Femte juli

Nätet till folket!

Länktips

Vi använder kategorin länktips dels när vi vill tipsa om något intressant, dels när vi publicerar andra poster med många och/eller bra länkar.

Utredare: Släpp statlig kameraövervakning fri

av

En utredning föreslår att det skall bli fritt fram för stat, myndigheter, regioner och kommuner att kameraövervaka medborgarna – utan tillstånd eller anmälningsplikt. Dessutom får polisen utökade befogenheter.

Regeringens särskilde utredare har nu presenterat sitt förslag om kameraövervakning. Här är de viktigaste punkterna:

  • Offentlig verksamhet (stat, myndigheter, regioner och kommuner) kommer inte längre att behöva söka tillstånd för kameraövervakning.
  • Avvägningen mellan behov och personlig integritet får de göra själva, vilket skall dokumenteras.
  • Det blir inte heller någon anmälningsplikt till Integritetsskyddsmyndigheten. Istället skall de som sätter upp kamerorna ha en förteckning över dem.
  • Detta skall täckas av en »allmän reglering för myndigheter och andra än myndigheter som utför en uppgift av allmänt intresse«. Exempel på de senare kan vara privata vårdcentraler och friskolor.

Det blir alltså fritt fram för all offentlig verksamhet att kameraövervaka så mycket man vill.

Polisen, Säpo, tullen och kustbevakningen får också vissa utökade befogenheter:

  • Antalet platser som kan övervakas utökas.
  • Tillfällig kameraövervakning skall kunna ske utan intresseavvägning mellan behov och rätten till privatliv i fler fall, i upp till tre månader.
  • Tillfälliga undantag från skyldigheten att informera om kameraövervakning medges när det gäller övervakning med drönare.
  • Ett permanent undantag från skyldigheten att informera om kameraövervakning skall gälla för brottsbekämpande myndigheters civila fordon.

Mer kameraövervakning, mindre hänsyn till den personliga integriteten och mindre information om att övervakning sker, således.

Om man anser att ovanstående är att gå långt kan det tilläggas att EU:s nya AI Act i princip ger de brottsbekämpande myndigheterna fria tyglar att koppla sin kameraövervakning till biometriska databaser för automatisk identifiering. Sedan kan allt samköras med andra register.

Även om man tycker att brottsligheten och säkerhetsläget motiverar ökad kameraövervakning av det offentliga rummet skall man vara medveten om att systemet förr eller senare kommer att missbrukas. Det kan till exempel ske med ont uppsåt, av oaktsamhet, på grund av missriktad välvilja eller av inkompetens.

För en auktoritär eller totalitär regim är omfattande kameraövervakning ett utmärkt verktyg för kontroll och förtryck. Som i Kina och Ryssland.

Utredningen skall nu ut på remiss. Se presskonferensen nedan.

• Kamerabevakning i offentlig verksamhet – lättnader och utökade möjligheter SOU 2024:27 »
• Powerpointbilder från presskonferensen »

• Youbtube »

Regeringen slår rekord i snabb ändamålsglidning

av

Övervakningslagar utökas alltid till syfte och metod. Just nu går det rasande fort.

Förra veckan kom ett lagförslag om utökade möjligheter att använda preventiva tvångsmedel från regeringen. Ni kommer ihåg det där med att människor skall kunna övervakas utan konkret misstanke om brott?

Nu skall den lagen breddas. Fler skall kunna övervakas, i preventivt syfte.

Integritetskänsliga lagar som stiftats med det uttryckliga syftet att komma åt den grova gängbrottsligheten skall från och med september kunna användas för att utreda brott som har ett straff som kan antas överstiga tre månader i fängelse. Inte år. Månader.

Vilket är en dramatisk sänkning av ribban. Mindre allvarlig brottslighet står inte i proportion till det intrång i privatlivet som hemlig övervakning medför. Speciellt som många som övervakas faktiskt råkar vara oskyldiga. 2022 ledde bara tre av tio fall av övervakning till åtal.

Ta till exempel rättsprocessen om jaktbrott som riktades mot Karl Hedin. En absurd historia som slutade med att Hedin friades och att åklagaren framstod som en idiot. Ett fall där det slagits fast att användningen av avlyssning var tjänstefel. Ett fall där domstol var tvungen att inskärpa att i Sverige döms ingen för brott på grund av sina åsikter. En total clusterfuck.

Med de lagändringar som nu föreslås kommer den avlyssning som då var tjänstefel att bli laglig – den 1 september. I preventivt syfte. Utan konkret misstanke om brott.

Kom ihåg att de övervakningsverktyg som används mot andra även kan komma att riktas mot dig.

Och det är den som är oskyldig som har mest att frukta.

Övervaka de människor som faktiskt är misstänkta för brott istället.

• Regeringen: Förslag om utökade möjligheter att använda preventiva tvångsmedel överlämnas till riksdagen »
• Oisín Cantwell, Aftonbladet: Hemlig avlyssning även för småbrott »

Chat Control 2: Ministerrådet trampar vatten

av

I sitt försök att driva igenom EU-kommissionens förslag om obligatorisk granskning av innehållet i medborgarnas elektroniska meddelanden – Chat Control 2 – har ministerrådets belgiska ordförandeskap bara skapat mer förvirring.

Bland annat vill man att meddelande-operatörerna på något magiskt sätt skall sålla ut misstänkta användare och misstänkta meddelanden – utan att själva känna till eller registrera desamma. Detta skall sedan användas för en riskbedömning som kan ligga till grund för ytterligare kontroll.

Hur detta är tänkt att gå till är oklart. Det enda ordförandeskapet har att säga är att lösningen skall vara teknikneutral och framtidssäker.

Ministerrådets rättstjänst konstaterar att detta ändå inte löser problemet med att man måste skanna alla meddelanden i ruta ett. Vilket strider mot rätten till privatliv och privat kommunikation.

Man vill även kontrollera totalsträckskrypterade (E2EE) meddelanden. Det är även här oklart hur.

Ett förslag är ”bakdörrar”, vilka skulle göra all krypterad kommunikation osäker. Ett annat förslag är ”client side scanning” med vilket spionprogram installeras i meddelande-apparna eller direkt i användarnas telefoner – för att läsa meddelanden innan de krypterats och sänts respektive efter att de tagits emot och av-krypterats. I ministerrådet finns såväl anhängare som starka motståndare till en sådan lösning.

Den svenska regeringen välkomnar ordförandeskapets förslag, men fruktar att det kan komma att leda till en stor administrativ börda för operatörerna.

Det belgiska ordförandeskapets taktik tycks dels vara att hålla kommissionens ursprungliga förslag levande – dels att hitta en kompromiss som inte samlar en blockerande minoritet i rådet. Detta även om ett sådant förslag blir obegripligt och/eller oförenligt med grundläggande mänskliga rättigheter.

• Länk: EU-Staaten weiter uneins über Chatkontrolle »

Detta är Chat Control 2: EU-kommissionen vill att dagens frivilliga skanning av användares elektroniska meddelanden skall bli obligatorisk. Detta gäller även totalsträckskrypterade (E2EE) meddelanden. AI skall granska vad som skrivs, sägs samt bilder, videos och bifogade filer för att utreda om du sprider material med övergrepp på barn eller har otillbörlig kontakt med minderåriga. En 17-årsgräns skall införas för meddelande-appar. Europaparlamentet, ministerrådets och EU-kommissionens rättstjänst säger nej till förslaget, då det bryter mot rätten till privatliv och privat korrespondens (som är en grundläggande mänsklig rättighet).

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

EU:s ministerråd vill reglera influencers, youtubers, podcasters och bloggare

av

EU:s ministerråd vill att de som skapar självständigt innehåll på nätet skall regleras och kontrolleras.

I EU:s allt mer omfattande reglering av allt som har med internet att göra har turen nu kommit till »influencers«. Den här gången är det EU:s ministerråd som vill se uppstramade regler.

Hur definierar man då en influencer?

»[O]nline content creators who post content on social media or video sharing platforms through which they impact society, public opinion or personal views of their audience, often showcased through their authenticity-based relationship with their audience.«

Vilket låter som i princip alla som skapar självständigt innehåll på nätet – bloggare, youtubers, podcasters, medborgarjournalister… Möjligen kan alla som använder sociala media omfattas.

Vad är det ministerrådet vill göra? Till att börja med:

»[Influencers] should have a sense of responsibility towards their audience and understand the potential impact that commercial practices, sharing mis- and disinformation, online hate speech, cyberbullying and other harmful content may have on their audience and its well-being.«

Vilket låter lite vagt. Men om man skrapar på ytan vill ministerrådet se en koordinerad approach för att få kreatörer av innehåll att följa EU:s Audiovisual Media Service Directive, Digital Services Act, Unfair Commercial Practices Directive, unionens konkurrenslagstiftning, dess konsumenträtts-direktiv samt European Media Freedom Act.

Nu kan man visserligen mena att kreatörer på nätet skall omfattas av samma regler som alla andra. Men problemet är att mycket av de ovanstående regelverken är skrivna med stora aktörer och plattformar i åtanke – som har egna jurister och resurser för att hantera byråkrati. Vilket mindre och enskilda kreatörer som regel saknar.

Risken är att fria kreatörer kommer att få ägna en stor del av sin tid åt pappersarbete istället för att skapa.

Frankrike har en liknande lagstiftning, där den som inte följer reglerna kan dömas till böter på 300.000 euro eller två år i fängelse.

Man bör för övrigt se detta i ett lite större perspektiv. EU är på gång med nya förslag i syfte att inskränka yttrandefriheten på nätet. Ambitionen tycks vara att allt skall regleras och kontrolleras.

Länk:
• Council strengthens call to make influencers accountable for their actions »

Relaterat:
• Hård kritik mot förslag om nätcensur inför EU-valet »
• EU tänker inskränka yttrandefriheten »
• EU:s framväxande Sanningsministerium »
• Trusted Flaggers – EU:s nya nätcensur dekonstruerad »

Hård kritik mot förslag om nätcensur inför EU-valet

av

EU-kommissionen vill kontrollera innehållet i sociala media och sökmotorer inför sommarens EU-val. Experterna sågar förslagen.

EU-kommissionen har sänt upp en del testballonger om hur man kan motverka desinformation och otillbörlig påverkan i EU-valet: Guidelines for Providers of Very Large Online Platforms and Very Large Online Search Engines on the Mitigation of Systemic Risks for Electoral Processes.

Detta blir extra intressant då det är första gången EU:s nya Digital Services Act (DSA) prövas i skarpt läge.

Electronic Frontier Foundation (EFF) skriver bland annat att kommissionen fokuserar för hårt på användargenererat innehåll – och för lite på plattformarnas egna processer och grundläggande mänskliga rättigheter, speciellt yttrandefriheten.

EFF konstaterar även att det saknas definitioner av till exempel »hat« och »desinformation«, vilket är ett problem om man vill bekämpa sådant. Innehåll bör inte kunna stoppas bara för att det anses vara »problematiskt«.

Man varnar även för allt för nära samarbete mellan plattformar / sökmotorer och myndigheter. Det gäller speciellt om sådant samarbete inte är öppet och transparent. Vidare:

»[W]e recommend that the Guidelines acknowledge the potential of abuse of the trusted flagger provision in the DSA. As pointed out in previous comments and publications, the DSA lacks general safeguards for users, opening the door to potential notice, action, and human rights misuse. Any guidance should therefore stress that trusted flaggers must have the collective interests of the public and the protection of fundamental rights in mind. This is particularly true for authorities that have been awarded the status of a trusted flagger.«

Detta handlar alltså om de trusted flaggers (sv: betrodda anmälare) som skall godkännas av staten och få en direktlina till sociala media för att rekommendera vilket innehåll som skall plockas bort. Detta är speciellt problematiskt då sådana förutsätts vara organisationer som kan antas ha en egen agenda. Läs mer här »

Denna kritik är dock inget mot den bredsida som professor Alexander Peukert vid Goethe-Universität Frankfurt am Main avfyrar. Som en av de ledande experterna på EU:s nya Digital Services Act (DSA) vänder han denna nya lagstiftning mot EU-kommissionen.

Enkelt uttryckt menar han att stora delar av ovan nämnda guidelines inte är förenliga med DSA.

Till att börja med noterar han att det saknas definitioner och bedömning om vad som kan anses vara proportionerligt. Han kritiserar också den bristande transparens (och bristande regelverk) kring alla de aktörer som kommissionen vill skall vara med och moderera innehåll.

Vidare noteras att många av de fact checkers som kan komma att användas är baserade i länder utanför EU, främst i USA. Peukert menar att man i vart fall bör ställa samma krav på dem som på trusted flaggers, till exempel att de skall vara baserade i EU.

Det föreslagna samarbetet mellan plattformar / sökmotorer och myndigheterna för att moderera innehåll sågar han helt. Sådant saknar lagligt stöd i DSA. Detta gäller även kommissionens idéer om att märka AI-genererat innehåll.

Detta för att bara ta några exempel.

Nu återstår att se vilka skarpa förslag EU-kommissionen kommer att lägga fram.

Risken är att den kommer att bortse från kritiken och gå bortom sitt mandat.

Länkar:
• Disinformation and Elections: EFF and ARTICLE 19 Submit Key Recommendations to EU Commission »
• Verfassungsblog: Risky Recommendations »
• Guidelines for Providers of Very Large Online Platforms and Very Large Online Search Engines on the Mitigation of Systemic Risks for Electoral Processes »

Relaterat:
• Trusted Flaggers – EU:s nya nätcensur dekonstruerad »
• EU tänker inskränka yttrandefriheten »
• EU:s framväxande Sanningsministerium »

Chat Control: Det är totalsträckskryptering Ylva Johansson vill komma åt

av

Chat Control 2 har kört fast. Men EU:s ministerråd och EU-kommissionär Ylva Johansson vill inte ge upp tanken på att komma åt totalsträckskrypterade (E2EE) meddelanden.

I början av veckan höll EU:s inrikes- och justitieministrar möte i Bryssel. En av punkterna på ministerrådets agenda var Chat Control. (Video »)

Chat Control 1 (frivillig skanning av innehållet i medborgarnas meddelanden) förlängs, då Chat Control 2 (obligatorisk skanning samt AI-analys) kört fast i Europaparlamentet.

Det belgiska ordförandeskapet meddelade att man ändå har ambitionen att få till stånd ett beslut i ministerrådet om CC2 innan sommaren (då Ungern tar över ordförandeklubban).

Som vi rapporterade förra veckan fortsätter diskussionen och det belgiska ordförandeskapet har skickat upp några olika testballonger.

Bland annat vill man ha medlemsstaternas feedback på ett nytt sätt att göra riskbedömningar för olika meddelandetjänster (m.m.). Syftet med detta tycks vara att inte släppa frågan om tillgång till totalsträckskrypterade / end-to-end-krypterade (E2EE) meddelanden:

»Do you agree to include high-risk services using E2EE in the scope of standard detection orders, under the condition that a detection order should not create any obligation that would require a provider to create access to end-to-end encrypted data and that the technologies used for detection are vetted with regard to their effectiveness, their impact on fundamental rights and risks to cyber security?«

Vilket känns som en konstig fråga. Så här, ungefär: Skall CC2 omfatta E2EE under förutsättning att man inte kan tvinga operatörerna att bereda sig tillgång till E2E-krypterade meddelanden?

Det hela känns genomskinligt. Till att börja med är detta en uppenbar fint för att bryta ner en eventuell blockerande minoritet i ministerrådet. Att mjuka upp en text för att få igenom den och därefter strama upp den igen är ett klassiskt knep i EU:s maktspel.

Vidare handlar det om att vissa medlemsstater väldigt gärna vill komma åt E2E-krypterade meddelanden. Lyssnar man till vad inrikeskommisionär Ylva Johansson hade att säga på ministerådsmötet är det uppenbart att detta är synkat med EU-kommissionen (och Europol).

Enligt Johansson är E2EE nu det stora nya hotet mot barnen. (Nyss var det Darknet.)

Det är i sammanhanget väl känt att kommissionen och dess »högnivågrupp« arbetar intensivt med frågan om hur myndigheterna skall kunna bereda sig tillgång till E2E-krypterade meddelanden. Uppenbarligen hoppas man fortfarande att CC2 skall vara verktyget som gör detta möjligt.

Motståndet utgörs främst av Europaparlamentet som satt ner foten och sagt nej till så gott som allt av substans i CC2. Nu gäller det att det nya Europaparlament som väljs i sommar håller fast vid detta. Så länge parlamentet har tydliga röda linjer blir det svårt att finna en kompromiss i trilogförhandlingar med ministerrådet och kommissionen.

Dessutom har Europadomstolen slagit fast att rätten till E2EE är en mänsklig rättighet. Och Tyskland vill göra rätten till E2EE obligatorisk.

Dramat fortsätter. Men än så länge står CC2 och stampar på samma fläck, även om ministerrådet försöker trixa. Vi håller ett öga på detta, men just nu finns det ingen anledning till panik. Sannolikt kommer frågan att rinna över till nästa mandatperiod, efter sommarens EU-val.

Nästa möte med EU:s inrikes- och justitieministrar (RIF-rådet) hålls i Luxemburg den 13-14 juni. Om man inte gör någon fuling (som att fatta beslut om CC2 som en A-punkt* på något annat ministerrådsmöte) lär inga formella beslut fattas innan dess. Dock kommer frågan säkert att knådas bland tjänstemännen i Coreper.

(*En A-punkt är när tjänstemännen i Coreper förbereder ett ärende som sedan klubbas utan debatt på ett ministerrådsmöte utan debatt. Och då behöver det inte nödvändigtvis vara det relevanta ministerrådet. Till exempel smusslades IPRED-lagen igenom i tysthet på ett möte med rådet för fiskerifrågor.)

Relaterat:
• EU:s ministerråd ger Chat Control 2 konstgjord andning »
• Chatkontrolle: Der Rat will es nochmal versuchen »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

EU:s ministerråd ger Chat Control 2 konstgjord andning

av

I ett försök att komma åt medborgarnas totalsträckskrypterade meddelanden försöker EU:s ministerråd hålla liv i Chat Control 2 – trots att förslaget i praktiken redan har fallit.

Måndag och tisdag nästa vecka (4-5 mars) samlas EU:s inrikes- och justitieministrar för möte i ministerrådet. På dagordningen står bland annat frågan om Chat Control 2. Igen.

Man har redan kommit överens med EU:s övriga institutioner om att förlänga Chat Control 1 (frivillig skanning av innehållet i användarnas meddelanden) fram till den 3 april 2026.

Nu är frågan hur man skall hantera Chat Control 2 (obligatorisk skanning av innehållet i elektroniska meddelanden), som ju redan skjutits i sank av Europaparlamentet.

Att ministerrådet alls skulle kunna nå någon kompromiss med parlamentet är osannolikt, då parlamentet sagt nej till alla bärande delar i CC2.

Det känns mer troligt att nästa EU-kommission kommer att lägga fram ett nytt förslag – Chat Control 3 – som kan träda ikraft senast i april 2026.

Detta hindrar dock inte det belgiska EU-ordförandeskapet från att diskutera frågan vidare, även om det känns lite som slöseri med tid.

Förklaringen kan möjligen ligga i att man ser CC2 som en murbräcka för att komma åt totalsträckskrypterad / E2E-krypterad kommunikation.

I sammanhanget skall noteras att Europadomstolen nyligen slagit fast att rätten till krypterad kommunikation skyddas av de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens. Alla Europarådets medlemsstater (däribland alla EU-medlemmar) är bundna av detta beslut.

Dessutom går Tyskland nu fram med lagstiftning om att göra rätten till totalsträckskryptering obligatorisk. För övrigt existerar idag inga verktyg för att granska E2E-krypterad kommunikation.

Inte desto mindre insisterar det belgiska EU-ordförandeskapet på att fortsätta diskutera CC2 i ministerrådet, på detaljnivå. Man vill även ha input från medlemsstaterna om ett antal delfrågor.

I föredragningslistan finns frågan uppsatt som en ”progress report”. Några tecken från Coreper på mer än så finns (ännu) inte.

Den svenska regeringens linje bör vara att CC2 skall läggas på hyllan tills vidare. I vart fall fram till dess att vi vet vad den nya EU-kommissionen kommer att föreslå, efter att den tillträtt vid nästa årsskifte.

Fredag den 1 mars håller riksdagens EU-nämnd möte. Då skall nästa veckas ministerrådsmöte diskuteras med justitieminister Strömmer.

Detta vore ett utmärkt tillfälle för riksdagen att göra som flera andra EU-länders parlament (bl.a. Finland och Österrike) – och säga blankt nej till Chat Control 2, då förslaget strider mot de grundläggande mänskliga rättigheterna.

(För övrigt kan noteras att även den nya polska regeringen säger nej till CC2.)

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Nu tar EU makten över din webläsare

av

Nu beslutar EU att din webläsare skall tvingas acceptera statligt påbjudna certifikat – som kan öppna för övervakning av vad du gör på nätet.

På torsdag röstar Europaparlamentet om ett European Digital Identity framework (eIDAS). Frågan om ett digitalt EU-ID är kontroversiell nog i sig. Men EU är även på väg att ta makten över din webläsare.

Vi har tidigare beskrivit frågan så här:

»Vad det handlar om är ett förslag om att din webb-läsare kanske måste acceptera certifikat som staten säger åt den att acceptera – utanför HTTPS certifikatsystem (artikel 45). Facktermen är QWAC.«

Och så här:

»Blir förslaget verklighet kommer den browser du använder att tvingas acceptera interaktion med certifikat från sådan tredje part som beslutas av regeringen – utan nödvändiga säkerhetsgarantier och helt utanför HTTPS certifikatsystem.

Vilket får allvarliga konsekvenser för säkerheten på nätet. Samtidigt öppnar det för att staten kan övervaka dig och vad du gör online.«

Techradar skrev förra veckan:

»Secure browser providers, like Mozilla, and cryptographers, computer scientists, and privacy advocates have warned of how these proposed provisions endanger the security and privacy of citizens across the block.«

»What the eIDAS wants to change, raising many concerns within the industry, is how to deal with these certificates. As computer engineer and professor at EPFL Carmela Troncoso explained, the law will give EU states the right to issue these proofs of trust which web browsers will have to accept as truthful. Browser providers will also be prevented from removing these certificates (as it currently happens) even in cases where they notice malicious activities, unless the member state doesn’t allow it.«

»”[The law] changes the balance of power by moving these security checks on member states. We find this to be extremely dangerous,” Troncoso told me. ”The security of the whole internet is on the line because this is not about the security of two pages, it is the whole thing.”«

Tyska Netzpolitik.de beskriver hur Europaparlamentet och IT-experter talat förbi varandra under processen. Politikerna menar till exempel att QWACs aldrig missbrukats för övervakning – vilket de facto skett i Kazakhstan, Kina, Ryssland och Frankrike.

Förvirringen om vad som gäller är betydande. Den som vill läsa den text parlamentet skall rösta om på torsdag, se punkt 38, artikel 45. Det finns även ett yrkande (ändringsförslag 15) om att helt stryka artikel 45.

Som vanligt finns det inga garantier för att Europaparlamentets ledamöter förstår vad de beslutar om när det kommer till internet och IT.

I värsta fall får man väl använda VPN för att hämta hem en web-läsare som inte tvingas acceptera EU-certifikaten, från något land utanför unionen.

Tyskland vill göra rätten till totalsträckskryptering obligatorisk

av

Samtidigt som EU vill urholka rätten till säker krypterad elektronisk kommunikation vill den tyska regeringen göra den obligatorisk.

Det tyska departementet för transport och digitala frågor har nu tagit första steget mot att göra rätten till totalsträckskryptering / end-to-end-kryptering (E2EE) obligatorisk. Detta är en fråga som regleras i den tyska regeringens koalitionsfördrag, men som dragit ut på tiden.

Vad är det då som skall bli obligatoriskt? Det tycks inte handla om något generellt absolut krav på kryptering av allt. Däremot måste alla meddelande- och molntjänster erbjuda möjligheten till E2EE. Detta skall gälla överallt där det är tekniskt möjligt.

Vilket är ett stort steg i rätt riktning, även om man kan tycka att E2EE borde vara standard för alla elektroniska kommunikationer.

En intressant aspekt är att en av EU:s tyngsta aktörer nu är på väg att göra rätten till totalsträckskrypterad kommunikation till lag. Vilket går på tvärs mot vad andra länder i EU:s ministerråd vill. Till exempel vill Spanien helt förbjuda E2EE.

Samtidigt har EU en »högnivågrupp« som arbetar med frågan om hur man skall kunna kringgå kryptering och bereda sig tillgång till all elektronisk kommunikation.

Detta skall bli intressant att följa.

• Recht auf Verschlüsselung geplant »

Relaterat: Going dark – EU:s krig mot krypterad kommunikation »

Europadomstolen: Totalsträckskryptering är en mänsklig rättighet

av

Europadomstolen försvarar rätten till totalsträckskrypterad kommunikation. Detta sätter käppar i hjulet för det svenska utredningsförslag som vill avskaffa den.

Europadomstolen för de mänskliga rättigheterna (ej att förväxla med EU-domstolen) har nu slagit fast att myndigheterna inte har rätt att kräva ut nätanvändares totalsträckskrypterade (E2EE) kommunikation i läsbar form.

Domstolen slår alltså fast rätten till säker totalsträckskrypterad kommunikation.

Europadomstolen delar även EU-domstolens uppfattning om att datalagring (lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.) strider mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Detta menar domstolen även gäller meddelandetjänster.

Domen är extra intressant för oss i Sverige. Här har en utredning nyligen föreslagit att:
i) datalagringen bör utökas till att även omfatta meddelandetjänster
ii) dessa på begäran skall tvingas lämna ut innehåll i elektronisk kommunikation till myndigheterna i läsbar form.

Båda dessa förslag säger alltså Europadomstolen nej till. Utöver deklarationen om de mänskliga rättigheterna hänvisas till flera principiella uttalanden av Europarådet (till vilket Europadomstolen är kopplad). Europarådet består av fler europeiska länder än EU och är organisationen bakom Europakonventionen om de mänskliga rättigheterna.

Vad gäller den andra punkten menar domstolen helt korrekt att en operatör inte kan bereda sig tillgång till en användares totalsträckskrypterade meddelanden utan att samtidigt undergräva möjligheten till säker E2E-kryptering för alla.

Detaljerna i fallet rör meddelande-appen Telegram. Även om dess default-läge bara är kryptering mellan användare och meddelandeserver kan användare slå på totalsträckskryptering, vilket här är fallet.

Målet är mellan användare och ryska staten. Även om Ryssland lämnat Europarådet strax efter invasionen av Ukraina påbörjades ärendet tidigare och rör perioden då landet fortfarande var med.

Ärendet är av principiell betydelse och domen gäller alla Europarådets medlemsstater. Den är sprängstoff med tanke på att EU just nu försöker finna nya former för datalagring och för att kringgå totalsträckskrypterad kommunikation.

Det skall även bli intressant att se hur detta kommer att påverka utformningen av ny svensk lagstiftning om datalagring. Sådan kommer att bli nödvändig, då den nuvarande svenska lagen (trots att den skrevs om) fortfarande bryter mot den princip som slagits fast av EU-domstolen:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Länkar:
• Europadomstolens dom »
• Inlaga i processen från European Information Society Insitute (EISi) »

Relaterat från denna blogg:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Striden om ett nytt datalagringsdirektiv i EU »
• Going dark – EU:s krig mot krypterad kommunikation »