Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

Ny datalagring i EU – med speciellt intresse för IP-adresser

av

Vi vet redan att EU-kommissionen och EU:s ministerråd vill se ett nytt datalagringsdirektiv.

Det förra datalagringsdirektivet upphävdes av EU-domstolen på grund av att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat kommunikation.

Enkelt uttryckt menar domstolen att man inte urskiljningslöst får lagra all data om alla medborgares alla tele- och datakommunikationer. Det måste finnas ett konkret syfte, misstänkta och en tidsram.

Nu har det dykt upp ett internt arbetspapper från ministerrådets portugisiska ordförandeskap. I detta vill man diskutera med de andra medlemsstaterna hur man skall tacka frågan. (PDF »)

Speciellt vill man diskutera IP-adresser:

1. Do Member States interpret the possibility of retention of source IPs addresses, established in the recent case law of the Court, as including both static and dynamic IPs? Would or should this include source-port numbers? What are the views on only retaining source but not destination IP addresses?

2. Do Member States consider it to be in line with the jurisprudence of the ECJ that Internet Protocol addresses, strictly needed to identify a subscriber, should include first login IP, last login IP or the login IP used at a specific moment in time? Should this be considered as ’subscriber’ or ’traffic’ data if the IP address is used solely to identify a person?

Det skall bli intressant att se vad som kommer ut av detta. Hur som helst är det klart att processen för att ta fram ett nytt datalagringsdirektiv har börjat.

Vi kan möjligen räkna med ett förslag till nytt direktiv redan i år. Fast det kommer att kräva mycket trixande för att komma runt EU-domstolens ställningstagande – som ju i princip underkänner hela konceptet med datalagring.

EU-domstolen: Data om mobilpositioner får endast användas för att bekämpa allvarlig brottslighet

av

EU-domstolen har idag meddelat dom i ett fall som gäller myndigheternas användning av data om mobilpositioner. I sitt pressmeddelande (PDF) skriver domstolen:

Att i brottsutredande syfte ge tillgång till en mängd trafik- och lokaliseringsuppgifter från elektronisk kommunikation, vilka gör det möjligt att dra specifika slutsatser om de berörda personernas privatliv, är tillåtet endast för att bekämpa grov brottslighet eller förebygga allvarliga hot mot allmän säkerhet.

Till att börja med betyder detta att data om mobilpositioner inte får användas för att utreda mindre brott. Intrånget i medborgarnas rätt till privatliv anses inte stå i proportion till vad man kan vinna i dessa fall.

I Sverige har datalagringen (som omfattar trafikdata om allas alla tele- och datakommunikationer) bland annat använts för att jaga fildelare och för att låta Skatteverket undersöka människors privatliv. Med denna dom bör det rimligen vara slut med det, då brott / misstanke inte kan anses vara tillräckligt allvarliga för att motivera integritetskränkningen.

Frågan kan även kopplas till den allmänna datalagring som bedrivs av många EU-länder – trots att EU-domstolen upphävt datalagringsdirektivet, då den anser att urskiljningslös lagring av data om alla medborgares alla telekommunikationer strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Som domstolen vid flera tillfällen påpekat får datalagring endast användas för att utreda allvarlig brottslighet och måste då fokuseras på de personer som kan anses vara misstänkta för något brottsligt.

Detta bör rimligen påverka EU-kommissionens arbete med ett nytt datalagringsdirektiv, som aviserats av EU-kommissionär Ylva Johansson.

Domstolen meddelar även följande:

Unionsrätten utgör dessutom hinder mot nationell lagstiftning som ger åklagarmyndigheten behörighet att bevilja offentliga myndigheter tillgång till dylika uppgifter inom ramen för en brottsutredning.

Man anser med andra ord att åklagare inte är en oberoende myndighet som kan fatta objektiva beslut, då man som regel är part i målet. Istället skall beslut om tillgång till mobil- och positionsdata fattas av t.ex. en domstol.

Länk: Pressmeddelande (PDF) »

Aktuella EU-planer som kan inskränka friheten online

av

Det är mycket nu. Här är en listning av några saker som är på gång i EU när det gäller internets frihet, yttrandefrihet och övervakning:

Chat control

EU vill att alla användares alla meddelanden skall avkrypteras och grankas i jakt på olagligt innehåll. Förmodligen omröstning i Europaparlamentets plenum i april. Länk »

TERREG / TCO

EU vill införa censur för åsikter. Visserligen handlar det om terroristpropaganda, men det kan lätt utökas till andra områden. Förordningen kräver nedtagning av flaggat material inom en timma, ger medlemsstaternas myndigheter rätt att beordra nedtagning av material på servrar i andra länder – och återuppladdning av flaggat material får inte ske, vilket i praktiken kommer att kräva uppladdningsfilter. Länk »

Uppladdningsfilter (copyright)

EU:s redan beslutade upphovsrättsdirektiv håller nätplattformarna ansvariga om upphovsrättsskyddat material publiceras. I praktiken innebär detta automatiserade uppladdningsfilter som granskar allt som alla laddar upp – och som inte förstår i vilken kontext sådant material publiceras. Detta skall vara införlivat i svensk lagstiftning senast i sommar.

Länkskatt (copyright)

I EU:s upphovsrättsdirektiv ingår även idén om länkskatt – det vill säga att närplattformarna tvingas betala traditionell media för att länka till dess siter. Även detta skall vara svensk lag senast i sommar.

Trusted Flaggers (DSA)

I EU:s föreslagna Digital Services Act föreslås bland annat att organisationer som »företräder kollektiva intressen« skall upphöjas till statligt godkända nätgranskare, vars anmälningar till nätplattformarna skall prioriteras. En del säkerhetsspärrar finns, men detta kommer att bli kontroversiellt. Länk »

Nytt datalagringsdirektiv

EU-kommissionen o0ch ministerrådet vill gå fram med ett nytt datalagringsdirektiv – efter att EU-domstolen ogiltigförklarat det förra, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Vad det handlar om är lagring av data om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, nätuppkopplingar, mobilpositioner m.m.

Code of Conduct on countering illegal hate speech online

EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet. Detta är ett kontroversiellt ämne som säkert kommer att skapa debatt. Dock är det oklart om denna uppförandekod kommer att beslutas inom ramen för de demokratiska institutionerna – eller om den kommer att fastställas med partsintressen, bakom stängda dörrar till exempel i EU:s Internet Forum.

Övrigt

Det pågår även arbete vad gäller frågor som automatiserad ansiktsigenkänning och utökad registrering av resenärer (PNR). Därtill kommer naturligtivs frågan om ett digitalt corona-pass för resor och fri rörlighet i samhället. Detta är av intresse även om dessa frågor inte direkt berör friheten online.

Följ nät- och övervakningsfrågorna här på bloggen.

EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden

av

Med risk för att tjata: EU är på väg att införa kontroll, övervakning och analys av innehållet i alla alla nätanvändares alla meddelanden och all e-post. Detta omfattar även krypterad information, hur nu det är tänkt att gå till.

Så här sammanfattar ledamoten av Europaparlamentet Patrick Breyer (PP, DE) saken:

»The EU wants to have all private chats, messages, and emails automatically searched for suspicious content, generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance through fully automated real-time messaging and chat control and the end of secrecy of digital correspondence.«

Häromdagen var det nya trílog-förhandlingar mellan Europaparlamentet, ministerrådet och kommissionen. För första gången under dessa samtal fördes frågan om medborgarnas grundläggande fri- och rättigheter (som rätten till privatliv och privat korrespondens) upp på dagordningen. Detta tycks dock inte ha haft någon större inverkan på sakfrågan. Se Patrick Breyer kommentera saken i ett videoklipp på Twitter.

Samtidigt har Microsoft, Facebook, Google m.fl. skrivit brev till Europaparlamentets ledamöter – där de argumenterar för färre begränsningar vad gäller denna övervakning av användarnas korrespondens.

En fråga i sammanhanget är hur EU-apparaten kan oroas över sociala medias insamling av användares persondata – och samtidigt vilja ge dessa företag tillgång till innehållet i alla användares alla meddelanden.

En annan fråga som hänger i luften är hur detta förslag förhåller sig till EU:s förbud mot generell övervakning.

Läs mer hos Patrick Breyer. Notera speciellt de risker med förslaget som han listar mot slutet av sin text.

Länkar:
• MEP Patrick Breyer (PP, DE) – video-uppdatering på Twitter »
• Patrick Breyers bloggpost om chat control »
• Big Datas brev till Europaparlamentets ledamöter »
• PP: Svenska EU-parlamentariker hetsar om ny övervakningslag »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »

EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post

av

Alla dina meddelanden och all din e-post kommer att granskas och analyseras. Är dessa meddelanden krypterade är det plattformens problem att avkryptera dem. Detta är konsekvensen av ny lagstiftning som just nu är på väg i EU.

Bakgrunden är ovanligt rörig, till och med för att vara EU. Enkelt uttryckt införde man i slutet av förra året en European Electronic Communications Code. Den gav användarna ett mycket starkt skydd för elektronisk korrespondens. Så starkt att man inte längre skulle kunna ägna sig åt regelmässig övervakning. Och så vill man ju inte ha det, kom man på efteråt.

Därför har man nu förhandlat fram ett undantag från den nya lagen – i väntan på ännu nyare regler, som inte går lika långt som EECC. Detta motiverar man med att man vill skydda barn mot sexuella övergrepp online. Det kunde lika gärna ha varit terrorism, penningtvätt, droghandel, organiserad brottslighet eller något annat. Men om man gömmer sig bakom barnporr och övergrepp mot barn – då är det få som vill eller vågar protestera.

Enkelt uttryckt kommer alla nätets meddelandetjänster att omfattas. Automatisk analys av alla meddelanden kommer att ske, i jakt på något intressant.

Den piratpartistiske, tyske ledamoten av Europaparlamentet Patrick Breyer skriver:

»In 2020 the European Commission proposed “temporary” legislation aimed at allowing the search of all private chats, messages, and emails for illegal depictions of minors and attempted initiation of contacts with minors. This is to allow the providers of Facebook Messenger, Gmail, et al, to scan every message for suspicious text and images. This takes place in a fully automated process and using error-prone “artificial intelligence”. If an algorithm considers a message suspicious, its content and meta-data are disclosed automatically and without human verification to a private US-based organization and from there to national police authorities worldwide. The reported users are not notified.«

Siffror från polisen i Schweiz pekar på att 90% av alla automatiserade flaggningar är falska. Och med tanke på det stora antalet ärenden är frågan hur många falska positiva som ändå kommer att slinka igenom – och rapporteras till polis. Vilket naturligtvis kan leda till allvarliga problem för den enskilde. Den som är oskyldig har mest att frukta.

»On your next trip overseas, you can expect big problems. Machine-generated reports on your communications may have been passed on to other countries, such as the USA, where there is no data privacy – with incalculable results.«

Hur detta är tänkt att fungera mot det generella förbudet mot övervakning i gällande och föreslagna EU-direktiv är oklart.

En annan öppen fråga är hur man tänkt hantera P2P-krypterad e-post där operatören inte har någon möjlighet att avkryptera meddelanden.

Europaparlamentet väntas rösta om saken under sin session i mars.

Länk: Messaging and chat control »

MP röstar för mer övervakning och censur i EU

av

Miljöpartiets dagar som motståndare till storebrotsstaten är över.

Nu har Alice Bah Kuhnke (MP) ännu en gång lämnat den gröna grupplinjen i Europaparlamentet. Denna gång handlar det om förordningen om terrorrelaterat innehåll online (TERREG), som bland annat kommer att innebära censur av åsikter.

Det är i LIBE (Europaparlamentets utskott för mänskliga rättigheter) som Bah Kuhnke först bröt grupplinjen vad gäller massövervakning av alla nätanvändares alla meddelanden och nu alltså även TERREG. I första fallet röstade hon för och i det andra lade hon ner sin röst.

Nu har i och för sig även S och M röstat för mer övervakning. Men det är å andra sidan deras kända politik. MP har profilerat sig som motståndare till övervakning, censur och inskränkningar av nätets frihet – och vunnit röster på detta.

MP:s lojalitet med den svenska regeringen är uppenbarligen större än mot de egna principerna, mot partigruppen i Europaparlamentet och mot medborgarnas rätt till fri information och privatliv.

Läs mer hos Piratpartiet »

EU: Nu skall alla dina elektroniska meddelanden granskas

av

Framåt sommaren kan alla företag som förmedlar elektroniska meddelanden människor emellan tvingas att granska allt. Detta kommer att ske med automatiska filter. Flaggat material kommer sedan att översändas till relevanta myndigheter och organisationer, utan föregående mänsklig granskning.

Ledamoten av Europaparlamentet, Patrick Breyer (PP,DE) skriver:

»The EU wants all private electronic messages to be monitored and searched by unreliable algorithms for possible child pornographic content. Providers of e-mail, messenger and chat services are to be allowed to search the content of all private messages without suspicion for known and unknown child and youth pornography and for the “initiation of sexual contacts” with minors – also with the help of error-prone “artificial intelligence”. If an algorithm flags a message as suspicious, message content and customer data may be disclosed to law enforcement agencies and non-governmental organisations worldwide, without human review. The users reported will never know about this, regardless of the outcome of the investigation.

Until now, only major US services such as GMail, Outlook.com and Facebook Messenger are indiscriminately screening all private messages. However, the EU Commission wants to oblige all providers to do so in future.«

Den här gången är det alltså sexuellt utnyttjande av barn som används som murbräcka. Vilket är en fiffig teknik – eftersom i princip ingen försvarar sådana övergrepp. På så sätt kan man tysta eller i vart fall minska kritiken mot förslaget. Men vi vet av erfarenhet att övervakning som sätts upp i ett syfte tenderar att drabbas av ändamålsglidning. När verktygen väl är på plats är det lätt ordnat att utöka övervakningen till att även omfatta annat.

Därför kan det nog vara klokt att inte sända några nakenbilder alls, inte ens av samtyckande vuxna. Utgå från att de kan komma att hamna på drift och eventuellt användas på annat sätt än det avsedda.

»You could be wrongfully suspected of possessing child pornography. US corporations algorithms often report perfectly legal holiday photos of children on the beach to the police – up to 90% of the algorithmically generated reports are unfounded. If you are sent unsolicited illegal material you will also be reported to the police. Teenagers who send self-generated nude pictures are particularly at risk of being reported – 40% of investigations for “child pornography” in Germany target minors.«

Men det är inte den enda risken:

»You could be in big trouble the next time you travel abroad. Reports are forwarded to various countries like the US, which lacks basic data protection rules – with unforeseeable consequences for you.

Your private messages and flirtations can be read by employees of US corporations if algorithms wrongfully flag you for „soliciting minors“.«

Till detta skall man lägga EU:s (och andras) enträgna försök att få tillgång till bakdörrar till krypterade meddelandetjänster.

Hur detta går ihop med det generella förbudet mot övervakning (som även finns kvar i the Digital Services Act) är högst oklart. Det samma gäller skyddet för privat korrespondens, som är en konventionsskyddad grundläggande mänsklig rättighet.

Bara vetskapen om att alla meddelanden kommer att granskas ställer naturligtvis till det för alla som sänder (legitim) känslig information. Dina meddelanden till kollegor, läkare, psykolog, media och annat som kan vara känsligt kommer att granskas och kan flaggas av misstag. Detta för att inte tala om hur besvärligt det kommer att bli för visselblåsare och andra som avslöjar hemligheter som myndigheter och andra inte vill att folket skall få vetskap om.

Man räknar, som sagt, med att 90% av alla flaggningar är felaktiga.

En första nyckelvotering kan komma att äga rum i Europaparlamentet redan under februari månad.

Läs mer hos Patrick Breyer (PP, DE) »

Europol – skall polisen inte bara upprätthålla ordningen, utan även sanningen?

av

Den piratpartistiske ledamoten av Europaparlamentet Patrick Breyer (DE) har ställt några frågor till Europol – som nu har skickat ett svar. Här skall vi titta närmare på en av dessa frågor.

Tydligen har Europol skrivit en rapport i vilken man ger sig själva mandatet att tackla desinformation.

Nu kan man ju tycka att det finns det redan andra som gör. Regeringen umgås rent av med tanken att skapa en myndighet för saken.

Jag tycker dessutom att nätet är rätt bra på att påpeka fel och att ge en bredare bild. Den som har fel får som regel veta det och att debunka andras påståenden i sociala media är närmast en sport. Kritiskt tänkande och fri debatt är helt uppenbart ett mycket bättre skydd mot dumhet än att begränsa det fria ordet.

Åter till Europol. De är numera en EU-myndighet för polissamarbete. Den skall medverka till att lösa brott. Men är den mycket svepande termen desinformation verkligen något som ligger under dess mandat?

Om det till exempel handlar om att stoppa bedrägerier, så javisst. Men det faller väl redan under andra lagar?

Om det däremot skulle handla om att inskränka det fria ordet och att agera något slags tankepolis – då är det läge att dra i nödbromsen.

Europol förklarar i sitt brev att med tanke på brottsläget under corona-pandemin har spridandet av desinformation inklusive fake news blivit en nyckelfaktor i det nuvarande landskapet av hybridhot. Såpass.

Sedan följer en utläggning om hur felaktig information kan få samhället som vi känner det att störta samman.

Därefter meddelas att man är på väg att adressera de återstående utmaningarna för »effective policing«, med hänsyn tagen till EU-medborgarnas gemensamma säkerhetsintressen.

Och med det anser man att det är klarlagt att Europol skall ägna sig åt att bekämpa desinformation.

Om man inte var misstänksam innan, så kanske man bör vara det nu. Att göra bekämpande av desinformation till en polisiär fråga är ett rätt djärvt skutt i ett demokratiskt samhälle. Skall polisens uppgift vara att inte bara upprätthålla ordningen, utan även sanningen?

Dessutom har vi frågan vem som i så fall skall bestämma vad som är sant – och på vilka grunder.

Detta känns definitivt som ett potentiellt hot mot yttrandefriheten och informationens frihet. Det saknas inte dystopiska referenser.

Samtidigt har man skapat en aldrig tidigare skådad övervakningsstat, som kan användas för omfattande kontroll av att folk inte viker av från den rätta vägen. Det handlar om hemliga tvångsmedel, som är verktyg för just den polis som nu vill lägga bekämpandet av oönskad information till sina uppgifter. Det känns närmast Orwellskt.

Läs Europols dokument här (PDF) »

USA: Krav på kundkännedom vid handel med kryptovalutor förbereds

av

I USA förbereds ett snabbt införande av krav på kundkännedom vid handel med kryptovalutor. Detta kan bli lite som med EU:s regelverk mot penningtvätt, som lett till att vanliga hederliga människor granskas och ifrågasätts av banken så snart de vill flytta eller använda sina egna pengar.

EFF skriver:

”On Friday, the Department of the Treasury’s Financial Crimes Enforcement Network (FinCEN) announced a proposed regulation that would require money service businesses (which includes, for example, cryptocurrency exchanges) to collect identity data about people who transact with their customers using self-hosted cryptocurrency wallets or foreign exchanges. The proposed regulation would require them to keep that data and turn it over to the government in some circumstances (such as when the dollar amount of transactions in a day exceeds a certain threshold).”

EFF sammanfattar även ett antal problem med förslaget:

  1. Anonymiteten försvinner vid transaktioner mellan användare av kryptovaluta i en egen digital plånbok och olika service providers på området.
  2. Det blir lättare för myndigheter att spåra transaktioner i blockkedjan.
  3. Detta kommer att minska användningen av privata elektroniska plånböcker och kommer att försvåra integrationen mellan olika system.
  4. Verktyg som är anpassade för den övriga finansiella sektorn passar inte ett system vars hela idé är att vara ett elektroniskt alternativ till anonyma kontanter.

Enkelt uttryckt vill myndigheterna se ett slut på anonym användning av digitala valutor.

EFF: The U.S. Government Is Targeting Cryptocurrency to Expand the Reach of Its Financial Surveillance »

Nästa omröstning om TERREG – EP/LIBE 11 januari

av

Förhandlingarna om EU:s nya förordning om terror-relaterat innehåll online är som bekant klara. Nu skall kompromissen behandlas av Europaparlamentet. Första steget blir i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) den 11 januari. Utfallet av den voteringen (förmodligen röstar LIBE ja till kompromissen) kommer sedan att vara huvudförslag när parlamentet under våren röstar i plenum.

Den stora frågan i kompromissen är att onlineplattformar kan men inte måste använda sig av uppladdningsfilter. Som vi tidigare rapporterat kommer detta i de flesta fall förmodligen ändå att leda till att automatiserade uppladdningsfilter används – eftersom alternativet är manuell granskning, vilket vore oerhört resurskrävande och långsamt.

Läs mer hos Piratpartiet »