Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

Apple skrotar planer på övervakning

av

Apple kommer att erbjuda fullt krypterad backup av iCloud.

Företaget skrotar även planerna på att skanna alla bilder på användarnas enheter (client side scanning). Tidigare har den bara pausats.

Detta är rimligen ett bakslag för EU-kommissionen som vill införa granskning av innehållet i alla elektroniska meddelanden och det folk lagrar på molntjänster (#ChatControl / CSAR).

Läs mer:
• EFF: VICTORY! Apple Commits to Encrypting iCloud, Drops Phone-Scanning Plans »
• Wired: Apple Kills Its Plan to Scan Your Photos for CSAM. Here’s What’s Next »

De flesta som drabbas av hemlig övervakning åtalas aldrig

av

2021 gav man 3.926 tillstånd till användning av hemliga tvångsmedel – det vill säga hemlig övervakning. 28 gånger nekades sådant tillstånd (7,1 promille).

Mindre än en tredjedel av dessa ledde till att åtal väcktes. Mer än två tredjedelar av denna övervakning inriktas alltså mot personer som inte åtalas för något brottsligt.

Vilket tyder på en överanvändning av hemliga tvångsmedel. Det känns som om det finns utrymme för att skärpa upp verksamheten.

Men allt politiken erbjuder är mer övervakning.

Länk: Regeringens rapport om avlyssning hade kunnat vara satir »

EU: Ministerrådet öppnar dörren för AI-stödd massövervakning

av

EU:s ministerråd kan tänka sig AI-stödd massövervakning. Samtidigt säger en majoritet i Europaparlamentet nej.

EU:s ministerråd har enat om en gemensam linje för de kommande förhandlingarna om unionens nya AI Act. Man kan notera att rådet är oroväckande vagt vad gäller användning av artificiell intelligens för massövervakning.

Många medlemsstater är närmast entusiastiska inför möjligheten att använda AI för övervakning och kontroll. Det gäller inte minst AI som stöd för biometrisk massövervakning.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:

»The position adopted today would enable a dystopian future of biometric mass surveillance in Europe, potentially exposing everybody to constant identification, monitoring their behaviour and analysing their emotions in public spaces. It would justify the permanent and ubiquitious deployment of face surveillance to look for the thousands of ‚victims‘, ‚threats‘ and suspects of ‚serious crime‘ that are wanted at any time. We must not normalise a culture of suspicion and side with authoritarian regimes which use AI for repression of civil society, for social scoring, human rights violations, and total surveillance.«

I sammanhanget är det värt att notera att experiment med till exempel AI-stödd automatiserad ansiktsigenkänning visat sig ha en hög felprocent (falska positiva).

I grunden ligger samma principfråga som för datalagringen. EU:s datalagringsdirektiv upphäves av EU-domstolen för att det strider mot rätten till privatliv. Enkelt uttryckt får övervakning endast inriktas mot personer som misstänks för brott – inte omfatta alla hela tiden, utan skäl.

I Europaparlamentet säger samtidigt en majoritet nej till AI-stödd massövervakning.

EU talar med kluven tunga om digitala rättigheter

av

Gör som vi säger, inte som vi gör – tycks vara budskapet i EU:s nya deklaration om digitala rättigheter. Skulle man leva upp till det man skriver, då skulle flera aktuella lagförslag behöva gå i papperskorgen. Vilket knappast kommer att ske.

EU:s tre institutioner har enats om en deklaration om digitala rättigheter och principer för ett »digitalt årtionde« (European Declaration on Digital Rights and Principles for the Digital Decade). PDF »

Detta är inte lagtext utan mer ett styrdokument. Men även sådana får konsekvenser i verkligheten.

Deklarationen innehåller en del bra saker plus en hel del godhetsignalering. Alla utsatta grupper nämns och miljön får sitt avsnitt.

»The EU way for the digital transformation of our societies and economy encompasses in particular digital sovereignty in an open manner, respect of fundamental rights, rule of law and democracy, inclusion, accessibility, equality, sustainability, resilience, security, improving quality of life, the availability of services and respect of everyone’s rights and aspirations. It should contribute to a dynamic, resource efficient, and fair economy and society in the EU.«

Imponerande. Men låt oss fokusera på kärnfrågorna.

Dokumentet bekänner sig till rätten till privatliv. Dock får man en känsla av att det mer handlar om individens förhållande till Big Data och mindre om relationen till staten.

Det finns tecken på att EU ställer högre krav på andra än på sig själv. Som när man vill att innehållet i alla människors e-post, alla elektroniska meddelanden, alla chattar med mera skall granskas av maskiner. Vilket är att avskaffa den digitala brevhemligheten.

Vilket i sin tur är ett brott mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens. Och mänskliga rättigheter offline skall gälla även online.

Samma sak gäller datalagringen. Det blir konstigt när kommissionen och rådet understryker vikten av fundamentala rättigheter – när de samtidigt försöker runda EU-domstolens nej till datalagring, vilket just motiveras med att den strider mot nämnda rättigheter.

Vad gäller yttrandefrihet säger deklarationen:

Everyone has the right to freedom of expression and information, as well as freedom of assembly and of association in the online digital environment.

Även detta klingar en smula falskt, då EU-institutionerna snarare tycks vara intresserade av att begränsa det fria ordet online.

Till exempel genom att ge myndigheter, organisationer och »kollektiva intressen« rollen som statligt godkända nätpoliser – med makt att rekommendera att innehåll skall plockas bort. Utan föregående rättslig prövning. (Trusted Flaggers i EU:s nya Digital Services Act.)

I övrigt innehåller denna deklaration många vackra, men vaga skrivningar. Även om en del saker är bra, så är detta ytterligare en framflyttning av politikens makt över nätet.

Staten får rätt till gränslös inhämtning av data

av

Grönt ljus för konvention som ger myndigheter rätt att kräva ut data från privata företag i andra länder.

Europaparlamentet har nu röstat nej till att rådfråga EU-domstolen innan man fattar beslut om en utökad Cybercrime Convention.

De folkvalda vill alltså inte veta om konventionen är förenlig med fördragen och rättighetsstadgan. Vilket det finns skäl att tro att den inte är.

Konventionen ger myndigheterna i de undertecknande länderna rätt att komma åt data och personuppgifter i andra deltagande länder. Detta för att utreda brottslighet som sker på eller använder sig av internet.

Alla företag (service providers) skall alltså vara skyldiga att lämna ut data och personuppgifter till myndigheter i andra länder. Utan föregående rättslig prövning.

Tydligen är det oklart vilka myndigheter som skall ges denna rätt, ribban för rättssäker tillämpning tycks ha sänkts och myndigheterna i det land från vilket data inhämtas behöver inte informeras förrän i efterhand.

Kritiken går ut på att konventionen aldrig kommer att klara en rättslig prövning i EU-domstolen. Därför bör man be om ett förhandsutlåtande innan man godkänner den. Vilket Europaparlamentet nu valt att inte göra.

• I detta papper som EDRi skrev tidigare i processen kan du läsa mer (PDF) »

Resultat av voteringen i Europaparlamentet.

Låt inte EU avskaffa den digitala brevhemligheten

av

Med risk för att vara tjatig: En orwellsk dystopi där innehållet i alla våra elektroniska kommunikationer granskas av maskiner är på väg att bli verklighet i EU.

För var dag som går utan debatt om eller kritik mot förslaget om #ChatControl / #CSAR – ökar risken för att den digitala brevhemligheten går förlorad.

Några nyckelpunkter:

  • Idag finns regler som låter sociala media och meddelandetjänster frivilligt kontrollera innehållet i sina användares kommunikationer.
  • EU-kommissionen med kommissionär Ylva Johansson i spetsen vill göra detta obligatoriskt.
  • Det skäl som anges är kampen mot sexuellt utnyttjande av barn, men kan med tiden komma att utökas – som det brukar bli med övervakningslagar.
  • Innehållet i dina elektroniska kommunikationer kommer att granskas av maskiner och i förekommande fall automatiskt sändas över till Europol.

Rätten till privatliv och privat korrespondens är en mänsklig rättighet, inskriven i till exempel Europakonventionen om de mänskliga rättigheterna och EU:s rättighetsstadga.

Mänskliga rättigheter offline skall gälla även online.

Undantag från rätten till privat korrespondens kan göras om det finns misstanke om brott.

Sådana undantag kan dock inte vara generella – det vill säga att de inte kan omfatta alla, alltid. Det måste finnas en konkret misstanke och misstänkta att inrikta övervakningen mot.

Där liknande system testats har nio av tio flaggningar visat sig vara felaktiga och drabba oskyldiga.

Vad gäller sexuella övergrepp mot barn ligger det redan outredda ärenden på hög hos medlemsstaternas polismyndigheter. Utred dessa istället för att snoka i vanligt hederligt folks kommunikationer.

FN:s människorättskommissionär säger:

»Moreover, in the general scanning of communications, frequent false positives cannot be avoided, even if accuracy rates are high, thereby implicating numerous innocent individuals. Given the possibility of such impacts, indiscriminate surveillance is likely to have a significant chilling effect on free expression and association, with people limiting the ways they communicate and interact with others and engaging in self-censorship.«

Österrike säger nej, vilket Tyskland också lär göra. Dock räcker det inte för en blockerande minoritet i ministerrådet. Fler länder måste säga nej.

Den svenska regeringens position är än så länge oklar. Samtidigt kommer frågan att landa i det svenska EU-ordförandeskapets knä, första halvåret 2023.

Länkar / relaterat:
• Chat Control – The End of the Privacy of Digital Correspondence »
• UN Human Rights Commissioner warns against chat control »
• EU avskaffar rätten till privat korrespondens »
• Tyska regeringen splittrad om #ChatControl »
• Tyska Bundestags juridiska experter sågar #ChatControl »
Österrike säger bestämt nej till #ChatControl / CSAR »
• EU:s medlemsstater splittrade om ChatControl. Vad tycker Sverige? »
• The EU’s Proposal on CSAM Is a Dangerous Misfire »
• ChatControl: Den som är oskyldig har allt att frukta »
• Leak on chat control: EU Commission anticipates millions of false positives »
• Chat Control är en idiotisk och farlig idé »
• Granskning: Lobbykampanjen för #ChatControl »

Här är nästa inskränkning av våra rättigheter som media blundar för

av

Media har fått berättigad kritik för att ha struntat i den inskränkning av våra fri- och rättigheter som riksdagen beslutade om i veckan, tills det var för sent. Ändå händer det igen, just nu.

EU-kommissionen vill att vår e-post och alla våra elektroniska meddelanden skall av-krypteras, öppnas och att dess innehåll skall granskas.

Detta är en kränkning av de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens. Ändå sägs eller skrivs inte ett ord om detta i svenska media.

Man kan tycka att rätten till privat korrespondens borde ligga i medias intresse. Det handlar om källskydd och möjligheten för whistleblowers att slå larm om oegentligheter. Och om redaktionell integritet.

Genom sin totala tystnad sviker svenska media såväl sitt demokratiska uppdrag som sina journalistiska principer.

Att reagera i sista minuten – när vi ställs inför fullbordat faktum – är en dålig plan. Det visar veckans inskränkning av tryckfriheten tydligt. Problematiska politiska beslut måste belysas och kritiseras tidigt, innan de politiska aktörerna hunnit bestämma sig och låsa sina positioner.

När det gäller EU-kommissionens förslag (#ChatControl/CSAR) tycks flera av regeringspartierna ännu inte ha bestämt sig. Men om frågan förbigås med tystnad, då kan man vara rätt säker på att regeringen kommer att gå på kommissionens linje.

Denna fråga är extra viktig eftersom Sverige kommer att vara ordförandeland i EU första halvåret 2023. Det blir alltså vår regering – och justitieminister Gunnar Strömmer – som får ansvar för att slussa frågan genom ministerrådet.

Österrike säger redan bestämt nej till #ChatControl. I Tyskland är regeringen splittrad, men det lutar åt ett nej. I EU-kommissionens offentliga rådslag säger 88% av de svarande nej till förslaget – och de flesta som är för är ändå emot dess nuvarande utformning.

Frågan håller på att utvecklas till en politisk thriller. Men än så länge väljer svenska media – till skillnad från pressen i många andra EU-länder – att tiga.

Kommer man att reagera innan det åter igen är för sent? Kommer man att bry sig över huvud taget?

Läs mer om #ChatControl/CSAR:
• Chat Control: The EU’s CSEM scanner proposal »
• Nu börjar slaget om #ChatControl (med länksamling) »

Österrike säger bestämt nej till #ChatControl / CSAR

av

Med hänvisning till landets konstitution har parlamentet i Österrike fattat ett bindande beslut om att säga nej till #ChatControl / CSAR.

Detta innebär att den österrikiska regeringen måste säga nej till kommissionens förslag om att av-kryptera, öppna och inspektera innehållet i vår e-post och alla våra elektroniska meddelanden.

Nu väntar vi på att även Tyskland säger nej – i enlighet med dess regerings koalitionsfördrag och Bundestags juridiska experters rekommendation.

Detta räcker dock inte för att blockera förslaget i ministerrådet. Fler länder måste säga nej.

Frågan kommer att hamna på den svenska regeringens bord, när Sverige blir ordförandeland i EU första halvåret 2023.

I sammanhanget är det värt att påminna om att rätten till privatliv och privat korrespondens är en mänsklig rättighet.

Och nu – biometrisk massövervakning

av

Vi närmar oss en punkt där vi inte bara skall kameraövervakas på offentlig plats – utan även identifieras och få vårt beteende analyserat i realtid, av massövervakningens algoritmer.

Artificiell Intelligens (AI) är det senaste EU vill reglera. Något slutligt förslag finns inte ännu, men väl ett läckt arbetsdokument (PDF).

Den nya förordningen täcker väldigt mycket – men tycks göra undantag när det gäller övervakning. Vilket öppnar för en del dystopiska perspektiv.

Idag används AI bland annat för system med biometrisk identifiering. Vilket blivit en stridsfråga.

Sådan kan i sin tur delas upp i flera delar. I sin enklaste form kan det handla om kontroll av till exempel fingeravtryck, ansiktsform eller iris när man passerar EU:s yttre gräns. Eller för att fastställa en persons identitet vid andra tillfällen.

(Ett sådant system användes av de västliga styrkorna i Afghanistan. Tyvärr tycks det ha fallit i talibanernas händer, med potentiellt katastrofala konsekvenser för enskilda.)

Även om man kan tycka att det är rationellt att använda biometriska data för identifiering vid en viss säkerhetspunkt (som en gräns) – så kan systemet även användas för massövervakning. Till exempel genom att identifiera alla som passerar en viss knutpunkt. (Och spara biometrisk data om dem man ej lyckas identifiera.)

Då är man plötsligt inne på att massövervaka människor som inte misstänks för något brott – utan bara för att de rört sig på allmän plats. Vilket inte är OK. Det strider mot människans rätt till privatliv.

Sedan har vi användning av automatiserad ansiktsigenkänning för att identifiera personer på exempelvis en övervakningsfilm från en plats där ett brott de facto begåtts. Vilket är mindre problematiskt.

Dock har det visat sig finnas risker med att endast granska övervakningsvideos med maskiner. I jakt på ett ansikte kan det vara lätt hänt att algoritmen missar andra detaljer och händelser som är relevanta i sammanhanget.

Den tredje delen är automatiserad ansiktsigenkänning i realtid, med livefeed från övervakningskameror. När man sedan identifierat en person kan det kopplas direkt till olika databaser med information om personen i fråga.

EU har under årtionden finansierat utvecklingen av sådana system (gm. INDECT) – trots varningar och protester. Och nu tycks dystopin vara fullbordad.

Som vanligt är det en fråga om hur systemet används. För att till exempel skugga en misstänkt brottsling eller för att avvärja konkret fara kan det kanske vara försvarligt. Men finns det någon som tror att det stannar där?

Det finns även add-ons (vilka också finansierats av EU) som att koppla ljudupptagning med akustisk analys till systemen ovan. Ett annat exempel är automatiserad beteendeanalys för att upptäcka avvikande beteende.

Blotta vetskapen om att man är ständigt observerad, identifierad och att ens handlingar i varje stund analyseras av maskiner kommer att påverka människor och deras psykiska hälsa.

Detta för att inte nämna problemet med falska positiva. Även i ett system med orealistiska 99,9% träffsäkerhet kommer tusentals och åter tusentals människor att flaggas med fel identitet eller för helt oskyldigt avvikande beteende. Vilket kan få allvarliga konsekvenser.

Som vanligt tycks det finnas en övertro på teknisk övervakning, där polisen sitter vid en skärm istället för att patrullera gatorna och ägna sig åt traditionellt polisarbete. Vilket kan komma att straffa sig genom att i slutändan göra oss alla mindre säkra.

• EU governments open the door for biometric mass surveillance in public spaces »

Istället för datalagring – Quick Freeze

av

Tysklands liberale justitieminister föreslår att teledata bara skall sparas när det finns misstanke om brott. Men regeringen är splittrad.

Nyligen presenterade den tyske justitieministern Marco Buschmann (FDP) ett lagförslag om att teledata skall kunna sparas om det finns en brottsplats, en misstänkt eller motsvarande.

Detta till skillnad från datalagringen, med vilken man sparar data om alla medborgares alla telekommunikationer, utan misstanke om brott. Vilket är något som EU-domstolen förbjuder och som den tyska regeringen beslutat att upphöra med.

Tanken är att en domstol i första steget skall kunna besluta om att spara teledata i en månad, om skäl kan antas finnas. För att komma åt denna teledata krävs sedan ytterligare ett domstolsbeslut, baserat på en närmare analys.

Detta system – Quick Freeze – kan handla om IP-adresser, mobilpositioner, metadata och övrig trafikdata. Men alltså bara om det finns konkreta skäl.

Inrikesminister Nancy Faeser (SPD) är tveksam till om Quick Freeze är tillräckligt. Hon vill som ett minimum även lagra uppgifter om alla medborgares IP-adresser. (Vilket EU-domstolen tillåter.)

Frågan är extra intressant eftersom EU-kommissionen och ministerrådet nu diskuterar hur det tidigare (upphävda) datalagringsdirektivet skall ersättas. Vilket måste ske med respekt för EU-domstolens förbud mot svepande övervakning av alla utan misstanke om brott.

• Buschmann legt Alternative zur Vorratsdatenspeicherung vor »