Femte juli

Nätet till folket!

Privatliv

Rätten till privatliv är en grundläggande mänsklig rättighet, vilket bland annat slås fast i Europakonventionen för de mänskliga rättigheterna samt i EU:s stadga. Här publicerar vi nyheter om hur myndigheter, företag och andra aktörer vill skaffa sig tillgång till vår privata information.

EU gör ny satsning för att komma åt krypterad kommunikation

av

EU:s portugisiska ordförandeskap föreslår att EU skall ta ett samlat grepp för att kunna kringgå krypterad kommunikation. I detta vill man inte bara komma åt vad som kan tänkas döljas på olika meddelande- och kommunikationsplattformar – utan även hårdvara. Tillverkare som inte följer nya riktlinjer kan förbjudas att sälja sina produkter i EU.

Förslaget om #ChatControl – det vill säga avkryptering och analys av e-post och elektroniska meddelanden – har inte ens hunnit klubbas i Europaparlamentet innan ändamålsglidningen börjar. Även om de aktuella policy-dokumenten inte pekar ut något särskilt område, så talar man om behovet av att kunna avkryptera meddelanden för att bekämpa till exempel terrorism, organiserad brottslighet, droghandel och penningtvätt.

Tidigare har EU-linjen varit att kampen mot kryptering är en nationell fråga. Men det håller på att ändras.

Initiativet till att göra kampen mot kryptering till en EU-fråga fördes fram under det förra tyska ordförandeskapet och drivs nu av det portugisiska dito. Man räknar med att kunna nå resultat under det kommande slovenska ordförandeskapet. (Och då Slovenien är ett litet land med små resurser kan man räkna med att dess ordförandeskap till stor del kommer att fjärrstyras av EU-kommissionen.)

Detta kan komma att sammanfalla väl i tiden med att EU-kommissionen lägger fram sitt förslag till en permanent fortsättning för den nu aktuella, tillfälliga lagstiftningen om #ChatControl.

Läs mer:
• EU Council and Commission: New roadmap for access to encryption »
• EU: Undermining encryption: Council Presidency sets out ”next steps” »

Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden

av

Förra året trädde the European Electronic Communications Code (EECC) i kraft. Dess syfte var att garantera internetanvändares rätt till privatliv, vilket den också gjorde. I kombination med eHandels-direktivets förbud mot allmän, svepande övervakning gav den användarna det skydd som vi rimligen har rätt att kräva – om man tillämpar Europakonventionen om de mänskliga rättigheterna och vad denna har att säga om rätten till privatliv på våra liv online.

Vad man inte tänkte på var att Google, Yahoo, Facebook med flera redan av-krypterar och skannar innehållet i e-post och meddelanden. Detta i jakt på barnporr och för att förhindra sexuella övergrepp på barn. Flaggade meddelanden granskas av den amerikanska privata organisationen National Center for Missing & Exploited Children (NCMEC) och lämnas i förkommande fall vidare till polisen.

Detta skulle inte längre vara möjligt med det starka skydd för användarnas privatliv som EECC stadgar.

Från NCMEC:s sida startades därför en kampanj – uppbackad av kändisar från film- och nöjesvärlden – där man på ett högljutt sätt som i princip omöjliggjorde saklig diskussion krävde en återgång till den tidigare ordningen, där e-post och meddelanden avkrypteras och översänds till NCMEC.

Det är detta som nu är uppe i EU. Man gör ett undantag från EECC och eHandels-direktivet för att av-kryptering och granskning av meddelanden skall kunna fortsätta.

Beslutet är tvådelat. Dels handlar det om att man inför ett undantag i gällande lagstiftning, för att övervakningen skall kunna fortsätta. Dels handlar det om ett beslut om att göra denna övervakning möjlig även på sikt.

Det första beslutet gör det tillåtet för företag som tillhandahåller e-post och meddelandetjänster att av-kryptera och granska användarnas kommunikationer. Det andra beslutet gör det obligatoriskt.

Det första beslutet (undantaget) väntas i Europaparlamentets plenum i juni eller augusti. (Trilogförhandlingarna avslutades i slutet av förra månaden.) Och efter sommaren väntas EU-kommissionen lägga fram förslag till steg två, som alltså är tänkt att göra av-kryptering och granskning obligatorisk.

Vad är då problemet?

Till att böja med öppnar av-kryptering och innehållsgranskning för att denna verksamhet även kan komma att bedrivas i andra syften. I händerna på en auktoritär, korrumperad eller inkompetent regim är detta ett kraftfullt och farligt verktyg.

Vidare har studier i Schweiz visat att nio av tio flaggningar av den typ NCMEC vill ha är felaktiga. Detta kommer att få våldsamma konsekvenser för helt oskyldiga människor.

Den piratpartistiske ledamoten av Europaparlamentet, Patrick Breyer (DE) kommenterar:

»This unprecedented deal means all of our private e-mails and messages will be subjected to privatised real-time mass surveillance using error-prone incrimination machines inflicting devastating collateral damage on users, children and victims alike. Countless innocent citizens will come under false suspicion of having committed a crime, under-agers will see self-generated nudes (sexting) fall in wrong hands, abuse victims will loose safe channels for counselling. This agreement sets a terrible precedent and is a result of a campaign of disinformation and moral blackmailing. Unleashing such denunciation machines is ineffective, illegal and irresponsible. It’s using totalitarian methods in a democracy.«

Fler avvikande röster, ur en tidigare bloggpost:

»Europeiska datatillsynsmyndigheten (EDPS) anser att lagförslaget varken är nödvändigt eller proportionerligt. Det saknar laglig grund, tydliga regler och tillräckliga skyddsåtgärder.

EU-parlamentets utredningstjänst (EPRS) anser att en sådan här lag endast bör inriktas mot personer som är misstänkta för att ägna sig åt något brottsligt. Man pekar även på att förslaget strider mot dataskyddsförordningen, GDPR.

UNICEF menar att förbättrad integritet och dataskydd för barn är bättre än automatisk övervakning av deras kommunikation.«

Men nu är det hela i princip redan packat och klart. Nu gäller det att vara uppmärksam på om de nya reglerna missbrukas eller drabbas av ändamålsglidning.

Länkar:
• PP: Trilogkompromiss nådd om massövervakning av privat kommunikation »
• MEP Patrick Breyer (PP, DE): EU-deal on ChatControl – Indiscriminate analysis of all private communications contents becomes law »
• MEP Patrick Breyer (PP, DE): Dokument- och resurs-bank chatControl »
• MEP Patrick Breyer (PP, DE): Poll – 72% of citizens oppose EU plans to search all private messages for allegedly illegal material and report to the police »
Babak Karimi: ”Jag misshandlades av maskerad polis i mitt eget sovrum” »

Våra tidigare poster om ChatControl, med länkar och resurser: 
• EU: Nu skall alla dina elektroniska meddelanden granskas »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »
• EU: En soppa av motstridiga förslag och beslut om övervakning »
• EU hotar rätten till privat korrespondens online »
• Chatcontrol får grönt ljus – alla meddelanden kan kontrolleras »

17 områden där EU vill bygga ut övervakning, kontroll och censur

av

Massor av internet-och IT-relaterad lagstiftning har redan klubbats eller är på väg genom EU-apparaten. Det är så mycket att det blir svårt att få en överblick. Låt oss därför ge en ögonblicksbild av vad som är att vänta under den innevarande europeiska mandatperioden (2019-24).

Artificiell Intelligens: EU uppmanar visserligen till försiktighet vad gäller användning av AI för övervakning – men öppnar samtidigt för en lång rad undantag där AI ändå kan användas för övervakning från myndigheternas sida.

ChatControl: Meddelanden och e-post skall av-krypteras för att kontrollera om det förekommer sexuellt utnyttjande av minderåriga. Detta kan lätt utökas till andra syften.

Code of Conduct on countering illegal hate speech online: EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet.

Corona-pass: EU vill se en gemensam app för att möjliggöra en återgång till normalt liv för vaccinerade, testade och personer med antikroppar. Detta öppnar även nya möjligheter för övervakning.

Datalagring: Ett nytt datalagringsdirektiv är på väg. Tanken är att lagra data om alla medborgares alla tele- och datakommunikationer för att kunna kontrollera vem som har kontakt med vem, var folk befunnit sig och när de har varit uppkopplade. Frankrike vill ändra EU:s fördrag och stadgan om de mänskliga rättigheterna för att EU-domstolen inte skall kunna stoppa direktivet.

eBevis: Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare samt kommunikationsdata och lagrad information från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst.

EU-ID: Ett elektroniskt EU-ID finns på EU-kommissionens önskelista. Vilket i princip kommer att göra det omöjligt att vara anonym på nätet.

European Democracy Action Plan: Syftet är bland annat att bekämpa hat och desinformation online. Vilket alltid brukar landa i kontroversiella frågor om var gränsen går och vem som skall bestämma vad som är rätt och sant.

Europol: Den europeiska polismyndigheten arbetar intensivt för att knäcka krypterade kommunikationer. Man har flaggat för att man vill ha direkt tillgång till information hos privata aktörer (som till exempel internetoperatörer). Europol håller även på att utöka sitt mandat till att bekämpa desinformation.

Interconnected bank account registers: Den hårt kritiserade och misskötta överföringen av europeisk bankdata för analys hos amerikanska säkerhetsmyndigheter är tänkt att ersättas av ett centralt EU-register – för att lagra och analysera data om alla finansiella transaktioner inom det europeiska banksystemet.

Länkskatt: EU:s nya upphovsrättdirektiv kommer att leda till att det blir enklast för sociala media att sluta avtal med de stora mediehusen – på små, nya och alternativa medias bekostnad.

Patientjournaler: EU-kommissionen vill se ett heltäckande, centraliserat europeiskt system för medicinska journaler.

PNR: EU-kommissionen och ministerrådet vill utöka registreringen av våra resor (och om detaljer kring dessa). Detta gäller redan för flygresor, men man diskuterar att utöka registreringen till att även gälla hyrbilar, tågresor, båtresor och hotellövernattningar.

ROXANNE: Ett EU-finansierat projekt för röstigenkänning,

TERREG: Förordningen om terror-relaterat innehåll online innebär censur av åsikter online. Notera att det handlar om åsikter som inte nödvändigtvis är olagliga. Detta kan enkelt utvidgas till andra syften. TERREG kommer även att tvinga fram användning av uppladdningsfilter. Förordningen säger också att flaggat material skall plockas ner inom en timma (utan föregående rättslig prövning) och öppnar för att myndigheter i ett EU-land kan beordra nedtagning av innehåll på servrar i andra medlemsstater.

Trusted flaggers: EU:s nya Digital Services Act kommer att ge oss statligt godkända innehållsgranskare på nätet – vars anmälningar skall prioriteras av nätplattformarna.

Uppladdningsfilter: Allt som alla laddar upp kommer att inspekteras, analyseras och i förekommande fall censureras. Detta för att stoppa upphovsrättsskyddat material och terror-relaterad information. Dessa syften kan enkelt komma att utvidgas. Vissa EU-länder vill även se uppladdningsfilter som ett allmänt verktyg inom the Digital Services Act.

Detta är bara en del av allt som är på gång när det gäller internet, IT, övervakning och kontroll i EU. Nya förslag tillkommer hela tiden. Men vi tycker att det är viktigt att man inte bara gräver ner sig i enskilda förslag, utan även ser till den större bilden. Och sammantaget är det ingen tvekan om att EU är på väg att utvecklas till en kontroll- och övervakningsstat, som även begränsar det fria ordet online.

Signals Facebook-kritiska annonser stoppade på Instagram

av

 

Facebook kritiseras för en omfattande insamling av data om sina användare.

Vilket kommunikations-appen Signal ville göra en poäng av, med en annonskampanj. På Instagram. Som ägs av Facebook. Se några av annonserna ovan.

Facebook-koncernen sa nej och stoppade annonserna. Vilket möjligen kommer att göra dem än mer uppmärksammade. Att tysta kritik är som regel en dålig idé.

Signal: The Instagram ads Facebook won’t show you »

Chatcontrol får grönt ljus – alla meddelanden kan kontrolleras

av

I går hölls den avslutande trialog-förhandlingen om Chatcontrol I EU – som öppnar för operatörerna att avkryptera och kontrollera innehållet i alla meddelanden och all e-post i jakt på barnporr och grooming riktad mot underåriga.

Vilket i praktiken leder till att alla dina elektroniska kommunikationer kan komma att granskas och i förekommande fall översändas till en privat organisation i USA, för vidare överföring till polisen.

Även den som är oskyldig har allt att frukta, då denna analys kommer att göras av maskiner som varken begriper kontext eller skillnaden mellan oskyldiga semesterbilder och barnporr. Erfarenheter visar att 86% av alla sådana flaggningar är felaktiga. Så skriv inget som kan missuppfattas eller vantolkas av maskinerna och dess algoritmer.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»This unprecedented deal means all of our private e-mails and messages will be subjected to privatised real-time mass surveillance using error-prone incrimination machines inflicting devastating collateral damage on users, children and victims alike. Countless innocent citizens will come under false suspicion of having committed a crime, under-agers will see self-generated nudes (sexting) fall in wrong hands, abuse victims will loose safe channels for counselling. This agreement sets a terrible precedent and is a result of a campaign of disinformation and moral blackmailing. Unleashing such denunciation machines is ineffective, illegal and irresponsible. It’s using totalitarian methods in a democracy.«

Gårdagens uppgörelse gör det tillåtet för operatörer att göra denna granskning, trots EU-lagstiftningens förbud mot allmän övervakning. Och nu förbereder EU-kommissionen ett lagförslag som gör sådan granskning obligatorisk.

Sedan är frågan när syftet med detta verktyg kommer att drabbas av ändamålsglidning, snarare än om så kommer att ske.

Läs mer hos Patrick Breyer »

Frankrike vill inskränka de mänskliga rättigheterna för att kunna datalagra

av

Precis som Sverige har Frankrike problem med datalagringen, det vill säga lagring om data av alla medborgares alla tele- och datakommunikationer. 2014 upphävdes EU:s datalagringsdirektiv, då EU-domstolen kom fram till att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv.

Efter att EU-domstolen även underkänt den franska lagen om datalagring vill regeringen nu att landets högsta domstol skall strunta i EU-domstolens dom. Vilket är anmärkningsvärt för att komma från ett land som i andra sammanhang driver frågan om EU:s överstatlighet hårt.

Den franska regeringen vill även ändra EU:s fördrag och stadgan om de mänskliga rättigheterna – för att göra datalagring möjlig.

Man vill alltså inskränka de mänskliga rättigheterna för att kunna expandera övervakningsstaten. Vilket också är anmärkningsvärt, för att komma från ett land som i andra sammanhang anser sig vara de mänskliga rättigheternas vagga – även om landet haft ett något blandat förhållande till nämnda rättigheter.

En sådan inskränkning kommer i så fall inte bara att gälla Frankrike, utan hela EU. Det vill säga att den franska ivern att rulla ut övervakningsstaten även kommer att drabba dig och inskränka dina fri- och rättigheter. Och naturligtvis kommer en sådan inskränkning att få effekter på fler områden än bara det avsedda.

Tyvärr kan man räkna med att det franska förslaget kommer att få brett stöd i EU:s ministerråd, om det läggs fram som ett skarpt förslag. Dock är det bara EU-kommissionen (som förmodas vara fördragens väktare) som kan lägga fram ett sådant förslag. Och förhoppningsvis kommer i så fall Europaparlamentet att bjuda motstånd. Men de franska idéerna bör bemötas tidigt, redan nu, för att det inte skall behöva gå så långt.

Våra grundläggande rättigheter är individens yttersta skydd mot staten – och skall inte kompromissas bort, vattnas ur eller kringgås.

Läs mer: Frankrike föreslår att skriva om EU:s fördrag om medborgerliga rättigheter för att kunna bygga ut övervakningsstaten »

Uppladdningsfilter – det nya normala i EU:s nätpolitik

av

Först var det artikel 17 (f.d. 13) i EU:s upphovsrättsdirektiv som kommer att kräva uppladdningsfilter, även om man inte använder det ordet. Sedan kom förordningen om terror-relaterat innehåll online (TERREG) som röstas igenom i Europaparlamentet på torsdag – som också i praktiken kommer att kräva uppladdningsfilter, åter utan att använda själva ordet i texten. Och nu föreslår Spanien att EU:s nya Digital Services Act (DSA) skall innehålla uppladdningsfilter för att se till att innehåll som tidigare tagits ner förblir borta.

Ett övergripande problem med uppladdningsfilter är att allt som alla laddar upp måste inspekteras, granskas och i förekommande fall censureras. Dels är det både integritetskränkande och en form av automatiserad censur. Dels kommer lagstiftningens krav att medföra att startups och nya, små utmanare till de sociala mediejättarna kommer att få svårt att bedriva verksamhet – eftersom uppladdningsfilter är komplicerade och kostsamma. På så sätt stärks Facebooks, Twitters och Youtubes dominerande ställning, på mindre konkurrenters bekostnad.

Vidare är automatiserade uppladdningsfilter korkade. De kan inte bedöma kontext. De kan därför inte släppa igenom sådant som rimligen borde släppas igenom – som memes, satir, kritik och debatt. Vilket kommer att leda till att innehåll som inte borde censureras ändå kommer att stoppas.

Som Piratpartiet noterar i en bloggpost går uppladdningsfilter inte heller ihop med den EU-lagstiftning som förbjuder plattformarna att övervaka alla användares aktivitet. Detta bör gå att få prövat i EU-domstolen, dock inte innan sådan lagstiftning redan är på plats.

Det ser alltså ut som om uppladdningsfilter är på väg att bli det nya normala i EU:s nätlagstiftning. Något som vore intressant att undersöka är hur sådan lagstiftning går ihop med den svenska grundlagens förbud mot förhandscensur.

Länkar:
• Piratpartiet: Spanien föreslår att generella uppladdningsfilter ska ingå i Digital Services Act »
• Netzpolitik: Entfernung illegaler Inhalte entzweit EU-Länder »

Belgisk domstol upphäver datalagring

av

I slutet av förra veckan upphävde den belgiska författningsdomstolen landets lag om datalagring. Vilket är i linje med att EU-domstolen redan för sex år sedan upphävde EU:s datalagringsdirektiv. Motiveringen är den samma: Man får inte urskiljningslöst övervaka eller samla metadata om alla medborgares alla telekommunikationer utan misstanke om brott.

Enligt uppgift skall domen ha orsakat stor oreda inom den belgiska polisen. Men med tanke på vad som beslutats i EU-domstolen borde detta inte komma som någon överraskning för någon.

Nu tycks belgarna försöka det svenska tricket: Att skriva en ny lag för att kringgå EU-domstolens dom. Sverige har gjort detta ett par gånger. Första gången fick vi smäll på fingrarna av domstolen, igen. Och enda skälet till att vi ändå har en ännu nyare, ytterligare justerad svensk lag om datalagring är att den inte har prövats rättsligt. Om det skulle ske, då skulle den falla på samma sätt som den tidigare.

Påhejad av ministerrådet håller EU-kommissionen nu på att ta fram ett nytt datalagringsdirektiv. Hur man tänkt förena idén om lagring av all teledata med EU-domstolens tidigare domar är än så länge oklart.

Länk: Constitutional Court throws out data retention law »

Europaparlamentet fortsätter brottas med datalagringen

av

Idag har Europaparlamentets utskott för mänskliga rättigheter (LIBE) debatterat datalagringen.

Inte för att det finns något konkret förslag att ta ställning till. EU-kommissionen och ministerrådet har flaggat för att de vill ha ett nytt datalagringsdirektiv. Men man har ännu inga konkreta idéer om hur det skulle kunna se ut. Framförallt har man ingen klar uppfattning om hur datalagring skall kunna vara laglig – med tanke på att det förra direktivet upphävdes av EU-domstolen.

EU-domstolen har upprepade gånger slagit fast att urskiljningslös lagring av data om alla medborgares tele- och datakommunikationer inte får förekomma – och att övervakning måste begränsas till konkreta misstankar om brott.

Europaparlamentet står och stampar på samma plats som kommissionen och ministerrådet. De stora partigrupperna menar att datalagring behövs – men har ingen aning om hur detta kan ske utan att kollidera med EU-domstolens dom. Mindre partigrupper som liberalerna och de gröna/piraterna försöker påpeka detta, men utan att någon verkar bry sig.

Trots att Europaparlamentets egen utredningstjänst kommit fram till att det inte finns någon direkt koppling mellan datalagring och uppklarningsprocent för brott, upprepar många påståenden om det motsatta.

Under debatten framkom till och med åsikten att det vore diskriminerande (!) att bara lagra data när det finns en misstanke om brott.

Så vad händer nu? En välgrundad gissning är att man kommer att försöka få till en rapport (ej lagstiftning) där Europaparlamentet ger kommissionen och ministerrådet sin välsignelse vad gäller att fortsätta arbetet med ett nytt datalagringsdirektiv.

Men så länge man inte adresserar kärnfrågan – urskiljningslös datalagring av allt, utan brottsmisstanke – kommer man inte att komma någonstans. Då kommer EU-domstolen även att upphäva det nya direktivet och vi är tillbaka på ruta ett igen.

En sak att hålla ögonen på är att det finns tecken (bl.a. från Europol) om att myndigheterna kan vilja ha direktåtkomst till data som finns lagrad hos operatörerna, utan att behöva bry sig om att gå via respektive operatör. I Sverige har det redan gjorts sådana framstötar från polisens sida.

Detta kommer att bli en utdragen process, under vilken det är viktigt att hålla ögonen på bollen: Datalagring strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens – vilket har fastslagits av EU-domstolen.

Studie: Länder med datalagring löser färre brott

av

Trots EU-domstolens upprepade beslut om att datalagring (lagring av data om alla medborgares alla telefonsamtal, meddelanden, nätuppkopplingar, mobilpositioner m.m.) inte får ske urskiljningslöst och inte utan misstanke om brott – så envisas EU:s medlemsstater med att vilja ha ett nytt datalagringsdirektiv.

Senast för en månad sedan upprepade unionens justitie- och inrikesministrar detta krav.

Men fungerar datalagringen över huvud taget? En studie från Europaparlamentets utredningsservice visar att:

  • Trots att länder som Österrike, Nederländerna och Tyskland inte har allmän datalagring (efter att EU-domstolen upphävt datalagringsdirektivet) har uppklarningsprocenten av brott ökat i dessa länder.
  • I Italien, Spanien och Sverige – som trotsar EU-domstolen och fortsätter med datalagring – har uppklarningsprocenten minskat.

Det verkar alltså inte finnas något belägg för att datalagring är den patentlösning mot brottslighet som polis och åklagare vill göra gällande. Snarare gäller det omvända.

(I Sverige är uppklarningsprocenten i grova drag hälften jämfört med Nederländerna, en tredjedel jämfört med Österrike och en fjärdedel jämfört med Tyskland.)