Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

Datalagring: EU-kommissionen blundar för sina egna synder

av

När EU-kommissionen går igenom tillståndet för rättsstaten i unionen väljer den att bortse från sina egna övertramp. Till exempel vad gäller datalagring.

EU-kommissionen har publicerat sin årliga Rule of Law Report. I den tar man upp tillståndet för rättsstaten i EU och dess medlemsstater.

Det är även intressant att se vad den inte tar upp. Som datalagring.

Som bekant upphävde EU-domstolen redan 2014 direktivet om datalagring. Domstolen säger alltså nej till urskillningslös lagring av data om allas alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner med mera utan misstanke om brott.

Domstolen har sedan dess upprepat sin dom, gång på gång, när medlemsstater struntat i den. Danmark och Belgien är exempel på länder som på olika vägar försöker kringgå domen.

Även Sverige har en reviderad lag om datalagring, som också bryter mot den grundprincip som EU-domstolen slagit fast: Ingen urskiljningslös datalagring utan misstanke om brott.

Enda skälet till att Sverige inte fått förnyad kritik av domstolen är att vårt fall inte har prövats. Ännu.

Men det är inte bara medlemsstaterna som konstrar. EU-kommissionen själv har struntat i Europaparlamentets begäran om att se till att medlemsstaterna följer EU-domstolens utslag.

Istället har kommissionen samarbetat med ministerrådet för att hitta sätt att fortsätta datalagra ändå.

Detta nämns över huvud taget inte i kommissionens Rule of Law Report – trots att det handlar om att man struntar i EU-domstolens utslag.

Man ignorerar även konventionen och stadgan om de mänskliga rättigheterna, som slår fast medborgarnas rätt till privatliv och privat kommunikation. Detta är dokument som utgör delar av EU:s fördrag – vars väktare, i teorin, skall vara EU-kommissionen…

Länkar:
• EU Rule of Law Report: Data Retention is a blind spot »
• EU-kommissionen: 2022 Rule of law report »

Relaterade tidigare poster:
• EU-domstolen upprepar: Det är förbjudet att använda allmän datalagring »
• Den ständiga striden om datalagring »

EU:s ministerråd vill upphäva rätten till privat elektronisk kommunikation

av

Att rätten till privatliv och privat kommunikation är en grundläggande mänsklig rättighet bryr sig EU:s ministerråd inte om. Istället ger det sitt stöd till kommissionens förslag om granskning av innehållet i din e-post och dina övriga elektroniska kommunikationer.

Enligt EU-kommissionär Ylva Johansson gav gårdagens EU:s informella möte för justitie- och inrikesministrar i Prag sitt stöd för kommissionens förslag till Chat Control / meddelandekontroll.

Förslaget innebär att din e-post, dina elektroniska meddelanden, dina chattar, dina IP-samtal med mera skall öppnas och att innehållet skall granskas av maskiner. Syftet är att kontrollera att du inte ägnar dig åt sexuella övergrepp mot barn.

Detta syfte kan sedan enkelt utökas. Bland annat skall justitieminister Morgan Johansson ha gjort sådana framstötar vid ett tidigare ministerrådsmöte.

Chat Control innebär att man upphäver den digitala brevhemligheten – som idag är en del av vår rätt till privatliv och privat kommunikation (artikel 12 i FN:s deklaration om de mänskliga rättigheterna och artikel 8 i Europarådets konvention om de mänskliga rättigheterna).

Än så länge har inget läckt ut om samtalen. Men det är värt att notera att Tyskland kan komma att göra motstånd mot Chat Control.

Visserligen har Tyskland »välkomnat« kommissionens förslag som sådant. Men landets justitieminister, inrikesminister och digitaliseringsminister har sagt nej till granskning av allas privata meddelanden och kommunikationer.

Den tyska regeringens koalitionsfördrag säger dessutom nej till generell övervakning, speciellt av privat kommunikation.

Blandade signaler från Tyskland, således. Istället borde landet sätta ner foten tydligt, för att bygga ett motstånd mot Chat Control. Nu riskerar vi en situation där man bara gör en läpparnas bekännelse till rätten till privatliv – för att sedan låta sig köras över i ministerrådet.

Samtidigt byggs det ett motstånd mot Chat Control i Europaparlamentet. Vilket möjligen kan fungera. Parlamentet har tidigare lyckats stoppa förslag just med motiveringen att de strider mot medborgarnas grundläggande rättigheter.

Fortsättning följer.

Facebook och Instagram hotar stänga ner i EU

av

Åter stoppas överföring av persondata från EU till USA. Meta överväger därför om de alls kan driva verksamhet som Facebook och Instagram i Europa.

Frågan av överföring av persondata mellan EU och USA har varit problematisk i mer än 15 års tid.

Från början handlade det om överföring av data i bulk om europeiska banktransaktioner, men rör idag mer sociala media och allmän affärsverksamhet.

Frågan fick ny aktualitet sedan Edward Snowdens avslöjande om hur amerikanska NSA, Homeland Security med flera har ambitionen att samla in allt de kan komma över inom ramen för den globala massövervakningen.

Europaparlamentet, EU-domstolen, nationella dataskyddsmyndigheter och aktivister vill ha garantier för att europeisk persondata inte kommer att delas med ovan nämnda amerikanska myndigheter.

Tidigare avtal har upphävts, på grund av att sådana garantier inte kunnat lämnas.

Nya förhandlingar pågår mellan EU-kommissionen och den amerikanska administrationen. Men de går enligt uppgift trögt.

Idag har den irländska dataskyddsmyndigheten sagt stopp.

Politico rapporterar:

»The Irish Data Protection Commission on Thursday informed its counterparts in Europe that it will block Facebook-owner Meta from sending user data from Europe to the U.S. The Irish regulator’s draft decision cracks down on Meta’s last legal resort to transfer large chunks of data to the U.S., after years of fierce court battles between the U.S. tech giant and European privacy activists.

The European Court of Justice in 2020 annulled an EU-U.S. data flows pact called Privacy Shield because of fears over U.S. surveillance practices. In its ruling, it also made it harder to use another legal tool that Meta and many other U.S. firms use to transfer personal data to the U.S., called standard contractual clauses (SCCs). This week’s decision out of Ireland means Facebook is forced to stop relying on SCCs too.«

Den irländska dataskyddsmyndigheten skall nu samråda med sina motsvarigheter i övriga EU-stater.

Redan i mars månad uttalade sig Facebooks och Instagrams ägare, Meta, om saken för U.S. Securities and Exchange Commission:

»If a new transatlantic data transfer framework is not adopted and we are unable to continue to rely on SCCs or rely upon other alternative means of data transfers from Europe to the United States, we will likely be unable to offer a number of our most significant products and services, including Facebook and Instagram, in Europe.«

Meta hotar alltså att stänga ner Facebook och Instagram för användare i EU-länder.

Detta är en fråga med flera olika sidor. Som användare vill man naturligtvis inte att ens persondata och allt Meta samlar in om oss skall hamna i den amerikanska övervakningsbyråkratins händer.

Samtidigt är Facebook och Instagram värdefulla tjänster som låter oss hålla kontakt med släkt och vänner var de än befinner sig. Speciellt för mindre företag är de en ovärderlig kanal för att komma i kontakt med potentiella kunder.

Dessutom är överföring av persondata till USA en nödvändighet för en lång rad andra företag.

Nu ökar trycket på EU-kommissionen att komma framåt i förhandlingarna med USA. Samtidigt aktualiseras frågan om inte Meta skulle kunna hantera sina europeiska persondata inom EU, utan att sända över dem till USA.

Avslutningsvis känns det inte särskilt troligt att Meta skulle stänga ner en lönsam verksamhet i EU. Men man kan inte utesluta att de kommer att känna sig tvingade att göra det.

• Politico: Europe faces Facebook blackout »

Relaterat:
• Oklart om överföring av persondata från EU till USA, trots uppgifter om provisoriskt avtal »
• Bakgrund: Dragkampen om överföring av persondata mellan EU och USA »

Nu är det klart: EU förbjuder anonyma betalningar med kryptovaluta

av

EU:s ministerråd och Europaparlamentet har i veckan enats om att förbjuda anonyma betalningar med kryptovaluta. Nu återstår bara ett sista godkännande i Europaparlamentet, vilket mest är en formsak.

Som vi tidigare rapporterat håller EU på att förbjuda anonyma betalningar med kryptovaluta. EU-kommissionens förslag om en gräns på 1.000 € har fallit, vilket innebär att den nya lagstiftningen gäller alla betalningar oavsett belopp.

Detta gäller alla som använder digitala plånböcker hos serviceföretag (hosted wallets). De nya reglerna gäller även alla som har fristående plånböcker (un-hosted / self-hosted wallets) och som genomför betalningar på 1.000 € eller mer till hosted wallets, som då måste identifiera sig.

Det enda möjliga undantaget är följande (ur EU-kommissionens pressmeddelande):

»The rules do not apply to person-to-person transfers conducted without a provider, such as bitcoins trading platforms, or among providers acting on their own behalf.«

Det verkar dock som om att enskilda personer som har en self-hosted wallet måste hålla en förteckning över sina transaktioner och rapportera alla transaktioner på över 1.000 €.

Skälet man anger för den nya lagstiftningen är penningtvätt, brottslighet och terrorfinansiering.

Piratpartisterna i Europaparlamentet verkar vara de enda som protesterar. Patrick Breyer (PP, DE) säger:

»These rules will deprive law-abiding citizens of their financial freedom. For example, opposition figures like Alexei Nawalny are increasingly dependent on anonymous donations in virtual currencies. Banks have also cut off donations to Wikileaks in the past. With the creeping abolition of real and virtual cash, there is the threat of negative interest rates and the shutting off of the money supply at any time. We should have a right to be able to pay and donate online without our financial transactions being recorded in a personalised way.

There is no justification for effectively abolishing anonymous virtual payments: Where Virtual Assets have been used for criminal activities in the past, prosecution has been possible on the basis of the current rules. Banning anonymous crypto currency payments altogether will not have any significant effect on crime. The stated aim to tackle money laundering and terrorism is only a pretext to gain control over our private business.«

När förslaget först dök upp på vår radar skrev vi:

»Detta för att inte nämna säkerhetsriskerna med nya databaser för transaktioner med kryptovaluta. En honungsburk för cyberskurkar och för dem som vill snoka i folks liv.

Elefanten i rummet är att resten av världen inte kommer att bry sig om EU:s nya regler. Eller har man tänkt blockera alla de miljontals aktörer som handlar med eller i kryptovalutor utanför unionen?

EU är på väg att stifta en lag som inte går att upprätthålla. Samtidigt gör den miljontals vanliga människor till brottslingar om de använder sina egna kryptotillgångar utan att det rapporteras till staten. Detta är tecken på en dålig lag.

Dessutom driver vi ännu en del av IT-branschen ut ur EU genom överdriven reglering, ogenomtänkta lagar och onödigt krångel. Kryptovalutor kommer att forma vår framtid. Men Europa kommer inte längre att vara i framkant. Det hela är häpnadsväckande inskränkt.«

Länkar:
• EU-kommissionen: Crypto assets: deal on new rules to stop illicit flows in the EU »
• MEP Patrick Breyer (PP, DE): Digital cash: EU to end anonymous payments in cryptocurrencies »

Tidigare, relaterad bloggpost:
• EU-förbud mot anonyma kryptobetalningar »

COM(2022) 209 – lagen som upphäver den digitala brevhemligheten

av

Är det nu den digitala brevhemligheten upphävs i EU? COM(2022) 209 – populärt kallad Chat Control – är ny lagstiftning som leder till granskning av innehållet i våra elektroniska kommunikationer.

Med sitt förslag vill EU-kommissionen – med kommissionär Ylva Johansson i spetsen – att innehållet i din e-post, meddelanden och chattar skall granskas. För att kontrollera att du inte ägnar dig åt sexuellt utnyttjande av barn.

För vanliga, hederliga människor är detta naturligtvis ett gigantiskt intrång i den personliga integriteten.

Innehåll som folk lagrar på molntjänster kan också komma att granskas. En 18-årsgräns införs för meddelande- och chatt-appar. App-utvecklare som vägrar acceptera Chat Control kommer att utestängas från Googles och Apples app-stores.

Oaktat syftet är den digitala brevhemligheten under attack. Rätten till privatliv och privat kommunikation är faktiskt en mänsklig rättighet, inskriven i till exempel Europakonventionen.

Och syftet, det kan enkelt utökas. Terrorism är redan på bordet. Ministerrådet diskuterar Chat Control som ett generellt verktyg för brottsbekämpning.

Systemet kan även utökas till att spana efter vissa yttranden eller åsikter som anses vara problematiska. De potentiella riskerna för missbruk är enorma.

De mänskliga rättigheterna är ytterst till för att skydda individen mot staten. Och en av dessa rättigheter är den till privatliv och privat kommunikation.

De som skrev vår rättighetskatalog såg faran i att bryta brevhemligheten.

Men nu vill man alltså runda den ändå. Med maskiner som söker igenom vad vi skriver till varandra.

Vad kan möjligen gå fel?

Vill du läsa mer och ha länkar till bakgrundsmaterial? Klicka här »

En grundlig sågning av #ChatControl

av

Bloggen Lawfare levererar svidande kritik mot EU-kommissionens förslag om Chat Control / meddelandekontroll. Läs mer nedan, där du även hittar länkar och resurser i ämnet.

#ChatControl är nätaktivisternas namn på EU-kommissiones förslag för att bekämpa (känd och tidigare okänd) barnpornografi samt sexuella övergrepp mot barn online.

Förslaget innebär bland annat att innehållet i dina meddelanden och din e-post skall granskas. (Artikel 7.) Och för att så skall kunna ske måste dess kryptering brytas eller kringgås, vilket är ytterst olämpligt.

Dessutom kommer det att leda till en 18-årsgräns för användning av meddelandeappar. (Artikel 6.)

Kritiken har varit omfattande. Till exempel står den ovan nämnda meddelandekontrollen i strid med vad Europakonventionen om de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens. Dessa är att anse som grundläggande mänskliga rättigheter.

Nyligen levererade Lawfare-bloggen en omfattande och genomarbetad kritik, som är rekommenderad läsning. Några nedslag i texten:

»The EU proposal would undo 20 years of progress in securing communications, while employing a set of technologies unlikely to achieve its stated goals. Even worse, the solutions it proposes for handling CSAM would create national security risks by weakening the best tool available for securing communications, end-to-end encryption, and defining a mission without the technology to accomplish it.«

»This lack of current technology leads to the fundamental flaw of the EU proposal. The proposal sets up a bureaucracy requiring industry solutions to a problem that no one—not service or hosting providers, nor governments—has technical solutions for or knows how to operate at this scale.«

»(A) lack of technical methods to effectively accomplish what the proposal claims to do with a strong likelihood that the technologies at hand would fail to produce the desired effect.«

»EU human rights law requires that surveillance solutions be proportionate. The proposal argues that the recommendations are indeed proportionate, but it does so on the basis of technology that does not yet exist (“EU Centre should facilitate access to reliable detection technologies to providers”). A surveillance solution with a low likelihood of accomplishing its goals without impeding fundamental privacy protections cannot be proportionate. Until and unless there is a technology that satisfies the requirements of low false positives and false negatives successfully operating at scale on encrypted communications, the claim that this proposal is proportionate is not a meaningful one.«

Förslaget har försenats på vägen, huvudsakligen på grund av dess bristande kontakt med verkligheten och dess nonchalans inför grundläggande mänskliga rättigheter. Kritiken inifrån EU-kommissionen har också varit hård.

Läs mer:
• EU-kommissionens förslag »
• EU avskaffar rätten till privat korrespondens »
• Resurs-sida: Chatcontrol.eu »
• Granskning: Lobbykampanjen för #ChatControl ›
• Går Chat Control att stoppa? »
• Chat Control är en idiotisk och farlig idé »
• EU-förslag: 18-årsgräns för alla meddelandeappar »
• The EU’s Proposal on CSAM Is a Dangerous Misfire »

Chat Control är en idiotisk och farlig idé

av

EU-kommissionen föreslår obligatorisk granskning av innehållet i all e-post, alla elektroniska meddelanden, chattar, IP-samtal, Zoom-möten och allt du lagrar på molntjänster. Åldersgräns skall införas för alla appar som kan användas för elektronisk kommunikation, vilket innebär att ingen kommer att kunna vara anonym på nätet.

Syftet är att bekämpa sexuella övergrepp mot barn. Men förslaget har gigantiska luckor, som innebär att sådana övergrepp kan ske ändå. Istället offras vanligt, hederligt folks rätt till privat kommunikation.

Vi bad ledamoten av Europaparlamentet Patrick Breyer (Piratpartiet, Tyskland) förklara närmare i videon ovan.

Youtube: Chat Control is a stupid and dangerous idea (feat. MEP Patrick Breyer) »

EU-domstolen: Sluta med urskiljningslös lagring av data om våra resor inom EU

av

EU-domstolen kräver misstanke om brott och säger nej till urskiljningslös lagring och analys av data om våra flygresor inom EU.

EU:s PNR-direktiv (Passenger Name Record) föreskriver att persondata skall samlas in och behandlas vad gäller flygresor till och från EU. Syftet är att bekämpa terrorism och grov brottslighet.

Direktivet gör det även möjligt (men inte obligatoriskt) för medlemsstater att samla in PNR-data för resor inom EU. Det är detta som nu prövats.

Ur EU-domstolens pressmeddelande (PDF):

»The Ligue des droits humains (LDH) is a not-for-profit association which filed an action for annulment with the Cour constitutionnelle (Constitutional Court, Belgium) in July 2017 against the Law of 25 December 2016 which transposed into domestic law the PNR Directive, the API Directive and also Directive 2010/65. According to LDH, that law infringes the right to respect for private life and the right to the protection of personal data guaranteed under Belgian and EU law. It criticises, first, the very broad nature of the PNR data and, secondly, the general nature of the collection, transfer and processing of those data. In its view, the law also infringes the free movement of persons in that it indirectly re-establishes border controls by extending the PNR system to intra-EU flights, as well as to transport by other means within the European Union.«

Och idag meddelar EU-domstolen sin dom. PNR-direktivet som sådant får grönt ljus, men enkelt uttryckt med följande begränsningar för resor inom EU:

  • Det måste finnas en misstanke om brott och/eller en eller flera misstänkta.
  • PNR-direktivet får endast användas för att bekämpa terrorism och allvarlig brottslighet.
  • PNR-registrering vad gäller resor inom EU skall begränsas till vad som är strikt nödvändigt.
  • Endast vid konkreta hot får PNR-data för alla flyg samlas in och analyseras.
  • Om det inte föreligger ett överhängande terrorhot får PNR endast användas för vissa resemönster eller flyglinjer där det finns indikationer på allvarlig brottslighet.
  • PNR-data får endast samköras mot register över personer som är misstänkta, efterlysta eller under utredning.
  • För att undvika falska flaggningar måste alla positiva träffar verifieras manuellt.
  • PNR-data får lagras högst sex månader, om ingen ny relevant information tillkommer.

EU-domstolen lutar sig alltså mot samma princip som vad gäller datalagringen: Det är inte tillåtet med svepande, urskiljningslös insamling av data utan misstanke om brott.

Läs mer i EU-domstolens pressmeddelande:
• The Court considers that respect for fundamental rights requires that the powers provided for by the PNR Directive be limited to what is strictly necessary (PDF) »

Så skapas EU:s nät- och övervakningslagar

av

EU:s grumliga beslutsprocess leder till att det stiftas dåliga och farliga lagar utan att någon hinner reagera. Detta gäller inte minst frågor som rör internets frihet och övervakning.

Lagar som tvingar fram uppladdningsfilter. Statligt godkända nätgranskare. Av-kryptering och granskning av innehållet i alla medborgares e-post, meddelanden, chattar och övriga elektroniska kommunikationer. Det är tre saker som är aktuella i EU just nu.

Massor av saker vi varnat för är nu lag. Och mer är på väg. Om jag får kika i kristallkulan kan frågan om desinformation komma att bli het. Den har stor potential för ogenomtänkta lagförslag.

Ett skäl till strömmen av dåliga och farliga lagar är den vägg av byråkrati, snårigheter, brutna länkar, fikonspråk, arrogans och direkt hemlighetsmakeri som omger EU:s beslutsprocess. Jag vet, jag har jobbat i Europaparlamentet.

Till och med som aktivt intresserad är det svårt att få fram relevant information. Det är enklare att googla något än att försöka hitta det via EU-institutionernas hemsidor.

Sedan måste man sålla. Det kan läggas tusentals ändringsförslag på vägen – i vilka djävulen sitter i detaljerna. Det hela blir oöverskådligt.

Till EU:s nya AI Act har det lagts 3.312 ändringsförslag i Europaparlamentet. Dessa kommer utskottsledamöterna sedan att rösta om, under forcerade former som ibland inte ger tid för varesig eftertanke eller analys. Sedan kan det komma fler ändringar i plenum.

Och när parlamentet och ministerrådet sedan sagt sitt om EU-kommissionens förslag – då låser man in sig bakom stängda dörrar i en så kallad trilog. Det är där allt görs upp, utan insyn. Sedan brukar det mest vara en formsak att få de folkvalda och medlemsstaterna att godkänna den slutliga kompromissen.

I en sådan miljö kan nästan vad som helst glida igenom utan att media och allmänhet hinner reagera. I den mån de alls är medvetna om vad som pågår.

Det är ett demokratiskt problem.

Den ständiga striden om datalagring

av

Under ett par årtionden har datalagring varit en het stridsfråga i EU. Ständigt presenterar medlemsstaterna ny lagstiftning på området – som gång på gång slås ner av EU-domstolen och/eller av nationella författningsdomstolar.

2014 upphävde EU-domstolen EU:s datalagringsdirektiv. Den menat att urskiljningslös lagring av data om alla medborgares alla telekommunikationer strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privat korrespondens.

Det hindrar dock inte medlemsstaterna från att vilja datalagra ändå. Till exempel försöker Belgien komma runt EU-domstolens beslut genom att lagstifta om datalagring som inriktas på vissa platser och individer. Men i praktiken innebär även detta förslag att alla människor som rör sig ute i samhället kommer att drabbas.

När Frankrike försökte gå fram med ny lagstiftning sa landets konstitutionella råd nej – med hänvisning till den franska Deklarationen om om mänskliga och medborgerliga rättigheter från 1789.

Danmark, Irland, Portugal och Tjeckien är andra exempel på länder som obstruerar mot EU-domstolens beslut.

Även Sverige har stiftat en lag om datalagring som försöker kringgå EU-domstolens beslut, men som av allt att döma ändå strider mot det.

Undantaget är Tyskland, där landets nya koalitionsregering säger att man tänker sluta med datalagring.

Nyligen hölls ett panelsamtal om frågan med experter och aktivister från olika EU-länder. Bland annat påpekades att EU-kommissionen måste sluta stå på ministerrådets sida i frågan. Istället måste kommissionen leva upp till sin roll som fördragens väktare (i vilka de mänskliga rättigheterna ingår) och stå upp för EU-domstolens beslut.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»The bulk collection of information on non-suspects everyday communications and movements constitutes an unprecedented attack on our right to privacy and is the most invasive method of mass surveillance directed against the state’s own citizens. (…) The anecdotal results are nowhere close to the damage this surveillance weapon inflicts on our societies, as a recent survey found. The persistent violation of fundamental rights, circumvention of case-law, pressuring of judges and ignorance of facts is an attack on the rule of law we need to stop!«

• Läs mer och se en video från panelsamtalet »