Så viktigt är dataskydd
Dataskydd handlar om vår rätt till din persondata och skydd av densamma. Detta gäller oavsett om våra data finns på nätet eller på andra ställen. Här skriver vi om allt från GDPR till nyfikna myndigheter som samlar in mer data om befolkningen än de behöver.
Tyskland stoppar EU:s ChatControl?
EU vill granska innehållet i alla dina elektroniska kommunikationer. Men nu ser Tyskland ut att säga nej.
Som vi tidigare rapporterat vill EU av-kryptera, öppna och kontrollera innehållet i alla medborgares alla elektroniska meddelanden, chattar, e-post med mera (ChatControl). Syftet är att bekämpa sexuella övergrepp mot barn.
Men det ser ut som om Tyskland kommer att säga nej i ministerrådet. Justitieminister Marco Buschmann (FDP) och digitaliseringsminister Volker Wissing (FDP) var först ut med att säga stopp. Och nu säger även inrikesminister Nancy Faeser (SPD) nej.
Faeser säger till Spiegel »Jag anser att det inte är förenligt med våra fri- och rättigheter att kontrollera alla privata meddelanden utan anledning.«
Hon menar att det är bättre att spana mot digitala miljöer där man vet att det faktiskt förekommer sexuella övergrepp mot barn, för att snabbt kunna sätta in polisiära insatser.
Om Tyskland säger nej kommer det att bli svårt för EU-kommissionär Ylva Johansson att driva igenom idén om ChatControl. Men än är striden inte avgjord.
EU avskaffar rätten till privat korrespondens
EU-kommissionen vill att alla dina elektroniska meddelanden, alla chattar och all din e-post skall av-krypteras och att dess innehåll skall granskas. Förslaget kallas informellt ChatControl – eller meddelandekontroll på svenska.
Granskningen skall göras av till exempel sociala media, meddelandetjänster och e-post-leverantörer. Ambitionen är att innehållet i alla EU-medborgares alla elektroniska kommunikationer skall granskas.
Detta kommer att ske med hjälp av maskiner och deras algoritmer. Misstänkt material kommer att överlämnas till polisen.
Ironiskt nog håller politiken med detta på att tvinga de nätjättar som redan kritiseras för att veta allt för mycket om sina användare att öppna och ta del av innehållet i våra meddelanden.
Förevändningen är att kontrollera att du inte sprider barnporr eller ägnar dig åt sexuellt utnyttjande av barn.
Detta är en perfekt politisk murbräcka. Vem är väl för sexuella övergrepp på barn?
Men det finns många problem med detta förslag. Några exempel:
Siffror från Schweiz visar att nio av tio sådana flaggningar är falska flaggningar. Därmed drabbas helt oskyldiga människor av misstanken om att de ägnar sig åt barnporr.
40 procent av flaggat material tycks vara tonåringar som sänder bilder på sig själva till andra tonåringar. Vilket i vart fall delvis är en annan fråga.
Enligt förslaget skall en åldersgräns införas för meddelande-appar och meddelandetjänster. Vilket gör det omöjligt att kommunicera anonymt. Detta kan drabba till exempel whistleblowers, journalister, själasörjare, läkare, advokater, medborgarrättsaktivister och många andra som har ett helt legitimt intresse av att kommunicera anonymt.
Dessutom skall man komma ihåg att övervakningslagar alltid drabbas av ändamålsglidning.
FRA skulle bara spana på ryssen. Detta har med tiden ändrats så att man nu även får spana på svenska kommunikationer inom landet.
Trots löften om motsatsen är FRA-butiken nu öppen för allehanda svenska och utländska myndigheter.
Datalagringen skulle bara användas för att bekämpa allvarlig brottslighet. Snabbt blev den ett verktyg för att jaga fildelare. Den blev även populär hos Skatteverket, för att snoka i folks privatliv.
Vad är det som säger att syftet inte kommer att utökas även denna gång?
Vill vi verkligen avskaffa den digitala brevhemligheten? Enligt Europakonventionen om de mänskliga rättigheterna är rätten till privatliv och privat korrespondens en grundläggande mänsklig rättighet.
Vill vi verkligen att allt vi skriver, säger och sänder till varandra skall granskas?
Litar vi verkligen på att maskiner och algoritmer kan göra en rimlig analys av våra meddelanden?
Det måste finnas andra sätt att bekämpa sexuella övergrepp mot barn, utan att avskaffa vår rätt till privat kommunikation. (Det kan nämnas att EU:s direktiv från 2011 om att skydda barn från sexuellt utnyttjande i stora delar ännu inte har implementerats.)
Det är även värt att notera att det redan utan de nya EU-reglerna samlas outredda ärenden om sexuellt utnyttjande av barn på hög hos polisen i många EU-länder. Man kanske skulle börja med att beta av dem?
En sak kan sägas med säkerhet: På samma sätt som andra övervakningslagar drabbats av ändamålsglidning kommer syftet med ChatControl att utökas med tiden.
Därför är det bättre att hålla den dörren stängd.
Relaterat:
• Piratpartiets Katarina Stensson skriver idag i SvD: Stoppa EU-lag som kräver insyn i chattar »
• Granskning: Lobbykampanjen för #ChatControl »
• Skarpt EU-förslag idag: Av-kryptering och granskning av alla meddelanden och all e-post »
• Aktuella lagförslag »
EU gör Europol till ett europeiskt NSA
EU gör Europols tidigare olagliga insamling av persondata om icke misstänkta medborgare laglig – och öppnar för AI och algoritmbaserade verktyg för ökat automatiserat beslutsfattande.
Aktivister och media börjar nu borra sig ner i EU:s nyligen antagna utökade mandat för den europeiska polisorganisationen Europol. Vi har tidigare rapporterat om huvuddragen, men djävulen finns som vanligt i detaljerna. Bill Goodwin på Computer Weekly har en omfattande genomgång. Vi gör en del nedslag i hans text.
Som vi tidigare rapporterat kommer Europol nu att samla in persondata från företag, internetoperatörer och sociala media. Detta gäller även data om personer som inte är misstänkta för brott, vilket tidigare varit olagligt.
Medlemsstaterna kommer att förse den europeiska polisorganisationen med data som till exempel passageraruppgifter från flyget (snart även båt, tåg, bilhyror och hotellövernattningar) och uppgifter man dammsugit upp från sociala media.
Det finns farhågor om att sådan data kommer att samlas in på nationell nivå utan tillräcklig kontroll och respekt för individens rätt till privatliv – och att den kommer att »tvättas« genom att matas in i nya, centrala databaser.
Samtidigt får Europol allt större möjligheter att samla in och dela data från tredje land – som inte alltid uppfyller europeiska krav på rättsstat och medborgerliga fri- och rättigheter.
EU:s dataskyddsombudsman har uttryckt oro för hur man hanterat data redan innan beslutet om ett utvidgat mandat. »Without putting in place the safeguards provided in the Europol regulation, individuals run the risk of being wrongly linked to criminal activity across the EU, with all the potential damage to their private and professional lives that that entails.«
Med det nya mandatet kommer dataskyddsombudmannen att få minskad insyn i hur Europol hanterar sin data.
Europol får nu även rätt att utveckla algoritmer och AI för automatiskt beslutsfattande och förutspående polisarbete (pre-crime). För att träna upp systemet kommer man att samla in data sets från medlemsstaterna – såväl rörande brottslig verksamhet som om vanliga, hederliga medborgare som inte gjort eller misstänks ha gjort något fel.
Detta kolliderar med Europaparlamentets tidigare rekommendation att inte tillåta AI för till exempel automatiskt beslutsfattande vid pre-crime-analyser. Parlamentet har alltså fattat två helt motstridiga beslut.
Med tanke på att Europol redan tidigare brutit mot reglerna och sparat olaglig data känns det utökade mandatet oroväckande.
Ambitionen tycks vara att göra Europol till en motsvarighet till amerikanska NSA (»collect it all«) eller brittiska GCHQ.
• Läs mer i Computer Weekly: Europol gears up to collect big data on European citizens after MEPs vote to expand policing power »
Apple, Google och Microsoft inför inloggning utan lösenord
Öppna din telefon och du kan också nå dina sidor på nätet, utan lösenord. Detta är den lösning Apple, Google och Microsoft presenterar idag.
Apple förklarar:
»The expanded standards-based capabilities will give websites and apps the ability to offer an end-to-end passwordless option. Users will sign in through the same action that they take multiple times each day to unlock their devices, such as a simple verification of their fingerprint or face, or a device PIN. This new approach protects against phishing and sign-in will be radically more secure when compared to passwords and legacy multi-factor technologies such as one-time passcodes sent over SMS.«
The Hacker News:
»The new Fast IDentity Online (FIDO) sign-in system does away with passwords entirely in favor of displaying a prompt asking a user to unlock the phone when signing into a website or an application.
This is made possible by storing a cryptographically secured FIDO credential called a passkey on the phone that’s used to log in to the online account after unlocking the device.
”Once you’ve done this, you won’t need your phone again and you can sign-in by just unlocking your computer,” Google said.
”Even if you lose your phone, your passkeys will securely sync to your new phone from cloud backup, allowing you to pick up right where your old device left off.”«
Det skall bli intressant att se hur detta kommer att fungera i praktiken, till exempel vid inloggning på delade enheter.
• Apple: Apple, Google, and Microsoft commit to expanded support for FIDO standard to accelerate availability of passwordless sign‑ins »
• The Hacker News: Google to Add Passwordless Authentication Support to Android and Chrome »
Europol får utökat mandat för övervakning
Europol får nu rätt att lagra data om medborgare som inte är misstänkta för brott. Man får också direkt tillgång till data hos privata aktörer som Google, Microsoft och Facebook.
Europaparlamentet har idag godkänt Europols nya, utökade mandat. Som vi tidigare rapporterat ger man nu grönt ljus för den tidigare olagliga lagringen av data om medborgare som inte är misstänkta för brott. (Beslutet gäller retroaktivt.) Man godkänner även att Europol ges direkt tillgång till data hos privata aktörer på nätet.
Europol får även möjlighet att använda AI för brottsförebyggande arbete. Det vill säga pre-crime-utredningar, riktade mot brott som ännu inte begåtts. Detta innebär en risk för flaggning av falska positiva, vilket i sin tur kan leda till att helt oskyldiga kommer att drabbas.
Chloé Berthélémy, Policy Advisor på European Digital Rights (EDRi) säger:
»The European Union is transforming its law enforcement agency into a data black hole. Europol will be allowed to collect and share data left, right, and centre without much restriction or control. The reform of Europol also validates the development, deployment and use of harmful policing technologies that will undermine people’s most basic rights.«
Laure Baudrihaye-Gérard, Legal Director (Europe) på organisationen Fair Trials säger:
»No law enforcement agency should be above the law. Europol already has vast amounts of data processing power and we have seen that EU institutions are turning a blind eye to its unlawful and high-risk activities. Extending Europol’s mandate sets a dangerous precedent, implying that law enforcement can operate without accountability or oversight. It is highly concerning for fundamental rights in the EU.«
Länkar:
• Europaparlamentet: Parliament backs giving more powers to Europol, but with supervision »
• Fair Trials: Europol’s ever-increasing mandate: European Parliament fails to stand up for fundamental rights »
Tidigare, relaterat:
• Europol får fortsätta registrering av icke misstänkta »
• Europol’s expanding mandate: European Parliament must stand against unaccountable and discriminatory policing »
EU:s Digital Services Act klar för beslut
Ingen rätt till anonymitet online, ingen rätt till kryptering, inget förbud mot datalagring eller uppladdningsfilter. Myndigheter i ett EU-land kan beordra borttagning av innehåll på servrar i en annan medlemsstat – även om det inte är olagligt i det senare. Dessutom statligt godkända nätcensorer. Det är några av punkterna från slutförhandlingen om EU:s nya Digital Services Act.
Efter 16 timmars förhandlingar mellan EU-kommissionen, ministerrådet och Europaparlamentet finns nu en överenskommelse om EU:s Digital Services Act. Det finns dock ingen sammanställd slutlig text ännu. Men en del saker vet vi redan.
Låt oss börja med att se hur Europaparlamentet presenterar saken i sitt pressmeddelande:
• Access to platforms’ algorithms now possible
• Online platforms will have to remove illegal products, services or content swiftly after they have been reported
• Protection of minors online reinforced; additional bans on targeted advertising for minors as well as targeting based on sensitive data
• Users will be better informed how content is recommended to them
En god nyhet är att användare som censureras av sociala media kan komma att få någon form av möjlighet att överklaga.
Så över till den mer kritiske ledamoten av Europaparlamentet Patrick Breyer (PP, DE):
»We were able to prevent removal obligations for search engines. We could also prevent the indiscriminate collection of the cell phone numbers of all uploaders to adult platforms, which would have endangered their privacy and the safety of sex workers due to foreseeable data hacks and leaks. Minors will be protected from surveillance advertising on online platforms. However, the ban on using sensitive personality traits (e.g. a person’s political opinion, diseases or sexual preferences) for targeted manipulation and targeting was heavily watered down.«
»Our online privacy will not be protected by a right to use digital services anonymously, nor by a right to encryption, a ban on data retention, or a right to generally opt-out of surveillance advertising in your browser (do not track). Freedom of expression on the Internet is not protected from error-prone censorship machines (upload filters), nor from arbitrary platform censorship. Cross-border removal orders issued by illiberal member states without a court order can take down media reports and information that is perfectly legal in the country of publication.«
Dessutom står förslaget om Trusted Flaggers (betrodda anmälare / statligt godkända nätcensorer) kvar, då det inte mött något egentligt motstånd eller ens ifrågasatts under förhandlingarna. Läs mer om problemen med Trusted Flaggers här »
Nu när förhandlingarna är klara kommer förordningen sannolikt att godkännas av EU:s ministerråd och Europaparlamentet utan ändringar.
Vi återkommer när det finns en slutlig, konsoliderad text.
Social scoring testas nu även i Europa
Det system med social scoring som provats i delar av Kina har väckt uppmärksamhet och förfäran. Nu testas konceptet i Europa.
Italienska Bologna prövar nu en »Smart Citizen Wallet«. Det är en (än så länge) frivillig app, i vilken medborgarna kan samla poäng genom att till exempel sopsortera och åka kollektivt. En liknande app har testats i Rom.
Den som är duktig, lydig och välkammad kan komma att få olika former av rabatter.
Den stora frågan är OM detta skulle bli ett mer allmänt system – VEM är det då som skall bestämma VILKET BETEENDE som skall belönas eller straffas? Och på vilka grunder?
Det saknas inte politiska trender och en vilja till förmynderi som kan få genomslag här.
Man kan också fundera över om det är så bra att gradera medborgarna efter förment präktighet. Här finns en uppenbar risk att människor kommer att tillerkännas olika rättigheter inför staten. Som i Kina.
Detta för att inte nämna riskerna vad gäller skydd av persondata, rätten till privatliv och risken för övervakning.
Social scoring var en farlig och dålig idé i Kina – och är det även i Europa.
Mer information och sämre säkerhet i EU:s nya superregister
Det franska EU-ordförandeskapet vill utvidga lagringen av DNA, biometrisk data och persondata – automatisera den och samköra allt med AI-baserade övervakningssystem.
Statewatch rapporterar:
»The French Presidency of the Council is seeking EU-wide comparisons of every DNA profile held by police forces against all those held by other national police forces, as well as EU policing agency Europol, as part of plans to upgrade the ‘Prüm’ network of police databases. It also hopes to automate the police exchange of facial images by eliminating requirements for human review.«
»The proposals come in an amended version of a proposal originally published by the European Commission in December 2021, which will upgrade the Prüm network of DNA, fingerprint and vehicle registration databases to include facial images and “police records”, as well as driving licence data, if the Council has its way.«
Man vill alltså se registrering av fler personuppgifter och underlätta för medlemsstaterna att göra automatiska sökningar i registren, utan mänsklig kontroll.
Vilket innebär att även myndigheter i länder som Rumänien kommer att få automatisk tillgång till flera av den svenska polisens databaser. Länder med dålig IT-säkerhet. Länder som redan har problem med korruption. Länder som misstänks läcka information till kriminella nätverk och främmande makt.
Med Europols nya mandat godkänns även dess tidigare olagliga lagring av data om personer som inte är misstänkta för brott. Man får också direkt tillgång till data hos bland andra Google och Microsoft. Allt det ovanstående kan nu knytas samman i ett nätverk, tillgängligt för myndigheterna i alla 27 EU-länder plus Storbritannien.
Det skall också noteras att Frankrike driver på för mer automatiserad och AI-baserad övervakning i realtid, kopplad till just sådana register som här diskuteras.
Riskerna för informationsläckage och missbruk är uppenbara.
• EU: Policing: France proposes massive EU-wide DNA sweep, automated exchange of facial images »
Nu granskas hemlig europeisk övervakning i politiska syften
Idag har Europaparlamentet startat utfrågningar om spionprogramvaran Pegasus, som bland annat använts för att spionera mot oppositionella i Polen och Spanien.
Pegasus är en spionprogramvara som tillverkas av israeliska NSO Group. Enkelt uttryckt möjliggör den hemlig dataavläsning och ger tillgång till det mesta som finns på en mobil eller surfplatta.
Det finns gott om exempel på hur Pegasus använts för att övervaka journalister och oppositionella runt om i världen. Det gäller även europeiska länder som Polen och Spanien.
Katalanska politiker, ledamöter av Europaparlamentet, jurister, människorättsaktivister och deras anhöriga är exempel på personer som övervakats med detta verktyg.
Att detta är ett demokratiskt problem är uppenbart. Men problemet är även tekniskt. För att kunna använda hemlig dataavläsning behöver myndigheterna utnyttja tidigare okända säkerhetsluckor i vår IT-infrastruktur. Dessa luckor lämnas sedan öppna, istället för att täppas till – för att övervakningen skall kunna fortsätta. På så sätt blir vi alla mindre säkra.
Även svensk polis använder sig av hemlig dataavläsning. Om det sker med Pegasus går inte att få reda på. Men svenska staten har alltså samma slags verktyg för övervakning som de länder som inte kunnat motstå frestelsen att använda den i politiska syften.
• Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru »
• More Polish opposition figures found to have been targeted by Pegasus spyware »
• Pegasus och annan statlig spyware sågas av FN-kommissionär »