Ylva Johansson: Inget EU-förbud mot kryptering

Den föreslagna svenska EU-kommissionären Ylva Johansson kommer som bekant att få hantera de så kallade inrikesfrågorna – det vill säga allt från migrationsfrågor till polissamarbete och inre säkerhet. Fokus har legat på migrationsfrågorna. Men Europaparlamentets muntliga utfrågning och skriftliga frågor ger viss ledning även i några av nätfrågorna.

Här är några nedslag i dokumenten. (Skärmdumpar, eftersom Europaparlamentet fortfarande gör PDF:er genom att skanna pappersutskrifter…)

Detta är faktiskt en god nyhet, om det går att lita på Johanssons ord: Inget förbud, ingen begränsning och ingen försvagning av kryptering.

Däremot kan man nog förvänta sig en ökad användning av statliga spionprogram ute i medlemsstaterna – det vill säga det som i Sverige kallas hemlig dataavläsning.

Ansiktsigenkänning är, som Ylva Johansson påpekar, en nationell fråga. Men – som hon snuddar vid – ägnar sig EU åt att finansiera forskningsprojekt där ansiktsigenkänning är en central funktion. (T.ex. Indect.) Så EU har ändå ett klart intresse i frågan.

Ylva Johansson vill alltså påskynda beslutet om avlägsnande av terrorrelaterat innehåll på nätet. Vilket, i sin nuvarande skrivning, kan resa krav på obligatorisk filtrering och analys av allt som alla användare laddar upp.

Sedan blir svaret mindre begripligt. För om man plockar bort innehåll – då kan det bli problematiskt för ordningsmakten, människorättsorganisationer, forskare, internationella juridiska institutioner, media m.fl. att få en bild av vad som verkligen sker. Vilket är en del av den kritik som framförts mot förslaget.

Tyvärr berördes inte datalagringen (vad jag kunnat hitta). Frågan är om det blir Ylva Johansson eller kommissionären för rättsliga frågor – belgaren Didier Reynders – som får i uppgift att ta fram ett eventuellt nytt datalagringsdirektiv. (Eller möjligen båda.)

Detta är bara några nedslag i det digra materialet. Här är länkar för den som är intresserad:

• Pressmeddelande: utfrågning av nominerade svenska EU-kommissionären Ylva Johansson »
• Video från utfrågningen och dokumentbank »
• Utskrift av utfrågningen (PDF) »
• Skriftliga svar (PDF) »
• Kompletterande skriftliga svar (PDF) »

155 miljoner kr till hemlig dataavläsning i regeringens budget

Regeringen satsar 155 miljoner kronor i budgeten på övervakning som ännu ej godkänts av riksdagen. (120 miljoner till polisen och 35 miljoner till Säpo.)

Ur Justitiedepartementets pressmeddelande:

Utöver tidigare beslutade anslagsökningar avseende 2020 föreslår regeringen att Polismyndigheten tillförs 120 miljoner kronor för att bland annat säkerställa satsningen på hemlig dataavläsning. (…)

Regeringen föreslår att Säkerhetspolisen tillförs 35 miljoner kronor från och med 2020 för att säkerställa satsningen på hemlig dataavläsning.

Även om denna nya form av övervakning förmodligen kommer att godkännas av riksdagen är det noterbart att man anslår pengar för att finansiera kontroversiella beslut som ännu ej är fattade.

Samtidigt är detta en signal om att propositionen (som redan dragits i långbänk i 4-5 år) kommer att läggas fram i närtid. Och att den nya lagen kommer att träda i kraft snabbt efter att den klubbats.

I sak är idén om hemlig dataavläsning lika tveksam som tidigare. Statstrojaner och statliga spionprogram på folks datorer, telefoner och plattor kommer att göra hela vår IT-infrastruktur mindre säker. I sammanhanget skall man komma ihåg att sådana verktyg förr eller senare alltid tycks hamna i orätta händer.

Nu återstår att se hur propositionen kommer att vara utformad. Till exempel skall det bli intressant att få veta hur regeringen tänkt sig att garantera att statliga hacknings-verktyg inte kommer att kunna användas för att plantera falska bevis.

EU-fråga: Accepterar ministerrådet att EU-domstolen säger nej till allmän datalagring?

Patrick Breyer, tysk piratpartistisk ledamot av Europaparlamentet, har ställt en skriftlig fråga till ministerrådet om datalagring. Den är rätt kort, så här är den i sin helhet:

In view of the ‘Conclusions of the Council of the European Union on Retention of Data for the Purpose of Fighting Crime’:

1. Does the Council accept that data retention legislation which ‘applies even to persons for whom there is no evidence capable of suggesting that their conduct might have a link, even an indirect or remote one, with serious criminal offences’ and which ‘does not require there to be any relationship between the data which must be retained and a threat to public security’ violates EU law?

2. Does the Council accept that merely exempting persons whose communications are subject to the obligation of professional secrecy does not, for all other persons whose communications data are to be retained, ensure that there is a ‘relationship between the data which must be retained and a threat to public security’ and therefore does not satisfy the principle of proportionality?

3. Does the Council have any evidence that crime clearance rates in Member States with data retention laws in effect are significantly higher than crime clearance rates in Member States with no data retention laws in effect?

Vad innebär detta och varför är det viktigt?

Bakgrund: Efter att EU-domstolen ogiltigförklarade EU:s datalagringsdirektiv (och även den svenska datalagringen) har frågan gått i långbänk. Ministerrådet vill se ett nytt direktiv. Den avgående EU-kommissionen har duckat frågan. Och nu får den tillträdande kommissionen ta ställning till om ett nytt direktiv skall tas fram – och i så fall hur det skall se ut för att följa EU-domstolens tidigare beslut. Om det alls är möjligt.

Frågan: Breyers frågor är högst relevanta att rikta till den av EU:s institutioner som är mest pådrivande för ett nytt datalagringsdirektiv. Hur ställer sig ministerrådet/rådet till frågan om svepande registrering av alla medborgares data- och telekommunikationer utan att det föreligger misstanke om brott? Hitintills har ministerrådet bara sagt att man vill ha datalagring, men inte svarat på några kritiska frågor.

Accepterar ministerrådet EU-domstolens underkännande av datalagringsdirektivet? Finns det något reellt samband mellan all den data som samlas in och allmän säkerhet? Står intrånget i individens privatliv i proportion till nyttan? Och kan man påvisa att länder med datalagring lyckas lösa fler brott än de utan?

Vi väntar med intresse på svar.

Debattartikel om datalagringen

»En sådan övervakning går emot principen att man ska anses vara oskyldig tills motsatsen är bevisad. Med datalagringsdirektivet måste man istället konstant öppna upp sitt liv för inspektion av ordningsmakten. Alla blir skyldiga att ständigt bevisa att man har rent mjöl i påsen. Missförstå mig inte, vi bör inte frånta polisen alla medel till övervakning. Vid stark brottsmisstanke finns det legitima skäl till övervakning av utvalda individer. Det är verktyg som polisen behöver, och som redan tillhandahålls av Svea Rikes Lag.

Vad vi inte bör ha är en oavbruten övervakning av praktiskt taget all tele- och internetkommunikation. Genom att framtvinga lagring av kommunikationer framtvingar datalagringsdirektivet dock just detta.«

Debattartikel i Sydsvenskan av Joakim Brorsson, doktorand inom IT-säkerhet vid Lunds Tekniska Högskola: Olämpligt att tvinga tele- och internetoperatörer att lagra data om alla svenskar. »

USA, Storbritannien och Australien vill ha tillgång till allt på Facebooks alla plattformar

EFF:

»Top law enforcement officials in the United States, United Kingdom, and Australia told Facebook today that they want backdoor access to all encrypted messages sent on all its platforms. In an open letter, these governments called on Mark Zuckerberg to stop Facebook’s plan to introduce end-to-end encryption on all of the company’s messaging products and instead promise that it will “enable law enforcement to obtain lawful access to content in a readable and usable format.”

This is a staggering attempt to undermine the security and privacy of communications tools used by billions of people. Facebook should not comply.«

Länk: The Open Letter from the Governments of US, UK, and Australia to Facebook is An All-Out Attack on Encryption »

Uppdatering, fler länkar:
• BBC: Facebook encryption threatens public safety, say ministers »
• Privacy International: PI response to confused governments’ confusing declaration of war and victory on encryption »
• ArsTechnica: US wants Facebook to backdoor WhatsApp and halt encryption plans »

Frankrike rullar ut ansiktsigenkänning

Landet som gav världen Minitel bygger nu sin egen Storebrorsstat.

France is poised to become the first European country to use facial recognition technology to give citizens a secure digital identity — whether they want it or not.

Saying it wants to make the state more efficient, President Emmanuel Macron’s government is pushing through plans to roll out an ID program, dubbed Alicem, in November, earlier than an initial Christmas target. The country’s data regulator says the program breaches the European rule of consent and a privacy group is challenging it in France’s highest administrative court. It took a hacker just over an hour to break into a “secure” government messaging app this year, raising concerns about the state’s security standards.

None of that is deterring the French interior ministry.

Bloomberg: France Set to Roll Out Nationwide Facial Recognition ID Program »

Tyska »statstrojaner« till författningsdomstolen

I Tyskland har Gesellschaft für Freiheitsrechte (GFF) anmält bruket av så kallade statstrojaner till författningsdomstolen.

Det handlar om program som myndigheterna kan låta installera på datorer, telefoner, plattor och andra enheter för att till exempel övervaka och avlyssna dess användare. Detta är relevant även för oss, då regeringen just nu förbereder en svensk variant – hemlig dataavläsning.

»As a form of government surveillance, state trojans present unique and grave threats to privacy and security. It has the potential to be far more intrusive than any other surveillance technique, permitting the government to remotely and surreptitiously access personal devices and all the intimate information they store. It also permits the government to conduct novel forms of real-time surveillance, by covertly turning on a device’s microphone, camera, or GPS-based locator technology, or by capturing continuous screenshots or seeing anything input into and output from the device. The use of trojans allows governments to manipulate data on devices, by deleting, corrupting or planting data; recovering data that has been deleted; or adding or editing code to alter or add capabilities, all while erasing any trace of the intrusion. These targets are not confined to devices. They can extend also to communications networks and their underlying infrastructure.

At the same time, the use of state trojans has the potential to undermine the security of targeted devices, networks or infrastructure, and potentially even the internet as a whole. Computer systems are complex and, almost with certainty, contain vulnerabilities that third parties can exploit to compromise their security. Government use of state trojans often depends on exploiting vulnerabilities in systems to facilitate a surveillance objective. Government hacking may also involve manipulating people to interfere with their own systems. These latter techniques prey on user trust, the loss of which can undermine the security of systems and the internet.«

Statewatch: GFF Challenge to use of government spyware (Germany) »

EU-domstolen: Cookies måste vara ett aktivt val

EU-domstolen meddelar i ett pressmeddelande:

»In today’s judgment, the Court decides that the consent which a website user must give to the storage of and access to cookies on his or her equipment is not validly constituted by way of a prechecked checkbox which that user must deselect to refuse his or her consent.«

Att acceptera cookies måste alltså vara ett aktivt val mellan ja och nej. Det kommer med andra ord knappast att gå att bara låta användarna bekräfta genom att klicka OK i framtiden.

Domstolen säger vidare:

»Furthermore, according to the Court, the information that the service provider must give to a user includes the duration of the operation of cookies and whether or not third parties may have access to those cookies.«

För övrigt kan man notera att domstolens egen hemsida inte lever upp till de aktuella kraven.

Länkar:
• EU-domstolens pressmeddelande (PDF) »
• TechCrunch: Europe’s top court says active consent is needed for tracking cookies »

Går datalagringen att stoppa?

I morgon, den 1 oktober, börjar den nya lagen om datalagring att gälla. Då kommer tele- och nätoperatörerna åter att tvingas lagra data om alla svenskars tele- och nätkommunikationer – för att kunna lämnas ut när myndigheterna så kräver. Detta trots att EU-domstolen sagt att man inte urskiljningslöst får lagra sådan data och inte utan att det finns en konkret misstanke om brott.

Den allmänna opinionen tycks dock vara positiv till mer övervakning – i spåren av grov brottslighet, terrorhot och något slags allmän oro. Frågor som rör individens rätt till privatliv och rättigheter tycks helt ha hamnat i skuggan.

Vad operatörerna kan göra är det man borde gjort från början. Och det som politikerna själva påstod skulle gälla, när direktivet och lagen diskuterades första gången. Nämligen att endast lämna uppgifter från datalagringen vid utredning av allvarliga brott. Till exempel vad gäller misstanke om brott som kan ge minst två års fängelse.

Integritetskränkningen i att registrera alla medborgares telekommunikationer är omfattande. EU-domstolen säger dessutom att svepande datalagring strider mot de mänskliga rättigheterna. Därför bör utlämning av denna data endast få ske när det verkligen är viktigt. Inte för att jaga fildelare. Inte för att låta Skatteverket snoka i folks privatliv.

Om operatörerna vägrar att lämna ut uppgifter från datalagringen vad gäller utredning av misstänkta brott med ett straffvärde på mindre än två års fängelse – då kan de hänvisa till allt från EU-domstolen till datalagringsdirektivets förarbeten och vad politikerna lovade när datalagringen infördes första gången.

Om staten är smart (well…) – då låter den sig nöja med det. För om den försöker tvinga operatörerna att fortsätta lämna ut uppgifter som rör bagatellartade brott, då måste det bli en domstolsfråga. Då kommer den förr eller senare att hamna i EU-domstolen igen. Och vi vet ju redan vad den domstolen tycker. Då får Sverige smisk på fingrarna. Igen. Och då blir det ingen datalagring alls.

Datalagringen är i grunden en kränkning av de mänskliga rättigheterna och individens rätt till privatliv. Den måste behandlas med den respekt och ödmjukhet detta kräver. Om vi alls skall ha lagring av data om alla medborgares telekommunikationer – då måste dess användning vara strikt förbehållen utredning av allvarliga brott. Annars skall vi inte ha den över huvud taget.