Femte juli

Nätet till folket!

Privatliv

Rätten till privatliv är en grundläggande mänsklig rättighet, vilket bland annat slås fast i Europakonventionen för de mänskliga rättigheterna samt i EU:s stadga. Här publicerar vi nyheter om hur myndigheter, företag och andra aktörer vill skaffa sig tillgång till vår privata information.

Europol får utökade befogenheter – och större tillgång till persondata

av

Det europeiska polissamarbetet Europol (som numera är en EU-myndighet) skall få ett nytt regelverk.

Som vi tidigare rapporterat innebär detta bland annat ökade resurser för att knäcka kryptering och automatiserad tillgång till persondata från privata företag. Utanför den officiella debatten har Europol även på egen hand utökat sitt mandat till att också omfatta bekämpning av desinformation.

Här är ytterligare några förändringar:

  • Europol får starta egna utredningar, utan att någon medlemsstat är inblandad.
  • Europol får även utreda icke-gränsöverskridande brottslighet, på eget initiativ, i en enskild medlemsstat.
  • Närmare samarbete skall etableras med den europeiska åklagarmyndigheten (EuPPO) och EU:s myndighet för att bekämpa fusk och korruption (OLAF).
  • Närmare samarbete skall kunna etableras med tredje land (ej EU-länder), inte minst i förbyggande syfte.
  • Närmare samarbete skall kunna etableras med olika underrättelsetjänster.
  • Europol får möjlighet att samköra och korsreferera olika register, vilket lett till kritik från EU:s dataskyddsombudsman.
  • Europol skall använda sig av AI och får omfattande tillgång till persondata för att utvärdera, träna, testa och validera dess algoritmer.
  • Europol skall också få rätt att på eget initiativ flagga människor i Schengen Information System (gräns- och personkontroll).

Det hela beräknas kosta 178 miljoner euro och kommer att behandlas av Europaparlamentet under hösten. Sedan kommer EU – de facto – att ha en federal polis.

Länkar:
• Proposals for new Europol Regulation »
•  EU-kommissionens förslag (75 sidor, PDF) »

Digitalt EU-ID och elektroniskt journalsystem på EU-kommissionens önskelista

av

EU-kommissionen har presenterat sina digitala mål för år 2030. Ett par exempel:

Man vill skapa ett digitalt EU-ID, som man hoppas att minst 80% av medborgarna kommer att använda. Det skall ses mot bakgrund av att man i EU i 10-15 års tid har diskuterat ID-krav för att över huvud taget kunna koppla upp sig mot eller verka på nätet. Detta är viktigt att hålla ögonen på.

»By 2030, the EU framework should have led to wide deployment of a trusted, user-controlled identity, allowing each citizen to control their own online interactions and presence. Users can make a full use of online services easily and throughout the EU while preserving their privacy.«

Man vill ha 100% täckning vad gäller lagring av medborgarnas medicinska journaler. Språket är något svävande, men vi vet sedan tidigare att det är ett centraliserat, EU-gemensamt journalsystem som är målet. Vilket säkert kommer att väcka en hel del debatt.

»The ability for European citizens to access, and control access to, their electronic health records (EHR) across the EU should be greatly improved by 2030 based on common technical specifications for health data sharing, interoperability, developing the secure infrastructure, as well as taking actions to facilitate the public acceptability of sharing health information with the medical community.«

Dokumentet säger många vackra saker om hur EU:s digitala industri är viktig och måste utvecklas. Vilket inte riktigt rimmar med hur man driver bort startups och riskkapital från EU genom att överreglera internet.

På önskelistan finns även gigabit för alla; »Cutting edge Semiconductors«; ett klimatneutralt EU-moln med 10.000 noder; kvantdatorer; miljövänlig IT-verksamhet med bättre balans mellan könen – samt att man vill upprätta en »inter-institutionell deklaration om digitala principer« innan årets slut. Och mycket annat.

• EU-kommissionens inforgraphics »
• 2030 Digital Compass: the European way for the Digital Decade (PDF) »

EU: En soppa av motstridiga förslag och beslut om övervakning

av

En ögonblicksbild från EU:s beslutsapparat:

  • 2020 fattade man beslut om en European Electronic Communications Code (EECD) – som gav användarna starkt skydd för elektronisk korrespondens.
  • Nu vill man fatta ett beslut om »chat control« – det vill säga att alla meddelandetjänster förväntas avkryptera alla sina användares alla meddelanden for att undersöka om de innehåller något som kan kopplas till övergrepp mot barn. Detta som en »tillfällig« lag, på grund av att EECC ovan inte tillåter plattformarna att snoka i sina användares meddelanden.
  • Gällande ePrivacy-förordning förbjuder samtidigt generell övervakning av vad folk har för sig på internet. Denna regel föreslås tas upp och fortsätta gälla inom ramen för den föreslagna Digital Services Act (DSA).
  • En ny ePrivacy-förordning är på gång. Dess syfte var att skydda användarna från plattformarnas insamling av användarnas persondata. Nu vill ministerrådet mjuka upp den för att ge plattformarna tillgång till användarnas metadata, utan att samtycke krävs.
  • Samtidigt ställer både EU:s upphovsrättsdirektiv och förordningen om terror-relaterat innehåll online krav som i praktiken kommer att kräva uppladdningsfilter. Vilket kommer att kräva att allt innehåll som alla laddar upp måste granskas.
  • Redan 2014 beslutade EU-domstolen att upphäva datalagringsdirektivet – eftersom det inte är tillåtet med svepande övervakning av alla, utan misstanke om brott.

Detta är en soppa av motstridiga förslag och beslut.

Gissningsvis är upplägget så här: The European Electronic Communications Code gick längre vad gäller att skydda nätanvändarnas rätt till privatliv än myndigheterna hade tänkt sig. Med förslaget om »chat control« vill man nu införa en tillfällig lag för att kunna fortsätta den övervakning av innehållet i användarnas kommunikationer som bl.a. Facebook och Google redan ägnar sig åt. I ett tredje steg vill man att den nya ePrivacy-förordningen skall permanenta detta undantag. Så att man kan fortsätta övervaka folk.

Det ändrar dock inte det faktum att the Digital Services Act ser ut att innehålla ett fortsatt förbud mot generell övervakning. Det ändrar inte heller det faktum att EU-domstolen har förbjudit svepande övervakning av alla utan misstanke om brott.

Det är också värt att notera att EU med ena handen vill skydda användarnas data och metadata från Facebook och Google – samtidigt som man kräver att Facebook, Google & Co skall öppna och granska innehållet i sina användares privata meddelanden. Motsvarande resonemang gäller uppladdningsfilter i dess olika reinkarnationer.

Hur man tänkt få ihop allt detta är högst oklart. Lägg därtill att EU-kommissionen flaggat för ett nytt datalagringsdirektiv – och oredan blir ännu värre.

Här är en del aktuella länkar, för den som vill försöka förstå:
• PP: ePrivacy-förordningen närmar sig trilogförhandlingar »
• MEP Patrick Breyer (PP, DE): Attack on digital privacy – Council position on ePivacy does not deserve its name! »
• Netzpolitik: EU-Staaten verwässern digitales Briefgeheimnis »
• Lukasz Olejnik: Analysing the Council of the EU ePrivacy Regulation – is it obsolete? »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »
• Aktuella EU-planer som kan inskränka friheten online »

Regeringen utreder hur man skall kunna kringgå posthemligheten

av

När myndigheter vill snoka i folks privata elektroniska meddelanden brukar det påpekas att det är lika fel som om staten skulle ta sig rätt att läsa medborgarnas fysiska brev. Nu utreder regeringen hur myndigheterna skall kunna få rätt att kontrollera innehållet i vanlig post.

Till att börja med kan konstateras att rätten till privatliv och rätten till privat korrespondens listas i Europakonventionen om de mänskliga rättigheterna och flera andra fördrag som Sverige anslutit sig till.

I det aktuella fallet finns en direkt internet-koppling, då myndigheterna vill ha koll på om folk beställer olagliga saker online, som sedan levereras med posten.

Flamman skriver:

»Regeringens utredare ska utvärdera om en lagändring kan tvinga personal på postföretag att (…) öppna viss post, och hur tystnadsplikten för sådan personal i så fall ska utformas. Utredaren ska sedan presentera ett förslag som är förenligt med ”grundläggande fri- och rättigheter i regeringsformen och Sveriges internationella åtaganden om mänskliga rättigheter.”«

Det skall bli intressant att se hur förslaget kommer att se ut om det skall tillåta att man öppnar och snokar i folks post samtidigt som det förväntas respektera rätten till privat korrespondens. Vi lär snart få veta. Utredningens förslag skall presenteras redan i april.

Om man ger myndigheterna rätt att öppna och kontrollera fysisk post blir det även svårare att argumentera för att de skall hålla fingrarna borta från elektronisk kommunikation.

Vi vet dessutom av erfarenhet att övervakningslagar alltid tenderar att drabbas av ändamålsglidning och utökas med tiden. Så om man vill försvara rätten till privat korrespondens – oavsett om det handlar om fysisk eller elektronisk post – då måste den striden tas här och nu.

Flamman skiver vidare:

»Stefan Lundberg, chefsåklagare och strategisk samordnare för brottsförebyggande arbete på Ekobrottsmyndigheten – sannolikt en av remissinstanserna – har redan gått ut med en kommentar. I ett Twitterinlägg länkar han till ett nyhetsinslag om Polisens frustration över postsekretessen. Lundberg skriver att det handlar om ”sekretesshinder som bara gynnar kriminella” och att regeringen borde ”gasa med utredningen”.«

Så det råder knappast några tveksamheter om vad myndigheterna vill.

Länk: Chefsåklagare på Ekobrottsmyndigheten om postsekretessen: ”Gagnar bara kriminella” »

 

Ny datalagring i EU – med speciellt intresse för IP-adresser

av

Vi vet redan att EU-kommissionen och EU:s ministerråd vill se ett nytt datalagringsdirektiv.

Det förra datalagringsdirektivet upphävdes av EU-domstolen på grund av att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat kommunikation.

Enkelt uttryckt menar domstolen att man inte urskiljningslöst får lagra all data om alla medborgares alla tele- och datakommunikationer. Det måste finnas ett konkret syfte, misstänkta och en tidsram.

Nu har det dykt upp ett internt arbetspapper från ministerrådets portugisiska ordförandeskap. I detta vill man diskutera med de andra medlemsstaterna hur man skall tacka frågan. (PDF »)

Speciellt vill man diskutera IP-adresser:

1. Do Member States interpret the possibility of retention of source IPs addresses, established in the recent case law of the Court, as including both static and dynamic IPs? Would or should this include source-port numbers? What are the views on only retaining source but not destination IP addresses?

2. Do Member States consider it to be in line with the jurisprudence of the ECJ that Internet Protocol addresses, strictly needed to identify a subscriber, should include first login IP, last login IP or the login IP used at a specific moment in time? Should this be considered as ’subscriber’ or ’traffic’ data if the IP address is used solely to identify a person?

Det skall bli intressant att se vad som kommer ut av detta. Hur som helst är det klart att processen för att ta fram ett nytt datalagringsdirektiv har börjat.

Vi kan möjligen räkna med ett förslag till nytt direktiv redan i år. Fast det kommer att kräva mycket trixande för att komma runt EU-domstolens ställningstagande – som ju i princip underkänner hela konceptet med datalagring.

EU-domstolen: Data om mobilpositioner får endast användas för att bekämpa allvarlig brottslighet

av

EU-domstolen har idag meddelat dom i ett fall som gäller myndigheternas användning av data om mobilpositioner. I sitt pressmeddelande (PDF) skriver domstolen:

Att i brottsutredande syfte ge tillgång till en mängd trafik- och lokaliseringsuppgifter från elektronisk kommunikation, vilka gör det möjligt att dra specifika slutsatser om de berörda personernas privatliv, är tillåtet endast för att bekämpa grov brottslighet eller förebygga allvarliga hot mot allmän säkerhet.

Till att börja med betyder detta att data om mobilpositioner inte får användas för att utreda mindre brott. Intrånget i medborgarnas rätt till privatliv anses inte stå i proportion till vad man kan vinna i dessa fall.

I Sverige har datalagringen (som omfattar trafikdata om allas alla tele- och datakommunikationer) bland annat använts för att jaga fildelare och för att låta Skatteverket undersöka människors privatliv. Med denna dom bör det rimligen vara slut med det, då brott / misstanke inte kan anses vara tillräckligt allvarliga för att motivera integritetskränkningen.

Frågan kan även kopplas till den allmänna datalagring som bedrivs av många EU-länder – trots att EU-domstolen upphävt datalagringsdirektivet, då den anser att urskiljningslös lagring av data om alla medborgares alla telekommunikationer strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Som domstolen vid flera tillfällen påpekat får datalagring endast användas för att utreda allvarlig brottslighet och måste då fokuseras på de personer som kan anses vara misstänkta för något brottsligt.

Detta bör rimligen påverka EU-kommissionens arbete med ett nytt datalagringsdirektiv, som aviserats av EU-kommissionär Ylva Johansson.

Domstolen meddelar även följande:

Unionsrätten utgör dessutom hinder mot nationell lagstiftning som ger åklagarmyndigheten behörighet att bevilja offentliga myndigheter tillgång till dylika uppgifter inom ramen för en brottsutredning.

Man anser med andra ord att åklagare inte är en oberoende myndighet som kan fatta objektiva beslut, då man som regel är part i målet. Istället skall beslut om tillgång till mobil- och positionsdata fattas av t.ex. en domstol.

Länk: Pressmeddelande (PDF) »

Aktuella EU-planer som kan inskränka friheten online

av

Det är mycket nu. Här är en listning av några saker som är på gång i EU när det gäller internets frihet, yttrandefrihet och övervakning:

Chat control

EU vill att alla användares alla meddelanden skall avkrypteras och grankas i jakt på olagligt innehåll. Förmodligen omröstning i Europaparlamentets plenum i april. Länk »

TERREG / TCO

EU vill införa censur för åsikter. Visserligen handlar det om terroristpropaganda, men det kan lätt utökas till andra områden. Förordningen kräver nedtagning av flaggat material inom en timma, ger medlemsstaternas myndigheter rätt att beordra nedtagning av material på servrar i andra länder – och återuppladdning av flaggat material får inte ske, vilket i praktiken kommer att kräva uppladdningsfilter. Länk »

Uppladdningsfilter (copyright)

EU:s redan beslutade upphovsrättsdirektiv håller nätplattformarna ansvariga om upphovsrättsskyddat material publiceras. I praktiken innebär detta automatiserade uppladdningsfilter som granskar allt som alla laddar upp – och som inte förstår i vilken kontext sådant material publiceras. Detta skall vara införlivat i svensk lagstiftning senast i sommar.

Länkskatt (copyright)

I EU:s upphovsrättsdirektiv ingår även idén om länkskatt – det vill säga att närplattformarna tvingas betala traditionell media för att länka till dess siter. Även detta skall vara svensk lag senast i sommar.

Trusted Flaggers (DSA)

I EU:s föreslagna Digital Services Act föreslås bland annat att organisationer som »företräder kollektiva intressen« skall upphöjas till statligt godkända nätgranskare, vars anmälningar till nätplattformarna skall prioriteras. En del säkerhetsspärrar finns, men detta kommer att bli kontroversiellt. Länk »

Nytt datalagringsdirektiv

EU-kommissionen o0ch ministerrådet vill gå fram med ett nytt datalagringsdirektiv – efter att EU-domstolen ogiltigförklarat det förra, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Vad det handlar om är lagring av data om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, nätuppkopplingar, mobilpositioner m.m.

Code of Conduct on countering illegal hate speech online

EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet. Detta är ett kontroversiellt ämne som säkert kommer att skapa debatt. Dock är det oklart om denna uppförandekod kommer att beslutas inom ramen för de demokratiska institutionerna – eller om den kommer att fastställas med partsintressen, bakom stängda dörrar till exempel i EU:s Internet Forum.

Övrigt

Det pågår även arbete vad gäller frågor som automatiserad ansiktsigenkänning och utökad registrering av resenärer (PNR). Därtill kommer naturligtivs frågan om ett digitalt corona-pass för resor och fri rörlighet i samhället. Detta är av intresse även om dessa frågor inte direkt berör friheten online.

Följ nät- och övervakningsfrågorna här på bloggen.

EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden

av

Med risk för att tjata: EU är på väg att införa kontroll, övervakning och analys av innehållet i alla alla nätanvändares alla meddelanden och all e-post. Detta omfattar även krypterad information, hur nu det är tänkt att gå till.

Så här sammanfattar ledamoten av Europaparlamentet Patrick Breyer (PP, DE) saken:

»The EU wants to have all private chats, messages, and emails automatically searched for suspicious content, generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance through fully automated real-time messaging and chat control and the end of secrecy of digital correspondence.«

Häromdagen var det nya trílog-förhandlingar mellan Europaparlamentet, ministerrådet och kommissionen. För första gången under dessa samtal fördes frågan om medborgarnas grundläggande fri- och rättigheter (som rätten till privatliv och privat korrespondens) upp på dagordningen. Detta tycks dock inte ha haft någon större inverkan på sakfrågan. Se Patrick Breyer kommentera saken i ett videoklipp på Twitter.

Samtidigt har Microsoft, Facebook, Google m.fl. skrivit brev till Europaparlamentets ledamöter – där de argumenterar för färre begränsningar vad gäller denna övervakning av användarnas korrespondens.

En fråga i sammanhanget är hur EU-apparaten kan oroas över sociala medias insamling av användares persondata – och samtidigt vilja ge dessa företag tillgång till innehållet i alla användares alla meddelanden.

En annan fråga som hänger i luften är hur detta förslag förhåller sig till EU:s förbud mot generell övervakning.

Läs mer hos Patrick Breyer. Notera speciellt de risker med förslaget som han listar mot slutet av sin text.

Länkar:
• MEP Patrick Breyer (PP, DE) – video-uppdatering på Twitter »
• Patrick Breyers bloggpost om chat control »
• Big Datas brev till Europaparlamentets ledamöter »
• PP: Svenska EU-parlamentariker hetsar om ny övervakningslag »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »

IMF vill koppla din onlinehistorik till din kreditvärdighet

av

Ett antal medarbetare på Internationella Valutafonden (IMF) föreslår i en rapport att människors sökhistorik skall kopplas till deras kreditvärdighet.

Författarna menar att sådant som sökhistorik och nätinköp kan ge en bättre bild av enskilda individers kreditvärdighet, speciellt när kreditinstituten har dålig tillgång till hård data. De skriver:

»The most transformative information innovation is the increase in use of new types of data coming from the digital footprint of customers’ various online activities—mainly for credit-worthiness analysis.«

Till att börja med känns det som om detta ligger farligt nära det kinesiska systemet med »social scoring«.

Vidare kan människors digitala spår avslöja mycket privat information (politiska sympatier, sexuella preferenser, religion m.m.) som ingen annan har med att göra. Sådan information kan dessutom orsaka skada om den läcker (eller säljs) till andra aktörer.

Detta kan även utgöra ett hot mot informationens frihet och meningsfriheten, då människor kan komma att undvika känsliga och kontroversiella sökbegrepp i syfte att upprätthålla en god kreditvärdighet.

Samt att man i princip upphäver människors rätt til anonymitet på nätet.

Vad kan väl möjligen gå fel? Detta är ett förslag som bör gå rakt ner i papperskorgen.

Länkar:
• IMF Calls for Credit Score to be Tied to Internet Search History »
• What is Really New in Fintech »

EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post

av

Alla dina meddelanden och all din e-post kommer att granskas och analyseras. Är dessa meddelanden krypterade är det plattformens problem att avkryptera dem. Detta är konsekvensen av ny lagstiftning som just nu är på väg i EU.

Bakgrunden är ovanligt rörig, till och med för att vara EU. Enkelt uttryckt införde man i slutet av förra året en European Electronic Communications Code. Den gav användarna ett mycket starkt skydd för elektronisk korrespondens. Så starkt att man inte längre skulle kunna ägna sig åt regelmässig övervakning. Och så vill man ju inte ha det, kom man på efteråt.

Därför har man nu förhandlat fram ett undantag från den nya lagen – i väntan på ännu nyare regler, som inte går lika långt som EECC. Detta motiverar man med att man vill skydda barn mot sexuella övergrepp online. Det kunde lika gärna ha varit terrorism, penningtvätt, droghandel, organiserad brottslighet eller något annat. Men om man gömmer sig bakom barnporr och övergrepp mot barn – då är det få som vill eller vågar protestera.

Enkelt uttryckt kommer alla nätets meddelandetjänster att omfattas. Automatisk analys av alla meddelanden kommer att ske, i jakt på något intressant.

Den piratpartistiske, tyske ledamoten av Europaparlamentet Patrick Breyer skriver:

»In 2020 the European Commission proposed “temporary” legislation aimed at allowing the search of all private chats, messages, and emails for illegal depictions of minors and attempted initiation of contacts with minors. This is to allow the providers of Facebook Messenger, Gmail, et al, to scan every message for suspicious text and images. This takes place in a fully automated process and using error-prone “artificial intelligence”. If an algorithm considers a message suspicious, its content and meta-data are disclosed automatically and without human verification to a private US-based organization and from there to national police authorities worldwide. The reported users are not notified.«

Siffror från polisen i Schweiz pekar på att 90% av alla automatiserade flaggningar är falska. Och med tanke på det stora antalet ärenden är frågan hur många falska positiva som ändå kommer att slinka igenom – och rapporteras till polis. Vilket naturligtvis kan leda till allvarliga problem för den enskilde. Den som är oskyldig har mest att frukta.

»On your next trip overseas, you can expect big problems. Machine-generated reports on your communications may have been passed on to other countries, such as the USA, where there is no data privacy – with incalculable results.«

Hur detta är tänkt att fungera mot det generella förbudet mot övervakning i gällande och föreslagna EU-direktiv är oklart.

En annan öppen fråga är hur man tänkt hantera P2P-krypterad e-post där operatören inte har någon möjlighet att avkryptera meddelanden.

Europaparlamentet väntas rösta om saken under sin session i mars.

Länk: Messaging and chat control »