Femte juli

Nätet till folket!

Privatliv

Rätten till privatliv är en grundläggande mänsklig rättighet, vilket bland annat slås fast i Europakonventionen för de mänskliga rättigheterna samt i EU:s stadga. Här publicerar vi nyheter om hur myndigheter, företag och andra aktörer vill skaffa sig tillgång till vår privata information.

Politiker anmäls till EU-domstolen för retroaktiv lagstiftning som gör olaglig datainsamling laglig

av

EU har stiftat retroaktiva regler som tillåter Europol att bryta mot lagen. Därför drar den europeiska dataskyddsmyndigheten politikerna inför domstol.

Som vi tidigare berättat har EU:s polismyndighet Europol olagligt lagrat uppgifter om miljontals enskilda individer – som inte är misstänkta för något brottsligt.

Med Europols nyligen utökade mandat gjordes denna olagliga lagring laglig, med ett klubbslag.

En nederländsk politisk aktivist (som inte har några kriminella kopplingar) begärde redan för två år sedan ut sina personuppgifter från Europol. I enlighet med dataskyddsförordningen.

Europol inte bara vägrade – utan raderade istället dessa uppgifter. Vilket gör det omöjligt att veta om och i vilken utsträckning de brutit mot de då existerande reglerna.

Den europeiska dataskyddsmyndigheten (EDPS) beordrade därför Europol att återskapa (!) denna data och överlämna den enligt begäran. Vilket inte skett.

Detta fall är bara en del i en större prövning av hur EU:s beslutfattare (speciellt det tidigare franska ordförandeskapet) skapat retroaktiva regler som gör handlingar lagliga, som vid det aktuella tillfället var olagliga.

EDPS drar därför lagstiftarna (rådet och parlamentet) inför EU-domstolen. Man menar att de nya reglerna inte bara hotar rättssäkerheten utan även tillsynsmyndighetens oberoende.

Detta skall bli intressant att följa. Även denna fråga kan bli en het potatis för det tillträdande svenska EU-ordförandeskapet.

Länk:
• EU privacy watchdog sues lawmakers over new Europol mandate »

Relaterade, tidigare poster (nyast överst):
• EU gör Europol till ett europeiskt NSA »
• Europol får utökat mandat för övervakning »
• Europol får fortsätta registrering av icke misstänkta »

Så kan delar av den förbjudna datalagringen ändå fortsätta

av

EU:s medlemsstater kringgår EU-domstolens förbud mot datalagring genom att bryta loss lagring och katalogisering av IP-nummer i nationell lagstiftning.

Hur kan det komma sig att generell datalagring (data om allas alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar m.m.) är förbjuden – men att lagring av IP-adresser plötsligt blivit högsta politiska mode?

I en lång rad domar (upphävt datalagringsdirektiv samt domar mot länder som ändå fortsätter) har EU-domstolen gång på gång sagt att urskiljningslös insamling av data om allas alla telekommunikationer inte får förekomma. Sådan strider nämligen mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv.

I den senaste domen, som riktas mot Tyskland, säger EU-domstolen dock följande:

»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«

Det vill säga att insamling av IP-adresser ”utanför” datalagringsdirektivet anses vara nationell kompetens.

Vilket öppnar dörrarna för de medlemsstater i EU som vill försöka upprätta något slags IP-nummer-katalog på användar-/individnivå.

Detta är ett fult, men klassiskt EU-knep: Om något inte kan eller får beslutas på EU-nivå, då bestämmer sig medlemsstaterna för att göra så ändå, men var och en för sig. Vilket i praktiken får samma effekt som om beslutet fattats på EU-nivå.

Detta känns rätt mycket som obstruktion mot EU-domstolens grundläggande, principiella förbud mot datalagring. Fast på ett sätt som hindrar domstolen från att göra något åt saken.

Som vi också rapporterat leder detta till nya problem när portnummer saknas. Eftersom det råder brist på IPV4-adresser (i väntan på att allt blir klart med IPV6) delar ofta flera kunder på samma IP-nummer (så kallad NATad adress.)

Detta innebär att om polisen begär ut identiteten bakom en IP-adress – då går det bara att få ut uppgift om alla som delat denna adress. Vilket i sin tur innebär att helt oskyldiga människor kan komma att granskas av myndigheterna.

Vilket inte är acceptbelt. Vanliga, hederlig människor som inte misstänks för brott skall inte övervakas.

Använd VPN!

Läs mer / relaterat:
• EU-domstolens senaste dom (PDF) »
• Data retention ruling: Let’s free Europe from mass surveillance and general suspicion! »
• EU-stater registrerar användares IP-adresser »
• Germany split on using IP data storage to fight online child abuse »
• „Wir müssen die IP-Adressen für die Ermittlungsbehörden verfügbar haben“ »
• IP data retention is no option: IPv6 addresses can be unique and persistent tracking identifiers – a new study finds »
• Dags att ta svensk datalagring till EU-domstolen – igen? »

EU-stater registrerar användares IP-adresser

av

EU:s medlemsstater tycks samla på sig kataloger över enskilda nätanvändares IP-adresser. Vilket EU-domstolen accepterar, trots att den säger nej till generell datalagring.

Gårdagens goda nyhet var att EU-domstolen åter säger tydligt nej till urskiljningslös datalagring. Men djävulen finns i detaljerna.

Bortom huvudnyheten, i det finstilta, läser vi följande i EU-domstolens dom:

»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:

»Unfortunately, the greatest consensus among governments currently seems to exist on mandating indiscriminate IP data retention throughout Europe, which the judges in Luxembourg green-lighted under massive pressure.

Under no circumstances should all internet users be placed under general suspicion and online anonymity be abolished!

IP addresses are our digital fingerprints on the internet. Bulk collection would endanger crime prevention in the form of anonymous counselling and pastoral care, victim support through anonymous self-help forums and also the free press, which depends on anonymous informants.

Incidentally, there is no evidence that IP data retention significantly increases the crime clearance rate. In the absence of data retention Germany today has a higher cybercrime clearance rate than with IP data retention in place.«

Det tycks alltså som om vissa av EU:s medlemsstater samlar IP-adresser för något slags egen katalog. Detta sker även i Sverige.

Här pågår en dragkamp i frågan mellan den svenska Post- och Telestyrelsen (PTS) och Bahnhof. Ur vår tidigare rapportering:

»PTS skriver i sitt pressmeddelande ”Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.”

Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.«

PTS hotar Bahnhof med vite om man inte lämnar ut dessa användaruppgifter. Vilket överklagats till Förvaltningsrätten.

Vi träffade nyligen Bahnhofs VD Jon Karlung, som kunde berätta att om PTS får som de vill – då kan det handla om att lämna ut identiteten på hundratals användare som inte är misstänkta för något brottsligt.

Skälet är att det börjar bli slut på IPv4-adresser och att många kunder därför måste dela på samma IP-adress (NATade adresser) i väntan på IPv6.

Det blir allt tydligare att myndigheterna vill ha en egen katalog över enskilda individers IP-adresser, vilket bland annat tyder på att de inte riktigt förstår hur internet fungerar.

Vi återkommer inom kort med en podcast / intervju med Jon Karlung.

EU-domstolen säger än en gång nej till datalagring

av

I det senaste av en lång rad beslut om datalagring säger EU-domstolen åter nej till generell lagring av kommunikationsdata utan misstanke om brott.

I ett förhandsutlåtande för den tyska författningsdomstolen säger EU-domstolen än en gång nej till generell, svepande lagring av data om alla människors alla telekommunikationer m.m.

Till skillnad från andra länder som fått en åthutning av domstolen har den tyska regeringen dock redan beslutat att sluta med allmän datalagring.

Ur domstolens beslut (PDF):

»EU-domstolen bekräftar att en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter strider mot unionsrätten, förutom om det föreligger ett allvarligt hot mot nationell säkerhet.«

Vill man data lagra måste det finnas en inriktning mot till exempel personer som är misstänkta för brott.

Samma beslut skulle kunna fattas om den svenska datalagringen, där den nya lagen inte heller lever upp till de krav domstolen ställer upp.

EU-kommissionen och medlemsstaterna funderar just nu på om det går att besluta om ett nytt datalagringsdirektiv, som kringgår domstolens beslut. (EU-domstolen upphävde 2014 datalagringsdirektivet, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.)

• EU-domstolens pressmeddelande (PDF) »

(Domen verkar dock tillåta lagring av IP-adresser, vilket vi återkommer till inom kort.)

Nu börjar slaget om #ChatControl

av

Nu tas de första stegen mot granskning av innehållet i alla våra elektroniska kommunikationer. Den politiska striden är redan igång – och Sveriges nya regering kommer att få en nyckelroll.

Nu har EU-kommissionär Ylva Johanssons förslag om #ChatControl landat på Europaparlamentets bord. Det är nu det kommer att avgöras om vår e-post och alla våra elektroniska meddelanden skall av-krypteras, öppnas och dess innehåll granskas.

Allt vi skriver (och tar emot) kommer att inspekteras – av maskiner, som skall söka efter (och anmäla) misstänkt innehåll. Vad kan möjligen gå fel?

I praktiska termer handlar #ChatControl om huruvida man skall spana mot folk som är misstänkta för brott eller om man skall massövervaka alla.

Utöver problemen med automatiserad övervakning riktad mot människor som inte är misstänkta för brott är detta en viktig principiell fråga. Rätten till privatliv och privat kommunikation är en mänsklig rättighet.

FN:s människorättskommissionär oroas:

»“Moreover, in the general scanning of communications, frequent false positives cannot be avoided, even if accuracy rates are high, thereby implicating numerous innocent individuals. Given the possibility of such impacts, indiscriminate surveillance is likely to have a significant chilling effect on free expression and association, with people limiting the ways they communicate and interact with others and engaging in self-censorship.«

Sedan innehåller förslaget även andra ogenomtänkta saker, som en 18-årsgräns för meddelande-appar. Personer under 18 års ålder skall alltså inte kunna kommunicera elektroniskt med varandra eller någon annan. Och med ålderskrav kommer ID-krav, för alla.

• Läs mer om #ChatControl »

Nu börjar den politiska striden. Det tjeckiska EU-ordförandeskapet har dessutom utökat förslaget med borttagning av sökresultat. (!) Och i Europaparlamentet är den konservativa och den liberala gruppen pådrivande.

Vid årsskiftet blir Sverige ordförandeland i EU. Därmed hamnar processen i ministerrådet i vårt knä. Medlemsstaterna är splittrade från ett tydligt nej till ren entusiasm.

Om vi vill stoppa #ChatControl är det hög tid att handla nu. Allt för ofta är motståndet mot ogenomtänkta EU-beslut slumrande fram till det ögonblick då vi ställs inför fullbordat faktum, när redan det är för sent. Låt inte det hända igen.

Med moståndsfickor mot #ChatControl i både ministerrådet och parlamentet krävs att frågan börjar bubbla i media och i opinionen. Tryck måste komma från alla sidor.

En bra början är att kräva den nya svenska regeringen på besked.

Försvara rätten till privat korrespondens, rädda den digitala brevhemligheten!

Länkar / relaterat:
• Chat Control – The End of the Privacy of Digital Correspondence »
• UN Human Rights Commissioner warns against chat control »
• EU avskaffar rätten till privat korrespondens »
• Tyska regeringen splittrad om #ChatControl »
• EU:s medlemsstater splittrade om ChatControl. Vad tycker Sverige? »
• The EU’s Proposal on CSAM Is a Dangerous Misfire »
• ChatControl: Den som är oskyldig har allt att frukta »
• Leak on chat control: EU Commission anticipates millions of false positives »
• Chat Control är en idiotisk och farlig idé »
• Granskning: Lobbykampanjen för #ChatControl »

EU:s medlemsstater splittrade om ChatControl. Vad tycker Sverige?

av

Konfliktlinjerna börjar klarna vad gäller EU:s förslag till granskning av innehållet i vår e-post och alla elektroniska meddelanden. Sveriges position är dock än så länge oklar.

Tyska Netzpolitik har kommit över dokument som visar medlemsstaternas inställning till av-kryptering, öppning och granskning av all e-post och alla våra elektroniska meddelanden – #ChatControl / meddelandekontroll.

Som vi tidigare rapporterat är den tyska regeringen splittrad. Man välkomnar förslaget i allmänna ordalag, men sågar det i detaljerna. Inrikesministern (SPD) vacklar fram och tillbaka, medan justitie- och digitaliseringsministern (båda FDP) är negativa.

Det förefaller som om Tyskland bara kan acceptera ChatControl om användarnas anonymitet kan garanteras. Vilket låter som en omöjlighet givet förslagets utformning. Man menar i sammanhanget att krypteringen inte får brytas, vilket är ett bra tecken.

En märklighet är att Tyskland uttalar sig för stärkt ålderskontroll (för meddelandeappar m.m.) – dock under förutsättning att användarnas rätt till anonymitet inte kränks. Vilket känns som en självmotsägelse. Att kontrollera ålder utan att kontrollera identitet kan bli knepigt.

Österrike säger nej till ChatControl med hänvisning till rätten till privatliv. Man oroas även över den stora mängd falska flaggningar ett sådant här system kan ge upphov till.

Samtidigt uttalar sig Frankrike, Bulgarien, Ungern, Rumänien, Nederländerna, Lettland och Finland klart för ChatControl.

Så vad tycker Sverige? Den utgående socialdemokratiska regeringen var positiv till ChatControl som sådan, men noterar att det inte finns något färdigt förslag att ta ställning till. Moderaterna och SD är också i princip positiva, men vill även de avvakta tills det finns ett färdigt förslag. KD är uttalat för ChatControl redan nu.

I sammanhanget kan nämnas att medan Sverige ”avvaktar” ett färdigt förslag, så är många andra medlemsstater i full färd med att utforma just ett sådant

Så det känns som om Sverige inte riktigt är med i matchen. Vilket är anmärkningsvärt, då vi kommer att vara ordförandeland i EU efter årsskiftet – och då få huvudansvar för frågan.

Länk: Interne Dokumente zeigen, wie gespalten die EU-Staaten sind »

Relaterat:
• Chat Control – The End of the Privacy of Digital Correspondence »
• EU upphäver rätten till privat korrespondens »
• The EU’s Proposal on CSAM Is a Dangerous Misfire »
• ChatControl: Vet politikerna vad de sysslar med? »

Youtube: Chat Control is a stupid and dangerous idea (feat. MEP Patrick Breyer) »

Tyska regeringen splittrad om #ChatControl

av

Den tyska regeringen sänder blandade signaler om EU-kommissionens förslag om att granska innehållet i all e-post, alla elektroniska meddelanden, alla chattar med mera. Så nu sätter liberalerna i regeringen upp ett antal röda linjer.

Det tycks finnas en spricka om ChatControl inom den tyska regeringen.

Kritik mot EU-kommissionens förslag om att av-kryptera och öppna all e-post och alla elektroniska meddelanden – för att sedan granska dess innehåll – framförs nu från liberalerna (FDP) i den tyska regeringen.

Detta bör inte komma som någon överraskning, då skrivningarna i den tyska trepartiregeringens koalitionsfördrag tydligt säger nej till generell övervakning, speciellt av privat kommunikation. Tidigare har så väl ministrar från FDP som socialdemokraterna (SDP) kritiserat förslaget om ChatControl.

Samtidigt har den tyska regeringen i vaga ordalag »välkomnat« EU-kommissionens förslag. Det finns tecken på att SDP kan ha svängt till ett försiktigt ja. Speciellt gäller det inrikesminister Nancy Faeser (SPD).

Därför har FDP nu formulerat en text där man sätter upp ett antal röda linjer:

  • Man säger nej till allmän ChatControl vad gäller e-post och meddelanden.
  • Man säger nej till kontroll av enskildas lagrade filer som ej delas med någon annan.
  • Man säger nej till »client-side scanning« där granskning av meddelanden och innehåll sker på användarens egen telefon, platta eller dator.
  • Man säger nej till att kringgå kryptering.
  • Man säger nej till granskning av röstmeddelanden och röstsamtal.
  • Man säger (i princip) nej till ålderskontroll / åldersgräns för meddelande-appar.
  • Man säger nej till att eftersöka innehåll som inte är olagligt under respektive medlemsstats nationella lagstiftning.

Läs hela FDP:s kravlista här. »

I grunden handlar detta om att försvara människors konventionsskyddade mänskliga rättigheter och vad dessa har att säga om rätten till privatliv och privat korrespondens. Och som vi brukar påpeka har FN uttalat att mänskliga rättigheter offline även skall gälla online.

Det är oklart hur detta kommer att sluta. Men om såväl den tyske justitieministern som digitaliseringsministern (båda FDP) säger nej lär det bli svårt för Tyskland att ställa sig bakom kommissionens förslag om ChatControl. Även om inrikesministern (SPD) skulle säga ja.

Dock räcker det inte med att Tyskland säger nej för att stoppa förslaget i ministerrådet. Så frågan kan mycket väl komma att avgöras i Europaparlamentet.

Läs mer:
• Clear lines against chat control: Liberals’ paper puts German Interior Minister Faeser on the spot »
• Chat Control – The End of the Privacy of Digital Correspondence »
• EU upphäver rätten till privat korrespondens »

ChatControl: Den som är oskyldig har allt att frukta

av

Obligatorisk granskning av alla våra elektroniska kommunikationer kan få katastrofala konsekvenser för helt oskyldiga människor.

EU-kommissionen vill att vår e-post och alla våra elektroniska meddelanden skall av-krypteras, öppnas och att dess innehåll skall granskas. Syftet är att kontrollera att du inte ägnar dig åt sexuella övergrepp på barn.

Granskningen kommer att ske av maskiner, som saknar förmåga att bedöma kontext. Resultatet kommer med nödvändighet att bli felaktiga flaggningar (falska positiva).

New York Times / Techdirt / EFF rapporterar om en man som på uppmaning sänt bilder på sin son till dennes läkare. Då Google redan (frivilligt) granskar alla sina användares meddelanden flaggades meddelandet.

Till att börja med spärrades mannens Google-konto. Det vill säga att hans e-post, kalender, bilder, docs, drive, Google-telefon m.m. slutade fungera. På felaktiga grunder. Dessa åtgärder kan i sig ödelägga en människas hela arbetsliv.

Google polisanmälde också mannen. Polisen kunde dock inte nå honom, då Google spärrat hans e-post och telefon. Allt på hans Google-konto granskades, utan att man fann något annat misstänkt. Polisen kunde (eller ville) dock inte kontakta Google för att meddela att misstanken avskrivits.

Med tanke på vilka stora volymer som granskas leder sådan här innehållsgranskning till miljontals falska flaggningar. Det gäller även om de filter som granskar innehållet gör rätt i 99,9% av fallen. (Vilket de inte gör.)

Att detta kan få katastrofala konsekvenser för helt oskyldiga människor är uppenbart.

Det ovanstående är ett praktiskt exempel på hur fel ChatControl (obligatorisk innehållsgranskning) kan slå. Men det finns även principiella problem.

  • ChatControl är en kränkning av grundläggande mänskliga rättigheter som rätten till privatliv och privat kommunikation – när den appliceras på alla våra elektroniska kommunikationer utan misstanke om brott.
  • ChatControl kommer även att leda till att man kringgår den kryptering som skyddar våra kommunikationer. Vilket öppnar dörren för illasinnade aktörer och gör oss alla mindre säkra.
  • När ChatControl väl finns på plats kan syftet enkelt utökas. Övervakningslagar drabbas i princip alltid av ändamålsglidning.

Till råga på allt rår ChatControl inte på de metoder som vanligtvis används för att sprida olagligt innehåll.

Läs mer:
• EU upphäver rätten till privat korrespondens »
• Chat Control – The End of the Privacy of Digital Correspondence »
• Horrifying: Google Flags Parents As Child Sex Abusers After They Sent Their Doctors Requested Photos »
• Google’s Scans of Private Photos Led to False Accusations of Child Abuse »