Chat Control – slutet för privat korrespondens online

»The EU wants to have all private chats, messages, and emails automatically searched for suspicious content, generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance through fully automated real-time messaging and chat control and the end of secrecy of digital correspondence.«

Patrick Breyer, ledamot av Europaparlamentet för Piratpartiet, DE.

Länk: Messaging and chat control – The End of the Privacy of Digital Correspondence »

EU: En soppa av motstridiga förslag och beslut om övervakning

En ögonblicksbild från EU:s beslutsapparat:

  • 2020 fattade man beslut om en European Electronic Communications Code (EECD) – som gav användarna starkt skydd för elektronisk korrespondens.
  • Nu vill man fatta ett beslut om »chat control« – det vill säga att alla meddelandetjänster förväntas avkryptera alla sina användares alla meddelanden for att undersöka om de innehåller något som kan kopplas till övergrepp mot barn. Detta som en »tillfällig« lag, på grund av att EECC ovan inte tillåter plattformarna att snoka i sina användares meddelanden.
  • Gällande ePrivacy-förordning förbjuder samtidigt generell övervakning av vad folk har för sig på internet. Denna regel föreslås tas upp och fortsätta gälla inom ramen för den föreslagna Digital Services Act (DSA).
  • En ny ePrivacy-förordning är på gång. Dess syfte var att skydda användarna från plattformarnas insamling av användarnas persondata. Nu vill ministerrådet mjuka upp den för att ge plattformarna tillgång till användarnas metadata, utan att samtycke krävs.
  • Samtidigt ställer både EU:s upphovsrättsdirektiv och förordningen om terror-relaterat innehåll online krav som i praktiken kommer att kräva uppladdningsfilter. Vilket kommer att kräva att allt innehåll som alla laddar upp måste granskas.
  • Redan 2014 beslutade EU-domstolen att upphäva datalagringsdirektivet – eftersom det inte är tillåtet med svepande övervakning av alla, utan misstanke om brott.

Detta är en soppa av motstridiga förslag och beslut.

Gissningsvis är upplägget så här: The European Electronic Communications Code gick längre vad gäller att skydda nätanvändarnas rätt till privatliv än myndigheterna hade tänkt sig. Med förslaget om »chat control« vill man nu införa en tillfällig lag för att kunna fortsätta den övervakning av innehållet i användarnas kommunikationer som bl.a. Facebook och Google redan ägnar sig åt. I ett tredje steg vill man att den nya ePrivacy-förordningen skall permanenta detta undantag. Så att man kan fortsätta övervaka folk.

Det ändrar dock inte det faktum att the Digital Services Act ser ut att innehålla ett fortsatt förbud mot generell övervakning. Det ändrar inte heller det faktum att EU-domstolen har förbjudit svepande övervakning av alla utan misstanke om brott.

Det är också värt att notera att EU med ena handen vill skydda användarnas data och metadata från Facebook och Google – samtidigt som man kräver att Facebook, Google & Co skall öppna och granska innehållet i sina användares privata meddelanden. Motsvarande resonemang gäller uppladdningsfilter i dess olika reinkarnationer.

Hur man tänkt få ihop allt detta är högst oklart. Lägg därtill att EU-kommissionen flaggat för ett nytt datalagringsdirektiv – och oredan blir ännu värre.

Här är en del aktuella länkar, för den som vill försöka förstå:
• PP: ePrivacy-förordningen närmar sig trilogförhandlingar »
• MEP Patrick Breyer (PP, DE): Attack on digital privacy – Council position on ePivacy does not deserve its name! »
• Netzpolitik: EU-Staaten verwässern digitales Briefgeheimnis »
• Lukasz Olejnik: Analysing the Council of the EU ePrivacy Regulation – is it obsolete? »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »
• Aktuella EU-planer som kan inskränka friheten online »

Aktuella EU-planer som kan inskränka friheten online

Det är mycket nu. Här är en listning av några saker som är på gång i EU när det gäller internets frihet, yttrandefrihet och övervakning:

Chat control

EU vill att alla användares alla meddelanden skall avkrypteras och grankas i jakt på olagligt innehåll. Förmodligen omröstning i Europaparlamentets plenum i april. Länk »

TERREG / TCO

EU vill införa censur för åsikter. Visserligen handlar det om terroristpropaganda, men det kan lätt utökas till andra områden. Förordningen kräver nedtagning av flaggat material inom en timma, ger medlemsstaternas myndigheter rätt att beordra nedtagning av material på servrar i andra länder – och återuppladdning av flaggat material får inte ske, vilket i praktiken kommer att kräva uppladdningsfilter. Länk »

Uppladdningsfilter (copyright)

EU:s redan beslutade upphovsrättsdirektiv håller nätplattformarna ansvariga om upphovsrättsskyddat material publiceras. I praktiken innebär detta automatiserade uppladdningsfilter som granskar allt som alla laddar upp – och som inte förstår i vilken kontext sådant material publiceras. Detta skall vara införlivat i svensk lagstiftning senast i sommar.

Länkskatt (copyright)

I EU:s upphovsrättsdirektiv ingår även idén om länkskatt – det vill säga att närplattformarna tvingas betala traditionell media för att länka till dess siter. Även detta skall vara svensk lag senast i sommar.

Trusted Flaggers (DSA)

I EU:s föreslagna Digital Services Act föreslås bland annat att organisationer som »företräder kollektiva intressen« skall upphöjas till statligt godkända nätgranskare, vars anmälningar till nätplattformarna skall prioriteras. En del säkerhetsspärrar finns, men detta kommer att bli kontroversiellt. Länk »

Nytt datalagringsdirektiv

EU-kommissionen o0ch ministerrådet vill gå fram med ett nytt datalagringsdirektiv – efter att EU-domstolen ogiltigförklarat det förra, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Vad det handlar om är lagring av data om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, nätuppkopplingar, mobilpositioner m.m.

Code of Conduct on countering illegal hate speech online

EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet. Detta är ett kontroversiellt ämne som säkert kommer att skapa debatt. Dock är det oklart om denna uppförandekod kommer att beslutas inom ramen för de demokratiska institutionerna – eller om den kommer att fastställas med partsintressen, bakom stängda dörrar till exempel i EU:s Internet Forum.

Övrigt

Det pågår även arbete vad gäller frågor som automatiserad ansiktsigenkänning och utökad registrering av resenärer (PNR). Därtill kommer naturligtivs frågan om ett digitalt corona-pass för resor och fri rörlighet i samhället. Detta är av intresse även om dessa frågor inte direkt berör friheten online.

Följ nät- och övervakningsfrågorna här på bloggen.

EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden

Med risk för att tjata: EU är på väg att införa kontroll, övervakning och analys av innehållet i alla alla nätanvändares alla meddelanden och all e-post. Detta omfattar även krypterad information, hur nu det är tänkt att gå till.

Så här sammanfattar ledamoten av Europaparlamentet Patrick Breyer (PP, DE) saken:

»The EU wants to have all private chats, messages, and emails automatically searched for suspicious content, generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance through fully automated real-time messaging and chat control and the end of secrecy of digital correspondence.«

Häromdagen var det nya trílog-förhandlingar mellan Europaparlamentet, ministerrådet och kommissionen. För första gången under dessa samtal fördes frågan om medborgarnas grundläggande fri- och rättigheter (som rätten till privatliv och privat korrespondens) upp på dagordningen. Detta tycks dock inte ha haft någon större inverkan på sakfrågan. Se Patrick Breyer kommentera saken i ett videoklipp på Twitter.

Samtidigt har Microsoft, Facebook, Google m.fl. skrivit brev till Europaparlamentets ledamöter – där de argumenterar för färre begränsningar vad gäller denna övervakning av användarnas korrespondens.

En fråga i sammanhanget är hur EU-apparaten kan oroas över sociala medias insamling av användares persondata – och samtidigt vilja ge dessa företag tillgång till innehållet i alla användares alla meddelanden.

En annan fråga som hänger i luften är hur detta förslag förhåller sig till EU:s förbud mot generell övervakning.

Läs mer hos Patrick Breyer. Notera speciellt de risker med förslaget som han listar mot slutet av sin text.

Länkar:
• MEP Patrick Breyer (PP, DE) – video-uppdatering på Twitter »
• Patrick Breyers bloggpost om chat control »
• Big Datas brev till Europaparlamentets ledamöter »
• PP: Svenska EU-parlamentariker hetsar om ny övervakningslag »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »

IMF vill koppla din onlinehistorik till din kreditvärdighet

Ett antal medarbetare på Internationella Valutafonden (IMF) föreslår i en rapport att människors sökhistorik skall kopplas till deras kreditvärdighet.

Författarna menar att sådant som sökhistorik och nätinköp kan ge en bättre bild av enskilda individers kreditvärdighet, speciellt när kreditinstituten har dålig tillgång till hård data. De skriver:

»The most transformative information innovation is the increase in use of new types of data coming from the digital footprint of customers’ various online activities—mainly for credit-worthiness analysis.«

Till att börja med känns det som om detta ligger farligt nära det kinesiska systemet med »social scoring«.

Vidare kan människors digitala spår avslöja mycket privat information (politiska sympatier, sexuella preferenser, religion m.m.) som ingen annan har med att göra. Sådan information kan dessutom orsaka skada om den läcker (eller säljs) till andra aktörer.

Detta kan även utgöra ett hot mot informationens frihet och meningsfriheten, då människor kan komma att undvika känsliga och kontroversiella sökbegrepp i syfte att upprätthålla en god kreditvärdighet.

Samt att man i princip upphäver människors rätt til anonymitet på nätet.

Vad kan väl möjligen gå fel? Detta är ett förslag som bör gå rakt ner i papperskorgen.

Länkar:
• IMF Calls for Credit Score to be Tied to Internet Search History »
• What is Really New in Fintech »

Norge: Grindr bötfälls för att ha delat data utan uttryckligt samtycke

Gay-dating-appen Grindr har (i ett förhandsavgörande) dömts att betala 100 miljoner NOK i böter, av en norsk domstol. Detta motsvarar en tredjedel av företagets årliga vinst.

Domen handlar om att man delat användardata med hundratals, potentiellt tusentals annonsörer och andra företag – utan användarnas uttryckliga samtycke.

Speciellt känsligt blir det naturligtvis då det handlar om en app med vilken man kan dra slutsatser om användarnas sexuella preferenser.

Läs mer: The Dating App “Grindr” to be fined almost € 10 Mio »

Se även vår tidigare rapportering om Grindr:

EU: Nu skall alla dina elektroniska meddelanden granskas

Framåt sommaren kan alla företag som förmedlar elektroniska meddelanden människor emellan tvingas att granska allt. Detta kommer att ske med automatiska filter. Flaggat material kommer sedan att översändas till relevanta myndigheter och organisationer, utan föregående mänsklig granskning.

Ledamoten av Europaparlamentet, Patrick Breyer (PP,DE) skriver:

»The EU wants all private electronic messages to be monitored and searched by unreliable algorithms for possible child pornographic content. Providers of e-mail, messenger and chat services are to be allowed to search the content of all private messages without suspicion for known and unknown child and youth pornography and for the “initiation of sexual contacts” with minors – also with the help of error-prone “artificial intelligence”. If an algorithm flags a message as suspicious, message content and customer data may be disclosed to law enforcement agencies and non-governmental organisations worldwide, without human review. The users reported will never know about this, regardless of the outcome of the investigation.

Until now, only major US services such as GMail, Outlook.com and Facebook Messenger are indiscriminately screening all private messages. However, the EU Commission wants to oblige all providers to do so in future.«

Den här gången är det alltså sexuellt utnyttjande av barn som används som murbräcka. Vilket är en fiffig teknik – eftersom i princip ingen försvarar sådana övergrepp. På så sätt kan man tysta eller i vart fall minska kritiken mot förslaget. Men vi vet av erfarenhet att övervakning som sätts upp i ett syfte tenderar att drabbas av ändamålsglidning. När verktygen väl är på plats är det lätt ordnat att utöka övervakningen till att även omfatta annat.

Därför kan det nog vara klokt att inte sända några nakenbilder alls, inte ens av samtyckande vuxna. Utgå från att de kan komma att hamna på drift och eventuellt användas på annat sätt än det avsedda.

»You could be wrongfully suspected of possessing child pornography. US corporations algorithms often report perfectly legal holiday photos of children on the beach to the police – up to 90% of the algorithmically generated reports are unfounded. If you are sent unsolicited illegal material you will also be reported to the police. Teenagers who send self-generated nude pictures are particularly at risk of being reported – 40% of investigations for “child pornography” in Germany target minors.«

Men det är inte den enda risken:

»You could be in big trouble the next time you travel abroad. Reports are forwarded to various countries like the US, which lacks basic data protection rules – with unforeseeable consequences for you.

Your private messages and flirtations can be read by employees of US corporations if algorithms wrongfully flag you for „soliciting minors“.«

Till detta skall man lägga EU:s (och andras) enträgna försök att få tillgång till bakdörrar till krypterade meddelandetjänster.

Hur detta går ihop med det generella förbudet mot övervakning (som även finns kvar i the Digital Services Act) är högst oklart. Det samma gäller skyddet för privat korrespondens, som är en konventionsskyddad grundläggande mänsklig rättighet.

Bara vetskapen om att alla meddelanden kommer att granskas ställer naturligtvis till det för alla som sänder (legitim) känslig information. Dina meddelanden till kollegor, läkare, psykolog, media och annat som kan vara känsligt kommer att granskas och kan flaggas av misstag. Detta för att inte tala om hur besvärligt det kommer att bli för visselblåsare och andra som avslöjar hemligheter som myndigheter och andra inte vill att folket skall få vetskap om.

Man räknar, som sagt, med att 90% av alla flaggningar är felaktiga.

En första nyckelvotering kan komma att äga rum i Europaparlamentet redan under februari månad.

Läs mer hos Patrick Breyer (PP, DE) »

EU: Persondataskydd eller digital protektionism?

EU-kommissionen har presenterat ett förslag till en Data Governance Act.

Man beskriver den så här:

»The proposal is the first of a set of measures announced in the 2020 European strategy for data. The instrument aims to foster the availability of data for use by increasing trust in data intermediaries and by strengthening data-sharing mechanisms across the EU.«

Å ena sidan vill man begränsa utflödet av persondata från EU. Å andra sidan öppnar man för europeiska »data-mäklare«.

Motherboard/Vice skriver:

»One of the larger proposed changes is the establishment of so-called independent “data intermediaries” that would facilitate data-sharing between consumers and businesses. Critically, these data intermediaries would have to be neutral, meaning that they wouldn’t be able to sell data to other companies nor use it to benefit their own. They would also be legally required to refuse requests for access by non-European authorities, such as the NSA, unless they are approved by an EU court.«

Man får en känsla av att det inte handlar så mycket om omsorg om persondata som att ge företag i EU ett övertag mot de amerikanska data-jättarna. Digital protektionism, om man så vill.

Det är också lite förvirrande att dessa »data-mäklare« förväntas tillhandahålla data-delning mellan konsumenter och företag – men utan att få sälja data till företag eller använda denna data för egen vinning. Frågan är vilken affärsmodellen antas vara.

»Based on the proposal, we see a fundamental shift in the European Union’s approach to data governance, from data protection to data harvesting,” Estelle Massé, a senior policy analyst at Access Now, wrote to Motherboard in an email. “From the narrative to the scope of the proposal, the European Commission is moving from a perspective of protecting and empowering people to one fostering more sharing of information. Now, these approaches don’t necessarily have to be at odds, however, we see very little in the draft Data Governance Act that would help empower people.«

Enkelt uttryckt är det lite oklart vad kommissionen egentligen vill med detta lagförslag.

Om EU vill gynna europeiska nätföretag – då kanske man istället borde sluta skrämma bort dem med överreglering.

USA: presidentvalet, internet och övervakningen

Vad innebär det amerikanska presidentvalet när det kommer till internetfrågorna och övervakningen? Vi kan naturligtvis inte veta, men det finns ledtrådar.

Sociala media

Mycket talar för att Donald Trump kommer att tvinga de sociala plattformarna på nätet att bestämma sig. Är de rena plattformar, som inte kan hållas ansvariga för vad deras användare uttrycker? Eller är de publicister som styr och redigerar innehållet på sina siter, med det redaktionella ansvar detta medför?

Om Joe Biden vinner kan man vänta sig mer av en anpassning till EU:s nya nätregler (Digital Services Act) för harmoniserade regelverk på båda sidor Atlanten. I vart fall brukar demokraterna och EU synka rätt väl vad gäller reglering av internet.

Dataöverföring (Privacy Shield / Safe Harbor)

Avtalet om säker överföring och hantering av persondata från EU till USA har (i sina olika varianter) fått hård kritik. Bland andra EU-domstolen anser att det inte ger tillräckliga garantier mot att sådan data hamnar i händerna på amerikanska underrättelseorgan. Domstolen har nu upphävt avtalet.

Trump ser detta (och en del annat som EU sysslar med på nätområdet) som handelshinder. Och vad gäller Biden, så var han vicepresident när de avtal upprättades mellan EU och USA som EU-domstolen nu har underkänt.

Massövervakning

USA har nu upphört med vissa av de former av automatiserad massövervakning som avslöjades av Edward Snowden – helt enkelt för att de inte varit effektiva. Vissa har även förklarats olagliga av domstol.

Vad som händer nu är svårt att veta. Man bör dock hålla i minne att Obama-administrationen (där Biden var vicepresident) var pådrivande för olika former av massövervakning.

Oavsett vem som vinner kan man utgå från att USA kommer att ägna sig åt den massövervakning man anser behövs för att upprätthålla den nationella säkerheten.

Edward Snowden

President Trump har funderat högt om att benåda visselblåsaren Edward Snowden, som avslöjade NSA:s globala massövervakning. Hur det sedan blir med den saken är omöjligt att veta. Trump funderar ju ofta högt, om många olika saker.

Däremot kan man utgå från att demokraternas Joe Biden är fientligt inställd mot Snowden. Åter handlar det om historiska skäl, från tiden för Obama-administrationen.

Julian Assange (Wikileaks)

Det är komplicerat. Trump-administratione har begärt Assange utlämnad från Storbritannien – misstänkt för allt från dataintrång till spioneri, trots att det Wikileaks ägnat sig åt snarare kan betraktas som journalistik.

Bidens Obama-administration lät bli att göra samma sak – eftersom man ansåg att just gränsdragningen mot journalistik var för känslig och att det hela kunde sluta i dålig publicitet.

Samtidigt är Bidens demokratiska parti ursinnigt på Wikileaks såväl för publiceringen av krigsdagböckerna som ambassadtelegrammen – och framförallt för att Assange medverkade till spridandet av läckt information från partiets mailserver, i samband med förra presidentvalet.

Möjligen skulle demokraternas nära förhållande till media kunna leda till att begäran om utlämning dras tillbaka och att åtalspunkterna blir vilande. Den ömsesidiga fiendskapen mellan Assange och det demokratiska partiet gör dock detta mindre troligt.

Automatiserad ansiktsigenkänning – nu i Sverige

Polisen har fått klartecken för ett nytt verktyg som automatiskt analyserar video och bilder – bland annat med hjälp av automatiserad ansiktsigenkänning. Vilket väcker en del frågor och farhågor.

Låt oss börja med att se vad detta inte är. Det handlar inte om att automatiskt övervaka allmän plats och att få flaggningar så fort någon person av intresse dyker upp i bild. Polisen ville testa ett sådant system på Skavsta flygplats – men där sa Datainspektionen nej.

Vad det däremot handlar om är automatisk genomsökning av video och bilder i jakt på något specifikt, på en bestämd plats vid en bestämd tidpunkt. Detta omfattar även automatisk ansiktsigenkänning.

I detta fall är det alltså fråga om material som ändå skulle ha gåtts igenom, fast av fysiska poliser. På så sätt kan det rent av handla om att färre personer tittar på de övervakningsfilmer där du eller någon annan oskyldig förekommer. En automatisering och en eventuell effektivisering, med andra ord. Men det är ändå inte problemfritt.

Dels vet vi att automatiserade system ger ett stort antal »falska positiva« flaggningar, ibland i en sådan omfattning att det underliggande materialet blir svårare att hantera.

Dels är det oklart hur mycket biometrisk data som kommer att användas och från vilka källor. Om det handlar om misstänkta i det specifika fallet är det en sak. Om det handlar om bredare data, där biometrisk data för en bredare allmänhet (t.ex. från passregistret) används, då är det mer problematiskt.

Här finns också en viktig metodfråga. Om en människa, med förhoppningsvis gott omdöme och god analytisk förmåga, tittar igenom t.ex. en övervakningsfilm – då kan information som är viktig för en utredning framkomma, som inte framkommer om man bara söker på ett visst ansikte, ett visst signalement eller en viss sak. Det kan handla om en person som inte ingår i utredningen, men vars närvaro ändå är av intresse. Eller om ett visst händelseförlopp före eller efter det man söker. Risken är att automatiserad analys missar sådant som den inte uttryckligen är tillsagd att söka efter.

Slutligen kan det system som nu fått klartecken användas för att utveckla automatiserad ansiktsigenkänning på allmän plats. Även om Datainspektionen i dagsläget säger nej till sådan, så lär sista ordet inte vara sagt. Om inte svenska polisen kommer att kunna tjata sig till ett sådant verktyg, så kan det komma från EU.

Länkar från SR:
• Polisen får klartecken för ansiktsigenkänning »
• ”Rör sig om känsliga uppgifter” (ljudinslag) »