-domstolens pressmeddelande (PDF) »
• Reuters: Top EU court says phone data cannot be held ’indiscriminately’ »