MP röstar för mer övervakning och censur i EU

Miljöpartiets dagar som motståndare till storebrotsstaten är över.

Nu har Alice Bah Kuhnke (MP) ännu en gång lämnat den gröna grupplinjen i Europaparlamentet. Denna gång handlar det om förordningen om terrorrelaterat innehåll online (TERREG), som bland annat kommer att innebära censur av åsikter.

Det är i LIBE (Europaparlamentets utskott för mänskliga rättigheter) som Bah Kuhnke först bröt grupplinjen vad gäller massövervakning av alla nätanvändares alla meddelanden och nu alltså även TERREG. I första fallet röstade hon för och i det andra lade hon ner sin röst.

Nu har i och för sig även S och M röstat för mer övervakning. Men det är å andra sidan deras kända politik. MP har profilerat sig som motståndare till övervakning, censur och inskränkningar av nätets frihet – och vunnit röster på detta.

MP:s lojalitet med den svenska regeringen är uppenbarligen större än mot de egna principerna, mot partigruppen i Europaparlamentet och mot medborgarnas rätt till fri information och privatliv.

Läs mer hos Piratpartiet »

EU: Nu skall alla dina elektroniska meddelanden granskas

Framåt sommaren kan alla företag som förmedlar elektroniska meddelanden människor emellan tvingas att granska allt. Detta kommer att ske med automatiska filter. Flaggat material kommer sedan att översändas till relevanta myndigheter och organisationer, utan föregående mänsklig granskning.

Ledamoten av Europaparlamentet, Patrick Breyer (PP,DE) skriver:

»The EU wants all private electronic messages to be monitored and searched by unreliable algorithms for possible child pornographic content. Providers of e-mail, messenger and chat services are to be allowed to search the content of all private messages without suspicion for known and unknown child and youth pornography and for the “initiation of sexual contacts” with minors – also with the help of error-prone “artificial intelligence”. If an algorithm flags a message as suspicious, message content and customer data may be disclosed to law enforcement agencies and non-governmental organisations worldwide, without human review. The users reported will never know about this, regardless of the outcome of the investigation.

Until now, only major US services such as GMail, Outlook.com and Facebook Messenger are indiscriminately screening all private messages. However, the EU Commission wants to oblige all providers to do so in future.«

Den här gången är det alltså sexuellt utnyttjande av barn som används som murbräcka. Vilket är en fiffig teknik – eftersom i princip ingen försvarar sådana övergrepp. På så sätt kan man tysta eller i vart fall minska kritiken mot förslaget. Men vi vet av erfarenhet att övervakning som sätts upp i ett syfte tenderar att drabbas av ändamålsglidning. När verktygen väl är på plats är det lätt ordnat att utöka övervakningen till att även omfatta annat.

Därför kan det nog vara klokt att inte sända några nakenbilder alls, inte ens av samtyckande vuxna. Utgå från att de kan komma att hamna på drift och eventuellt användas på annat sätt än det avsedda.

»You could be wrongfully suspected of possessing child pornography. US corporations algorithms often report perfectly legal holiday photos of children on the beach to the police – up to 90% of the algorithmically generated reports are unfounded. If you are sent unsolicited illegal material you will also be reported to the police. Teenagers who send self-generated nude pictures are particularly at risk of being reported – 40% of investigations for “child pornography” in Germany target minors.«

Men det är inte den enda risken:

»You could be in big trouble the next time you travel abroad. Reports are forwarded to various countries like the US, which lacks basic data protection rules – with unforeseeable consequences for you.

Your private messages and flirtations can be read by employees of US corporations if algorithms wrongfully flag you for „soliciting minors“.«

Till detta skall man lägga EU:s (och andras) enträgna försök att få tillgång till bakdörrar till krypterade meddelandetjänster.

Hur detta går ihop med det generella förbudet mot övervakning (som även finns kvar i the Digital Services Act) är högst oklart. Det samma gäller skyddet för privat korrespondens, som är en konventionsskyddad grundläggande mänsklig rättighet.

Bara vetskapen om att alla meddelanden kommer att granskas ställer naturligtvis till det för alla som sänder (legitim) känslig information. Dina meddelanden till kollegor, läkare, psykolog, media och annat som kan vara känsligt kommer att granskas och kan flaggas av misstag. Detta för att inte tala om hur besvärligt det kommer att bli för visselblåsare och andra som avslöjar hemligheter som myndigheter och andra inte vill att folket skall få vetskap om.

Man räknar, som sagt, med att 90% av alla flaggningar är felaktiga.

En första nyckelvotering kan komma att äga rum i Europaparlamentet redan under februari månad.

Läs mer hos Patrick Breyer (PP, DE) »

USA: Krav på kundkännedom vid handel med kryptovalutor förbereds

I USA förbereds ett snabbt införande av krav på kundkännedom vid handel med kryptovalutor. Detta kan bli lite som med EU:s regelverk mot penningtvätt, som lett till att vanliga hederliga människor granskas och ifrågasätts av banken så snart de vill flytta eller använda sina egna pengar.

EFF skriver:

”On Friday, the Department of the Treasury’s Financial Crimes Enforcement Network (FinCEN) announced a proposed regulation that would require money service businesses (which includes, for example, cryptocurrency exchanges) to collect identity data about people who transact with their customers using self-hosted cryptocurrency wallets or foreign exchanges. The proposed regulation would require them to keep that data and turn it over to the government in some circumstances (such as when the dollar amount of transactions in a day exceeds a certain threshold).”

EFF sammanfattar även ett antal problem med förslaget:

  1. Anonymiteten försvinner vid transaktioner mellan användare av kryptovaluta i en egen digital plånbok och olika service providers på området.
  2. Det blir lättare för myndigheter att spåra transaktioner i blockkedjan.
  3. Detta kommer att minska användningen av privata elektroniska plånböcker och kommer att försvåra integrationen mellan olika system.
  4. Verktyg som är anpassade för den övriga finansiella sektorn passar inte ett system vars hela idé är att vara ett elektroniskt alternativ till anonyma kontanter.

Enkelt uttryckt vill myndigheterna se ett slut på anonym användning av digitala valutor.

EFF: The U.S. Government Is Targeting Cryptocurrency to Expand the Reach of Its Financial Surveillance »

Kryptering: EU:s ministerråd önskar det omöjliga

Jag sitter och läser i EU:s ministerråds plan (PDF) för att kringgå kryptering…

»We acknowledge this dilemma and are determined to find ways that will not compromise either one, upholding the principle of security through encryption and security despite encryption. Various technical options should be identified and evaluated for this purpose.«

Men tänk om det faktiskt inte går. Tänk om kryptering antingen är solid eller korrumperad, säker eller sårbar. Då kan Europeiska Unionen besluta hur mycket den vill att »olika tekniska alternativ skall identifieras och utvärderas«. De skulle lika gärna kunna besluta att månen är en grön ost. Kringgår man krypteringen av medborgarnas meddelanden, då finns det en bakdörr till våra kommunikationer som står öppen för alla.

EU skriver så mycket… I ett annat, relaterat dokument (PDF) hittade jag följande citat, som på något sätt gjorde mig opassande munter:

»De brottsbekämpande myndigheterna kan använda artificiell intelligens i sitt dagliga arbete, om tydliga skyddsåtgärder vidtas.«

Regler för elektroniska bevis – en soppa med för många kockar

Frågan om elektroniska bevis är en röra. Vad det handlar om är att myndigheterna skall ges möjlighet att säkra bevis i brottsutredningar över gränserna, utan att behöva gå via lokal polis eller andra lokala myndigheter.

Europarådet, EU-kommissionen, FN och USA arbetar samtidigt, var och en på sitt håll, med lagar och regler för eEvidence.

  • Europarådet håller på att uppdatera den så kallade Budapest-konventionen.
  • EU:s ministerråd (vars medlemsstater också är medlemmar i Europarådet och som därmed kommer att underställas den nya Budapest-konventionen) driver på EU-kommissionen för att få fram ett nytt EU-regelverk om eEvidence.
  • FN har redan klubbat en resolution om ett »worldwide mutual legal assistance agreement to fight cybercrime« på initiativ från Ryssland, men mot EU:s och USA:s vilja, och trots protester från människorättsaktivister.
  • EU och USA förhandlar om ett avtal, som lär komma att bygga på den amerikanska Cloud-Act – som enkelt uttryckt ger myndigheterna tillgång till allt.

Allt är en soppa och det känns som om det är för många kockar. Någon egentlig debatt om huruvida olika länder skall kunna begära ut uppgifter från andra länders operatörer och plattformar (istället för att begära rättsbistånd från lokal polis) finns inte. Inte heller syns någon egentlig diskussion om säkerhets- och rättsäkerhetsaspekter. Vad händer till exempel om land X begär ut uppgifter från land Y, för att utreda något som inte är olagligt i land Y?

Läs mer: Electronic Evidence: No simplification for digital investigations yet »

EU: MP röstar för övervakning

Vi noterar att den miljöpartistiska ledamoten av Europaparlamentet Alice Bah Kuhnke röstat för mer övervakning.

Det var i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) som hon röstade för den tillfälliga förordning som låter sociala media m.fl. övervaka sina användare. Hennes gröna gruppkamrater röstade nej.

Nuförtiden tycks det nya normala vara att MP är för övervakning. De sitter ju i regering med Socialdemokraterna, bevars. När det handlar om makt finns det inte utrymme för principer.

Jag minns en tid när MP jagade väljare i EU-valet 2014 genom att framställa sig som mer piratpartistiska än Piratpartiet självt. Sedan dess har de släppt både fildelningen och motståndet mot övervakning.

Mer övervakning men få nyheter i Ylva Johanssons EU-plan mot terrorism

För den som följer övervakningsfrågorna i EU var det något förvånande när EU-kommissionär Ylva Johansson i radionyheterna i morse meddelade att hon kommer att lägga fram ett förslag för att ge myndigheterna möjlighet att snabbt plocka ner terror-relaterad information och propaganda på internet.

Ett sådant förslag finns nämligen redan: EU:s nya förordning om terror-relaterat innehåll online (TERREG/TCO). Och där pågår förhandlingar mellan kommissionen, rådet och parlamentet. Tanken är att morgondagens trilog-förhandlingar skall vara de sista. Men fortfarande är positionerna låsta. De viktigaste frågorna man förhandlar om gäller:

  • Ministerrådet vill att oönskat material skall plockas bort inom en timma, vilket Europaparlamentet menar är orealistiskt.
  • Ministerrådet vill att myndigheter i en medlemsstat skall kunna beordra nedtagning av innehåll på servrar i andra medlemsstater (eller tredje land).
  • Ministerrådet vill inte se något undantag för journalistik, kultur, forskning, dokumentation etc.
  • Ministerrådet vill se uppladdningsfilter, det vill säga automatiserad nätcensur – vilket parlamentet säger nej till.

Detta är alltså inte något nytt, utan ett ärende som redan dragits i långbänk. Vad det handlar om är att Ylva Johansson försöker öka trycket på parlamentet inför morgondagens förhandlingar.

På det hela taget är det väldigt lite nytt som presenteras i den Counter-Terrorism Agenda for the EU som EU-kommissionen presenterade idag.

Därmed inte annat sagt än att dokumentet listar ett antal kontroversiella åtgärder, även om de i allt väsentligt redan är kända. Exempel:

  • Automatiserad ansiktsigenkänning för identifiering, lokalisering och övervakning av individer.
  • EU:s nya Digital Services Act kommer att presentera en »horisontell« approach till olagligt innehåll online.
  • Ökad kontroll av resenärer genom PNR och samkörning av databaser.
  • Förstärkning av Europols mandat.
  • Man vill kringgå kryptering av privata meddelanden.
  • Förenklat utbyte av digitala bevis mellan medlemsstater.
  • Ett nytt datalagringsdirektiv.

Några nyheter finns dock:

  • 2021 kommer man att uppdatera EU:s Code of Conduct on countering illegal hate speech online.
  • 2021 kommer kommissionen att lägga fram ett förslag om »interconnected bank account registers« – det vill säga en central funktion för att kunna kontrollera alla bankkonton och transaktioner (i detta sammanhang relevant vad gäller terror-finansiering).
  • Man planerar att tillsätta en »Counter-Terrorism Coordinator«.

Även om dagens dokument främst fokuserar på radikal, militant islamism – så omfattar det även höger- och vänsterextremism.

Man har också en uppmaning till medlemsstaterna:

»Ensure that projects which are incompatible with European values or pursue an illegal agenda do not receive support from public funds.«

Ylva Johanssons 25-sidiga handlingsplan innehåller som sagt mest redan kända förslag. Den känns mer som ett papper för att avleda eventuell kritik mot att EU gör för lite för att bekämpa terrorism än som något nytt i sak. Men det kan naturligtvis vara bra att vi nu får EU:s planer på området sammanfattade i ett dokument.

Länkar:
• EU-kommissionens pressmeddelande »
• Counter-Terrorism Agenda for the EU (PDF) »

EU-parlamentet kapitulerar om massövervakning?

Pågår en samordnad EU-attack mot rätten till privat elektronisk kommunikation?

Ministerrådet använder just nu terrorismen som ursäkt för att ge myndigheterna bakdörrar till krypterade meddelanden. EU-kommissionen spelar ut barnporr-kortet för att bereda myndigheterna tillgång till i princip alla medborgares alla elektroniska kommunikationer. Och nu vacklar Europaparlamentet, som fram till alldeles nyligen brukade stå upp för medborgarnas rätt till privat kommunikation.

MEP Patrick Breyer (PP, DE) rapporterar:

»Today (Monday 7th December) the European Parliament’s Civil liberties Committee voted to restrict the ePrivacy Directive which aims at protecting private communications. The Parliament accepts for the first time searching all electronic communications for possible prohibited content – with disastrous consequences for the protection of privacy and data security in the EU.«

Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) brukar vara en motståndsficka mot övervakning. Eller rättare sagt, brukade vara.

Med gårdagens beslut rullar man tillbaka mycket av the European Electronic Communications Code, som klubbades så sent som för två år sedan. Dess syfte var att skydda medborgarnas rätt till privat kommunikation. Men den nya kommissionen och det nya parlamentet (sedan EU-valet 2019) har uppenbarligen andra planer.

Beslutet strider även mot dataskyddsförordningen (GDPR) – som ju EU rullat ut (för alla andra) under mycket buller och bång.

Breyer:

»With the ePrivacy Derogation, the EU Commission proposes to screen and monitor all private electronic communications in the absence of any suspicion in order to search for possible child pornographic content and „child grooming“. On 10 September 2020, it presented a draft law to this effect. Providers of e-mail, chat and messenger services would be exempted from the secrecy of communications for searching the content of all private messages. Looking for as yet unknown material would mean that even intimate photographs of adults will frequently be exposed. In addition, error-prone algorithms are to search text messages for “solicitation of sexual contact” with minors. Supposed hits are reported to the police.«

Piratpartiet:

»The proposal claims to allow international telecommunication providers and corporations to automatically scan private communication channels such as e-mails, messaging and chat services. Algorithms are supposed to find child pornographic content or “suspicious approaches” of adults to children.«

Notera att detta alltså rör sig om genomgång av alla användares alla meddelanden och postningar. Även dina. Alla bilder du sänder eller delar kommer att granskas av maskiner för att avgöra om det finns något som kan misstänkas ha med barn att göra. Alla dina kommunikationer kommer att analyseras för att kontrollera så att du inte har otillbörlig kontakt med barn.

Vilket naturligtvis kommer att leda till massor av falska flaggningar. Och vi vet sedan tidigare att en stor mängd falska positiva gör det svårare att finna det man verkligen söker.

»So far, the general and indiscriminate searching of private messages is practised by some US corporations, affecting services such as Facebook Messenger, GMail and outlook.com. Publications on social networks are also screened. The algorithms result in a veritable flood of criminal reports, with each sharing of a post being counted separately. According to the Swiss Federal Police, 90% of the content reported is not criminally relevant.«

Vad händer nu? Patrick Breyer:

»The report is expected to pass the Parliament‘s plenary session in mid-December. Even this year, the trilogue negotiations are to begin, in which representatives of the Parliament will negotiate with the Council behind closed doors. The law is expected to come into force in January.«

Ibland går det undan. Och detta är alltså bara ett av många olika förslag som rör övervakning som just nu är på väg genom EU-apparaten.

Detta kommer med största säkerhet att gå till domstol – då svepande massövervakning av alla medborgares alla elektroniska kommunikationer, utan konkret misstanke om brott i de enskilda fallen strider mot EU:s rättighetsstadga. Tyvärr lär de nya reglerna dock träda ikraft innan det kan bli fråga om rättslig prövning.

Länkar:
• Patrick Breyer (PP, DE) »
• European Pirate Party »

 

Storebror och rätten till privatliv – vad gäller?

EU har två uppsättningar  regler för mänskliga och medborgerliga fri- och rättigheter. Dels handlar det om att EU anslutit sig till Europarådets konvention om de mänskliga rättigheterna. Dels har vi EU:s egen stadga om de grundläggande rättigheterna.

Europakonventionen är huvudsakligen inriktad på människans naturliga rättigheter, medan EU-stadgan går längre och kan sägas vara mer politisk. Dock innehåller båda dokumenten tydliga skrivningar om rätten till privatliv.

Europakonventionen (artikel 8): Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.

Dock med följande brasklapp: Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter.

EU-stadgan (artikel 7): Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.

Både konventionen och stadgan ingår i det som allmänt kallas EU:s fördrag. Och då Sverige skrivit in EU-medlemskapet i grundlagen har båda även grundlags ställning i Sverige. Ytterst är detta regler som är till för att skydda individen mot staten.

Vilket kan vara bra att känna till nu när EU vill återlansera datalagringen (lagring av data om alla människors alla telefonsamtal, SMS, e-postmeddelanden, nätuppkopplingar, mobilpositioner och övriga teledata). Det gäller även EU:s planer på att bereda sig tillgång till medborgarnas krypterade meddelanden.

Även om det finns undantag (se ovan) så måste huvudregeln ändå vara huvudregel och undantagen endast undantag.

Om man planerar att lagra data om alla medborgares alla telekommunikationer – då bryter man uppenbart mot huvudregeln och inga undantag kan rimligen anses gälla alla medborgare alltid.

Detsamma gäller om man vill kunna bereda sig tillgång till alla medborgares alla krypterade meddelanden. (Det skulle inte ens vara lagligt även om dessa meddelanden vore okrypterade.)

När både EU och Sverige nu rullar ut allt mer övervakning och kontroll är det viktigt att ha de grundläggande principerna klara för sig. Politiker och tjänstemän är som regel skickliga på att motivera sina frihetsinskränkningar. Men våra konventionsskyddade fri- och rättigheter har de svårare att ta sig runt. I vart fall ser det väldigt illa ut om de försöker. Därför kan det vara en god idé att bygga argumentationen mot övervakningsstaten på just dessa grundpelare.

I sammanhanget finns det två rättsliga instanser att vända sig till om politikerna går över gränsen: Europadomstolen (Europakonventionen) och EU-domstolen (EU-stadgan).

• Europeiska konventionen om de mänskliga rättigheterna (PDF) »
• EU:s stadga om de grundläggande rättigheterna (PDF) »

EU:s kamp mot krypterade meddelande-appar i långbänk?

Året går mot sitt slut och därmed även det tyska EU-ordförandeskapet (sedan halvårsskiftet). Detta är särskilt intressant eftersom Tyskland varit pådrivande för att få fram bakdörrar till krypterade meddelande-appar. Nu verkar det som om man inte kommer att lyckas driva detta ända fram under detta ordförandeskap och de kommande ordförandeskapen är Portugal och Slovenien, som i sammanhanget betraktas som »svagare« länder.

Därför har Tyskland nu formulerat rekommendationer för det fortsatta arbetet för att kringgå kryptering. Man är fortfarande på offensiven, men det går samtidigt att ana en viss uppgivenhet.

»We aim for a coordinated, consistent EU position on the topic of encryption because we have a joint challenge concerning encrypted data in the field of fighting terrorism, organized crime, child sexual abuse, etc. At the same time, we must value encryption as an important technology for the digital life of today and the protection of fundamental rights. We need to agree upon these complex issues and improve coordination at EU level.«

Man tänker alltså fortsätta sina försök att kringgå kryptering av meddelanden. Men än så länge har man inte presenterat några hållbara argument vad gäller det grundläggande problemet: Antingen har man säker kryptering eller så har man det inte. Bakdörrar kommer att kunna användas även av kriminella, främmande makt och andra illasinnade aktörer.

Tidigare har man pekat på en möjlighet i form av något som påminner om hemlig dataavläsning. Problemet med det är att i så fall skulle man i princip vara tvungen att tillämpa hemlig dataavläsning (statstrojaner) mot alla användare. Vilket nog är lite magstarkt, även med EU-mått mätt.

Man skriver vidare:

»We acknowledge the need to review the effects arising from different relevant regulatory frameworks in order to develop further a consistent regulatory framework across the EU that would allow competent authorities to carry out their operational tasks. We underline that the EU can leverage the strength of its single market to ensure that device manufacturers and service providers create technologies that meet the Member States’ needs while preserving the benefits of encryption. We call on all relevant actors to engage in a joint European narrative on encryption.«

Här luftar man alltså tanken att endast meddelande-appar som erbjuder staten en bakdörr skall vara tillåtna att sälja på EU:s inre marknad. Vilket naturligtvis är ett slag i luften för den som verkligen vill dölja sin elektroniska kommunikation.

Det verkar alltså som att det tyska ordförandeskapet inte lyckas driva sin kamp mot kryptering i mål, i vart fall inte innan årsskiftet.

En kvalificerad gissning är att frågan nu går i långbänk. Dock kan man inte utesluta nationella initiativ.

Trivia: De kommande EU-ordförandeskapen är – med ett halvår var – Portugal, Slovenien, Frankrike, Tjeckien och våren 2023 Sverige. Frankrike kan bli en rysare. Tjeckien kan (som det ser ut i opinionen) eventuellt ha piratpartister i regeringen. Och det svenska ordförandeskapet kommer intressant nog nästan direkt efter nästa riksdagsval.