Femte juli

Nätet till folket!

Länktips

Vi använder kategorin länktips dels när vi vill tipsa om något intressant, dels när vi publicerar andra poster med många och/eller bra länkar.

EU:s AI Act och ministerrådets fulspel

av

I EU:s ministerråd används paradoxalt nog de mänskliga rättigheterna som argument för mer övervakning.

Just nu processar medlemsstaterna i ministerrådet EU:s nya AI Act. Det är ett märkligt skådespel.

Artificiell intelligens kan möjligen behöva regleras. Problemet är att sådan reglering bygger på hur AI fungerar idag, trots att konceptet ständigt förändras i rasande fart.

Risken är att lagstiftningen kommer att vara föråldrad redan när den klubbas. En annan risk är att detta kommer att bli ännu ett hinder för utvecklingen av europeisk IT-industri.

Men det finns ett område ministerrådet inte vill reglera. Det gäller nationell säkerhet och polisiärt arbete. Då är det plötsligt viktigt att vara flexibel…

En absurd twist är att länder som Frankrike och Tyskland nu försöker blockera förslaget till AI Act med argumentet att den kan strida mot de grundläggande mänskliga rättigheterna. Detta trots att det är uppenbart att det verkliga skälet är att de vill kunna använda AI för att övervaka medborgarna.

Under rubriken dubbla budskap kan noteras att Tyskland motiverar sitt motstånd mot förordningen med att den inte innehåller något förbud mot användning av biometrisk data vid övervakning. Men ingenstans tidigare i processen har Tyskland framfört någon sådan invändning.

Skulle EU:s AI Act bli allt för urvattnad, blockeras eller falla är det fritt fram för medlemsstaterna och övervakningsindustrin att använda både biometrisk data och AI för att övervaka medborgarna.

EU:s AI Act är i sig en märklig lagstiftning. Den känns framstressad av politiker som vill reglera en teknik de inte riktigt förstår. För att de kan.

Kanske vore det rimligare om AI föll under övrig lagstiftning och dess mer generella principer. Såväl vad gäller civil som offentlig och polisiär användning. Men det är bara en lös tanke.

EDRi: Council to vote on EU AI Act: What’s at stake? »

Nu förlängs Chat Control 1 – i väntan på Chat Control 3

av

Tro inte att striden om Chat Control är över. Ett nytt förslag om vad som skall ersätta Chat Control 1 kommer under nästa EU-mandatperiod.

Med starka argument om grundläggande mänskliga rättigheter lyckades vi stoppa Chat Control 2 i Europaparlamentet.

CC2 skulle göra granskning av medborgarns elektroniska meddelanden obligatorisk och föreskrev även att AI skulle granska allt som skrivs, sägs och sänds för att identifiera olagligt innehåll.

För att operatörer och plattformar frivilligt skall kunna fortsätta granska sina användares meddelanden i jakt på innehåll med sexuella övergrepp mot barn förlängs nu Chat Control 1, som i sin ursprungliga form går ut i sommar.

Egentligen är detta också problematiskt. Brevhemligheten är en grundläggande mänsklig rättighet som även bör gälla online. Och alla offentliga postningar kan plattformarna granska utan att det krävs någon lag alls.

Men nu är det som det är och CC1 är mindre dålig än CC2.

Just nu behandlas frågan i Europaparlamentets LIBE-utskott, där förslaget är att CC1 skall förlängas med ett år. Kommissionen vill ha en förlängning med två år och rådet med tre.

Hur som helst måste vi förbereda oss för Chat Control 3, som kommer att komma när en ny kommission tillträder efter sommarens EU-val.

Vi vet inte hur CC3 kommer att se ut mer än att man kommer att föreslå en fortsatt granskning av innehållet i folks elektroniska meddelanden. En central fråga är om det kommer att bli frivilligt eller obligatoriskt.

Vidare kan man anta att AI-analys av innehållet i våra kommunikationer knappast återkommer i CC3, i vart fall inte i sin tidigare form. Kritiken var för hård. Men vad som helt kan hända.

Den stora striden lär stå om rätten till krypterad kommunikation. Kanske i CC3, kanske i någon annan dossier. Men att frågan blir aktuell under nästa EU-mandatperiod är rätt uppenbart.

Samtidigt kör EU:s medlemsstater egna race för att kringgå krypterad kommunikation. Till exempel föreslår en svensk statlig utredning att meddelandetjänster på begäran skall tvingas överlämna innehåll i användarnas meddelanden till myndigheterna i »läsbar form«.

Uppdatering: Nu har Europaparlamentets LIBE-utskott röstat för ett års förlängning av Chat Control 1.

• European Parliament to extend voluntary chat control with some modifications »
• New chat control gate leak: Intelligence-industrial network suggests undermining encryption for other purposes than CSAM »

Skurkstater i FN vill ta kontroll över internet

av

Ryssland, Kina och Iran vill göra FN:s Cybercrime Treaty till ett verktyg för kontroll och förtryck. Nästa vecka kan allt avgöras.

29 januari till 9 februari genomförs slutförhandlingar om FN:s Cybercrime Treaty. Den text som ligger på bordet är problematisk.

Får länder som Ryssland, Kina, Iran och Pakistan som de vill öppnas dörren för censur och övervakning på ett sätt som står i konflikt med grundläggande mänskliga rättigheter. Några exempel:

  • Man är inte ens överens om vad »cyberbrottslighet« egentligen är. Vilket skapar utrymme för godtycke.
  • Vad vi i de demokratiska rättsstaterna betraktar som helt lagliga yttranden online kan komma att kriminaliseras.
  • Verksamhet som bedrivs av cybersäkerhetsexperter, visselblåsare, aktivister och journalister kan komma att kriminaliseras.
  • Säker elektronisk kommunikation kommer att undermineras.
  • IT-tekniker kan tvingas kringgå dagens verktyg för säkerhet online.
  • Data och information kan komma att delas och hämtas över gränserna på ett sätt som går bortom vad som kan anses vara lämpligt, nödvändigt och proportionerligt. Detta utan rimligt dataskydd och utan hänsyn till rättsstatens grundläggande principer.

Den sista punkten innebär att internetoperatörer och nätplattformar kan tvingas lämna ut information om sina användare och deras aktiviteter till skurkstater.

I sammanhanget skall man komma ihåg att många länder anser saker vara olagliga som är helt lagliga och självklara i en demokratisk rättsstat och i ett öppet samhälle.

Enkelt uttryckt är den aktuella texten skräddarsydd för auktoritära och totalitära stater som vill övervaka folket, kontrollera oliktänkande och hindra fri information.

Texten är inte förenlig med svensk eller EU:s lagstiftning. Och om man skall vara petig, inte heller med FN:s egen stadga om de mänskliga rättigheterna.

Dessutom finns redan nödvändiga konventioner på området, som Budapest-konventionen. Dock anser bland andra Ryssland att dessa inte går långt nog.

Så väl IT-industrin som ett hundratal organisationer som arbetar med mänskliga rättigheter och nätets frihet protesterar högljutt. Trots detta har fördraget svällt vad gäller såväl syfte som form.

EFF:s Policy Director for Global Privacy Katitza Rodriguez säger:

»The proposed treaty needs more than just minor adjustments; it requires a more focused, narrowly defined approach to tackle cybercrime. This change is essential to prevent the treaty from becoming a global surveillance pact rather than a tool for effectively combating core cybercrimes. With its wide-reaching scope and invasive surveillance powers, the current version raises serious concerns about cross-border repression and potential police overreach. Above all, human rights must be the treaty’s cornerstone, not an afterthought. If states can’t unite on these key points, they must outright reject the treaty.«

Vad gäller FN:s medlemsstater har motståndet varit trögt i starten – men verkar nu i sista stund ta fart. Bland andra USA, EU, Kanada, Nya Zeeland och ett antal latinamerikanska länder motsätter sig förslaget som det ligger i sin senaste version.

I sammanhanget är det värt att påminna om FN:s egen 5 juli-resolution som säger att mänskliga rättigheter offline även skall gälla online.

• EFF and More Than 100+ NGOS Set Non-Negotiable Redlines Ahead of UN Cybercrime Treaty Negotiations »

• Joint Statement on the Proposed Cybercrime Treaty Ahead of the Concluding Session »

• On eve of final negotiations, US says consensus growing around ‘narrow’ UN cybercrime treaty »

• Latest UN Cybercrime Treaty draft a ‘significant step in the wrong direction,’ experts warn »

Ny svensk datalagring och bakdörrar till krypterad kommunikation

av

Den förra regeringen tillsatte en utredning om datalagring och krypterad kommunikation. Dess förslag bygger på missuppfattningar om hur internet och telekommunikationer fungerar, är oproportionerliga, strider mot skyddet för privatliv och privata kommunikationer samt mot EU-rätten. Nu förväntas den nya regeringen göra utredningens förslag till lag.

Den 1 november gick remisstiden ut för SOU 2023:22 om »Datalagring och åtkomst till elektronisk information«.

Datalagringen har varit en surdeg i tio år, sedan EU-domstolen upphävde EU:s datalagringsdirektiv med hänvisning till de mänskliga rättigheterna.

Domstolens position kan enkelt beskrivas så här: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den dåvarande socialdemokratiska regeringen hoppades att den svenska lagen om datalagring skulle klara sig. Men 2016 fann EU-domstolen att även den var oförenlig med EU-rätten.

Vilket ledde till en ny svensk lag – som i princip har samma grundläggande fel som den förra. Enda skälet till att den finns kvar är att den (ännu) inte prövats i EU-domstolen.

Medveten om detta tillsatte justitieminister Morgan Johansson (S) en utredning, som under försommaren presenterades för den nya regeringen och justitieminister Gunnar Strömmer (M).

Som utredningens namn antyder handlar denna utredning inte bara om datalagring, utan även mer allmänt om myndigheternas »åtkomst till elektronisk information«.

Vilket i stycken leder till begreppsförvirring. Nu rör man ihop lagring av metadata (datalagring) med mer allmän tillgång till innehållet i elektroniska kommunikationer. Förmodligen hade det varit bättre att utreda frågorna var och en för sig.

• Datalagring

Vad gäller datalagringen föreslår utredningen att man antingen kan välja att lagra all kommunikationsdata (nationell säkerhetslagring) i händelse av ett nationellt nödläge under en begränsad tid, på inrådan av Säpo.

Eller att man ägnar sig åt riktad lagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Varpå utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

I vart fall det senare skulle inte tåla en granskning i EU-domstolen.

Med ett väldigt krystat resonemang menar utredaren att det vore att bryta mot de mänskliga rättigheternas krav på rätten till privatliv att inte upphäva samma mänskliga rättigheter. Ur vårt remissvar:

»Utredaren menar där att skrivningen i artikel 8 i Europakonventionen om att det finns en skyldighet för det allmänna att tillförsäkra enskilda skydd för privat- och familjeliv innebär att (vissa) integritetsintrång bör kriminaliseras.

För att sådana brott ska kunna bekämpas krävs i sin tur att staten har tillgång till effektiva utredningsverktyg och eftersom datalagring, enligt utredaren, är ett sådant skulle frånvaro av datalagring innebära ett staten inte levde upp till de enskildas konventionsskyddade rätt till skydd av privatlivet.

Därmed kan enligt utredaren inte heller artikel 8 i Europakonventionen i användas för att begränsa datalagring. En begränsning blir i stället ett brott mot artikel 8.

Utifrån detta synsätt skulle förstås inte endast utebliven datalagring hota integriteten utan också varje uteblivet intrång i enskildas privata sfär (så länge det motiverades med brottsbekämpning).

Att inte kränka människors integritet skulle innebära att man kränkte deras integritet. Orwell hade inte kunnat uttrycka det bättre.«

I sammanhanget kan även noteras att de grundläggande mänskliga rättigheterna är till för att skydda individen mot staten – inte individer mot andra individer. För det senare finns vanlig lagstiftning.

• Krypterad kommunikation

I den del av utredningen som handlar om »åtkomst till elektronisk information« kan man läsa följande:

»Även tillhandahållare av Noik (nummeroberoende interpersonella kommunikationstjänster) ska alltså vara skyldiga att bedriva sin verksamhet så att beslut om hemliga tvångsmedel kan verkställas och så att verkställandet inte röjs. Det omfattar även de fall en tillhandahållare för sina kunder möjliggör totalsträckskryptering, dvs. när bara sändare och mottagare har tillgång till meddelandena i läsbar form. I dessa fall innebär anpassningsskyldigheten att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myndigheter i läsbar form.«

Det vill säga att man kräver bakdörrar till krypterad kommunikation.

Ur vårt remissvar:

»En bakdörr i en tjänst kan inte begränsas till dem som har laglig tillgång till den. Finns den kan den utnyttjas av alla som känner till den, det inkluderar både organiserad brottslighet som främmande makts underrättelsetjänst. Förekomst av bakdörrar skulle sannolikt också i praktiken användas av kriminella och andra illasinnade aktörer i betydlig större utsträckning än av brottsbekämpande myndigheter.

För en kriminell är alla som har den aktuella bakdörren potentiella måltavlor (exempelvis för bedrägerier) medan brottsbekämpande myndigheter normalt är inriktade på en viss misstänkt person eller en grupp misstänkta personer. (…)

Många av de tjänster som erbjuder säkra kommunikationer idag är utländska och vänder sig till globala marknader. Det är inte sannolikt att de kommer att avskaffa totalsträckskryptering eller införa bakdörrar på grund av svenska myndighetskrav. Snarare kommer de att sluta erbjuda dessa tjänster i Sverige.«

• Vad händer nu?

Remisstiden är ute och nu skall regeringen försöka göra lag av det hela.

Det utredningen skriver om datalagring är inte i enlighet med EU-domstolens beslut och EU-rätten – eller bara orimligt i största allmänhet.

Dessutom tyder det mesta på att EU:s beslutsapparat ändå kommer att göra ett omtag vad gäller datalagringen under nästa mandatperiod 2024-29

Att ge sig på totalsträckskryptering är att förklara krig mot internet. Vilket vi kunde se under förra årets strid om Chat Control 2 – som bland annat landade i att Europaparlamentet tog principiell ställning för rätten till krypterad kommunikation.

Detta känns som en utredning som mest tillsatts för att skjuta problem på framtiden. Och när framtiden nu är här finns ändå inga bra eller rimliga svar.

Ett sista citat, ur vårt remissvar:

»Stiftelsen konstaterar att utredningen inte håller sådan kvalitet att den kan ligga till grund för lagstiftning. Bland annat bygger delar av betänkandet på missuppfattningar om hur internet- och telekommunikationer fungerar. Vidare konstateras att förslaget är oproportionerligt, strider mot skyddet av privatliv och privata kommunikationer, och med stor sannolikhet strider mot unionsrätten.

Med hänvisning till ovanstående avstyrker Stiftelsen förslaget.«

Länkar:
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Regeringen: Datalagring och åtkomst till elektronisk information »
• SOU 2023:22 Datalagring och åtkomst till elektronisk information (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »
• Datalagring – olaglig övervakning fortsätter och utökas »
• Going dark – EU:s krig mot krypterad kommunikation »

Musk, X, EU, DSA och yttrandefriheten

av

Konflikten mellan Elon Musk och EU handlar ytterst om yttrandefrihet och respekt för de mänskliga rättigheterna.

Som ett första test av EU:s nya Digital Services Act (DSA) ger sig EU-kommissionen nu efter X, Elon Musks sociala medieplattform tidigare känd som Twitter.

DSA är politikens försök att ta makten över det offentliga samtalet på internet.

För stora sociala media kräver DSA en armé av compliance officers och jurister för all den byråkrati som föreskrivs.

DSA införs stegvis och omfattar även statligt godkända nätcensorer – Trusted Flaggers / betrodda anmälare – som skall få en direktlina till sociala media för att rekommendera vilket innehåll som skall plockas bort.

Detta är en funktion som den svenska regeringen planerar att lägga under Post- & Telestyrelsen, PTS.

Man kan diskutera detaljerna i EU-kommissionens X-files. Vad är bäst – censur eller community notes? Skall videos från Hamas vidriga massaker den 7 oktober få visas? Var det klokt att ändra den blå dekalen från att betyda verifierad användare till betalande dito?

För att ta ett exempel kan jag tycka att community notes är bättre än censur.

Community notes ger bakgrund, sammanhang och exponerar lögner, desinformation och missförstånd – vilket har ett värde i sig. De ger en kontext till märkliga påståenden istället för att bara ta bort dem. De är självsanering genom crowdsourcing.

Men i grunden känns EU-kommissionens utredning som ett angrepp mot Elon Musk.

För att han säger saker som vissa ogillar; för att han i det närmaste är yttrandefrihets-fundamentalist; för att han hamnat på kant med det amerikanska politiska etablissemanget och för att X är en plattform där vanliga människor kan lägga sig i, ifrågasätta och utmana makten.

Samt för att EU vill markera vem som bestämmer. (Vilket tydligt framgår av den franske EU-kommissionären Thierry Bretons offensiva tweets. Hans nästa måltavla tycks vara Pornhub.)

Naturligtvis kan visst innehåll vara problematiskt. Ibland har Musk fel. (Hans uttalanden om Ukraina irriterar mig svårt.) Och det finns gott om skitskallar på nätet som inte kan uttrycka sig eller bete sig som folk, precis som i verkligheten i övrigt.

I konflikten mellan Musk och EU möts två olika kulturer. Dels den amerikanska där vem som helst får säga nästan vad som helst. Dels den europeiska – i vilken politik och förvaltning ängsligt vill sätta gränser för vad som får uttryckas.

Problemet med det senare är att alla politiker och tjänstemän – uttalat eller undermedvetet – har en agenda och personliga referensramar. Något opartiskt och ofelbart orakel existerar inte. Den som vill inskränka det fria ordet har som regel sina – inte nödvändigtvis ädla – skäl.

Det är inte alltid uppenbart vad som är rätt eller fel. Vissa saker som absolut inte fick sägas på sociala media i går är tillåtet och allmänt godtaget idag.

Att censurera sociala media strider delvis mot principen att yttranden inte får hindras i förväg. (Även om ett inlägg initialt publicerats hindrar censuren spridning.)

Istället bör eventuellt olagliga yttranden prövas rättsligt i efterhand. (Och i samband med detta kan eventuell radering av innehåll ske efter beslut i domstol.)

Detta gäller när staten lägger sig i, vilket den nu uppenbarligen gör. (Användarvillkor är däremot ett avtal mellan två parter, vilket är en annan sak.)

I den svenska yttrandefrihetsgrundlagen (1 kap, §11) finns just ett sådant förbud mot förhandscensur.

Här står grundläggande rättigheter på spel. Artikel 10 i Europakonventionen om de mänskliga rättigheterna slår fast följande huvudprincip:

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

EU-stadgan om de mänskliga rättigheterna säger exakt samma sak och är en del av EU:s fördrag. I sammanhanget är det värt att notera att EU-kommissionen förutsätts vara »fördragens väktare«.

Här kan det även vara på sin plats att påminna om FN:s »5 juli-resolution« som säger att mänskliga rättigheter offline även skall gälla online. (A/HRC/RES/20/8 som tillkom på initiativ av Sverige och USA.)

När DSA utarbetades varnade både tjänstemän och civilsamhälle för att delar av förordningen står i strid med de grundläggande mänskliga rättigheterna.

Detta avvisades av den dåvarande svenska, socialdemokratiska regeringen – och ignorerades av de svenska ledamöter av Europaparlamentet som var centrala i beslutsprocessen.

Nu börjar vi se konsekvenserna.

Naturligtvis ogillar politikerna sociala media. De är en möjlighet för medborgarna att käfta emot, ifrågasätta och lägga sig i. Detta stör och tvingar makthavarna att försvara sin ståndpunkt. Det minskar deras makt.

Man kan undra vad EU tänker göra om Musk inte lyder och kanske inte heller betalar de böter Bryssel då kommer att ålägga X (6% av företagets omsättning)? Blockera X? En europeisk digital järnridå, som The Great Firewall of China?

Har man verkligen tänkt igenom det här?

Mer troligt är att X lämnar den europeiska marknaden.

Vilket i så fall innebär att den enda breda arena för samhällsdebatt där alla kan medverka på lika villkor stängs. På grund av politiskt tryck. Bad optics. (Och ändå möjligt att kringgå med VPN.)

Det är lite av ett Gutenberg moment över det hela. Tumultet när allmänheten fick tillgång till information som tidigare var förbehållen ett fåtal. Revolutionen i att kunna göra sin röst hörd och dela information med många.

Sedan får vi nog leva med att alla inte tycker likadant.

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

• EU-kommissionen: Commission opens formal proceedings against X under the Digital Services Act »
• Commission investigating X for alleged violations of EU content moderation rules »
• EU targets Musk’s X in first illegal content probe »
• X vs. EU: Elon Musk hit with probe over spread of toxic content »
• EU Bureaucrats Formally Investigate X Over Lack of “Disinformation” Censorship »

Going dark – EU:s krig mot krypterad kommunikation

av

Den svenska regeringen öppnade Pandoras ask. Nu planerar EU kriget mot kryptering och ny datalagring i en hemlig grupp bakom stängda dörrar.

För snart ett år sedan höll EU:s justitie- och inrikesministrar ett informellt möte i det då nytillträdda ordförandelandet Sverige. Efter lunch torsdagen den 26 januari var det dags att ge sig i kast med den svenska regeringens arbetsdokument »Going dark«.

Inledningen beskriver allehanda brottslig verksamhet som är kopplad till nätet och vilka problem detta medför för de rättsvårdande myndigheterna. Speciellt då krypterad kommunikation. Fast med betydande demokratiska brasklappar:

»In the view of the Presidency, it is therefore time to discuss ways and means to uphold the rule of law in the digital era, while preserving security, protecting privacy and fundamental rights, and also increasing European competitiveness. Effective law enforcement, acting in full compliance with democratic values, is a prerequisite for protecting the fundamental rights of our citizens, including the right to the protection of personal data, respect for private and family life, and freedom of expression.


In light of this, the Presidency wishes to initiate a holistic discussion, rooted in fundamental rights and also legal and technical realities, on access to data for law enforcement and judicial purposes. This discussion should seek to reconcile the protection of the right to a private life and personal data with the need for secure online environments and digital services to ensure the protection of victims of crime and keep our citizens and societies safe.«

Vilket faktiskt låter relativt balanserat. Problemet är att när man väl öppnat lådan kommer även de mindre balanserade, de dåliga och de direkt farliga förslagen. Så är det i princip alltid i EU – hur vackert man än uttrycker sig i ruta ett. The cat is out of the bag.

Dokumentet fortsätter att problematisera kring frågan med krypterad kommunikation och uppmanar till diskussion med alla inblandade intressenter. Allt är mycket allmänt hållet.

Det hela landade i att man skulle tillsätta en »High-Level Expert Group«. Därmed hamnade det hela under EU-kommissionen och inrikeskommissionär Ylva Johansson.

Gruppens syfte är att formulera en »strategisk vision för framtiden« och att föreslå hur man kan utöka och förbättra myndigheternas tillgång till data. (I sammanhanget kan nämnas att Europol nyligen fick rätt att bereda sig tillgång till data hos privata aktörer.)

Snabbt ändrades namnet från »High-Level Expert Group« till »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man kanske tyckte var olämpligt i detta fall.

Under det svenska ordförandeskapets sista dagar, i juni 2023 höll denna grupp sitt första möte. Någon diskussion med alla inblandade intressenter var det inte längre fråga om. Men den kallar sig fortfarande en »collaborative and inclusive platform« på sin hemsida.

Enligt regelverket kan gruppen bjuda in representanter från en privata sektorn, akademien, NGOer, advokater och dataskyddsexperter vid enstaka tillfällen. Inga sådana finns dock representerade i gruppen.

Efter att detta uppmärksammats har man dock lovat att bjuda in representanter för civilsamhället till ett möte, efter årsskiftet.

Den europeiska dataskyddsmyndigheten EDPS och en representant för Europaparlamentets människorättsutkott LIBE kan – men måste inte – erbjudas observatörsstatus.

Så vilka sitter då i denna högnivågrupp? Svaret är att det får vi inte veta. Det går visserligen att begära ut en deltagarlista – men bara med alla namn maskade.

Här formas framtidens övervakning, bakom stängda dörrar. På sina möten har gruppen bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, statstrojaner och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Detta är inte riktigt den bild den svenska regeringen målade upp i sin skrivelse i januari:

»The Presidency aims to enable and promote such discussions. They should involve all relevant stakeholders, with the objective of identifying and presenting common solutions to better ensure access to data, electronic evidence and information for law enforcement and judicial purposes, while upholding the protection of fundamental rights and the security of electronic communications.«

Man upphör aldrig att förvånas över den svenska naiviteten i EU-sammanhang.

Djuplänkar i texten, huvudlänk här:

• Netzpolitik: Hinter verschlossenen Türen »

EU inför gemensamt system för sjukjournaler

av

Nu införs en gemensam databas och standard för sjukvårdsjournaler i EU:s 27 olika medlemsstater. Kanske praktiskt, men förenat med stora risker.

Både EU:s ministerråd och Europaparlamentet har nu givit grönt ljus till det nya europeiska systemet för sjukjournaler – EU Health Data Space.

I praktiken kommer det att vara obligatoriskt att vara med. Europaparlamentet har gjort tillägget att medborgare skall kunna »invända« genom ett skriftligt förfarande. Dock verkar det som att en sådan invändning bara kan göras mot vissa former av data och användning i sekundära syften.

Naturligtvis är det lätt att se fördelen med ett gemensamt journalsystem för hela EU, enligt en ny standard: Blir man sjuk har vården tillgång till samma information oavsett om man är i Bordeaux eller Borås.

I verkligheten är det naturligtvis en helt annan sak. Man skall stöpa om och centralisera journalsystemet för 27 olika länder till år 2025. Vad kan möjligen gå fel?

Detta för att inte nämna risken för IT-attacker, läckta patientuppgifter och missbruk av systemet. Eller tekniska fel, borttappad data och inkompetent handhavande.

Och det är inte bara din doktor som får tillgång till information. Data skall även tillhandahållas för forskning och utveckling. (Men parlamentet säger nej till att insamlad hälsodata får används när någon skall anställas och för finansiella tjänster som försäkringar…)

Parlamentet och ministerrådet ligger rätt nära varandra och kommissionens ursprungliga förslag. Det är i princip bara den ovan nämnda rätten att »invända« som skiljer. Så trilog-förhandlingarna om den slutliga texten kommer förmodligen att gå snabbt.

Och här är avslutningsvis en kritisk röst, MEP Patrick Breyer (PP, DE):

»A compulsory electronic patient file with Europe-wide access entails irresponsible risks of theft, hacking or loss of the most personal treatment data and threatens to deprive patients of any control over the collection of their illnesses and disorders,” emphasises Breyer, co-lead negotiator for the Greens/European Free Alliance group in the EU Parliament’s Civil Liberties Committee.

“This is nothing other than the end of medical confidentiality. Have we learnt nothing from the international hacker attacks on hospitals and other health data? If every mental illness, addiction therapy, every potency weakness and all abortions are forcibly networked, worried patients risk being deterred from urgent medical treatment – this can make people ill and put a strain on their families!

In the trilogue negotiations, I will fight to ensure that national opt-out schemes are clearly allowed for in the legislation.”«

• Europaparlamentet: EU Health Data Space: access to your health data across the EU »

• Europaparlamentet: EP supports creating EU Health Data Space to boost access to data and research »

• MEP Patrick Breyer (PP, DE): European Health Data Space: EU Parliament opposes mandatory electronic patient records for all citizens, but supports granting access to sensitive health data without asking patients »

Så vill EU ta makten över AI

av

Nu reglerar EU användningen av artificiell intelligens – med stora undantag för brottsbekämpande myndigheter. Här är vad man har förhandlat fram.

Det finns nu i princip en överenskommelse mellan EU:s tre institutioner om dess nya reglering av artificiell intelligens, the AI Act. I princip, eftersom det fortfarande tycks råda en viss oklarhet om vad man beslutat i detalj.

Överenskommelsen är resultatet av trilog-förhandlingar – i vilka kommissionen, ministerrådet och parlamentet stänger in sig bakom stängda dörrar för att utarbeta en kompromiss utan offentlig insyn.

Trots att det inte finns något stöd för triloger i EU:s fördrag avgörs idag nio av tio lagförslag i EU genom dessa hemliga förhandlingar. Vilket är ett demokratiskt problem. Lagstiftning måste tåla insyn.

Än mer svajigt blir det om man betänker att detta är lagstiftning där den tekniska utvecklingen går med rasande fart. Plus att det är oklart om beslutsfattarna verkligen förstår vad AI är och hur den fungerar.

Men det är som det är. Till saken. Vad har man kommit fram till?

  • EU vill ha insyn i och viss möjlighet att påverka AI-system som anses vara hög risk för individen, samhället och ekonomin. Här ställs även krav på transparens, konsekvensanalyser och energianvändning.
  • Man förbjuder automatiserad ansiktsigenkänning i realtid, utom vad gäller att identifiera gärningsmän och offer vid vissa typer av brott och för att bekämpa terrorism.
  • Automatiserad ansiktsigenkänning i efterhand begränsas till utredning av allvarliga brott.
  • Användning av AI för förebyggande brotssbekämpning (pre-crime) begränsas delvis, speciellt om den bygger på personlighets- och karaktärsdrag (t.ex. ras, politisk åsikt eller religion – om inte sådana uppgifter har en direkt betydelse till ett visst brott eller hot).
  • Användning av AI för att upptäcka och registrera känslor förbjuds på arbetsplatser och inom utbildningsväsendet utom när det sker i säkerhetssyfte.
  • AI får inte användas för manipulation, exploatering av sårbarheter och sociala poängsystem (social scoring).
  • Militär användning undantas från begränsningar, så länge den är i linje med EU:s fördrag.
  • Fri och open source-mjukvara undantas från lagstiftningen utom när tillämpningen anses vara förenad med hög risk eller förbud enligt ovan.
  • Ett AI Office skall upprättas hos EU-kommissionen, en European Artificial Intelligence Board skall etableras liksom ett rådgivande forum och en vetenskaplig panel.

EU:s AI Act är tänkt att träda ikraft inom två år, med undantag för vissa förbud som skall börja gälla redan efter sex månader från det att rådet och parlamentet bekräftat trilogens kompromiss.

Hur tekniken kommer att se ut om två år och om lagstiftningen över huvud taget är relevant då är en öppen fråga.

Och som vanligt finns alltid en påtaglig risk för ändamålsglidning, missbruk av dessa verktyg och för vad de kan komma att användas till av auktoritära eller totalitära politiska krafter.

EU:s AI Act sätter också strålkastarljuset på Chat Control som nu av allt att döma skjutits på framtiden, till nästa mandatperiod. Att låta AI granska innehållet i medborgarnas elektroniska meddelanden samtidigt som man ger myndigheterna relativt fria händer på området tar frågan till en ny nivå. Detta bör uppmärksammas i vårens EU-valrörelse.

Några länkar:
• Europaparlamentet: Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI »
• EU-kommissionen: Commission welcomes political agreement on Artificial Intelligence Act »
• EDRi – EU AI Act: Deal reached, but too soon to celebrate »
• Euractiv: AI Act: EU policymakers nail down rules on AI models, butt heads on law enforcement »
• Euractiv: European Union squares the circle on the world’s first AI rulebook »

Från trilogförhandlingarna om EU:s nya AI Act.

Utredning: Grönt ljus för statliga spionprogram

av

Försöket med hemlig dataavläsning blir permanent, trots klent resultat. Samtidigt lämnar det våra telefoner och datorer öppna för angrepp från kriminella och andra illasinnade aktörer.

På onsdagen presenterades en utredning (SOU 2023:78) om att göra hemlig dataavläsning permanent. (Än så länge har lagen varit tillfällig på grund av att detta är ett nytt verktyg som innebär ett stort intrång i rätten till privatliv.)

Rekommendationen är att hemlig datalagring skall göras permanent och att den i vissa delar även skall utökas.

Hemlig dataavläsning innebär att de brottsbekämpande myndigheterna kan installera spionprogram (”statstrojaner”) på människors telefoner, plattor, datorer, spelkonsoler m.m. i syfte att utreda brott.

Dessa spionprogram kan sedan få tillgång till i princip allt som finns på en telefon. Dessutom ger de möjlighet till realtidsövervakning och loggning.

På så sätt kan till exempel meddelanden som sänds via krypterade meddelandetjänster avläsas redan när de skrivs – innan de krypterats och sänts. Alternativt efter att de tagits emot, av-krypterats och öppnats för att läsas.

Genom att använda telefonens mikrofon och kamera kan man även avlyssna dess ägare. Och alla andra som råkar befinna sig i närheten. Även den som ringer till eller blir uppringd av en telefon med spionprogram blir övervakad.

Till detta kommer att spionprogrammen kan ges tillgång till bilder, filer och allt annat som finns på en telefon eller dator.

Ett uppenbart problem med detta är att det krävs säkerhetsluckor i mjuk- och/eller hårdvaran för att myndigheterna skall kunna installera sina spionprogram i hemlighet.

Vilket innebär att kända säkerhetsbrister lämnas utan åtgärd – för att kunna användas av myndigheterna. Vilket naturligtvis är en väldigt dålig sak. Dessa brister kan då även utnyttjas av nätbedragare, främmande makt och andra illvilliga aktörer.

Utredningen skriver:

»Det kan konstateras att informationssäkerhet har en central plats i samhället. Vikten av en fungerande informationssäkerhet måste därför vägas mot vikten av en effektiv brottsbekämpning. I förarbetena till lagen om hemlig dataavläsning konstaterades att hemlig dataavläsning medför större risker för informationssäkerheten än andra tvångsmedel. En viktig utgångspunkt för våra avvägningar i denna del är att det inte kan accepteras att hemlig dataavläsning leder till minskad informationssäkerhet i någon annan utrustning än den som åtgärden avser.«

Sedan väljer man att strunta i detta. Vilket, försiktigt uttryckt, är anmärkningsvärt.

Nu gör man oss alla mindre säkra och vår IT-infrastruktur mer sårbar. Helt medvetet.

Men detta är inte allt. Utredningen skriver:

»Av de årliga redovisningarna kan konstateras att den kvantitativt uppskattade nyttan av hemlig dataavläsning generellt sett har varit något lägre än för de permanenta hemliga tvångsmedlen.«

Vilket är ett understatement. Hemlig dataavläsning har bara lett till åtal i 20 procent av de fall som domstol har gett tillstånd till. Och då skall man komma ihåg att det i dessa fall som regel även fanns annan bevisning som till exempel vittnen, fysiska bevis och dokumentation.

Dessutom har detta verktyg kommit att användas mer och oftare än man från början angett.

Nu skall systemet med ”statstrojaner” alltså bli permanent. I en något utökad form. Med en förenklad ansöknings- och beslutsprocess.

Risken för att systemet kan missbrukas är uppenbar. Det finns redan exempel på hur regeringarna i Ungern, Polen och Spanien använt denna typ av spionprogram för att spana på sina politiska motståndare.

Och när verktyget väl finns på plats räcker det med ett klubbslag i riksdagen för att syftet och omfattningen skall utökas. Vilket i princip alltid sker när det gäller övervakningslagar.

• Regeringen: Hemlig dataavläsning – utvärdering och permanent lagstiftning »
• Hemlig dataavläsning – utvärdering och permanent lagstiftning, SOU 2023:78 »
• Oisín Cantwell, Aftonbladet: Hemlig dataavläsning är soundtracket till vår tid »

QWAC – fortsatt förvirring om statliga web-certifikat

av

EU-institutionernas trilogförhandlingar om EU:s Digital Identity Framework (eIDAS) är klara. Men vad gäller att tvinga din web-läsare att godkänna statligt utfärdade certifikat (QWACs) utanför HTTPS certifikatsystem är förvirringen fortfarande stor.

Den 28 november röstar Europaparlamentets industriutskott (ITRE) om trilogförhandlingarnas kompromiss om EU:s Digital Identity Framework (eIDAS).

Problemet är att dokumenten fortfarande inte är allmänt tillgängliga samtidigt som det är högst oklart om beslutsfattarna begriper vad de sysslar med.

Detta är snårigt och tekniskt komplicerat. Själv är jag inte tekniker utan sysslar mest med den politiska sidan kring frågor som rör ett fritt och öppet internet. Så jag kan ha fel. Men å andra sidan tycks även de tekniska experterna sväva i ovisshet.

Vad det handlar om är ett förslag om att din webb-läsare kanske måste acceptera certifikat som staten säger åt den att acceptera – utanför HTTPS certifikatsystem (artikel 45). Facktermen är QWAC.

Vilket i så fall kan öppna dörren för ännu mer övervakning samtidigt som säkerheten online kan äventyras.

EFF kommenterade saken i ett tidigt skede:

»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«

Nu varnar Mozilla för att EP ITRE är på väg att klubba resultet av trilogen om eIDAS utan att dokumenten är tillgängliga för granskning:

»We understand that although no changes have been made to Article 45, there were last-minute changes to the accompanying Recital 32. However, the EU has still not published the agreed legal text. There are now less than 13 days until the vote and the cyber security community, civil society and the public are still unable to read the proposed regulation, let alone scrutinize its impacts.«

Från EU-kommissionens sida menar man att allt är en missuppfattning. Cirkulera, här finns inget att se. Vilket vi dock lärt oss inte är någon garanti för att det blir rätt eller för att beslutsfattarna begriper vad de beslutar om.

IT-säkerhetsspecialisten Karl Emil Nikka säger:

»Det vansinniga här är att vi tvingas spekulera om vad QWAC i själva verket är. Den här processen, där politiker lägger fram tekniska förslag utan att ens konkretisera vad de föreslår, är vansinnig.«

Förvirringen om vad man håller på att besluta om är med andra ord stor.

Här kan du läsa Mozillas varning:
13 days before the first eIDAS vote, still no public text »

Lobbygruppen European Signature Dialog håller inte med:
• Mozilla website pushes serious eIDAS misinformation to political decision makers and public »
• ESD Experts Support Trilogue Compromise and Emphasize Necessity for Highest Security of the Internet »

Och här är EU-kommissionens input:
• CEF eSignature pilot on ntQWACs »
• European digital identity: Council and Parliament reach a provisional agreement on eID »

Vad som verkligen gäller går över min horisont. Men dokumenten ovan kan kanske vara till nytta för dem som har den tekniska kompetensen. Fyll gärna på med input i kommentarsfältet.

Slutligen, här är våra tidigare bloggposter i ämnet – som innehåller massor av länkade referenser:
• Nu tar EU kontrollen över din web-läsare »
• EU:s eID nu ett steg närmare – och EU-certifikat »

Kommissionens, rådets och parlamentets förhandlare efter att en kompromiss nåtts i trilogförhandlingarna om eIDAS.