USA: presidentvalet, internet och övervakningen

Vad innebär det amerikanska presidentvalet när det kommer till internetfrågorna och övervakningen? Vi kan naturligtvis inte veta, men det finns ledtrådar.

Sociala media

Mycket talar för att Donald Trump kommer att tvinga de sociala plattformarna på nätet att bestämma sig. Är de rena plattformar, som inte kan hållas ansvariga för vad deras användare uttrycker? Eller är de publicister som styr och redigerar innehållet på sina siter, med det redaktionella ansvar detta medför?

Om Joe Biden vinner kan man vänta sig mer av en anpassning till EU:s nya nätregler (Digital Services Act) för harmoniserade regelverk på båda sidor Atlanten. I vart fall brukar demokraterna och EU synka rätt väl vad gäller reglering av internet.

Dataöverföring (Privacy Shield / Safe Harbor)

Avtalet om säker överföring och hantering av persondata från EU till USA har (i sina olika varianter) fått hård kritik. Bland andra EU-domstolen anser att det inte ger tillräckliga garantier mot att sådan data hamnar i händerna på amerikanska underrättelseorgan. Domstolen har nu upphävt avtalet.

Trump ser detta (och en del annat som EU sysslar med på nätområdet) som handelshinder. Och vad gäller Biden, så var han vicepresident när de avtal upprättades mellan EU och USA som EU-domstolen nu har underkänt.

Massövervakning

USA har nu upphört med vissa av de former av automatiserad massövervakning som avslöjades av Edward Snowden – helt enkelt för att de inte varit effektiva. Vissa har även förklarats olagliga av domstol.

Vad som händer nu är svårt att veta. Man bör dock hålla i minne att Obama-administrationen (där Biden var vicepresident) var pådrivande för olika former av massövervakning.

Oavsett vem som vinner kan man utgå från att USA kommer att ägna sig åt den massövervakning man anser behövs för att upprätthålla den nationella säkerheten.

Edward Snowden

President Trump har funderat högt om att benåda visselblåsaren Edward Snowden, som avslöjade NSA:s globala massövervakning. Hur det sedan blir med den saken är omöjligt att veta. Trump funderar ju ofta högt, om många olika saker.

Däremot kan man utgå från att demokraternas Joe Biden är fientligt inställd mot Snowden. Åter handlar det om historiska skäl, från tiden för Obama-administrationen.

Julian Assange (Wikileaks)

Det är komplicerat. Trump-administratione har begärt Assange utlämnad från Storbritannien – misstänkt för allt från dataintrång till spioneri, trots att det Wikileaks ägnat sig åt snarare kan betraktas som journalistik.

Bidens Obama-administration lät bli att göra samma sak – eftersom man ansåg att just gränsdragningen mot journalistik var för känslig och att det hela kunde sluta i dålig publicitet.

Samtidigt är Bidens demokratiska parti ursinnigt på Wikileaks såväl för publiceringen av krigsdagböckerna som ambassadtelegrammen – och framförallt för att Assange medverkade till spridandet av läckt information från partiets mailserver, i samband med förra presidentvalet.

Möjligen skulle demokraternas nära förhållande till media kunna leda till att begäran om utlämning dras tillbaka och att åtalspunkterna blir vilande. Den ömsesidiga fiendskapen mellan Assange och det demokratiska partiet gör dock detta mindre troligt.

Automatiserad ansiktsigenkänning – nu i Sverige

Polisen har fått klartecken för ett nytt verktyg som automatiskt analyserar video och bilder – bland annat med hjälp av automatiserad ansiktsigenkänning. Vilket väcker en del frågor och farhågor.

Låt oss börja med att se vad detta inte är. Det handlar inte om att automatiskt övervaka allmän plats och att få flaggningar så fort någon person av intresse dyker upp i bild. Polisen ville testa ett sådant system på Skavsta flygplats – men där sa Datainspektionen nej.

Vad det däremot handlar om är automatisk genomsökning av video och bilder i jakt på något specifikt, på en bestämd plats vid en bestämd tidpunkt. Detta omfattar även automatisk ansiktsigenkänning.

I detta fall är det alltså fråga om material som ändå skulle ha gåtts igenom, fast av fysiska poliser. På så sätt kan det rent av handla om att färre personer tittar på de övervakningsfilmer där du eller någon annan oskyldig förekommer. En automatisering och en eventuell effektivisering, med andra ord. Men det är ändå inte problemfritt.

Dels vet vi att automatiserade system ger ett stort antal »falska positiva« flaggningar, ibland i en sådan omfattning att det underliggande materialet blir svårare att hantera.

Dels är det oklart hur mycket biometrisk data som kommer att användas och från vilka källor. Om det handlar om misstänkta i det specifika fallet är det en sak. Om det handlar om bredare data, där biometrisk data för en bredare allmänhet (t.ex. från passregistret) används, då är det mer problematiskt.

Här finns också en viktig metodfråga. Om en människa, med förhoppningsvis gott omdöme och god analytisk förmåga, tittar igenom t.ex. en övervakningsfilm – då kan information som är viktig för en utredning framkomma, som inte framkommer om man bara söker på ett visst ansikte, ett visst signalement eller en viss sak. Det kan handla om en person som inte ingår i utredningen, men vars närvaro ändå är av intresse. Eller om ett visst händelseförlopp före eller efter det man söker. Risken är att automatiserad analys missar sådant som den inte uttryckligen är tillsagd att söka efter.

Slutligen kan det system som nu fått klartecken användas för att utveckla automatiserad ansiktsigenkänning på allmän plats. Även om Datainspektionen i dagsläget säger nej till sådan, så lär sista ordet inte vara sagt. Om inte svenska polisen kommer att kunna tjata sig till ett sådant verktyg, så kan det komma från EU.

Länkar från SR:
• Polisen får klartecken för ansiktsigenkänning »
• ”Rör sig om känsliga uppgifter” (ljudinslag) »

Europol kan få automatiserad tillgång till persondata från privata företag

I december kommer EU att presentera sina planer för Europol. En skillnad sägs bli att Europol får mer direkta polisiära befogenheter – till skillnad från idag då man har en samordnande roll, men lämnar det statliga våldsmonopolets praktiska arbete till medlemsstaterna.

Bland annat talas om att ge Europol automatiserad tillgång till persondata, inte bara från myndigheter – utan även från privata företag. Den vanligtvis välunderrättade Matthias Monroy skriver på sin blogg:

»Europol is also to process more information from private companies. These include Internet providers, travel agencies, airlines and banks. Up to now, Europol receives such data only in exceptional cases and on request, in future this could be done in an automated procedure.«

Detta lämnar naturligtvis många frågetecken om vem som skall ge klartecken för sådan datainhämtning. Här kan nationella domstolar och rättsliga instanser komma att bli förbigångna.

Vilket för oss till nästa punkt:

»Probably the most controversial is the proposal that Europol should be able to request that investigations be initiated in a Member State. Their governments will probably see their sovereignty affected by this. The new competence could therefore be coordinated with the European Public Prosecutor’s Office (EPPO), with which Europol would in any case be supposed to cooperate more closely.«

Detta kan bli knepigt i ett EU med olika nationell lagstiftning. (Även om EU:s ambition lär vara harmoniserad lagstiftning i alla medlemsstater.) Förslaget riskerar dessutom att påverka de nationella polismyndigheternas oberoende.

Det är också värt att notera att man diskuterar att inrätta insatsstyrkor med speciella taktiska färdigheter som kan rycka ut från Europol till olika medlemsstater – eller tredje land.

Matthias Monroy: Europol Regulation: Towards a „European FBI“? »

Kommer krav på skydd av persondata att leda till ett balkaniserat internet?

Som vi berättat i en tidigare bloggpost har EU-domstolen upphävt det så kallade EU-US Privacy Shield-avtalet, som reglerar överföring av persondata mellan EU och USA. Skälet är att domstolen anser att sådan data inte har tillräckligt starkt skydd mot amerikanska underrättlseorgan, som NSA.

Detta har utlöst en intensiv juridisk aktivitet hos många av de berörda företagen. Politico skriver:

»While it remains to be seen exactly how EU watchdogs will interpret the Privacy Shield ruling, a growing number of companies are not waiting to find out — and proactively taking the decision to keep their data in the bloc.« (…)

»A lawyer who represents large tech companies — and who asked to speak on condition of anonymity to discuss confidential matters — said they now advise some clients to consider compartmentalizing data in different regions.« (…)

»Calls for data localization — especially from privacy-conscious Germany — are not new, but this time could be different. Digital sovereignty has emerged as a top priority for Europe’s top policymakers, who have thrown their weight behind projects like Gaia-X, an initiative aimed at boosting the bloc’s ability to store data on the continent.«

Plötsligt tycks alla kort finnas på bordet. En möjlighet – som inte är speciellt trolig – är att USA ger utländska medborgare samma skydd mot massövervakning som amerikanska, eller ett USA inför en ny lagstiftning som ligger i linje med EU:s GDPR. En annan möjlighet är att dela upp data mellan EU och USA. Ett tredje alternativ är att endast överföra hårt krypterad persondata mellan EU och USA. Man skulle även teoretiskt kunna tänka sig att amerikanska nätjättar lagrar all sin information i Europa, även om inte heller det är troligt.

Oavsett vilket är risken att vi går mot en ökad balkanisering av internet – vilket i så fall strider mot hela principen om ett fritt, öppet och globalt nät. Det är också möjligt att vissa internationella företag och plattformar kan välja att sluta acceptera och serva kunder i EU. Vilket för övrigt är något Youtube redan överväger, efter att EU klubbat sitt nya upphovsrättsdirektiv.

Man kan även konstatera att företagsklimatet för nättjänster och -plattformar är sådant i EU att startups och riskkapital hellre söker sig till andra delar av världen. Vilket kommer att leda till att EU hamnar ännu mer på efterkälken. Trots de bästa intentioner håller vi på att reglera denna marknad till döds. Det är problematiskt, eftersom internet är ett centralt verktyg för mänsklighetens kollektiva utveckling.

Politico: The demise of Privacy Shield may be the end of US-Europe data transfers »

TikTok och storpolitiken

»Lika illavarslande är att när ingreppen kommer från presidenten skapas krav på tacksamhet och lojalitet från företagens sida, vilket lätt slår över i ett likriktat medieklimat. För Trump är detta en föga dold ambition, han är särskilt kritisk mot företag som äger medier som kritiserar honom.

Den fria världen är under sådant styre på väg att underminera sina unika fördelar: lagstyre, fri konkurrens, medial pluralism och öppenhet mot omvärlden – kanske till och med den en gång så starka dominansen inom popkulturen.«

Mattias Svensson i DN: Tiktok påminner om att popkultur är storpolitik och att den fria världen har motvind »

Överföring av persondata mellan EU och USA i limbo efter EU-dom

Överföring av persondata mellan EU och USA har länge varit en surdeg. Det gäller såväl överföring av bankdata i bulk som ren persondata (Safe Harbour, sedemera Privacy Shield). Såväl Europaparlamentet som EU-domstolen har satt sig på tvären när de avtal som tecknats inte levt upp till EU:s krav på på skydd för persondata.

Idag har EU-domstolen – för andra gången – upphävt det avtal som är grunden för Safe Harbour / Privacy Shield.

Grunden är det mål som drivits av den österrikiske juridikstudenten Max Schrems och som i sak rör dataöverföring från Facebook Ireland (där företaget har sitt europabolag) till USA. Frågan sattes i rörelse efter Edwards Snowdens avslöjanden om den amerikanska, globala massövervakningen – då det framkom att bland andra Facebook förser de amerikanska signalspaningsmyndigheterna med information. Och i USA gäller det begränsade persondataskydd som finns bara amerikanska medborgare.

Time har en tydlig sammanfattning:

»The European Union’s top court ruled Thursday that an agreement that allows big tech companies to transfer data to the United States is invalid, and that national regulators need to take tougher action to protect the privacy of users’ data.

The ruling does not mean an immediate halt to all data transfers outside the EU, as there is another legal mechanism that some companies can use. But it means that the scrutiny over data transfers will be ramped up and that the EU and U.S. may have to find a new system that guarantees that Europeans’ data is afforded the same privacy protection in the U.S. as it is in the EU.«

Max Schrems själv säger:

»I am very happy about the judgment. It seems the Court has followed us in all aspects. This is a total blow to the Irish DPC and Facebook. It is clear that the US will have to seriously change their surveillance laws, if US companies want to continue to play a major role on the EU market.«

»The Court clarified for a second time now that there is a clash of EU privacy law and US surveillance law. As the EU will not change its fundamental rights to please the NSA, the only way to overcome this clash is for the US to introduce solid privacy rights for all people – including foreigners. Surveillance reform thereby becomes crucial for the business interests of Silicon Valley.«

Även om det finns andra avtal om dataöverföring till utlandet att falla tillbaka på – så kommer dagens dom att skapa mycket oreda på båda sidor Atlanten. Att USA skulle ändra sin lagstiftning och massövervakning är knappast troligt. I värsta fall kan detta leda till ett digitalt handelskrig mellan EU och USA.

Precis som när det gäller EU:s dataskyddsförordning (GDPR) står här viktiga principer och praktisk verklighet mot varandra.

Ansvaret för den uppkomna situationen vilar hos EU-kommissionen – som konsekvent vägrat lyssna på Europaparlamentet och som istället för att rätta sig efter EU-domstolens första dom försökt kringgå den.

Nu är vi i princip åter på ruta ett.

Länkar:
• Time: E.U.’s Top Court Invalidates Data-Sharing Agreement With U.S. »
• EU-domstolens dom (PDF) »
• Max Schrems / noyb »
• Bakgrundsmaterial från Politico (publicerat innan domen) »

COVI-PASS Digital Health Passport lanseras – även i Sverige

Det var kanske bara en tidsfråga, men nu lanseras ett COVI-PASS Digital Health Passport – även i Sverige.

Electronic Specifier rapporterar (redan den 13 maj):

»The COVI-PASS Digital Health Passport can be used as an authenticated gateway for Public Services, Businesses and Employees to manage a safe return to work, life, and safe travel.«

Det handlar alltså om en kommersiellt framtagen app, som är tänkt att kunna användas såväl av företag som av myndigheter.

»Powered by VST Enterprises’ cyber security technology VCode & VPlatform, Circle Pass Enterprises has contracted with VST Enterprises for a fully secure Digital Health Passport – COVI-PASS, to be paired with approved testing kits. CPE is to start shipping orders from next week for the first phased release of 50M COVI-PASS Digital Health Passports to both the private sector and Governments in over 15 countries, including Italy, Portugal, France, Panama, India, the US, Canada, Sweden, Spain, South Africa, Mexico, United Arab Emirates and The Netherlands.

The COVI-PASS Digital Health Passport works on an intelligent colour mapping system (green, amber, red) to authenticate and validate a COVID-19 test providing test history and relevant health information. This allows for accurate data metrics to assess those who have tested positive and negative and the location only of their testing.«

Appen är förvisso frivillig (än så länge) – men kan komma att krävas till exempel om du vill resa, gå på en fotbollsmatch, besöka en konsert, gå på bio eller på annat sätt vistas nära många andra människor. Bli inte förvånad om den kommer att krävas till och med för att gå på restaurang.

Appen förefaller dessutom vara en del i en mycket större plan:

»VSTE are also providing its VCode & VPlatform technology to work with the UNITED NATIONS as part of their SDG Collaboratory (Sustainable Development Goals) program – to provide a wide range of technology services to 9 Billion people by 2030 and which will be announced in the coming weeks.«

Även om företaget bakom appen talar om en hög grad av dataskydd och respekt för individens rätt till privatliv återstår att se hur den egentligen fungerar.

Man kan också notera att ett COVID-19-test endast visar om man är smittad just vid provtillfället. Så något heltäckande skydd är det knappast fråga om.

Det finns många frågetecken. Men framförallt är frågan om vi vill ha en app som fungerar som något slags inrikespass.

Electronic Specifier: Digital health passports supplied to 15 countries »

USA:s Attorney General mullrar mot Apples försvar av användarnas rätt till privatliv och säkerhet

Attorney General Bill Barr uttrycker sig i hotfulla termer efter att Apple inte velat – och inte kunnat – låsa upp en misstänkt skytts telefon. Detta trots att FBI lyckats låsa upp telefonen i fråga utan Apples hjälp. Barr hotar nu med lagstiftning för att skapa en bakdörr. Och Apple slår tillbaka:

»It is because we take our responsibility to national security so seriously that we do not believe in the creation of a backdoor — one which will make every device vulnerable to bad actors who threaten our national security and the data security of our customers.«

»There is no such thing as a backdoor just for the good guys, and the American people do not have to choose between weakening encryption and effective investigations.«

Detta är ett ställningskrig som pågått länge nu. Myndigheterna hoppas kanske vinna genom att ständigt återkomma med sina krav om bakdörrar, som något slags utmattningstaktik. Men eftersom det skulle hota säkerheten för alla användare måste teknikföretagen stå fast och säga nej.

Men detta är inte det enda hotet från den amerikanska staten mot nätanvändarnas rätt till privatliv. Vox skriver:

»Barr raising the legislative solution specter is well-timed. A bipartisan bill called the EARN IT Act, which would essentially force platforms like Facebook, Reddit, and even end-to-end encrypted apps like WhatsApp and Signal to give the government a backdoor to any and all customer information is currently making its way through the Senate. There’s also the bill reauthorizing the Patriot Act, for which a painfully close Senate vote defeated an attempt to exclude web search history and browser information from warrantless surveillance by the FBI. The bill, once resolved by the House and Senate, will go to President Trump’s desk to sign.«

I sammanhanget skall man komma ihåg att lagar som rör övervakning i USA har en förmåga att leta sig över till EU med tiden. Vilket bland annat kan bero på ett nära underrättelsesamarbete (i vilket Sverige tycks spela en framträdande roll).

Vox: Why Attorney General Bill Barr is mad at Apple »

Så rullas kontroll- och övervakningsstaten ut i corona-krisens spår

Förra veckan ställde vi frågan om vi kanske ändå kan bli påtvingade corona-appar – om vi vill ut och resa. Och häromdagen dök detta upp hos Politico:

»As the U.K. rolls out a coronavirus contact-tracing app, its government is already considering another technological tool to help loosen lockdown restrictions — the immunity passport.

The idea behind so-called digital “passports” is that they would allow people who have recovered from the coronavirus to signal their immunity and thus move around freely, enabling economies to open up.

But there are fears such a system, which is at a preliminary stage of discussion with the developer, could lead to discrimination, create perverse incentives to get infected, and violate privacy.

The scheme also relies on reliable antibody testing and enough kits for large-scale testing — neither of which exist, yet. Not to mention that health experts don’t know whether immunity to the coronavirus even exists and, if it does, how long it lasts.«

Något liknande kommer förmodligen även att rullas ut i EU, för att göra resor mellan medlemsstaterna möjliga.

Vilket – i så fall – innebär att man först måste bli smittad, sjuk och friskförklarad innan man återfår sin frihet att resa. Till att börja med är detta en inskränkning av våra grundläggande fri- och rättigheter som EU-medborgare. Dessutom kommer det att leda till massor av oförutsedda och oönskade konsekvenser och (som texten ovan nämner) till absurda incitament i människors beslutsfattande.

Den som vill ha en översikt över vilka länder som rullar ut corona-appar och hur de fungerar kan gå till denna sammanställning hos MIT Technology Review.  Än så länge finns 23 länder på listan, varav bara fem verkar ha valt den Apple/Google-lösning som anonymiserar användaren.

Och i Singapore har man även sänt ut Boston Dynamics robot-hund för att upprätthålla socialt avstånd i parkerna.

I sammanhanget vill vi rekommendera SR Vetenskaps program »Corona och övervakningen – Hälsan före allt«, med bland andra Yuval Noah Harari.

»I USA och Australien ska man nu börja använda vad som kallas för pandemidrönare. Det är drönare utrustade med värmekameror som kan känna av om du har feber. Tack vare artificiell intelligens kan de också utifrån kamerabilder, läsa av både hjärtslag, andning och i en folksamling upptäcka personer som nyser eller hostar.« (…)

»Förutom drönare handlar det om appar för smittspårning, och utegångsförbud som övervakas med hjälp av ansiktsigenkänning. Ofta sker det här i demokratiska länder där det tidigare ansetts otänkbart.«

Avsnitt ett sändes idag. Del två sänds i morgon i P1, efter tolvslaget.

Läs mer » | Lyssna till avsnitt 1 »

Ur programmet:

«Problemet är att när krisen väl är över, så visar forskning att det är svårt att göra sig av med de nya övervakningssystemen och att de istället blir permanenta. Christel Backman är forskare inom övervakningsstudier vid Göteborgs universitet.

– Vi vänjer oss vid övervakningssystemen under kristiden och vi kanske också upplever att de skyddar bra mot någon typ av hot. Och så tenderar vi kanske snarare att utvidga användningsområdena för det här, som från början var exceptionella åtgärder, snarare än att vi backar eller tar bort dem, säger hon.«

Corona-krisen verkar alltså bli den ursäkt som behövdes för att rulla ut övervakningsstaten ytterligare.