EU: AI och övervakning – regler med många undantag

EU-kommissionens förslag till reglering av artificiell intelligens (AI) har läckt ut via olika media.

Bloomberg rapporterar följande:

  • AI systems used to manipulate human behavior, exploit information about individuals or groups of individuals, used to carry out social scoring or for indiscriminate surveillance would all be banned in the EU. Some public security exceptions would apply.
  • Remote biometric identification systems used in public places, like facial recognition, would need special authorization from authorities.
  • AI applications considered to be ‘high-risk’ would have to undergo inspections before deployment to ensure systems are trained on unbiased data sets, in a traceable way and with human oversight.
  • High-risk AI would pertain to systems that could endanger people’s safety, lives or fundamental rights, as well as the EU’s democratic processes — such as self-driving cars and remote surgery, among others.
  • Some companies will be allowed to undertake assessments themselves, whereas others will be subject to checks by third-parties. Compliance certificates issued by assessment bodies will be valid for up to five years.
  • Rules would apply equally to companies based in the EU or abroad.

Särskilt intressant är att titta på undantagen. Till exempel kommer dessa regler inte att gälla för militär verksamhet. Vidare är »public security exceptions« en brasklapp som i praktiken kan öppna för vad som helst.

Medias rubriker talar om att EU skulle införa ett förbud mot AI-stödd ansiktsigenkänning. Vilket inte är vad som står i den läckta texten. Istället talas om »special authorization from authorities« – vilket är ytterligare en brasklapp som ger politiker och myndigheter stort svängrum.

Läckta texter är ofta arbetstexter som kan komma att ändras innan de läggs fram, så det ovanstående kan komma att ändras. I detta fall väntas ett skarpt förslag från EU-kommissionen den 21 april. Förslaget skall sedan knådas och godkännas av medlemsstaterna och av Europaparlamentet.

Relaterat: EDRi om AI och grundläggande rättigheter (PDF) »

Studie: Länder med datalagring löser färre brott

Trots EU-domstolens upprepade beslut om att datalagring (lagring av data om alla medborgares alla telefonsamtal, meddelanden, nätuppkopplingar, mobilpositioner m.m.) inte får ske urskiljningslöst och inte utan misstanke om brott – så envisas EU:s medlemsstater med att vilja ha ett nytt datalagringsdirektiv.

Senast för en månad sedan upprepade unionens justitie- och inrikesministrar detta krav.

Men fungerar datalagringen över huvud taget? En studie från Europaparlamentets utredningsservice visar att:

  • Trots att länder som Österrike, Nederländerna och Tyskland inte har allmän datalagring (efter att EU-domstolen upphävt datalagringsdirektivet) har uppklarningsprocenten av brott ökat i dessa länder.
  • I Italien, Spanien och Sverige – som trotsar EU-domstolen och fortsätter med datalagring – har uppklarningsprocenten minskat.

Det verkar alltså inte finnas något belägg för att datalagring är den patentlösning mot brottslighet som polis och åklagare vill göra gällande. Snarare gäller det omvända.

(I Sverige är uppklarningsprocenten i grova drag hälften jämfört med Nederländerna, en tredjedel jämfört med Österrike och en fjärdedel jämfört med Tyskland.)

 

EU-rapport vill blockera ful-streamad sport på nätet, snabbt och utan föregående rättslig prövning

Europaparlamentet håller på att behandla en rapport om ful-streamning av sport.

Bland annat vill man att icke-auktoriserade liveströmmar skall blockeras av internetoperatörerna inom 30 minuter (vilket är hälften så lång tid som föreslagits vad gäller terror-relaterat innehåll). Vilket dels är praktiskt svårt för små ISP:ar som inte har dygnet-runt-bemanning med beslutsfattare som kan göra ett informerat ställningstagande om att stänga ner trafik. Dels är blockering ett trubbigt verktyg, som lätt kan kringgås.

Det hela blir särskilt märkligt då EU:s föreslagna Digital Services Act (DSA) redan föreskriver att olagligt innehåll skall avlägsnas skyndsamt, men att det krävs någon form av formell motivering. Samtidigt vill rapporten att de statligt godkända ”ordningsmän” på nätet – trusted flaggers – som föreslås i DSA skall kunna beordra blockering även om det är oklart om materialet är lagligt eller ej.

Det känns som om denna rapport är det direkta resultatet av lobbying från sportkanalernas sida, då den bryter loss en enskild företeelse ur DSA och stressar fram en separat rapport.

Den piratpartistiske, tyske ledamoten av Eutopaparlamentet Patrick Breyer kommenterar:

“This text appears to have been dictated by industry lobbyists, it threatens fundamental digital rights”, comments MEP Patrick Breyer (Pirate Party). “It is completely at odds with the European Parliament’s position on the Digital Services Act which is sufficient to deal with illegal content. A 30 minute delay would be even shorter than what will be required for taking down terrorist content, and much too short outside business hours. Allowing private ‘flaggers’ with vested interests to have content removed without an assessment by an independent judicial authority would result in the over-blocking of legal content.“

Breyer elaborates: „And requiring ISPs to block access is easy to circumvent by changing DNS servers. Blocking access to an entire IP address results in massive collateral damage on valuable legal content. All in all, the profit-driven quest for ever more draconian measures ignores the obvious: the best way of reducing illegal streaming is to ensure that there is universal and affordable legal access to sport event broadcasts, both subscription-based and pay-per-view.”

Man kan även notera att rapporten är ytterligare ett steg i utvecklingen mot nätcensur utförd av privata aktörer. utan föregående rättslig prövning. Vilket är problematiskt.

Man kommer att rösta om rapporten i Europaparlamentets rättsliga utskott (JURI) vid sitt möte nu på måndag.

Länk: Doubts about European Parliaments ideas to crack down on illegal livestreams of sports events »

USA: HD-domare menar att Twitter är en kollektiv nyttighet som alla har rätt att använda

I USA ger HD-domaren Justice Clarence Thomas uttryck för åsikten att sociala plattformar och nätjättar med dominerande ställning (Twitter, Facebook, Google m.fl.) är kollektiva nyttigheter, närmast att jämföra med telekom-infrastruktur. Därmed skall de även vara skyldiga att tillhandahålla sina tjänster till alla.

Bakgrunden är att Högsta Domstolen upphävt en dom i en lägre rätt, som kommit fram till att president Trump handlade i strid med konstitutionen när han blockerade folk på Twitter. Den upphävda domen menar att då kontot @realdonaldtrump tillhörde presidenten, var ett publikt forum och att presidenten därför inte hade rätt att inskränka det fria ordet där. Skälet till att HD upphävde domen var – ironiskt nog – att Twitter stängt av Trump och att han därmed inte kan anses ha full kontroll över kontot.

Protocol rapporterar:

»Thomas states that in order for an account like @realdonaldtrump to be truly classified as government controlled, ”the power of a platform to unilaterally remove a government account” would have to be ”reduced.”«

Detta är intressant i sig. Och Justice Thomas stannar inte där:

»Thomas argues that while private companies aren’t subject to the First Amendment, common carriers are unique to other private businesses in that they do not have the ”right to exclude.” Thomas suggests that large tech platforms with substantial market power should be bound by the same restrictions. ”If the analogy between common carriers and digital platforms is correct, then an answer may arise for dissatisfied platform users who would appreciate not being blocked: laws that restrict the platform’s right to exclude,” Thomas writes.

Such a restriction would substantially curb tech giants’ ability to moderate content, a proposal that both tech giants and those on the left who want to see more aggressive content moderation online would almost certainly reject.«

Han ansluter sig alltså till dem som menar att nätjättarnas dominerande ställning gör att de inte kan behandlas som vanliga förtag, som är fria att göra affärer med vem de vill. Snarare gör deras ställning att de inte skall ha rätt att utestänga användare.

»”It changes nothing that these platforms are not the sole means for distributing speech or information. A person always could choose to avoid the toll bridge or train and instead swim the Charles River or hike the Oregon Trail,” Thomas writes. ”But in assessing whether a company exercises substantial market power, what matters is whether the alternatives are comparable. For many of today’s digital platforms, nothing is.”«

Oavsett om man håller med eller inte finns alltså tecken på att USA:s högsta juridiska instans lutar åt att det är möjligt med lagstiftning som hindrar plattformarna från att blockera användare. Vilket är en signal till lagstiftarna.

Frågan blir om det alls skall vara möjligt att stänga av någon. En snarlik diskussion uppstod i samband med behandlingen av EU:s telekompaket 2009. Då ville fransmännen och upphovsättsindustrin kunna stänga av fildelare från internet helt och hållet. Det ledde till att det etablerades en princip om att ingen får stängas av från nätet utan föregående rättslig prövning. Något liknande kan nu kanske bli aktuellt i USA, men med nätjättarna i fokus.

Länk: Justice Thomas argues for making Facebook, Twitter and Google utilities »

Moderat krav på mer övervakning är i princip redan verklighet

Efter Encrochat vill Moderaterna ha större möjligheter till avlyssning och övervakning. »Nu behöver svensk lagstiftning ta ett ordentligt kliv framåt för att ge vår egen polis samma möjligheter som den franska.« skriver partiets rättspolitiske talesman Johan Forsell. Han menar vidare att det är ett problem att det i Sverige inte är lagligt att »avlyssna en hel meddelandetjänst«. Han vill vidare sänka ribban för användning av hemlig dataavläsning. Och så till hans huvudnummer:

»En verkligt mönsterbrytande åtgärd mot gängbrottsligheten skulle vara att göra det möjligt att använda hemliga tvångsmedel mot aktiva gängmedlemmar även utan konkret brottsmisstanke.«

Konkret vill han sänka ribban för hemlig dataavläsning. Jag vill minnas att vi varnade för ändamålsglidning redan när den lagen infördes.

Advokat Thomas Olsson har skrivit en replik. Låt oss lyfta fram och reflektera över några delar.

»För det andra verkar Johan Forssell inte riktigt förstå innebörden av att hemliga tvångsmedel riktas mot en ”meddelandetjänst”. En sådan åtgärd innebär att alla som använder ”meddelandetjänsten” blir föremål för övervakning, och det alldeles oavsett om de är ”gängkriminella” eller inte.«

Frågan är hur det alls är tänkt. Encrochat finns inte längre. Så det måste handla om vanliga meddelandetjänster. Och där är Forsell inte först på bollen. EU vill redan avkryptera och skanna alla meddelanden och så mycket av e-posttrafiken som möjligt. Fast i namn av kampen mot övergrepp mot barn. Men det kan ju lätt utökas.

Är det något sådant Johan Forsell vill göra om han blir inrikesminister? Eller hade han tänkt sig att FRA skall hacka WhatsApp, G-mail och Telegram? Förslaget lämnar massor av frågetecken.

»För det fjärde är det intressant att Johan Forssell konstaterar att det som fransmännen gjort är olagligt i Sverige. Anledningen till att det är olagligt är att Frankrike saknat tillstånd från en svensk domstol att utföra åtgärden på svenskt territorium. Och, precis som Johan Forssell konstaterar, skulle Frankrike aldrig kunnat få ett sådant tillstånd, eftersom åtgärden inte är tillåten enligt svensk lag.«

Detta pekar på ett större problem. Det är inte ovanligt att länder som inte har rätt att övervaka sina egna medborgare (utan brottsmisstanke) låter andra länder göra det. Vilket är att kringgå lagen.

(För övrigt har FRA tillgång till ”spionernas Google” – databasen XKeyscore. Då den enligt Snowden-läckan innehåller det mesta av smått och gott som USA, UK, Australien, Nya Zeeland och Kanada samlat in i sin globala massövervakning – då innehåller den med säkerhet även information om svenskar och svenska förhållanden.)

Låt mig slutligen kommentera Johan Forsells krav på hemliga tvångsmedel även utan konkret brottsmisstanke.

Någonstans måste det gå en gräns mellan vilka staten får övervaka och vilka den inte får övervaka. Idag går den i stort sett vid att det måste finnas en misstanke om brott. Det är en princip som bland annat väglett EU-domstolen när den upphävde EU:s datalagringsdirektiv. Skall det förekomma övervakning, då måste det finnas något lags misstanke. Vanligt hederligt folk skall inte övervakas. Rätten till privatliv är en grundläggande mänsklig rättighet.

I detta fall handlar det om individer i (och kring?) kriminella nätverk. Man kan tycka att om ett gäng är att betrakta som kriminellt, då bör det rimligen också finnas något slags misstankar om kriminalitet. Frågan är hur konkreta dessa misstankar behöver vara. Om ett brott är förestående är svaret rätt enkelt. Men om det inte finns misstanke om att någon tänker göra något kriminellt? Var har Forsell i så fall tänkt dra gränsen?

Det känns tryggare om vi inriktar övervakningen och polisens resurser mot människor som faktiskt är misstänkta för brottslig verksamhet – och lämnar alla andra ifred.

Moderaternas utspel känns lite krystat, som att de säger något bara för att de måste. Och hemlig dataavläsning får faktiskt redan användas i brottsmisstänktas fysiska och sociala närmiljö, även om det kan drabba oskyldiga. Så det känns lite som om man sparkar in en öppen dörr. Vi är redan där. Tyvärr.

• Johan Forsell, M: Ge svensk polis samma möjligheter som i Frankrike »
• Thomas Olsson: Moderaternas förslag slår mot allas integritet »

EU satsar 5M€ på att knäcka 5G-kryptering

Bloggaren Matthias Monroy skriver:

»The EU Commission announces new efforts to break end-to-end encrypted communications. This is according to the work programme of the Horizon 2020 research framework programme, which proposes numerous new projects in the area of „Civil Security for Society“ for the next two years. According to this, the Commission wants to spend five million euros on a platform for penetrating encrypted telephony.

The focus is on intercepting connections of the fifth mobile phone generation, which makes encrypted and anonymised connections technically possible.«

Vad man vill komma runt är att telefonens och SIM-kortets ID-nummer enligt uppgift krypteras i 5G-systemet. Vilket gör det svårt att sortera ut de kommunikationer som myndigheterna är intresserade av.

Den nya projektgrupp som skall sköta detta skall tydligen även fundera kring lösningar vad gäller kvantdatorer och avlyssning.

Länk: Security research – EU Commission to fund technology to decrypt 5G connections »

Nygammal tysk lag om massövervakning klubbad

2013 avslöjade Edward Snowden den globala massövervakningen. Dessa avslöjanden rörde inte bara USA, utan även samarbetsländer som Tyskland (och Sverige).

Trots all kritik som följde på avslöjandet fortsatte Tyskland sin verksamhet – genom att man antog en ny lag som i stora drag gjorde sådant som var förbjudet och kontroversiellt lagligt. Denna lag underkändes dock av den tyska författningsdomstolen.

Nu har man antagit en ny lag som påminner väldigt mycket om den förra, med närmast kosmetiska förändringar.

Den nya lagen innebär bland annat:

  • Man får rätt att samla in, processa och exportera ofantliga mängder data. Det talas om en kapacitet på upp till en tredjedel av alla globala telekommunikationer.
  • Man kommer att få lov att i hemlighet hacka nätföretag som Facebook, Google, Appole, Amazon och Microsoft.
  • Man får även rätt att övervaka inrikes kommunikationer i Tyskland, med undantag för kommunikationer mellan två fysiska personer. Vilket är en gummi-paragraf, eftersom en stor del av all kommunikation betraktas som kommunikaterion mellan människa och maskin, snarare än människa och människa.

CDU/CSU och SPD röstade för den nya lagen och hela oppositionen (FDP, Grüne, Linke & AfD) emot. Kritik kommer även från Amnesty och Reportrar utan gränser.

Detta kommer med säkerhet – återigen – att bli en fråga för den tyska författningsdomstolen.

Länk: Bundesnachrichtendienst erhält so viele Überwachungsbefugnisse wie noch nie »

Chat Control – slutet för privat korrespondens online

»The EU wants to have all private chats, messages, and emails automatically searched for suspicious content, generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance through fully automated real-time messaging and chat control and the end of secrecy of digital correspondence.«

Patrick Breyer, ledamot av Europaparlamentet för Piratpartiet, DE.

Länk: Messaging and chat control – The End of the Privacy of Digital Correspondence »

Frågetecken kring polisens hemliga dataavläsning

Ett år har gått sedan polisen fick möjlighet till hemlig dataavläsning. Den innebär att myndigheterna kan installera spionprogram hos personer som är misstänkta för brott (och i deras omgivning) som ger tillgång till allt som görs och allt som finns lagrat i en dator eller på en surfplatta eller mobiltelefon.

Sveriges Radio meddelar:

»I den statliga utredningen som låg till grund för lagförslaget bedömde man att den här sortens övervakning skulle användas i liknande omfattning som hemlig rumsavlyssning, alltså buggning, vilket godkänns omkring 100 gånger per år.

På knappt ett år har svenska domstolar fattat beslut i nära 500 ansökningar om hemlig dataavläsning, enligt siffror från Säkerhets- och integritetsskyddsnämnden, som Ekot tagit del av.

Nämnden vill inte svara på hur många som godkänts, men i regel brukar den här sortens ansökningar beviljas, säger nämndens ordförande Gunnel Lindberg.«

Det vore värdefullt att få reda på varför denna övervakning är fem gånger vanligare än man tänkt sig. Framförallt vore det intressant att få veta vilka typer av brott den hemliga dataavläsningen använts för att utreda. Här finns starka skäl att misstänka något slags ändamålsglidning – där verktyget använts mer generöst än bara mot de mycket allvarliga brott som var tänkt från början. Som det brukar bli med övervakningslagar.

Dessutom är grundproblemet detsamma som tidigare: För att kunna använda hemlig dataavläsning måste myndigheterna använda sig av säkerhetsbrister i våra IT-system. Dessa brister förblir då utan åtgärd, istället för att täppas till. Vilket gör hela vår IT-infrastruktur mer sårbar vad gäller till exempel kriminell verksamhet, spioneri och dataintrång.

Och det blir värre:

»Det är Säkerhets- och integritetsskyddsnämnden som ska granska hur den hemliga dataavläsningen används, och ordförande Gunnel Lindberg säger att det är svårt att få resurserna att räcka till för en effektiv tillsyn

SR: Polisen använder spionprogram mer än väntat »

Medborgarrättsorganisationer rasar mot EU:s nya nätcensur

Ett 60-tal organisationer har skrivit brev till Europaparlamentets ledamöter och vädjat till dem om att rösta nej till förordningen om terror-relaterat innehåll online (TERREG/TCO).

Bland undertecknarna finns bland andra Amnesty, Europeiska Medborgarrätsuniuonen, EFF, EDRi, Polska Helsingfors-kommittén, Human Rights Watch, Internationella Juristkommissionen, CCC, La Quadrature Du Net,  Reportrar utan gränser, Statewatch, Wikimedia och svenska DFRI.

De praktiska problemen med TERREG är:

  • Flaggat material skall som huvudregel plockas ner inom en timma, vilket blir praktiskt svårt att hantera för mindre plattformar.
  • Denna snäva tidsram ger inget utrymme för rättsliga överväganden – och någon föregående rättslig prövning kommer inte att ske.
  • Myndigheter i ett EU-land kan beordra nedtagning av material i en annan medlemsstat, utan klartecken från den senare.
  • Nerplockat material skall inte kunna laddas upp igen. Även om texten (efter förhandlingar) noga undviker ordet ”uppladdningsfilter” – så är användning av just automatiska uppladdningsfilter den enda praktiskt användbara metoden. Och uppladdningsfilter innebär att allt som du och alla andra laddar upp måste granskas av maskiner inna det kan publiceras.

Det finns även invändningar mot att detta kan komma att drabba journalistisk verksamhet, forskning, dokumentation och lagföring av övergrepp.

Förslaget är dessutom oroväckande svävande när det gäller att definiera vad som egentligen anses vara terrorism och terror-relaterat.

Elefanten i rummet – som tyvärr inte berörs i brevet – är att detta även etablerar en censur av åsikter online i EU. Förvisso terroristers åsikter. Men när principen väl är etablerad kan det ändras med ett klubbslag.

Tar man ett steg tillbaka och betraktar den större bilden – då kan man konstatera att samtidigt som TERREG är på väg att bli lag, så är EU-apparaten även på väg att kräva av-kryptering och granskning av nätanvändarnas meddelanden och e-post i namn av att skydda barn mot övergrepp. Sammantaget blir detta en storebrorsstat som granskar, analyserar och i förekommande fall censurerar det mesta som sker online.

Länkar:
• DW: Rights groups slam EU online terrorist content law »
• Liberties: Free Speech Advocates Urge EU Legislators to Vote ’No’ to Automated Censorship Online »