Femte juli

Nätet till folket!

Länktips

Vi använder kategorin länktips dels när vi vill tipsa om något intressant, dels när vi publicerar andra poster med många och/eller bra länkar.

Så vill EU ta makten över AI

av

Nu reglerar EU användningen av artificiell intelligens – med stora undantag för brottsbekämpande myndigheter. Här är vad man har förhandlat fram.

Det finns nu i princip en överenskommelse mellan EU:s tre institutioner om dess nya reglering av artificiell intelligens, the AI Act. I princip, eftersom det fortfarande tycks råda en viss oklarhet om vad man beslutat i detalj.

Överenskommelsen är resultatet av trilog-förhandlingar – i vilka kommissionen, ministerrådet och parlamentet stänger in sig bakom stängda dörrar för att utarbeta en kompromiss utan offentlig insyn.

Trots att det inte finns något stöd för triloger i EU:s fördrag avgörs idag nio av tio lagförslag i EU genom dessa hemliga förhandlingar. Vilket är ett demokratiskt problem. Lagstiftning måste tåla insyn.

Än mer svajigt blir det om man betänker att detta är lagstiftning där den tekniska utvecklingen går med rasande fart. Plus att det är oklart om beslutsfattarna verkligen förstår vad AI är och hur den fungerar.

Men det är som det är. Till saken. Vad har man kommit fram till?

  • EU vill ha insyn i och viss möjlighet att påverka AI-system som anses vara hög risk för individen, samhället och ekonomin. Här ställs även krav på transparens, konsekvensanalyser och energianvändning.
  • Man förbjuder automatiserad ansiktsigenkänning i realtid, utom vad gäller att identifiera gärningsmän och offer vid vissa typer av brott och för att bekämpa terrorism.
  • Automatiserad ansiktsigenkänning i efterhand begränsas till utredning av allvarliga brott.
  • Användning av AI för förebyggande brotssbekämpning (pre-crime) begränsas delvis, speciellt om den bygger på personlighets- och karaktärsdrag (t.ex. ras, politisk åsikt eller religion – om inte sådana uppgifter har en direkt betydelse till ett visst brott eller hot).
  • Användning av AI för att upptäcka och registrera känslor förbjuds på arbetsplatser och inom utbildningsväsendet utom när det sker i säkerhetssyfte.
  • AI får inte användas för manipulation, exploatering av sårbarheter och sociala poängsystem (social scoring).
  • Militär användning undantas från begränsningar, så länge den är i linje med EU:s fördrag.
  • Fri och open source-mjukvara undantas från lagstiftningen utom när tillämpningen anses vara förenad med hög risk eller förbud enligt ovan.
  • Ett AI Office skall upprättas hos EU-kommissionen, en European Artificial Intelligence Board skall etableras liksom ett rådgivande forum och en vetenskaplig panel.

EU:s AI Act är tänkt att träda ikraft inom två år, med undantag för vissa förbud som skall börja gälla redan efter sex månader från det att rådet och parlamentet bekräftat trilogens kompromiss.

Hur tekniken kommer att se ut om två år och om lagstiftningen över huvud taget är relevant då är en öppen fråga.

Och som vanligt finns alltid en påtaglig risk för ändamålsglidning, missbruk av dessa verktyg och för vad de kan komma att användas till av auktoritära eller totalitära politiska krafter.

EU:s AI Act sätter också strålkastarljuset på Chat Control som nu av allt att döma skjutits på framtiden, till nästa mandatperiod. Att låta AI granska innehållet i medborgarnas elektroniska meddelanden samtidigt som man ger myndigheterna relativt fria händer på området tar frågan till en ny nivå. Detta bör uppmärksammas i vårens EU-valrörelse.

Några länkar:
• Europaparlamentet: Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI »
• EU-kommissionen: Commission welcomes political agreement on Artificial Intelligence Act »
• EDRi – EU AI Act: Deal reached, but too soon to celebrate »
• Euractiv: AI Act: EU policymakers nail down rules on AI models, butt heads on law enforcement »
• Euractiv: European Union squares the circle on the world’s first AI rulebook »

Från trilogförhandlingarna om EU:s nya AI Act.

Utredning: Grönt ljus för statliga spionprogram

av

Försöket med hemlig dataavläsning blir permanent, trots klent resultat. Samtidigt lämnar det våra telefoner och datorer öppna för angrepp från kriminella och andra illasinnade aktörer.

På onsdagen presenterades en utredning (SOU 2023:78) om att göra hemlig dataavläsning permanent. (Än så länge har lagen varit tillfällig på grund av att detta är ett nytt verktyg som innebär ett stort intrång i rätten till privatliv.)

Rekommendationen är att hemlig datalagring skall göras permanent och att den i vissa delar även skall utökas.

Hemlig dataavläsning innebär att de brottsbekämpande myndigheterna kan installera spionprogram (”statstrojaner”) på människors telefoner, plattor, datorer, spelkonsoler m.m. i syfte att utreda brott.

Dessa spionprogram kan sedan få tillgång till i princip allt som finns på en telefon. Dessutom ger de möjlighet till realtidsövervakning och loggning.

På så sätt kan till exempel meddelanden som sänds via krypterade meddelandetjänster avläsas redan när de skrivs – innan de krypterats och sänts. Alternativt efter att de tagits emot, av-krypterats och öppnats för att läsas.

Genom att använda telefonens mikrofon och kamera kan man även avlyssna dess ägare. Och alla andra som råkar befinna sig i närheten. Även den som ringer till eller blir uppringd av en telefon med spionprogram blir övervakad.

Till detta kommer att spionprogrammen kan ges tillgång till bilder, filer och allt annat som finns på en telefon eller dator.

Ett uppenbart problem med detta är att det krävs säkerhetsluckor i mjuk- och/eller hårdvaran för att myndigheterna skall kunna installera sina spionprogram i hemlighet.

Vilket innebär att kända säkerhetsbrister lämnas utan åtgärd – för att kunna användas av myndigheterna. Vilket naturligtvis är en väldigt dålig sak. Dessa brister kan då även utnyttjas av nätbedragare, främmande makt och andra illvilliga aktörer.

Utredningen skriver:

»Det kan konstateras att informationssäkerhet har en central plats i samhället. Vikten av en fungerande informationssäkerhet måste därför vägas mot vikten av en effektiv brottsbekämpning. I förarbetena till lagen om hemlig dataavläsning konstaterades att hemlig dataavläsning medför större risker för informationssäkerheten än andra tvångsmedel. En viktig utgångspunkt för våra avvägningar i denna del är att det inte kan accepteras att hemlig dataavläsning leder till minskad informationssäkerhet i någon annan utrustning än den som åtgärden avser.«

Sedan väljer man att strunta i detta. Vilket, försiktigt uttryckt, är anmärkningsvärt.

Nu gör man oss alla mindre säkra och vår IT-infrastruktur mer sårbar. Helt medvetet.

Men detta är inte allt. Utredningen skriver:

»Av de årliga redovisningarna kan konstateras att den kvantitativt uppskattade nyttan av hemlig dataavläsning generellt sett har varit något lägre än för de permanenta hemliga tvångsmedlen.«

Vilket är ett understatement. Hemlig dataavläsning har bara lett till åtal i 20 procent av de fall som domstol har gett tillstånd till. Och då skall man komma ihåg att det i dessa fall som regel även fanns annan bevisning som till exempel vittnen, fysiska bevis och dokumentation.

Dessutom har detta verktyg kommit att användas mer och oftare än man från början angett.

Nu skall systemet med ”statstrojaner” alltså bli permanent. I en något utökad form. Med en förenklad ansöknings- och beslutsprocess.

Risken för att systemet kan missbrukas är uppenbar. Det finns redan exempel på hur regeringarna i Ungern, Polen och Spanien använt denna typ av spionprogram för att spana på sina politiska motståndare.

Och när verktyget väl finns på plats räcker det med ett klubbslag i riksdagen för att syftet och omfattningen skall utökas. Vilket i princip alltid sker när det gäller övervakningslagar.

• Regeringen: Hemlig dataavläsning – utvärdering och permanent lagstiftning »
• Hemlig dataavläsning – utvärdering och permanent lagstiftning, SOU 2023:78 »
• Oisín Cantwell, Aftonbladet: Hemlig dataavläsning är soundtracket till vår tid »

QWAC – fortsatt förvirring om statliga web-certifikat

av

EU-institutionernas trilogförhandlingar om EU:s Digital Identity Framework (eIDAS) är klara. Men vad gäller att tvinga din web-läsare att godkänna statligt utfärdade certifikat (QWACs) utanför HTTPS certifikatsystem är förvirringen fortfarande stor.

Den 28 november röstar Europaparlamentets industriutskott (ITRE) om trilogförhandlingarnas kompromiss om EU:s Digital Identity Framework (eIDAS).

Problemet är att dokumenten fortfarande inte är allmänt tillgängliga samtidigt som det är högst oklart om beslutsfattarna begriper vad de sysslar med.

Detta är snårigt och tekniskt komplicerat. Själv är jag inte tekniker utan sysslar mest med den politiska sidan kring frågor som rör ett fritt och öppet internet. Så jag kan ha fel. Men å andra sidan tycks även de tekniska experterna sväva i ovisshet.

Vad det handlar om är ett förslag om att din webb-läsare kanske måste acceptera certifikat som staten säger åt den att acceptera – utanför HTTPS certifikatsystem (artikel 45). Facktermen är QWAC.

Vilket i så fall kan öppna dörren för ännu mer övervakning samtidigt som säkerheten online kan äventyras.

EFF kommenterade saken i ett tidigt skede:

»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«

Nu varnar Mozilla för att EP ITRE är på väg att klubba resultet av trilogen om eIDAS utan att dokumenten är tillgängliga för granskning:

»We understand that although no changes have been made to Article 45, there were last-minute changes to the accompanying Recital 32. However, the EU has still not published the agreed legal text. There are now less than 13 days until the vote and the cyber security community, civil society and the public are still unable to read the proposed regulation, let alone scrutinize its impacts.«

Från EU-kommissionens sida menar man att allt är en missuppfattning. Cirkulera, här finns inget att se. Vilket vi dock lärt oss inte är någon garanti för att det blir rätt eller för att beslutsfattarna begriper vad de beslutar om.

IT-säkerhetsspecialisten Karl Emil Nikka säger:

»Det vansinniga här är att vi tvingas spekulera om vad QWAC i själva verket är. Den här processen, där politiker lägger fram tekniska förslag utan att ens konkretisera vad de föreslår, är vansinnig.«

Förvirringen om vad man håller på att besluta om är med andra ord stor.

Här kan du läsa Mozillas varning:
13 days before the first eIDAS vote, still no public text »

Lobbygruppen European Signature Dialog håller inte med:
• Mozilla website pushes serious eIDAS misinformation to political decision makers and public »
• ESD Experts Support Trilogue Compromise and Emphasize Necessity for Highest Security of the Internet »

Och här är EU-kommissionens input:
• CEF eSignature pilot on ntQWACs »
• European digital identity: Council and Parliament reach a provisional agreement on eID »

Vad som verkligen gäller går över min horisont. Men dokumenten ovan kan kanske vara till nytta för dem som har den tekniska kompetensen. Fyll gärna på med input i kommentarsfältet.

Slutligen, här är våra tidigare bloggposter i ämnet – som innehåller massor av länkade referenser:
• Nu tar EU kontrollen över din web-läsare »
• EU:s eID nu ett steg närmare – och EU-certifikat »

Kommissionens, rådets och parlamentets förhandlare efter att en kompromiss nåtts i trilogförhandlingarna om eIDAS.

Chatcontrol: Ett stort steg framåt och ett bakåt

av

Europaparlamentet säger nej till urskiljningslös granskning av innehållet i medborgarnas elektroniska meddelanden. Men kräver samtidigt åldersgränser (ID-krav) för porrsiter.

Nu har Europaparlamentets utskott för mänskliga rättigheter och inrikes frågor – LIBE – röstat om EU-kommissionens förslag till ny massövervakning, Chat Control 2.

Som vi tidigare kunnat berätta är LIBE:s partiöverskridande kompromiss ett stort steg åt rätt håll – då utskottet skrotar i princip allt som är kontroversiellt med förslaget:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.
  • Ingen skanning (med AI) efter olagligt innehåll (grooming) i elektroniska konversationer.
  • Ingen obligatorisk åldersverifiering för meddelande-appar.
  • Anonyma konton på meddelande-appar skall vara tillåtna.

Samtidigt har ett nytt problematiskt förslag smugit sig in. I den nya artikel 4a(e) om porrsiter kan vi läsa att utskottet vill införa åldersgränser.

Vilket är problematiskt på fler sätt. Ålderskontroll kräver att man identifierar sig. Vilket öppnar för registrering av folks sexuella preferenser och vanor.

Man kan även tänka sig att porrsiter fyller en seriös funktion för tonåringar under åldersgränsen som vill utforska sin sexualitet utan att blanda in någon annan.

Plus att internet inte känner några gränser. EU kan kanske tvinga europeiska porrsiter att införa en åldersgräns – men hur har man tänkt sig hantera icke-europeiska siter som inte tillämpar ålderskontroll. Skall de blockeras?

Det finns även skäl att vara försiktig med personuppgifter som kan komma att missbrukas av den som samlar in dem. Oseriösa aktörer kan sätta upp porrsiter med syfte att stjäla användarnas persondata i brottsligt syfte – om en åldersgräns med ID-kontroll blir obligatorisk.

Det är synd att en i övrigt bra kompromiss kommer med detta helt nya, ogenomtänkta och farliga förslag. Men det är lång väg kvar till beslut, så det kan komma att ändras.

Vad händer nu? Den 4-5 december skall EU:s ministerråd hantera frågan om Chat Control 2. I rådet diskuterar man fortfarande EU-kommissionär Ylva Johanssons ursprungliga förslag i olika varianter. Vilket är oförenligt med Europaparlamentets position.

Det är inte otänkbart att rådet sänder tillbaka Chat Control 2 till EU-kommissionen för att omarbetas. Det innebär i så fall att frågan skjuts upp till efter EU-valet nästa sommar.

Skulle ministerrådet däremot hålla fast vid någon variant av det ursprungliga förslaget blir det förhandlingar (trilog) mellan rådet, parlamentet och kommissionen – vilket kan sluta hur som helst.

Det finns även rykten om att EU-kommissionen kan komma att lägga förslag om att förlänga den nu gällande Chat Control 1 som ger plattformar och operatörer rätt att frivilligt söka efter olagligt innehåll – till skillnad från Chat Control 2 som gör det obligatoriskt.

Uppdatering: I en utfrågning i riksdagen säger kommissionär Ylva Johansson nu att hon vill förlänga Chat Control 1, enligt ovan.

Läs mer:
• Chatcontrol: Kompromiss i Europaparlamentet »
• Chatcontrol – vad händer efter Europaparlamentets nej? »
• Europaparlamentets dokument »

Relevant debattartikel:
• Europaportalen: Riksdagen måste säga nej till Chat Control 2.0 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

Följ oss även på Twitter: @femtejuli

EU:s eID nu ett steg närmare – och EU-certifikat

av

Nu kommer EU:s nya eID och digitala plånbok. Samtidigt skall alla web-läsare tvingas acceptera potentiellt farliga och skadliga statliga certifikat.

På onsdagen enades EU:s tre institutioner om regelverket för elektronisk identitet – eIDAS, med tillhörande digitala plånböcker.

Den digitala plånboken är tänkt att kunna användas för till exempel identifikation, körkort, licenser, examina och medicinsk information. På sikt kan även sådant som bibliotekskort, kollektivtrafikbiljetter, träningspass, betalkort och validering för olika kommersiella sammanhang finnas i den.

EU:s digitala plånbok är även tänkt att användas för inloggningar på nätet, som ett alternativ till inloggning hos tredje part med Google och Facebook.

Möjligheten till omfattande övervakning av medborgarna är uppenbar.

Det finns samtidigt positiva aspekter: EU:s digitala plånbok skall vara frivillig att använda. Det skall alltid vara möjligt att identifiera sig manuellt. Och det blir inget EU-personnummer.

Vilket dock lätt kan ändras när systemet väl finns på plats.

Under huven – i det användarna inte ser – finns dock problem. Främst handlar det om att man vill att alla web-läsare skall tvingas acceptera nya statligt utfärdade certifikat utanför HTTPS certifikatsystem.

Man vill alltså inte underkasta EU-certifikaten den kontroll som annars sker i därför avsedda globala system. Vilket kommer att göra nätet mindre säkert samtidigt som det öppnar för övervakning av användarna. Läs mer »

Den tyske piratpartisten i Europaparlamentet, Patrick Breyer säger:

 »This regulation is a blank cheque for surveillance of citizens online, endangering our privacy and security online. Browser security is being undermined, and overidentification will gradually erode our right to use digital services anonymously.«

Nu när kommissionen, rådet och parlamentet snackat ihop sig i trilog-förhandlingarna återstår bara att formellt klubba eIDAS-överenskommelsen. Detta väntas ske utan större motstånd i såväl rådet som parlamentet innan årsskiftet.

• MEP Patrick Breyer (PP, DE): EU Digital Identity Regulation (eIDAS): Pirates don’t support blank cheque for surveillance of citizens online! »
• Europaparlamentet: EU-wide digital wallet: MEPs reach deal with Council »
• EU-kommissionen: Commission welcomes final agreement on EU Digital Identity Wallet »

Relaterat:
• Nu tar EU kontrollen över din web-läsare »

Nu tar EU kontrollen över din web-läsare

av

Onsdag den 8 november går EU:s institutioner in i slutförhandlingar om att din webb-läsare måste acceptera allt staten säger åt den att acceptera – utanför HTTPS certifikatsystem.

Det handlar om artikel 45 i EU:s Digital Identity Framework (eIDAS) som nu är uppe till slutlig behandling i EU.

Blir förslaget verklighet kommer den browser du använder att tvingas acceptera interaktion med certifikat från sådan tredje part som beslutas av regeringen – utan nödvändiga säkerhetsgarantier och helt utanför HTTPS certifikatsystem.

Vilket får allvarliga konsekvenser för säkerheten på nätet. Samtidigt öppnar det för att staten kan övervaka dig och vad du gör online.

EFF kommenterade det hela redan tidigt i processen:

»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«

I ett uttalande förra veckan försökte the Internet Society få EU:s beslutsfattare att inse att de inte fullt ut förstår vad de lagstiftar om och vilka konsekvenser detta kan komma att få.

Även industrin med Mozilla i spetsen har idag skrivit brev till Europaparlamentet och EU:s ministerråd – i vilket de varnar för att artikel 45 kommer att få negativa globala konsekvenser vad gäller säkerheten online.

Läs mer, senaste input:
Joint statement of scientists and NGOs on the EU’s proposed eIDAS reform
• Mullvad: EU Digital Identity framework (eIDAS) another kind of chat control? »
• Internet Society: Civil Society Experts Voice Concern as New EU Digital Identity Regulation Finalized »
• Industry Joint Statement on Article 45 in the EU’s eIDAS Regulation (PDF) »
• Mozilla: Last Chance to fix eIDAS: Secret EU law threatens Internet security
• TF: EU Tries To Slip In New Powers To Intercept Encrypted Web Traffic Without Anyone Noticing »
• Computer Weekly: EU digital ID reforms should be ‘actively resisted’, say experts »
• No Broken Browsers
• Dropsafe: Hot on the heels of #ChatControl and in the name of “identity” and “consumer choice” the EU seeks the ability to undetectably spy on HTTPS communication; 300+ experts say “no” to #Article45 of #eIDAS #QWAC »

Bakgrund / tidigare texter:
• Förslag: Din webb-läsare måste acceptera allt staten säger åt den att acceptera »
• EFF: EU’s Digital Identity Framework Endangers Browser Security »
• EFF: What the Duck? Why an EU Proposal to Require ”QWACs” Will Hurt Internet Security »
• EU vill skapa egen DNS-infrastruktur som kan blockera innehåll »
• TF: The EU Wants Its Own DNS Resolver that Can Block ‘Unlawful’ Traffic »
• The Record: EU wants to build its own DNS infrastructure with built-in filtering capabilities »

Utredare föreslår anonyma vittnen

av

Såväl åklagare som åtalade skall ha rätt att åberopa anonyma vittnen vars identitet skall vara skyddad för resten av domstolen, föreslår en ny utredning.

Med hänvisning till den allvarliga brottsligheten har regeringen låtit snabbutreda frågan om anonyma vittnen i brottsmål. Idag har utredaren Fredrik Wersäll överlämnat sin utredning till justitieministern.

Utredningen föreslår att ett system med anonyma vittnen införs den första april 2025.

Justitieminister Gunnar Strömmer säger att regeringen ser positivt på förslaget och att man kan tänka sig att lagen träder ikraft tidigare än vad utredaren anger.

Förslaget får allvarliga konsekvenser vad gäller den demokratiska rättsstatens grundläggande principer. För att kunna försvara sig måste man rimligen veta vem som riktar en anklagelse emot en.

Ett vittne kan drivas av andra motiv än sanningen. Detta måste man kunna bedöma. Vilket inte är möjligt med anonyma vittnen.

Europakonventionen om de mänskliga rättigheterna säger – i artikel 6 om rätten till en rättvis rättegång – att var och en som står åtalad för en brottslig handling har rätt att undersöka de vittnen som åberopas mot honom.

Vilket knappast kan ske om man inte får veta vem vittnet är.

Utredaren anser dock att hans förslag inte alls strider mot Europakonventionen.

Sedan är förslaget som sådant problematiskt på många sätt. I korthet föreslås följande:

  • Anonyma vittnen skall kunna användas vid misstanke om brott som ger (eller vars sammanlagda straffvärde är) minst två års fängelse.
  • Det skall föreligga en påtaglig risk för vittnet eller vittnets närstående.
  • Såväl åklagare som den misstänkte / åtalade skall kunna begära att ett vittne hörs anonymt.
  • Beslut om att ett vittne skall få vara anonymt skall fattas separat, av domstol. Rättssäkerheten skall då bevakas av ett allmänt ombud.
  • Detta kan gälla vittnesmål under förundersökning och/eller under rättegång.
  • Den rätt som dömer skall inte ha tillgång till det anonyma vittnets identitet. Det vill säga att varesig domare / nämndemän, tilltalad, dennes försvarare, målsägande eller dennes ombud får känna till vittnets identitet. Detta gäller även åklagaren, i de fall det inte är samme åklagare som i prövningen i föregående punkt.
  • Rätten skall inte få efterfråga det anonyma vittnets namn och vittnet skall ha rätt att vägra yttra sig om uppgifter som kan röja identiteten.

Att både åklagare och den misstänkte skall ha rätt att kräva att ett vittne hörs anonymt har förmodligen sin grund i att Europakonventionen föreskriver att båda parter skall ha samma möjligheter att driva sin sak.

Vilket alltså landar i att även en åtalad gängkriminell med stort våldskapital kommer att få rätt att åberopa anonyma vittnen.

Vad kan möjligen bli fel? Detta är myntets andra sida – och beskriver rätt tydligt förslagets grundläggande problem.

Sedan kan man ifrågasätta försvarets och/eller åklagarens möjlighet att korsförhöra ett vittne utan att sådana detaljer röjs som kan avslöja vittnets identitet. Vittnesmål existerar som regel i något slags kontext.

Nu blir det remissrunda. Vilket kan bli ovanligt livat.

Länkar:
• Förslag på system om anonyma vittnen presenteras för regeringen »
• Anonyma vittnen SOU 2023:67 »
• Powerpoints från presskonferensen »
• Presskonferensen på Youtube »

Chatcontrol – vad händer efter Europaparlamentets nej?

av

Lika oväntat som glädjande säger Europaparlamentet nej till de centrala delarna i Chat Control 2. Men nu återstår ministerrådet, som än så länge håller fast vid EU-kommissionens förslag. Sedan följer förhandlingar.

I unik enighet över grupp- och partigränser säger Europaparlamentet nej till i princip allt som är dåligt i EU-kommissionens förslag till ny massövervakning – Chat Control 2.

Parlamentets position är nu att skanning skall begränsas till individer eller grupper som misstänks för sexuella övergrepp mot barn – ”targeted scanning, not blanket”.

Det vill säga att man spanar mot folk som misstänks för brott – inte mot alla andra, hela tiden. Som EU-domstolen vill att det skall vara.

När misstanke föreligger kommer man att söka efter känt och tidigare okänt övergreppsmaterial. (Hur det senare är tänkt att gå till är dock oklart.)

Men man kommer inte att skanna innehållet (text och IP-samtal) i de övervakades konversationer i syfte att upptäcka grooming. (I vart fall inte innan det finns tillförlitlig teknik för sådan analys.)

Skanning skall endast ske på meddelandetjänster (om misstanke föreligger) som är okrypterade. Man vill alltså inte längre bryta totalsträckskryptering / end-to-end encryption.

Parlamentet säger även nej till åldersgräns för meddelande-appar – och därmed även ja till möjligheten att kommunicera anonymt.

LIBE-utskottets ansvarige rapportör Javier Zarzalejos (EPP, Spanien) hade följande att säga på torsdagens presskonferens.

»We have tried to take a comprehensive view in the fight against child sexual abuse online, which needs to develop a variety of strategies to succeed. There is no massive scanning or general monitoring of the web. There is no indiscriminate scanning of private communications, or backdoors to weaken encryption. There are no legal or technical shortcuts — but there is a positive and compelling duty to put in place legal tools to prevent and combat these heinous crimes.«

Detta är alltså parlamentets position. Men än är segern långt ifrån vunnen.

Nu skall EU:s ministerråd fastställa sin position. Och där spretar det från ett kategoriskt nej till ett entusiastiskt ja till kommissionens förslag.

För att få till ett nej krävs en blockerande minoritet i rådet.

Tyska regeringen är förbunden att rösta nej genom sitt koalitionsfördrag. Österrikes, Finlands och Nederländernas parlament har instruerat sina regeringar att säga nej till Chatcontrol. Den utgående polska regeringen säger nej. Estland och Tjeckien sägs luta mot ett nej.

Den svenska regeringen har ett eget förslag som är nästan, men inte riktigt lika dåligt som kommissionens.

Vore det inte lika bra att riksdagens EU-nämnd instruerar regeringen att helt enkelt rösta nej till kommissionens förslag, nu när Europaparlamentet tagit sitt förnuft till fånga? Eller uppmana den att ansluta sig till parlamentets linje?

Om inte kommissionens ursprungliga förslag dödas i ministerrådet kommer det att leva vidare in i trilogförhandlingarna mellan rådet, parlamentet och kommissionen.

I triloger görs allt upp bakom stängda dörrar – och resultatet av en kompromiss där kan omöjligt vara bättre än vad Europaparlamentet just lagt på bordet. Gissningsvis mycket sämre.

Den 13 november skall Europaparlamentets LIBE-utskott rösta för att bekräfta sin nya position.

Den 4-5 december är det nytt ministerrådsmöte, som föregås av EU-nämnden den 1 december.

• MEP Patrick Breyer (PP, DE): Historic agreement on child sexual abuse proposal (CSAR): European Parliament wants to remove chat control and safeguard secure encryption »
• TechCrunch: EU lawmakers agree on key detection limits in controversial CSAM-scanning file »

Relevant debattartikel:
• Europaportalen: Riksdagen måste säga nej till Chat Control 2.0 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

Följ oss även på Twitter: @femtejuli

Chatcontrol: Kompromiss i Europaparlamentet

av

Lämna totalsträckskrypterad kommunikation ifred och inrikta övervakning mot dem som misstänks för brott. Så kan enligt uppgift uppgörelsen om Chat Control 2 i Europaparlamentet sammanfattas.

Idag, torsdag den 26 oktober kl 13:30 skall det hållas en presskonferens i Europaparlamentet för att presentera en framförhandlad kompromiss om Chat Control 2.

Det är de olika gruppernas rapportörer i LIBE-utskottet som förhandlat fram en position. Denna blir sedan parlamentets utgångsbud när man går in i trilogförhandlingar med ministerrådet och EU-kommissionen.

Redan nu kan Euractiv och Netzpolitik avslöja delar av innehållet. Med reservation för att det är andrahandsuppgifter och för språkförbistring verkar de viktigaste punkterna vara:

  • Ingen skanning av innehållet i totalsträckskrypterad / E2EE kommunikation.
  • Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
  • Beslut om övervakning skall fattas av en domstol.
  • Ingen skanning (med AI) efter olagligt innehåll (grooming) i elektroniska konversationer.
  • Ingen obligatorisk åldersverifiering för meddelande-appar.
  • Anonyma konton på meddelande-appar skall vara tillåtna.

Mer information lär komma efter presskonferensen, när dokumentet blir tillgångligt.

Votering om LIBEs slutliga position är planerad till den 13 november.

• Chatkontrolle nur bei Verdacht »
• EU Parliament nails down agreement on child sexual abuse regulation »

Relevant debattartikel:
• Europaportalen: Riksdagen måste säga nej till Chat Control 2.0 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

Följ oss även på Twitter: @femtejuli

En grundlig sågning av Chat Control 2

av

Ingen – inte ens EU-kommissionen själv – är beredd att försvara kommissionär Ylva Johanssons förslag om ny massövervakning, Chat Control 2. Däremot stod kritikerna på kö när EU:s dataskyddsmyndighet ordnade ett seminarium om frågan.

I måndags höll EU:s dataskyddsmyndighet EDPS ett seminarium i Europaparlamentet om Chat Control 2: EDPS Seminar on the CSAM Proposal: ”The Point of No Return?” »

Under drygt två timmar levererade ett 20-tal experter svidande kritik mot EU-kommissionens förslag. En utmärkt – och grundlig – sammanfattning finns hos TechCrunch: Europe’s CSAM-scanning plan is a tipping point for democratic rights, experts warn »

Seminariet kan även ses här. »

Några intressanta nedslag nedan. Vi börjar med the European Data Protection Supervisor, Wojciech Wiewiórowski. Från TechCrunch:

“It is often being used in the debate that this proposal is only about protecting children. I would like this to be the case — but it’s not,” he went on, arguing that the Commission’s proposal questions the “foundations” of what privacy means in a democratic society; and pointing out that privacy, once undermined, leads to “the radical shift from which there might be no return”, as he put it.

Without amendments, the proposal would “fundamentally change the Internet and the digital communication as we know it”, Wiewiórowski also warned at the event’s close — invoking his personal childhood experience of living under surveillance and restrictions on freedom of expression imposed by the Communist regime in Poland. And, most certainly, it’s an awkward comparison for the EU’s executive to be asked to contemplate coming from the mouth of one of its own expert advisors.

Frederik Borgesius, professor på iHub, Radboud University, i Nederländerna menade att Chat Control 2 uppenbart går bortom vad som kan anses vara nödvändigt och proportionerligt i relation till de mänskliga rättigheterna.

I detta tog han avstamp i EU-domstolens ogiltigförklarande av EU:s datalagringsdirektiv, som ju ”bara” handlade om metadata, inte innehåll (som Chat Control 2).

“Actually, the court might not even get to a proportionality test because the data retention cases were about metadata. And this is about analysing the content of communications,” he went on. “The EU Charter of Fundamental Rights has an element that says if the essence of a fundamental right is violated then the measure is illegal by definition — there’s not even a need for a proportionality test.”

Borgesius also pointed out there’s case law on this essence point too. “When is the essence violated? Well, the court has said — in a different case — if authorities can access the contents of communications on such a large scale then the discussion is over,” he explained. “No room for proportionality test — the essence of the right to privacy would be violated, and therefore such a measure would be illegal.”

Chat Control 2 kommer alltså att kunna upphävas av EU-domstolen på rent principiella grunder. Men sådant tar tid och förslaget kan ställa till med mycket skada fram till dess.

Ytterligare några citat ur texten:

One issue several speakers raised is that a large proportion of the sexualized content involving minors that’s being shared online is actually being done so by (and between) consenting minors (i.e. sexting). The Commission proposal could therefore lead to children being investigated and even criminalizing for exploring their own sexual identities, they suggested — since understanding what is and isn’t CSAM is not something that can necessarily be done by simply reviewing the imagery itself.

Detta speciellt som CC2 vill se AI-stödd sökning efter tidigare okänt olagligt material.

Certainly in the case of new CSAM (i.e. suspected CSAM content that has not been previously seen, investigated and confirmed as illegal child sexual abuse material), context is essential to any assessment of what is being depicted. This is not something an AI scanning tool, or even a trained human looped in to review flagged imagery, can inherently know just by looking at a piece of content, the seminar heard.

Om Client Side Scanning på användarnas telefoner och datorer:

“As computer science researchers we’ve just begun to look at this technology,” said Matthew Green, a cryptographer professor at The Johns Hopkins University, Baltimore. “I want to stress how completely new the idea of client side scanning is — the very first computer science research papers on the topic appeared in 2021 and we’re not even two years later, and we’re already discussing laws that mandate it.”

“The problem of building systems where [content scanning] algorithms are confidential and can’t be exploited is something we’re just beginning to research. And so far, many of our technical results are negative — negative in the sense that we keep finding ways to break these systems,” he also told the seminar. “Break them means that we will ultimately violate the confidentiality of many users. We will cause false positives. We will cause bad data to be injected into the system.

Detta är bara några exempel på kritik mot förslaget om Chat Control 2. Vi kan starkt rekommendera läsning av hela artikeln.

EU-kommissionär Ylva Johansson var inbjuden till seminariet för att försvara sitt förslag. Varken hon eller någon annan från kommissionen ville dock medverka.

(Däremot frågas kommissionär Johansson ut av Europaparlamentets utskott för mänskliga rättigheter – LIBE – idag onsdag 25/10 kl 14:30. Då gäller det den kontroversiella lobbykampanjen för Chat Control 2. Livestreamas här.)

• TechCrunch: Europe’s CSAM-scanning plan is a tipping point for democratic rights, experts warn »

Relevant debattartikel:
• Europaportalen: Riksdagen måste säga nej till Chat Control 2.0 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

Följ oss även på Twitter: @femtejuli