Femte juli

Nätet till folket!

EU

Denna kategori använder vi för att samla nyheter och poster som har med EU att göra. Idag kommer de flesta initiativ som gäller internetfrågorna därifrån - för att sedan bli lag i medlemsstaterna.

Är Facebooks samtycke samma sak som ett kontrakt?

av

Österrikes högsta domstol sänder nu en intressant fråga till EU-domstolen: Är samtycke (till användarvillkor) samma sak som ett kontrakt mellan Facebook och användarna?

Det är Facebooks fiende nummer ett, Max Schrems, som driver ärendet. Tidigare har han bland annat stoppat dataöverföring från Facebook i Europa till USA, där det inte finns samma skydd för persondata som i EU.

Reuters rapporterar:

»The civil case revolves around Schrems’ assertion that Facebook deprives users of the rights and protections they enjoy under the EU’s privacy law, the General Data Protection Regulation (GDPR), by treating consent as a contract that empowers it to use their data to deliver targeted ads.«

Kärnfrågan tycks vara om ett samtycke till Facebooks användarvillkor underminerar GDPR.

Detta är en knivig fråga där användarvillkor, rätten att ingå kontrakt och EU-lag möjligen kolliderar.

Länkar:
• Reuters: Austrian activist Schrems’ Facebook complaint referred to EU court »
• Noyb: Austrian Supreme Court asks CJEU if Facebook ”undermines” the GDPR by confusing ’consent’ with an alleged ’contract’ »

Pegasus: Övervakning, ändamålsglidning och dubbelmoral

av

NSO-gruppens spionprogramvara Pegasus har väckt uppmärksamhet i internationell press den senaste tiden. Bland annat tycks den ha använts för politiskt spionage i Mexiko och för att spionera på journalister i Ungern.

Även om ett land skaffar sig möjlighet att övervaka människors telekommunikationer i syfte att bekämpa brottslighet och terrorism – så tenderar sådana verktyg alltid att användas för mindre ädla syften.

Vilket är värt att hålla i minne – då mycket talar för att även svensk polis använder just Pegasus för sin hemliga dataavläsning.

Dessutom finns ett grundläggande problem, som ständigt måste påpekas: För att spionprogram skall kunna användas för till exempel hemlig dataavläsning krävs att säkerhetshål i vår IT-infrastruktur lämnas öppna och oskyddade, för att kunna användas av myndigheterna. På så sätt blir vi alla mindre säkra – när dessa säkerhetsluckor lämnas öppna även för till exempel kriminella och främmande makt.

Runt om i EU vrider politikerna nu på sig. Hur skall de till exempel kunna kritisera Ungerns påstådda spioneri mot media och medborgarrättsaktivister när de själva ofta använder samma spionprogramvara; när de givit Europol i uppdrag att knäcka krypterad kommunikation – och när de givit grönt ljus för meddelandetjänster och e-post-företag att avkryptera och granska sina användares kommunikationer i jakt på olämpligt innehåll?

EU-domstolens generaladvokat ger grönt ljus till artikel 17 (uppladdningsfilter)

av

Idag har EU-domstolens generaladvokat presenterat sin rekommendation till dom i målet där Polen begärt att artikel 17 (som kommer att leda till uppladdningsfilter) i EU:s nya upphovsrättsdirektiv skall upphävas.

Generaladvokaten föreslår att artikel 17 inte skall upphävas – men rekommenderar att medlemsstaterna visar sunt förnuft vid implementeringen.

Det är värt att notera att detta inte är en dom, utan en rekommendation till dom. EU-domstolen följer oftast – men inte alltid – generaladvokatens rekommendationer.

Det är dock intressant att generaladvokaten inte hyser någon tvekan om att artikel 17 kommer att leda till uppladdningsfilter.

»As I will explain in this Opinion, that provision imposes on those providers obligations to monitor the content posted by the users of their services in order to prevent the uploading of protected works and subject matter which the rightholders do not wish to make accessible on those services. Such preventive monitoring will, as a general rule, take the form of filtering that content using software tools.«

Generaladvokaten förutser även att detta kan komma att bli problematiskt, då det finns motstridiga intressen:

»That filtering raises complex questions, put forward by the applicant, with regard to the freedom of expression and information of users of sharing services, guaranteed in Article 11 of the Charter of Fundamental Rights of the European Union (‘the Charter’). Further to its judgments in Scarlet Extended, (6)SABAM (7) and Glawischnig-Piesczek, (8) the Court will have to determine whether, and as the case may be the circumstances in which, such filtering is compatible with that freedom. It will have to take account of the advantages, but also the risks of such filtering and, in that connection, ensure that a ‘fair balance’ is maintained between, on the one hand, the interest of rightholders in the effective protection of their intellectual property and, on the other, the interest of those users, and the general public, in the free flow of information online

Han menar dock att om man följer de förbehåll som finns i artikel 17, då kan den stå kvar som den är.

»In this Opinion, I shall explain that, in my view, the EU legislature may, while observing freedom of expression, impose certain monitoring and filtering obligations on certain online intermediaries, provided, however, that those obligations are circumscribed by sufficient safeguards to minimise the impact of such filtering on that freedom. Since Article 17 of Directive 2019/790 contains, in my view, such safeguards, I shall propose that the Court should rule that that provision is valid and, consequently, that it should dismiss the action brought by the Republic of Poland. (9)«

Frågan är dock om medlemsstaterna verkligen tar hänsyn till dessa »safeguards« när direktivet görs till nationell lagstiftning. Detta speciellt som medlemsstaterna väljer lite olika vägar för sin implementation.

Enkelt uttryckt blir varje enskild medlemsstats implementation av artikel 17 avgörande. Anser man att ett lands lagstiftning strider mot nämnda skyddsåtgärder – då kan man starta en separat rättsprocess, som kan drivas ända upp till EU-domstolen.

Striden kommer alltså att stå land för land.

Jag får dock ett intryck av att generaladvokaten inte känner sig helt tvärsäker. Det är något i texten som antyder att domstolen kan komma till en annan slutsats. Vilket som sagt vore ovanligt, men inte unikt. Men stalltipset är ändå att man går på generaladvokatens linje.

• Generaladvokatens yttrande över mål C‑401/19; Republic of Poland v. European Parliament & Council of the European Union »

Datalagring – så vill EU kringgå EU-domstolens förbud

av

De flesta av EU:s medlemsstater vill ha datalagring – det vill säga lagring av data om medborgarnas telekommunikationer, e-post, uppkopplingar, mobilpositioner m.m.

Samtidigt har EU-domstolen upprepade gånger sagt nej till svepande lagring av allas teledata utan misstanke om brott.

I ett internt arbetsdokument (PDF) från EU-kommissionen till ministerrådet gör man nu ett försök att hitta vägar runt EU-domstolens domar.

Man skissar på tre olka möjligheter:

  1. Att inte göra något, utan låta varje medlemsstat brottas med sin egen lagstiftning och EU-domstolen. (Nationell säkerhet är trots allt medlemsstaternas kompetens.)
  2. En »EU-special« – det vill säga att komma överens om ett gemensamt förhållningssätt som sedan tillämpas av medlemsstaterna direkt – utan tidsödande och krånglig lagstiftning eller demokratisk process.
  3. Ny EU-lagstiftning i form av ett nytt datalagringsdirektiv.

Man tittar även närmare på EU-domstolens domar, som kan tillåta datalagring med begränsat syfte eller i begränsad omfattning, om det finns rimliga skäl.

I sammanhanget är »nationell säkerhet« något av en fribiljett. Här är en formulering ur dokumentet, som enkelt kan användas för att motivera datalagring hur länge som helst:

»The threat to national security must be serious, genuine and present or foreseeable as assessed by national authorities according to Member States’ individual threat/risk assessment taking into account national specificities.«

I punkt 3b blir det intressant. Här talar man om att datalagringen skall kunna inriktas mot vissa personer eller vissa geografiska områden. Det vill säga att det faktiskt skall finnas något slags misstanke eller risk i botten.

»In relation to categories of persons, the Court indicates that targeted retention legislation based on objective evidence can be directed at persons whose traffic and location data are likely to reveal a link, at least an indirect one, with serious criminal offences, to contribute in one way or another to combating serious crime or to preventing a serious risk to public security or a risk to national security

»Geographical targeting measures may include areas where the competent national authorities consider, based on objective and non-discriminatory factors, that there exists, in one or more geographical areas, a situation characterised by a high risk of preparation for or commission of serious criminal offences. Those areas may include places with a high incidence of serious crime, places that are particularly vulnerable to the commission of serious criminal offences, such as places or infrastructure which regularly receive a very high volume of visitors, or strategic locations, such as airports, stations or tollbooth areas

Vilket naturligtvis är en förbättring jämfört med idag, då data om allas alla telekommunikationer lagras.

Dock blir man lite betänksam när dokumentet utvecklar sitt resonemang om målinriktad datalagring. Vad gäller geografiska mål skriver nämner man bland annat följande exempel:

»…sensitive critical infrastructure sites, transport hubs, areas with above average crime rates or that may be a target for serious crime or are high security risk e.g. affluent neighbourhoods, places of worship, schools, cultural and sports venues, political gatherings and international summits, houses of parliament, law courts, shopping malls etc.«

Till exempel kan man ifrågasätta det lämpliga i att samla in metadata som kan identifiera deltagarna på ett politiskt möte.

Här talar man även om att utöka datalagringen till att även gälla OTT communication services, det vill säga meddelande-appar och meddelandetjänster online. Förmodligen avses även sociala media.

Ett annat alternativ är »quick freeze«:

»The CJEU held that competent authorities may issue an order, subject to effective judicial review, requiring electronic communications service providers to carry out, for a specified (renewable) period of time, the expedited retention of traffic and location data in their possession, subject to strict access safeguards. This resembles the so-called “quick freeze” or “data preservation” mechanism.«

Men det bygger på att man redan i ruta ett samlar in telekommunikationsdata om alla medborgare, oavsett om det finns misstanke eller ej. Vilket EU-domstolen alltså säger nej till.

Ett annat alternativ som föreslås är »generalised retention of IP addresses assigned to the source of an Internet connection for serious crime and serious threats to public security«. Men för att kunna göra det som tänkt behöver man förbjuda VPN-uppkopplingar, vilket är något man helst inte vill peta i.

Slutligen talar man även om möjligheten att ägna sig åt allmän datalagring, men bara av »civil identity data«.

»The term “data related to civil identity” is described by the Court as data that should not make it possible to get to know the date, time, duration and addressees of the communications, nor the places where they took place, or how often this happened with specific persons within a given period. Apart from “contact details of [those] users”, it is not, however, specified what this term encompasses and to what extent, if any, it is different data compared with “subscriber data”16. In the digital environment, the notion of civil identity should cover data identifying the subscribers.«

Vilken väg ministerrådet kommer att förorda är än så länge oklart. Men här kommer ett stalltips, som bygger på följande fråga i dokumentet:

»Do Member States consider there is merit in revisiting the ‘data matrix’ exercise initiated by Europol in 2018 to try to find ways to devise a targeted retention system that fulfils the Court’s requirements?«

Man öppnar alltså för att låta Europol sköta ett målinriktat system för datalagring. Vilket passar som hand i handske med att EU redan givit Europol rätt att använda sig av privata företags olika datasystem och register. Det vill säga att man ger Europol en direktlina in till datalagringen hos de olika operatörerna och tjänsteleverantörerna.

Vilket – ur medlemsstaternas perspektiv – är det enklaste.

• Dokumentet: Non-paper on the way forward on data retention – Presentation by the Commission and exchange of views (PDF) »

#ChatControl 2.0 – ett slag mot end-to-end-krypterad e-post?

av

I veckan antog Europaparlamentet EU:s nya regelverk som låter operatörerna av-kryptera och gå igenom sina användares elektroniska meddelanden och e-post, i namn av att bekämpa sexuella övergrepp mot barn. I höst kommer nästa steg, där detta är tänkt att bli obligatoriskt.

MEP Patrick Breyer (PP, DE) skriver:

»But this is not the end of the story: For autumn 2021, European Commission announced that it will propose a follow-up legislation that will make the use of chatcontrol mandatory for all e-mail and messenger providers. This legislation might then also affect securely end-to-end encrypted communications. However, a public consultation by the Commission on this project showed that the majority of respondents, both citizens and stakeholders, were opposed to an obligation to use chat control. Over 80% of respondents opposed its application to end-to-end encrypted communications. As a result, the Commission postponed the draft law announced for July to September 2021.«

Hur man tänkt sig komma åt end-to-end-krypterade meddelanden är en gåta. Vi får se vad kommissionen föreslår efter EU:s sommarlov, som börjar nu eft parlamentets juli-session.

• MEP Patrick Breyer (PP, DE): Messaging and ChatControl »

Relaterat:

• #ChatControl – kommentarer dagen efter »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden (med länksamling) »

Chatcontrol - graf över omröstningen i Europaparlamentet

#ChatControl – kommentarer dagen efter

av

I går röstade Europaparlamentet – som vi rapporterat – för att elektroniska meddelanden och e-post skall avkrypteras och analyseras i jakt på övergrepp mot barn. Här kommer en del reaktioner och information.

Till att börja med röstade de tre svenska miljöpartisterna mot sin grupplinje – och gav alltså sitt stöd till förslaget. Det börjar bli ett mönster att MP:s ledamöter överger partiets tidigare linje för medborgarnas rätt till privatliv.

Europaparlamentets vice talman Marcel Kolaja (PP, CZ) är kritisk:

»According to Kolaja, it is necessary to protect children, but mass surveillance through private messages scanning is not the proper solution, saying it could affect many citizens. The adopted derogation is “a big blow to our digital privacy,” Kolaja said.«

EDRi kommenterar:

»Diego Naranjo, head of policy at European Digital Rights (EDRi), told EURACTIV the proposal was “rushed”, and failed to strike a balance between the right to privacy and the need to protect children online because “the discussion was instead shifted from rational to emotional arguments.”«

Ur samma artikel:

»Alexander Hanff, a former victim of child abuse (…) openly criticised the provision, arguing it will deprive victims of channels for confidential counselling. “It will not prevent children from being abused, it will simply drive the abuse further underground, make it more and more difficult to discover it. It will ultimately lead to more children being abused,” Hanff said.«

MEP Patrick Breyer (PP, DE) kommenterar:

»The adoption of the first ever EU regulation on mass surveillance is a sad day for all those who rely on free and confidential communications and advice, including abuse victims and press sources. The regulation deals a death blow to the confidentiality of digital correspondence. It is a general breach of the dam to permit indiscriminate surveillance of private spaces by corporations – by this totalitarian logic, our post, our smartphones or our bedrooms could also be generally monitored. Unleashing such denunciation machines on us is ineffective, illegal and irresponsible.

Indiscriminate searches will not protect children and even endanger them by exposing their private photos to unknown persons, and by criminalising children themselves. Already overburdened investigators are kept busy with having to sort out thousands of criminally irrelevant messages. The victims of such a terrible crime as child sexual abuse deserve measures that prevent abuse in the first place. The right approach would be, for example, to intensify undercover investigations into child porn rings and reduce of the years-long processing backlogs in searches and evaluations of seized data.«

MEP Sophie in ‘t Veld (LIB, NL) säger:

»Whenever we asked critical questions about the legislative proposals, immediately the suggestion was created that I wasn’t sufficiently committed to fighting child sexual abuse.«

Detta är som vi tidigare noterat en tillfälliga regler. Nu gäller det att vara uppmärksam vad gäller nästa steg, som blir en mer permanent lagstiftning – som kan komma att bli mer omfattande och omfatta fler syften.

Länkar:
• EP vice-president slams ePrivacy derogation »
• New EU law allows screening of online messages to detect child abuse »
• EU Parliament lets companies look for child abuse on their platforms, with reservations »
•  MEP Patrick Breyer »
• #ChatControl – idag klubbas EU:s övervakning av elektronisk kommunikation »

#ChatControl – idag klubbas EU:s övervakning av elektronisk kommunikation

av

Idag har Europaparlamentet beslutat att dina meddelanden och din e-post skall avkrypteras och dess innehåll granskas.

Syftet är att bekämpa barnporr och sexuella övergrepp mot barn. Med tanke på ämnets känsliga natur har det lett till att berättigad kritik och omsorg om medborgarnas rätt till privatliv helt hamnat i skugga.

Läs vår tidigare beskrivning av frågan, dess bakgrund och process här. »

Dagens beslut gäller en tillfällig reglering, som i ett senare steg är tänkt att ersättas med ett mer permanent regelverk. Och här gäller det att se upp.

När frågan återkommer finns det många som vill utöka denna massövervakning av våra elektroniska kommunikationer till att även gälla andra syften. Det finns även de som vill se detta som ett allmänt verktyg i massövervakningens tjänst.

Så vi fortätter att bevaka frågan – för att uppmärksamma eventuell ändamålsglidning.

Länkar:
• MEP Patrick Breyer (PP, DE) »
• Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden »
• Se gårdagens debatt i Europaparlamentet här (18:25-19:05) »

EP/LIBE: Nej till AI och biometrisk analys för massövervakning

av

I Europaparlamentet har utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) antagit en rapport om AI och biometrisk massövervakning. MEP Patrick Breyer (PP, DE) skriver på sin blogg:

»Today, the Committee on Civil Liberties, Justice and Home Affairs (LIBE) adopted a report on the use of artificial intelligence by police and judiciary by 36 votes to 24 with 6 abstentions. The successful compromise text calls, among other things, on the Commission „to implement, through legislative and non-legislative means, and if necessary infringement proceedings, a ban on any processing of biometric data, including facial images, for law enforcement purposes that leads to mass surveillance in publicly accessible spaces” (paragraph 15b). MEPs also call on the Commission to stop funding biometric research that is likely to lead to indiscriminate mass surveillance in public spaces.«

Detta innebär att AI-baserad teknik för analys av biometrisk data (som till exempel automatiserad ansiktsigenkänning) inte får användas för massövervakning. Däremot får den användas för att söka specifika mål, till exempel från övervakningsfilmer från en brottsplats. Man håller således fast vid principen om att det skall finnas en misstanke eller ett konkret brott innan man får använda dessa verktyg.

Breyer kommenterar:

»This report is a milestone in the fight against biometric mass surveillance in Europe, because for the first time a majority in the European Parliament wants to put an end to this total form of surveillance. Biometric and mass surveillance and behavioral prediction technology in our public spaces undermines our freedoms and threatens our open society.«

Detta är en rapport, inte lagstiftning. Och det återstår att se hur Europaparlamentet kommer att rösta i plenum.

Video: Vill EU förbjuda lagliga yttranden online?

EU-domstolen: Youtube inte ansvarigt för användares uppladdningar – än så länge

av

EU-domstolen har idag meddelat denna dom (PDF):

»Enligt det rådande rättsläget i unionsrätten genomför operatörer av internetplattformar i princip inte själva en överföring till allmänheten av upphovsrättsligt skyddat innehåll som användarna olagligen laddar upp på deras plattformar.

Dessa operatörer genomför emellertid en sådan överföring i strid mot upphovsrätten om de, utöver att enbart göra plattformarna tillgängliga, bidrar till att ge allmänheten tillgång till detta innehåll.«

Men, domen tar inte hänsyn till EU:s nya upphovsrättsdirektiv – där artikel 17 (uppladdningsfilter) utgör ett separat ärende.

»Domstolen utreder detta ansvar utifrån det regelverk som gällde vid den tidpunkt som är avgörande för dessa mål, nämligen direktiv 2001/29 om upphovsrätt, direktiv 2000/31 om elektronisk handel, och direktiv 2004/48 om säkerställande av skyddet för immateriella rättigheter. Tolkningsfrågorna rör inte det regelverk som blivit tillämpligt efter den tidpunkt som är avgörande för de nationella målen, och vilket införts genom direktiv 2019/790 om upphovsrätt och närstående rättigheter på den digitala inre marknaden.«

Förvirrande? Bakgrunden är att artikel 17 (plattformars ansvar, vilket kan komma att leda till uppladdningsfilter) överklagats till EU-domstolen av Polen. I det målet har domstolens generaladvokat skjutit fram sin rekommendation till dom (enligt uppgift till 15 juni) på grund av oklarheter kring hur EU-kommissionen rekommenderar medlemsstaterna att implementera direktivet i nationell lagstiftning.

Så vad som egentligen gäller får vi inga indikationer på förrän senare i sommar.

Hur detta kommer att bedömas i framtiden beror dels på utgången i målet med Polen vs. artikel 17, dels på hur det nya upphovsrättsdirektivet kommer att implementeras i medlemsstaterna. (I Sverige finns än så läng inga indikationer på hur det nya upphovsrättsdirektivet skall bli lag, trots att det föreskrivits att denna implementering skulle vara klar redan för två veckor sedan.)

• EU-domstolens dom (PDF) »
• Reuters: YouTube wins user copyright fight in top EU court ruling »
• Politico: YouTube wins in court ruling on copyright breaches by users »