Femte juli

Nätet till folket!

Datalagring

EU-domstolen har flera gånger sagt nej till urskiljningslös lagring av data om allas alla tele- och datakommunikationer utan misstanke om brott. Ändå har såväl Sverige som flera andra EU-länder datalagring som strider mot domstolens beslut. I Sverige utreds nu frågan nu en gång till och i EU funderar man på hur man bäst skall kunna kringgå domstolens beslut.

Sista försvarslinjen mot massövervakning i Europa

av

Europadomstolen för de mänskliga rättigheterna gav ju Sverige och Storbritannien smisk på fingrarna förra veckan:

• Europadomstolen: FRA-lagen måste skrivas om »

• Även den brittiska massövervakningen får bakläxa av Europadomstolen »

The Guardian har fördjupat sig i ämnet och funnit en del intressanta detaljer. De är intressanta även om texten utgår från det brittiska fallet (som behandlades tillsammans med det svenska).

»The chamber, the ultimate court of the ECHR, also concluded that GCHQ’s regime for sharing sensitive digital intelligence with foreign governments was not illegal.« (…)

Vilket man händelsevis kommer fram till veckan innan den dansk-svensk-norsk-tysk-amerikanska övervakningsskandalen bubblar upp i media.

»One of the partially dissenting judges, Paulo Pinto de Albuquerque said the ruling had opened the gates for an electronic “Big Brother” in Europe. Four other judges also partially dissented from the majority opinion, disagreeing with the finding that the regime for sharing sensitive digital intelligence with foreign governments was not illegal. Three of the dissenting judges quoted from George Orwell’s Nineteen Eighty-Four: “There was of course no way of knowing whether you were being watched at any given moment.”«

Europadomstolen var alltså oenig. Vi får försöka reda ut mer om det. Men redan den information vi har är intressant. En splittrad domstol, där domarna i minoritet citerar Orwell. Sådant ser man inte varje dag.

En Europadomstol för de mänskliga rättigheterna som är oenig… i en fråga (internationellt informationsutbyte) som bara dagar senare briserar med stort buller i media och politik. Man kan inte utesluta att det finns ett samband. Men det kan lika gärna vara en slump.

För övrigt är den här dansk-amerikanska övervakningen av svenska politiker (m.fl.) inte ens en nyhet. Att sådant förekommer vet den som besvärat sig med att titta i Snowdens läckta NSA-dokument. Och det är ändå åtta år gammal information. Hur mycket mission creep har man inte hunnit med sedan dess?

När jag jobbade i Europaparlamentet pågick utskottsutfrågningar om massövervakningen. Även där framkom information som gör att den senaste historien inte alls förvånar. (FRA var för övrigt inbjudet att delta under dessa utfrågningar. Men de valde att avstå.)

Frågan är inte bara vem danskarna och NSA avlyssnade – utan även i vilken omfattning svenska FRA ägnar sig åt samma sak.

Det kan möjligen bli svårt att med trovärdighet vara upprörd över att våra allierade tjuvlyssnar på oss – om vi själva gör det samma.

Men åter till Europadomstolen. Den är alltså oenig om urskiljningslös massövervakning och om i vilken mån det skall vara tillåtet för underrättelsetjänster att ägna sig åt byteshandel med information från denna massövervakning. Men domstolen landar ändå i att – i stort sett – ge grönt ljus.

(Dessutom fick Sverige kritik för hur FRA:s övervakning förhåller sig till juridiska personer, för bristande tillsyn och för bristande persondataskydd vid informationsutbyte.)

Europadomstolen verkar under Europarådet. Sedan har vi EU-domstolen – som på sitt håll kommit fram till att det inte är tillåtet med urskiljningslös insamling av alla människors kommunikationsdata, utan specifik misstanke om brott.

Medlemsstaterna i ministerrådet vill ha så mycket övervakning de bara kan få. EU-kommissionen har ur sitt von oben-perspektiv inget emot att kontrollera vad folket har för sig. Och i Europaparlamentet är det bara vänstern, gröningarna (utom Bah Kuhnke) och en och annan principfast liberal som gör motstånd.

Det förefaller som om EU-domstolen är den sista försvarslinjen mot massövervakningen. Därför vill Frankrike nu ändra EU:s fördrag och rättighetsstadga, så att denna envisa domstol till slut tvingas ge upp sitt motstånd. Sedan är dammluckorna att betrakta som vidöppna.

Video: Saker på gång i EU som du bör känna till

av

En sammanställning över aktuella EU-frågor som rör internet, det fria ordet, fri- och rättigheter och övervakning. 17 ämnen på elva minuter, för att inte slösa med din tid.

 

Artificiell Intelligens och övervakning • ChatControl • Code of Conduct on countering illegal hate speech online • Corona-pass • Datalagring • eBevis • EU-ID • European Democracy Action Plan • Europol • Interconnected bank account registers • Länkskatt • Patientjournaler • PNR • ROXANNE • TERREG • Trusted flaggers • Uppladdningsfilter

17 områden där EU vill bygga ut övervakning, kontroll och censur

av

Massor av internet-och IT-relaterad lagstiftning har redan klubbats eller är på väg genom EU-apparaten. Det är så mycket att det blir svårt att få en överblick. Låt oss därför ge en ögonblicksbild av vad som är att vänta under den innevarande europeiska mandatperioden (2019-24).

Artificiell Intelligens: EU uppmanar visserligen till försiktighet vad gäller användning av AI för övervakning – men öppnar samtidigt för en lång rad undantag där AI ändå kan användas för övervakning från myndigheternas sida.

ChatControl: Meddelanden och e-post skall av-krypteras för att kontrollera om det förekommer sexuellt utnyttjande av minderåriga. Detta kan lätt utökas till andra syften.

Code of Conduct on countering illegal hate speech online: EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet.

Corona-pass: EU vill se en gemensam app för att möjliggöra en återgång till normalt liv för vaccinerade, testade och personer med antikroppar. Detta öppnar även nya möjligheter för övervakning.

Datalagring: Ett nytt datalagringsdirektiv är på väg. Tanken är att lagra data om alla medborgares alla tele- och datakommunikationer för att kunna kontrollera vem som har kontakt med vem, var folk befunnit sig och när de har varit uppkopplade. Frankrike vill ändra EU:s fördrag och stadgan om de mänskliga rättigheterna för att EU-domstolen inte skall kunna stoppa direktivet.

eBevis: Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare samt kommunikationsdata och lagrad information från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst.

EU-ID: Ett elektroniskt EU-ID finns på EU-kommissionens önskelista. Vilket i princip kommer att göra det omöjligt att vara anonym på nätet.

European Democracy Action Plan: Syftet är bland annat att bekämpa hat och desinformation online. Vilket alltid brukar landa i kontroversiella frågor om var gränsen går och vem som skall bestämma vad som är rätt och sant.

Europol: Den europeiska polismyndigheten arbetar intensivt för att knäcka krypterade kommunikationer. Man har flaggat för att man vill ha direkt tillgång till information hos privata aktörer (som till exempel internetoperatörer). Europol håller även på att utöka sitt mandat till att bekämpa desinformation.

Interconnected bank account registers: Den hårt kritiserade och misskötta överföringen av europeisk bankdata för analys hos amerikanska säkerhetsmyndigheter är tänkt att ersättas av ett centralt EU-register – för att lagra och analysera data om alla finansiella transaktioner inom det europeiska banksystemet.

Länkskatt: EU:s nya upphovsrättdirektiv kommer att leda till att det blir enklast för sociala media att sluta avtal med de stora mediehusen – på små, nya och alternativa medias bekostnad.

Patientjournaler: EU-kommissionen vill se ett heltäckande, centraliserat europeiskt system för medicinska journaler.

PNR: EU-kommissionen och ministerrådet vill utöka registreringen av våra resor (och om detaljer kring dessa). Detta gäller redan för flygresor, men man diskuterar att utöka registreringen till att även gälla hyrbilar, tågresor, båtresor och hotellövernattningar.

ROXANNE: Ett EU-finansierat projekt för röstigenkänning,

TERREG: Förordningen om terror-relaterat innehåll online innebär censur av åsikter online. Notera att det handlar om åsikter som inte nödvändigtvis är olagliga. Detta kan enkelt utvidgas till andra syften. TERREG kommer även att tvinga fram användning av uppladdningsfilter. Förordningen säger också att flaggat material skall plockas ner inom en timma (utan föregående rättslig prövning) och öppnar för att myndigheter i ett EU-land kan beordra nedtagning av innehåll på servrar i andra medlemsstater.

Trusted flaggers: EU:s nya Digital Services Act kommer att ge oss statligt godkända innehållsgranskare på nätet – vars anmälningar skall prioriteras av nätplattformarna.

Uppladdningsfilter: Allt som alla laddar upp kommer att inspekteras, analyseras och i förekommande fall censureras. Detta för att stoppa upphovsrättsskyddat material och terror-relaterad information. Dessa syften kan enkelt komma att utvidgas. Vissa EU-länder vill även se uppladdningsfilter som ett allmänt verktyg inom the Digital Services Act.

Detta är bara en del av allt som är på gång när det gäller internet, IT, övervakning och kontroll i EU. Nya förslag tillkommer hela tiden. Men vi tycker att det är viktigt att man inte bara gräver ner sig i enskilda förslag, utan även ser till den större bilden. Och sammantaget är det ingen tvekan om att EU är på väg att utvecklas till en kontroll- och övervakningsstat, som även begränsar det fria ordet online.

Frankrike vill inskränka de mänskliga rättigheterna för att kunna datalagra

av

Precis som Sverige har Frankrike problem med datalagringen, det vill säga lagring om data av alla medborgares alla tele- och datakommunikationer. 2014 upphävdes EU:s datalagringsdirektiv, då EU-domstolen kom fram till att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv.

Efter att EU-domstolen även underkänt den franska lagen om datalagring vill regeringen nu att landets högsta domstol skall strunta i EU-domstolens dom. Vilket är anmärkningsvärt för att komma från ett land som i andra sammanhang driver frågan om EU:s överstatlighet hårt.

Den franska regeringen vill även ändra EU:s fördrag och stadgan om de mänskliga rättigheterna – för att göra datalagring möjlig.

Man vill alltså inskränka de mänskliga rättigheterna för att kunna expandera övervakningsstaten. Vilket också är anmärkningsvärt, för att komma från ett land som i andra sammanhang anser sig vara de mänskliga rättigheternas vagga – även om landet haft ett något blandat förhållande till nämnda rättigheter.

En sådan inskränkning kommer i så fall inte bara att gälla Frankrike, utan hela EU. Det vill säga att den franska ivern att rulla ut övervakningsstaten även kommer att drabba dig och inskränka dina fri- och rättigheter. Och naturligtvis kommer en sådan inskränkning att få effekter på fler områden än bara det avsedda.

Tyvärr kan man räkna med att det franska förslaget kommer att få brett stöd i EU:s ministerråd, om det läggs fram som ett skarpt förslag. Dock är det bara EU-kommissionen (som förmodas vara fördragens väktare) som kan lägga fram ett sådant förslag. Och förhoppningsvis kommer i så fall Europaparlamentet att bjuda motstånd. Men de franska idéerna bör bemötas tidigt, redan nu, för att det inte skall behöva gå så långt.

Våra grundläggande rättigheter är individens yttersta skydd mot staten – och skall inte kompromissas bort, vattnas ur eller kringgås.

Läs mer: Frankrike föreslår att skriva om EU:s fördrag om medborgerliga rättigheter för att kunna bygga ut övervakningsstaten »

Belgisk domstol upphäver datalagring

av

I slutet av förra veckan upphävde den belgiska författningsdomstolen landets lag om datalagring. Vilket är i linje med att EU-domstolen redan för sex år sedan upphävde EU:s datalagringsdirektiv. Motiveringen är den samma: Man får inte urskiljningslöst övervaka eller samla metadata om alla medborgares alla telekommunikationer utan misstanke om brott.

Enligt uppgift skall domen ha orsakat stor oreda inom den belgiska polisen. Men med tanke på vad som beslutats i EU-domstolen borde detta inte komma som någon överraskning för någon.

Nu tycks belgarna försöka det svenska tricket: Att skriva en ny lag för att kringgå EU-domstolens dom. Sverige har gjort detta ett par gånger. Första gången fick vi smäll på fingrarna av domstolen, igen. Och enda skälet till att vi ändå har en ännu nyare, ytterligare justerad svensk lag om datalagring är att den inte har prövats rättsligt. Om det skulle ske, då skulle den falla på samma sätt som den tidigare.

Påhejad av ministerrådet håller EU-kommissionen nu på att ta fram ett nytt datalagringsdirektiv. Hur man tänkt förena idén om lagring av all teledata med EU-domstolens tidigare domar är än så länge oklart.

Länk: Constitutional Court throws out data retention law »

Europaparlamentet fortsätter brottas med datalagringen

av

Idag har Europaparlamentets utskott för mänskliga rättigheter (LIBE) debatterat datalagringen.

Inte för att det finns något konkret förslag att ta ställning till. EU-kommissionen och ministerrådet har flaggat för att de vill ha ett nytt datalagringsdirektiv. Men man har ännu inga konkreta idéer om hur det skulle kunna se ut. Framförallt har man ingen klar uppfattning om hur datalagring skall kunna vara laglig – med tanke på att det förra direktivet upphävdes av EU-domstolen.

EU-domstolen har upprepade gånger slagit fast att urskiljningslös lagring av data om alla medborgares tele- och datakommunikationer inte får förekomma – och att övervakning måste begränsas till konkreta misstankar om brott.

Europaparlamentet står och stampar på samma plats som kommissionen och ministerrådet. De stora partigrupperna menar att datalagring behövs – men har ingen aning om hur detta kan ske utan att kollidera med EU-domstolens dom. Mindre partigrupper som liberalerna och de gröna/piraterna försöker påpeka detta, men utan att någon verkar bry sig.

Trots att Europaparlamentets egen utredningstjänst kommit fram till att det inte finns någon direkt koppling mellan datalagring och uppklarningsprocent för brott, upprepar många påståenden om det motsatta.

Under debatten framkom till och med åsikten att det vore diskriminerande (!) att bara lagra data när det finns en misstanke om brott.

Så vad händer nu? En välgrundad gissning är att man kommer att försöka få till en rapport (ej lagstiftning) där Europaparlamentet ger kommissionen och ministerrådet sin välsignelse vad gäller att fortsätta arbetet med ett nytt datalagringsdirektiv.

Men så länge man inte adresserar kärnfrågan – urskiljningslös datalagring av allt, utan brottsmisstanke – kommer man inte att komma någonstans. Då kommer EU-domstolen även att upphäva det nya direktivet och vi är tillbaka på ruta ett igen.

En sak att hålla ögonen på är att det finns tecken (bl.a. från Europol) om att myndigheterna kan vilja ha direktåtkomst till data som finns lagrad hos operatörerna, utan att behöva bry sig om att gå via respektive operatör. I Sverige har det redan gjorts sådana framstötar från polisens sida.

Detta kommer att bli en utdragen process, under vilken det är viktigt att hålla ögonen på bollen: Datalagring strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens – vilket har fastslagits av EU-domstolen.

Studie: Länder med datalagring löser färre brott

av

Trots EU-domstolens upprepade beslut om att datalagring (lagring av data om alla medborgares alla telefonsamtal, meddelanden, nätuppkopplingar, mobilpositioner m.m.) inte får ske urskiljningslöst och inte utan misstanke om brott – så envisas EU:s medlemsstater med att vilja ha ett nytt datalagringsdirektiv.

Senast för en månad sedan upprepade unionens justitie- och inrikesministrar detta krav.

Men fungerar datalagringen över huvud taget? En studie från Europaparlamentets utredningsservice visar att:

  • Trots att länder som Österrike, Nederländerna och Tyskland inte har allmän datalagring (efter att EU-domstolen upphävt datalagringsdirektivet) har uppklarningsprocenten av brott ökat i dessa länder.
  • I Italien, Spanien och Sverige – som trotsar EU-domstolen och fortsätter med datalagring – har uppklarningsprocenten minskat.

Det verkar alltså inte finnas något belägg för att datalagring är den patentlösning mot brottslighet som polis och åklagare vill göra gällande. Snarare gäller det omvända.

(I Sverige är uppklarningsprocenten i grova drag hälften jämfört med Nederländerna, en tredjedel jämfört med Österrike och en fjärdedel jämfört med Tyskland.)

 

Ny datalagring i EU – med speciellt intresse för IP-adresser

av

Vi vet redan att EU-kommissionen och EU:s ministerråd vill se ett nytt datalagringsdirektiv.

Det förra datalagringsdirektivet upphävdes av EU-domstolen på grund av att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat kommunikation.

Enkelt uttryckt menar domstolen att man inte urskiljningslöst får lagra all data om alla medborgares alla tele- och datakommunikationer. Det måste finnas ett konkret syfte, misstänkta och en tidsram.

Nu har det dykt upp ett internt arbetspapper från ministerrådets portugisiska ordförandeskap. I detta vill man diskutera med de andra medlemsstaterna hur man skall tacka frågan. (PDF »)

Speciellt vill man diskutera IP-adresser:

1. Do Member States interpret the possibility of retention of source IPs addresses, established in the recent case law of the Court, as including both static and dynamic IPs? Would or should this include source-port numbers? What are the views on only retaining source but not destination IP addresses?

2. Do Member States consider it to be in line with the jurisprudence of the ECJ that Internet Protocol addresses, strictly needed to identify a subscriber, should include first login IP, last login IP or the login IP used at a specific moment in time? Should this be considered as ’subscriber’ or ’traffic’ data if the IP address is used solely to identify a person?

Det skall bli intressant att se vad som kommer ut av detta. Hur som helst är det klart att processen för att ta fram ett nytt datalagringsdirektiv har börjat.

Vi kan möjligen räkna med ett förslag till nytt direktiv redan i år. Fast det kommer att kräva mycket trixande för att komma runt EU-domstolens ställningstagande – som ju i princip underkänner hela konceptet med datalagring.

EU-domstolen: Data om mobilpositioner får endast användas för att bekämpa allvarlig brottslighet

av

EU-domstolen har idag meddelat dom i ett fall som gäller myndigheternas användning av data om mobilpositioner. I sitt pressmeddelande (PDF) skriver domstolen:

Att i brottsutredande syfte ge tillgång till en mängd trafik- och lokaliseringsuppgifter från elektronisk kommunikation, vilka gör det möjligt att dra specifika slutsatser om de berörda personernas privatliv, är tillåtet endast för att bekämpa grov brottslighet eller förebygga allvarliga hot mot allmän säkerhet.

Till att börja med betyder detta att data om mobilpositioner inte får användas för att utreda mindre brott. Intrånget i medborgarnas rätt till privatliv anses inte stå i proportion till vad man kan vinna i dessa fall.

I Sverige har datalagringen (som omfattar trafikdata om allas alla tele- och datakommunikationer) bland annat använts för att jaga fildelare och för att låta Skatteverket undersöka människors privatliv. Med denna dom bör det rimligen vara slut med det, då brott / misstanke inte kan anses vara tillräckligt allvarliga för att motivera integritetskränkningen.

Frågan kan även kopplas till den allmänna datalagring som bedrivs av många EU-länder – trots att EU-domstolen upphävt datalagringsdirektivet, då den anser att urskiljningslös lagring av data om alla medborgares alla telekommunikationer strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Som domstolen vid flera tillfällen påpekat får datalagring endast användas för att utreda allvarlig brottslighet och måste då fokuseras på de personer som kan anses vara misstänkta för något brottsligt.

Detta bör rimligen påverka EU-kommissionens arbete med ett nytt datalagringsdirektiv, som aviserats av EU-kommissionär Ylva Johansson.

Domstolen meddelar även följande:

Unionsrätten utgör dessutom hinder mot nationell lagstiftning som ger åklagarmyndigheten behörighet att bevilja offentliga myndigheter tillgång till dylika uppgifter inom ramen för en brottsutredning.

Man anser med andra ord att åklagare inte är en oberoende myndighet som kan fatta objektiva beslut, då man som regel är part i målet. Istället skall beslut om tillgång till mobil- och positionsdata fattas av t.ex. en domstol.

Länk: Pressmeddelande (PDF) »

Aktuella EU-planer som kan inskränka friheten online

av

Det är mycket nu. Här är en listning av några saker som är på gång i EU när det gäller internets frihet, yttrandefrihet och övervakning:

Chat control

EU vill att alla användares alla meddelanden skall avkrypteras och grankas i jakt på olagligt innehåll. Förmodligen omröstning i Europaparlamentets plenum i april. Länk »

TERREG / TCO

EU vill införa censur för åsikter. Visserligen handlar det om terroristpropaganda, men det kan lätt utökas till andra områden. Förordningen kräver nedtagning av flaggat material inom en timma, ger medlemsstaternas myndigheter rätt att beordra nedtagning av material på servrar i andra länder – och återuppladdning av flaggat material får inte ske, vilket i praktiken kommer att kräva uppladdningsfilter. Länk »

Uppladdningsfilter (copyright)

EU:s redan beslutade upphovsrättsdirektiv håller nätplattformarna ansvariga om upphovsrättsskyddat material publiceras. I praktiken innebär detta automatiserade uppladdningsfilter som granskar allt som alla laddar upp – och som inte förstår i vilken kontext sådant material publiceras. Detta skall vara införlivat i svensk lagstiftning senast i sommar.

Länkskatt (copyright)

I EU:s upphovsrättsdirektiv ingår även idén om länkskatt – det vill säga att närplattformarna tvingas betala traditionell media för att länka till dess siter. Även detta skall vara svensk lag senast i sommar.

Trusted Flaggers (DSA)

I EU:s föreslagna Digital Services Act föreslås bland annat att organisationer som »företräder kollektiva intressen« skall upphöjas till statligt godkända nätgranskare, vars anmälningar till nätplattformarna skall prioriteras. En del säkerhetsspärrar finns, men detta kommer att bli kontroversiellt. Länk »

Nytt datalagringsdirektiv

EU-kommissionen o0ch ministerrådet vill gå fram med ett nytt datalagringsdirektiv – efter att EU-domstolen ogiltigförklarat det förra, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Vad det handlar om är lagring av data om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, nätuppkopplingar, mobilpositioner m.m.

Code of Conduct on countering illegal hate speech online

EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet. Detta är ett kontroversiellt ämne som säkert kommer att skapa debatt. Dock är det oklart om denna uppförandekod kommer att beslutas inom ramen för de demokratiska institutionerna – eller om den kommer att fastställas med partsintressen, bakom stängda dörrar till exempel i EU:s Internet Forum.

Övrigt

Det pågår även arbete vad gäller frågor som automatiserad ansiktsigenkänning och utökad registrering av resenärer (PNR). Därtill kommer naturligtivs frågan om ett digitalt corona-pass för resor och fri rörlighet i samhället. Detta är av intresse även om dessa frågor inte direkt berör friheten online.

Följ nät- och övervakningsfrågorna här på bloggen.