Chatcontrol får grönt ljus – alla meddelanden kan kontrolleras

I går hölls den avslutande trialog-förhandlingen om Chatcontrol I EU – som öppnar för operatörerna att avkryptera och kontrollera innehållet i alla meddelanden och all e-post i jakt på barnporr och grooming riktad mot underåriga.

Vilket i praktiken leder till att alla dina elektroniska kommunikationer kan komma att granskas och i förekommande fall översändas till en privat organisation i USA, för vidare överföring till polisen.

Även den som är oskyldig har allt att frukta, då denna analys kommer att göras av maskiner som varken begriper kontext eller skillnaden mellan oskyldiga semesterbilder och barnporr. Erfarenheter visar att 86% av alla sådana flaggningar är felaktiga. Så skriv inget som kan missuppfattas eller vantolkas av maskinerna och dess algoritmer.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»This unprecedented deal means all of our private e-mails and messages will be subjected to privatised real-time mass surveillance using error-prone incrimination machines inflicting devastating collateral damage on users, children and victims alike. Countless innocent citizens will come under false suspicion of having committed a crime, under-agers will see self-generated nudes (sexting) fall in wrong hands, abuse victims will loose safe channels for counselling. This agreement sets a terrible precedent and is a result of a campaign of disinformation and moral blackmailing. Unleashing such denunciation machines is ineffective, illegal and irresponsible. It’s using totalitarian methods in a democracy.«

Gårdagens uppgörelse gör det tillåtet för operatörer att göra denna granskning, trots EU-lagstiftningens förbud mot allmän övervakning. Och nu förbereder EU-kommissionen ett lagförslag som gör sådan granskning obligatorisk.

Sedan är frågan när syftet med detta verktyg kommer att drabbas av ändamålsglidning, snarare än om så kommer att ske.

Läs mer hos Patrick Breyer »

Frankrike vill inskränka de mänskliga rättigheterna för att kunna datalagra

Precis som Sverige har Frankrike problem med datalagringen, det vill säga lagring om data av alla medborgares alla tele- och datakommunikationer. 2014 upphävdes EU:s datalagringsdirektiv, då EU-domstolen kom fram till att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv.

Efter att EU-domstolen även underkänt den franska lagen om datalagring vill regeringen nu att landets högsta domstol skall strunta i EU-domstolens dom. Vilket är anmärkningsvärt för att komma från ett land som i andra sammanhang driver frågan om EU:s överstatlighet hårt.

Den franska regeringen vill även ändra EU:s fördrag och stadgan om de mänskliga rättigheterna – för att göra datalagring möjlig.

Man vill alltså inskränka de mänskliga rättigheterna för att kunna expandera övervakningsstaten. Vilket också är anmärkningsvärt, för att komma från ett land som i andra sammanhang anser sig vara de mänskliga rättigheternas vagga – även om landet haft ett något blandat förhållande till nämnda rättigheter.

En sådan inskränkning kommer i så fall inte bara att gälla Frankrike, utan hela EU. Det vill säga att den franska ivern att rulla ut övervakningsstaten även kommer att drabba dig och inskränka dina fri- och rättigheter. Och naturligtvis kommer en sådan inskränkning att få effekter på fler områden än bara det avsedda.

Tyvärr kan man räkna med att det franska förslaget kommer att få brett stöd i EU:s ministerråd, om det läggs fram som ett skarpt förslag. Dock är det bara EU-kommissionen (som förmodas vara fördragens väktare) som kan lägga fram ett sådant förslag. Och förhoppningsvis kommer i så fall Europaparlamentet att bjuda motstånd. Men de franska idéerna bör bemötas tidigt, redan nu, för att det inte skall behöva gå så långt.

Våra grundläggande rättigheter är individens yttersta skydd mot staten – och skall inte kompromissas bort, vattnas ur eller kringgås.

Läs mer: Frankrike föreslår att skriva om EU:s fördrag om medborgerliga rättigheter för att kunna bygga ut övervakningsstaten »

Kritiska röster om EU:s nya regelverk för AI

I går presenterade EU-kommissionen sitt »Proposal for a Regulation on a European approach for Artificial Intelligence«.

Som vi tidigare rapporterat – utifrån läckt material  – vill EU-kommissionen ha ett förbud mot användning av AI för övervakning. Detta gäller speciellt övervakning kopplad till kameraövervakning med ansiktsigenkänning i realtid. Dock är detta inget heltäckande förbud, utan innehåller ett antal undantag och brasklappar.

Nu börjar reaktionerna på förslaget droppa in. Sarah Chander, Senior Policy Lead on AI hos European Digital Rights (EDRi) säger:

»Whilst it is positive that the Commission acknowledges that some uses of AI are simply unacceptable and need to be prohibited, the draft law does not prohibit the full extent of unacceptable uses of AI and in particular all forms of biometric mass surveillance. This leaves a worrying gap for discriminatory and surveillance technologies used by governments and companies. The regulation allows too wide a scope for self-regulation by companies profiting from AI. People, not companies need to be the centre of this regulation.«

Lotte Houwing, från nederländska Bits of Freedom:

»Biometric mass surveillance reduces our bodies to walking barcodes with the intention of judging the links between our data, physical appearance and our intentions. We should protect this sensitive data because we only have one face, which we cannot swap or leave at home. Once we give up this data we will have lost all control.«

ZDNet rapporterar:

»For Nick Holliman, professor at Newcastle University’s school of computing, the vagueness of the EU’s new rules reflect a lack of understanding of a technology that takes on many different shapes. ”There are risks of harm from not regulating AI systems, especially in high-risk areas, but the nature of the field is such that regulations are being drafted onto a moving target,” Holliman tells ZDNet.

In practice, says Holliman, the regulation seems unworkable, or designed to be defined in detail through case law – and the very idea of having to worry about this type of overhead is likely to drive many businesses away

Ytterligare ett citat från samma källa:

»”The EU has wider issues to do with the tech ecosystem: it’s very bureaucratic, it’s hard to get funding, it’s a top-down mentality,” Wolfgang Fengler, lead economist in trade and competitiveness at the World Bank, tells ZDNet. ”The challenge is that these new rules can be seen as business-unfriendly – and I’m not talking for Google, but for small startups operating in the EU.”«

Den tjeckiske ledamoten av Euopaparlamentet, piratpartisten Marcel Kolaja säger:

»The Commission’s plan on AI still leaves some loopholes. Even though the Commission pretends that practices such as biometric identification are banned, in reality, wide exemptions still remain. But these practices could easily be exploited by governments and lead to mass surveillance. And that is unacceptable for us. We have to set clear rules for AI that will protect the freedom of our citizens and will not discriminate against anyone of them. Once the proposal comes to “our table” in the Parliament, I will work to bring the necessary adjustments to the regulation.«

Man kan även notera att förslaget belyser ett problem med hela EU:s beslutsprocess. Med en reglering för hela EU, införd uppifrån, riskerar man att skapa single points of failure. Vilket kan ställas i kontrast mot om olika länder utformar sin egen politik och med tiden lär sig av varandras erfarenheter.

Och det är lite som med EU:s Digital Services Act – man sätter upp ett stelt regelverk för något som ständigt genomgår en dynamisk förändring.

Resurser:
• EDRi: Artificial Intelligence and Fundamental Rights: Document Pool »

EU: AI och övervakning – regler med många undantag

EU-kommissionens förslag till reglering av artificiell intelligens (AI) har läckt ut via olika media.

Bloomberg rapporterar följande:

  • AI systems used to manipulate human behavior, exploit information about individuals or groups of individuals, used to carry out social scoring or for indiscriminate surveillance would all be banned in the EU. Some public security exceptions would apply.
  • Remote biometric identification systems used in public places, like facial recognition, would need special authorization from authorities.
  • AI applications considered to be ‘high-risk’ would have to undergo inspections before deployment to ensure systems are trained on unbiased data sets, in a traceable way and with human oversight.
  • High-risk AI would pertain to systems that could endanger people’s safety, lives or fundamental rights, as well as the EU’s democratic processes — such as self-driving cars and remote surgery, among others.
  • Some companies will be allowed to undertake assessments themselves, whereas others will be subject to checks by third-parties. Compliance certificates issued by assessment bodies will be valid for up to five years.
  • Rules would apply equally to companies based in the EU or abroad.

Särskilt intressant är att titta på undantagen. Till exempel kommer dessa regler inte att gälla för militär verksamhet. Vidare är »public security exceptions« en brasklapp som i praktiken kan öppna för vad som helst.

Medias rubriker talar om att EU skulle införa ett förbud mot AI-stödd ansiktsigenkänning. Vilket inte är vad som står i den läckta texten. Istället talas om »special authorization from authorities« – vilket är ytterligare en brasklapp som ger politiker och myndigheter stort svängrum.

Läckta texter är ofta arbetstexter som kan komma att ändras innan de läggs fram, så det ovanstående kan komma att ändras. I detta fall väntas ett skarpt förslag från EU-kommissionen den 21 april. Förslaget skall sedan knådas och godkännas av medlemsstaterna och av Europaparlamentet.

Relaterat: EDRi om AI och grundläggande rättigheter (PDF) »

Europaparlamentet fortsätter brottas med datalagringen

Idag har Europaparlamentets utskott för mänskliga rättigheter (LIBE) debatterat datalagringen.

Inte för att det finns något konkret förslag att ta ställning till. EU-kommissionen och ministerrådet har flaggat för att de vill ha ett nytt datalagringsdirektiv. Men man har ännu inga konkreta idéer om hur det skulle kunna se ut. Framförallt har man ingen klar uppfattning om hur datalagring skall kunna vara laglig – med tanke på att det förra direktivet upphävdes av EU-domstolen.

EU-domstolen har upprepade gånger slagit fast att urskiljningslös lagring av data om alla medborgares tele- och datakommunikationer inte får förekomma – och att övervakning måste begränsas till konkreta misstankar om brott.

Europaparlamentet står och stampar på samma plats som kommissionen och ministerrådet. De stora partigrupperna menar att datalagring behövs – men har ingen aning om hur detta kan ske utan att kollidera med EU-domstolens dom. Mindre partigrupper som liberalerna och de gröna/piraterna försöker påpeka detta, men utan att någon verkar bry sig.

Trots att Europaparlamentets egen utredningstjänst kommit fram till att det inte finns någon direkt koppling mellan datalagring och uppklarningsprocent för brott, upprepar många påståenden om det motsatta.

Under debatten framkom till och med åsikten att det vore diskriminerande (!) att bara lagra data när det finns en misstanke om brott.

Så vad händer nu? En välgrundad gissning är att man kommer att försöka få till en rapport (ej lagstiftning) där Europaparlamentet ger kommissionen och ministerrådet sin välsignelse vad gäller att fortsätta arbetet med ett nytt datalagringsdirektiv.

Men så länge man inte adresserar kärnfrågan – urskiljningslös datalagring av allt, utan brottsmisstanke – kommer man inte att komma någonstans. Då kommer EU-domstolen även att upphäva det nya direktivet och vi är tillbaka på ruta ett igen.

En sak att hålla ögonen på är att det finns tecken (bl.a. från Europol) om att myndigheterna kan vilja ha direktåtkomst till data som finns lagrad hos operatörerna, utan att behöva bry sig om att gå via respektive operatör. I Sverige har det redan gjorts sådana framstötar från polisens sida.

Detta kommer att bli en utdragen process, under vilken det är viktigt att hålla ögonen på bollen: Datalagring strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens – vilket har fastslagits av EU-domstolen.

Studie: Länder med datalagring löser färre brott

Trots EU-domstolens upprepade beslut om att datalagring (lagring av data om alla medborgares alla telefonsamtal, meddelanden, nätuppkopplingar, mobilpositioner m.m.) inte får ske urskiljningslöst och inte utan misstanke om brott – så envisas EU:s medlemsstater med att vilja ha ett nytt datalagringsdirektiv.

Senast för en månad sedan upprepade unionens justitie- och inrikesministrar detta krav.

Men fungerar datalagringen över huvud taget? En studie från Europaparlamentets utredningsservice visar att:

  • Trots att länder som Österrike, Nederländerna och Tyskland inte har allmän datalagring (efter att EU-domstolen upphävt datalagringsdirektivet) har uppklarningsprocenten av brott ökat i dessa länder.
  • I Italien, Spanien och Sverige – som trotsar EU-domstolen och fortsätter med datalagring – har uppklarningsprocenten minskat.

Det verkar alltså inte finnas något belägg för att datalagring är den patentlösning mot brottslighet som polis och åklagare vill göra gällande. Snarare gäller det omvända.

(I Sverige är uppklarningsprocenten i grova drag hälften jämfört med Nederländerna, en tredjedel jämfört med Österrike och en fjärdedel jämfört med Tyskland.)

 

Moderat krav på mer övervakning är i princip redan verklighet

Efter Encrochat vill Moderaterna ha större möjligheter till avlyssning och övervakning. »Nu behöver svensk lagstiftning ta ett ordentligt kliv framåt för att ge vår egen polis samma möjligheter som den franska.« skriver partiets rättspolitiske talesman Johan Forsell. Han menar vidare att det är ett problem att det i Sverige inte är lagligt att »avlyssna en hel meddelandetjänst«. Han vill vidare sänka ribban för användning av hemlig dataavläsning. Och så till hans huvudnummer:

»En verkligt mönsterbrytande åtgärd mot gängbrottsligheten skulle vara att göra det möjligt att använda hemliga tvångsmedel mot aktiva gängmedlemmar även utan konkret brottsmisstanke.«

Konkret vill han sänka ribban för hemlig dataavläsning. Jag vill minnas att vi varnade för ändamålsglidning redan när den lagen infördes.

Advokat Thomas Olsson har skrivit en replik. Låt oss lyfta fram och reflektera över några delar.

»För det andra verkar Johan Forssell inte riktigt förstå innebörden av att hemliga tvångsmedel riktas mot en ”meddelandetjänst”. En sådan åtgärd innebär att alla som använder ”meddelandetjänsten” blir föremål för övervakning, och det alldeles oavsett om de är ”gängkriminella” eller inte.«

Frågan är hur det alls är tänkt. Encrochat finns inte längre. Så det måste handla om vanliga meddelandetjänster. Och där är Forsell inte först på bollen. EU vill redan avkryptera och skanna alla meddelanden och så mycket av e-posttrafiken som möjligt. Fast i namn av kampen mot övergrepp mot barn. Men det kan ju lätt utökas.

Är det något sådant Johan Forsell vill göra om han blir inrikesminister? Eller hade han tänkt sig att FRA skall hacka WhatsApp, G-mail och Telegram? Förslaget lämnar massor av frågetecken.

»För det fjärde är det intressant att Johan Forssell konstaterar att det som fransmännen gjort är olagligt i Sverige. Anledningen till att det är olagligt är att Frankrike saknat tillstånd från en svensk domstol att utföra åtgärden på svenskt territorium. Och, precis som Johan Forssell konstaterar, skulle Frankrike aldrig kunnat få ett sådant tillstånd, eftersom åtgärden inte är tillåten enligt svensk lag.«

Detta pekar på ett större problem. Det är inte ovanligt att länder som inte har rätt att övervaka sina egna medborgare (utan brottsmisstanke) låter andra länder göra det. Vilket är att kringgå lagen.

(För övrigt har FRA tillgång till ”spionernas Google” – databasen XKeyscore. Då den enligt Snowden-läckan innehåller det mesta av smått och gott som USA, UK, Australien, Nya Zeeland och Kanada samlat in i sin globala massövervakning – då innehåller den med säkerhet även information om svenskar och svenska förhållanden.)

Låt mig slutligen kommentera Johan Forsells krav på hemliga tvångsmedel även utan konkret brottsmisstanke.

Någonstans måste det gå en gräns mellan vilka staten får övervaka och vilka den inte får övervaka. Idag går den i stort sett vid att det måste finnas en misstanke om brott. Det är en princip som bland annat väglett EU-domstolen när den upphävde EU:s datalagringsdirektiv. Skall det förekomma övervakning, då måste det finnas något lags misstanke. Vanligt hederligt folk skall inte övervakas. Rätten till privatliv är en grundläggande mänsklig rättighet.

I detta fall handlar det om individer i (och kring?) kriminella nätverk. Man kan tycka att om ett gäng är att betrakta som kriminellt, då bör det rimligen också finnas något slags misstankar om kriminalitet. Frågan är hur konkreta dessa misstankar behöver vara. Om ett brott är förestående är svaret rätt enkelt. Men om det inte finns misstanke om att någon tänker göra något kriminellt? Var har Forsell i så fall tänkt dra gränsen?

Det känns tryggare om vi inriktar övervakningen och polisens resurser mot människor som faktiskt är misstänkta för brottslig verksamhet – och lämnar alla andra ifred.

Moderaternas utspel känns lite krystat, som att de säger något bara för att de måste. Och hemlig dataavläsning får faktiskt redan användas i brottsmisstänktas fysiska och sociala närmiljö, även om det kan drabba oskyldiga. Så det känns lite som om man sparkar in en öppen dörr. Vi är redan där. Tyvärr.

• Johan Forsell, M: Ge svensk polis samma möjligheter som i Frankrike »
• Thomas Olsson: Moderaternas förslag slår mot allas integritet »

EU satsar 5M€ på att knäcka 5G-kryptering

Bloggaren Matthias Monroy skriver:

»The EU Commission announces new efforts to break end-to-end encrypted communications. This is according to the work programme of the Horizon 2020 research framework programme, which proposes numerous new projects in the area of „Civil Security for Society“ for the next two years. According to this, the Commission wants to spend five million euros on a platform for penetrating encrypted telephony.

The focus is on intercepting connections of the fifth mobile phone generation, which makes encrypted and anonymised connections technically possible.«

Vad man vill komma runt är att telefonens och SIM-kortets ID-nummer enligt uppgift krypteras i 5G-systemet. Vilket gör det svårt att sortera ut de kommunikationer som myndigheterna är intresserade av.

Den nya projektgrupp som skall sköta detta skall tydligen även fundera kring lösningar vad gäller kvantdatorer och avlyssning.

Länk: Security research – EU Commission to fund technology to decrypt 5G connections »

Problemen med automatiserad ansiktsigenkänning

Man måste hålla isär saker och ting när man talar om automatiserad ansiktsigenkänning.

Det kan handla om verktyg som i efterhand går igenom till exempel övervakningsfilm kopplad till en brottsplats för att utreda om vissa personer befunnit sig där. Detta är i stort sett oproblematiskt, då det handlar om att automatisera något som annars hade utförts ändå, fast av människor. (Även om datorerna inte kan göra samma breda analys av en bild och dess allmänna kontext som en människa, vilket kan leda till att annat som är av intressant i en utredning missas.)

Sedan har vi poliser som på eget bevåg använder Clearview-appen för att identifiera folk med hjälp av aggregerad information från sociala media m.m. Vilket inte är och inte bör vara tillåtet. Skall ansiktsigenkänning alls användas, då skall det ske under ordnade och rättssäkra former med myndighetens egna verktyg.

Vi har också företag som använder ansiktsigenkänning för att kunna identifiera sina kunder och därmed förbättra kundupplevelsen. Och Big Data som vill kunna kartlägga oss och våra vanor, i utbyte mot användbara gratis tjänster som mail, online-dokument, lagring, kommunikation och sociala plattformar. Vilket delvis är en annan och större fråga.

Sedan har vi kameraövervakning i realtid kopplad till automatiserad ansiktsigenkänning. Det vill säga att man inte nödvändigtvis söker efter någon speciell person – utan är mer intresserade av om någon av intresse skulle dyka upp i folkströmmarna. Sådan övervakning kan även användas för att punktbevaka en enskild individ, om det finns tillräckligt mycket kameror (som i t.ex.London). Detta är problematiskt.

För det första innebär det att man övervakar hederliga medborgare, som inte är misstänkta för något brott. Att behandla alla som potentiella brottslingar och att urskiljningslöst övervaka alla som råkar befinna sig på allmän plats hör inte hemma i en demokratisk rättsstat.

Det handlar även om att fritt kunna röra sig i det samhälle man lever i, utan att ständigt behöva känna sig övervakad.

Sedan är detta ett verktyg som lätt kan användas av staten för att förtrycka sin befolkning, kartlägga oppositionella och förfölja oliktänkande. Det behöver inte handla om ondska. Det kan lika gärna vara fråga om överdriven ambition, missriktad välvilja eller inkompetens.

Medborgarrättsaktivister har framfört kritik mot denna utveckling under lång tid. EU har i årtionden finansierat utvecklingsprojekt som INDECT – vars mål har varit just kameraövervakning med automatiserad ansiktsigenkänning i realtid, kopplad till beteendeanalys och myndigheternas olika register. Och nu befinner vi oss vid den punkt där dessa system är klara att rullas ut.

Reclaim your face har en lista över hur automatiserad ansiktsigenkänning används på olika, problematiska sätt runt om i Europa. Där kan man även skriva under ett Europeiskt Medborgarinitiativ som kräver att EU reglerar användningen på ett sätt som respekterar individens rätt till privatliv.

Nygammal tysk lag om massövervakning klubbad

2013 avslöjade Edward Snowden den globala massövervakningen. Dessa avslöjanden rörde inte bara USA, utan även samarbetsländer som Tyskland (och Sverige).

Trots all kritik som följde på avslöjandet fortsatte Tyskland sin verksamhet – genom att man antog en ny lag som i stora drag gjorde sådant som var förbjudet och kontroversiellt lagligt. Denna lag underkändes dock av den tyska författningsdomstolen.

Nu har man antagit en ny lag som påminner väldigt mycket om den förra, med närmast kosmetiska förändringar.

Den nya lagen innebär bland annat:

  • Man får rätt att samla in, processa och exportera ofantliga mängder data. Det talas om en kapacitet på upp till en tredjedel av alla globala telekommunikationer.
  • Man kommer att få lov att i hemlighet hacka nätföretag som Facebook, Google, Appole, Amazon och Microsoft.
  • Man får även rätt att övervaka inrikes kommunikationer i Tyskland, med undantag för kommunikationer mellan två fysiska personer. Vilket är en gummi-paragraf, eftersom en stor del av all kommunikation betraktas som kommunikaterion mellan människa och maskin, snarare än människa och människa.

CDU/CSU och SPD röstade för den nya lagen och hela oppositionen (FDP, Grüne, Linke & AfD) emot. Kritik kommer även från Amnesty och Reportrar utan gränser.

Detta kommer med säkerhet – återigen – att bli en fråga för den tyska författningsdomstolen.

Länk: Bundesnachrichtendienst erhält so viele Überwachungsbefugnisse wie noch nie »