Femte juli

Nätet till folket!

Rättssäkerhet

Rätten till en opartisk och rättvis rättslig prövning samt principen om att människor skall betraktas som oskyldiga till dess motsatsen bevisats är centrala principer för en demokratisk rättsstat. Ändå urholkas dessa ständigt, i namn av än det ena, än det andra. I nätsammanhang kan det ofta handla om principen att ingen skall straffas eller censureras utan förgående rättslig prövning.

Säpo kräver datalagring och trojaner

av

Samtidigt som polisens användning av hemliga tvångsmedel (avlyssning) ökar, vill Säkerhetspolisen ha mer övervakning.

I ett pressutspel pekar Säpos chef, Klas Friberg, på tre punkter.

Den kanske minst kontroversiella punkten är att ge Säkerhetspolisen rätt att ta del av uppgifter från signalspaning även under pågående förundersökning. Detta är en konsekvens av FRA-lagstiftningen, som jag aldrig riktigt lyckats förstå. Om man ändå redan bedriver signalspaning är det bara märkligt denna information – som man alltså ändå samlar in – inte får användas i pågående förundersökningar. Eller missar jag något här?

Nästa punkt är att Säpo vill att datalagringen – som EU-domstolen upphävt på grund av att den strider mot grundläggande mänskliga rättigheter – skall återupptas.

Vilket får mig att undra: Om Säpos uppgift är att försvara den svenska demokratin, varför envisas man då med att vilja ha verktyg för övervakning som EU:s högsta domstol anser vara i strid med den demokratiska rättsstatens principer?

Den tredje punkten handlar om kryptering och stats-trojaner. Säpo ogillar kryptering, eftersom den gör det svårare för dem att övervaka folk. Samtidigt är kryptering ett viktigt, ofta nödvändigt verktyg för företag, organisationer och individer.

Att skapa bakdörrar till kryptering vore att underminera säkerheten för alla, inklusive för centrala samhällsfunktioner. Det skulle öppna dörren för allehanda cyberbrottslingar och främmande stater.

Detta vill Säpo lösa genom så kallad hemlig dataavläsning, det vill säga en stats-trojan. Genom att i hemlighet installera spionprogramvara på folks datorer, plattor och telefoner vill man kunna avlyssna, övervaka och se alla filer och allt som görs på enheten. På så sätt kommer man bland annat att komma åt information när den – i okrypterat tillstånd – skrivs in eller läses.

Återigen handlar detta om ett verktyg som – när det hamnar i orätta händer, vilket det förr eller senare kommer att göra – försämrar säkerheten för alla. Det är rena drömmen för brottslingar, spioner och trollfabriker.

Säpo borde vara angeläget om att öka IT-säkerheten, inte medvetet försvaga den.

Slutligen: Det är ingen som protesterar mot att man övervakar människor som är misstänkta för brott eller som utgör en påtaglig fara för andra. Men detta måste gå att lösa utan svepande massövervakning av hela folket – och utan att underminera vårt samhälles IT-säkerhet.

/ HAX

Idag röstar EU:s ministerråd om automatiserad nätcensur

av

Just nu sitter EU:s justitie- och inrikesministrar i möte för att klubba medlemsstaternas position vad gäller en ny förordning om terror-relaterat innehåll online – 2018/0331(COD) Proposal for a Regulation of the European Parliament and of the Council on preventing the dissemination of terrorist content online – general approach. (PDF»)

Förslaget innebär i korthet att terror-relaterat material som laddats upp av användare på sociala plattformar skall avlägsnas inom en timma från det att en (ej närmare definierad) nationell myndighet gjort plattformen uppmärksam på dess existens.

Till att börja med kan man konstatera att även om detta är en förordning (som skall tillämpas rakt av), så ger den medlemsstaterna en öppning för att hänga på ytterligare skäl för censur som kan använda samma verktyg. (Se till exempel tyska NetzDG – som använder liknande verktyg för att rensa sociala plattformar från »hat«. Vilket visat sig vara ett reellt hot mot det fria ordet.)

I sak är definitionen av terror-relaterat innehåll fortfarande vag. Jag är inte helt övertygad om att justitieminister Morgan Johansson (S) har helt torrt på fötterna när han säger att »Vi har varit angelägna om att det här ska handla om det som är straffbart. Alltså till exempel att uppmana till terrorhandlingar eller råd kring hur man kan begå olika terrorhandlingar.« Och mycket riktigt fortsätter han i nästa andetag med en brasklapp. »Sedan finns det en gråzon, sådant man tycker är olämpligt, men som inte är straffbart.«

Dessutom finns klara signaler i förordningens inledande text som gör det rätt klart att man gärna ser att de sociala plattformarna hanterar sådant här inom ramen för sina användarvillkor. Vilket dels riskerar att leda till överfiltrering och dels gör den enskilda användaren rättslös. (Rätten till överprövning gäller bara om beslutet om att avlägsna innehåll kommer från myndigheterna.)

Ett allvarligt problem är att denna förordning kräver övervakning, kontroll och analys av allt som alla laddar upp på t.ex. Facebook, Twitter och Youtube. Det gäller allt du skriver, alla bilder du lägger upp och allt du länkar till. Även om det bra är en bild från julfesten.

Dels talar förordningen om proaktiva åtgärder. Dels stadgar artikel 6:2 att plattformarna skall hindra att sådant material som en gång plockats ner inte skall kunna publiceras igen. Här talas uttryckligen om att använda »automatiska verktyg« – det vill säga automatisk filtrering – det vill säga automatiserad censur.

Man vill även att dessa verktyg skall användas för att upptäcka, identifiera samt avlägsna eller blockera terror-relaterat innehåll på plattformarnas eget initiativ.

Det råder alltså ingen tvekan om att förlaget kommer att leda till automatiserad filtrering, syftande till censur, av allt.

(Som av en händelse kommer detta förslag samtidigt som EU diskuterar automatisk filtrering, syftande till censur – när det gäller upphovsrättsskyddat innehåll. Möjligen försöker man slå två flugor i en smäll.)

/ HAX

Edit: Nästa steg blir Europaparlamentet. Om parlamentet gör större ändringar blir det förhandlingar. Om parlamentet säger ja, då är det klappat och klart.

Läs även EDRi – Terrorist Content Regulation: Civil rights groups raise major concerns »

När EU går terroristernas ärenden

av

Att skydda medborgarna mot terrorism är en fråga på flera plan. Dels handlar det om att förhindra terrorattentat. Dels handlar det om ett försvar mot terrorismens underliggande mål – det vill säga dess strävan att ödelägga vårt öppna, fria, demokratiska samhälle.

Vad gäller det första – att förhindra terrorattentat – pekar erfarenhet och forskning på att massövervakning inte ger det skydd man hoppats. De flesta terrorister som genomfört attentat har varit kända för och flaggade av myndigheterna. Men man har inte haft resurser att hålla ögonen på dem. Istället har man satsat på att övervaka allt som hela befolkningen har för sig. Vilket inte gör oss tryggare, utan snarare tvärt om.

När det gäller att försvara vårt öppna, fria, demokratiska samhälle bör det rimligen innebära att försvara våra mänskliga och medborgerliga fri- och rättigheter. I detta ingår till exempel rätten till privatliv och yttrandefriheten. Men det är inte vad som sker. Istället gör EU gemensam sak med terroristerna för att undergräva dessa värden.

Just nu arbetar EU-maskineriet med flera olika ärenden som är problematiska.

Regulation on Terrorist Content Online

EU-kommissionen föreslår en ny reglering för att bekämpa terror-relaterat material online. EDRi sammanfattar några av regleringens centrala punkter:

  • Obligations to take down content on the basis of removal orders within one hour.
  • An arbitrary system of referrals of arbitrarily designated potentially dangerous (but not illegal) content to internet service providers. The removal of this content is decided by the provider, based on their terms of service and not the law.
  • Unclear, arbitrary “proactive” measures to be imposed on an unclear subset of service providers to remove unspecified content.

I regleringens förklarande delar öppnar man för att operatörer och plattformar skall kunna använda AI för att identifiera och avlägsna oönskat, terror-relaterat material. Vilket, speciellt då denna teknik än så länge är i sin vagga, är teknik som varken är speciellt tillförlitlig eller allmänt tillgänglig. I den mån den finns och kan användas kommer den att leda till överfiltrering, det vill säga att man censurerar mer än vad som är tänkt och nödvändigt. Dessutom är detta en teknik som förmodligen bara de stora plattformarna kommer att ha resurser för att använda. Den blir alltså en barriär som hindrar små och nya aktörer från att ge sig in på marknaden.

Överfiltrering ses för övrigt inte som ett problem i regleringen, utan ett mål.

Därtill kommer det ständiga problemet att ansvaret för censuren flyttas från lagstiftning och rättsväsende till privata operatörer och deras användarvillkor. Vilket gör individen rättslös.

I slutändan landar detta i att allt material som vi laddar upp på olika plattformar kommer att övervakas, granskas och analyseras. Allt.

Länk: Terrorist content regulation – prior authorisation for all uploads? »

Europaparlamentets TERR-utskott

Samtidigt pågår arbetet med en icke-bindande rapport i Europaparlamentets speciella, hemlighetsfulla »Special Committee on Terrorism« (TERR). Dess syfte tycks i stort sett vara att understödja de initiativ som kommer från EU-kommissionen på området.

Även här har EDRi en slagkraftig sammanfattning…

Unfortunately, references to fundamental rights were so scarce that Committee members chose to add a preamble to the Report to introduce vague considerations for the respect of fundamental rights and freedoms instead of mainstreaming our fundamental rights in the text. For instance, the Report calls for the alignment of the European counter-terrorist policies with the Charter of Fundamental Rights of the European Union, while proposing measures that are in contradiction to this principle. (…)

Compensating repressive and freedom-restrictive measures with superficial references to fundamental rights (such as removing more content online “but without endangering freedom of speech” or balancing interoperability with “fundamental rights of the data subjects”) is utterly insufficient at best and duplicitous at worst. Fundamental rights deserve stronger protection.

Rapporten upprepar även det farliga och orealistiska kravet på bakdörrar till kryptering. EDRi igen…

Worse still, it exacerbates the initial provisions on encryption, by requesting the development of a hub for decryption, including decryption tools and expertise within Europol, to access data obtained in the course of criminal investigations. Weakening encryption to supposedly support law enforcement services actually creates vulnerabilities and increases security risks.

Vilket öppnar allt vi gör på nätet för främmande makt och allsköns cyberbrottslighet.

Denna rapport (som alltså lyckligtvis inte är bindande, men ändå allvarlig) kommer upp till votering i plenum på någon av Europaparlamentets sessioner nu i vinter.

Länk: The TERR Committee votes on its irreparable draft Report »

/ HAX

EU ställer orealistiska krav på nätcensur

av

I EU är frågan om censur av terrorrelaterat innehåll på nätet på väg mot beslut. Vad som kan anses vara terror eller terrorism är fortfarande rätt oklart. Och vi vet sedan tidigare att detta är ett sluttande plan, som fortsätter med censur av diffust definierat hatiskt eller diskriminerande innehåll – vilket brukar sluta med att man ger sig efter det mesta som politiker och myndigheter ogillar.

Förslaget innebär att alla »hosting service providers« i vissa fall måste ta ner material som ogillas av myndigheterna inom en timma. Att de skall ha en hotline för sådana ärenden bemannad 24/7. Och att de själva måste vara uppmärksamma och avlägsna sådant innehåll – annars kan myndigheterna komma att övervaka allt som laddas upp.

Detta är något som möjligen nätets jättar som Google, Facebook och Twitter kan hantera. Men för små och alternativa plattformar är kraven mycket svåra, rent av omöjliga att möta.

Dessutom är detta ytterligare ett steg mot att flytta makten över yttrandefriheten från lagarna och rättsväsendet till privata operatörer och deras användarvillkor. Vilket gör den enskilda individen i stort sett rättslös.

Det ser ut som om EU-kommissionen, medlemsstaterna och Europaparlamentet försöker driva igenom denna reglering med ett minimum av offentlig debatt och demokratisk insyn. Vilket naturligtvis inte får ske.

Läs mer hos La Quadrature du Net:
• Antiterrorism Censorship: Macron teams up with the Web giants to set up mass surveillance »

/ HAX

Krav på öppenhet och transparens om Facebooks censur

av

Det är ett välkänt problem att Facebook ibland tar ner innehåll och blockerar användare utan någon egentlig motivering och utan verkliga möjligheter att begära överprövning. Detta har lett till reaktioner från bl.a. EFF och Human Rights Watch. EFF skriver…

The Electronic Frontier Foundation (EFF) and more than 70 human and digital rights groups called on Mark Zuckerberg today to add real transparency and accountability to Facebook’s content removal process. Specifically, the groups demand that Facebook clearly explain how much content it removes, both rightly and wrongly, and provide all users with a fair and timely method to appeal removals and get their content back up.

Detta är helt klart ett rimligt krav, speciellt med tanke på Facebooks dominerande ställning inom sociala media.

Men det är inte utan praktiska problem. Som vi t.ex. kunnat se i en tv-dokumentär handlar det om mycket stora volymer – och besluten fattas på ett par sekunder, om ens det. Att göra processen »rättssäker« och transparent skulle innebära mycket extraarbete och stora kostnader. Inte desto mindre är det nödvändigt.

Det skall bli intressant att se vad Facebook svarar, om de svarar över huvud taget.

Länkar:
• EFF, Human Rights Watch, and Over 70 Civil Society Groups Ask Mark Zuckerberg to Provide All Users with Mechanism to Appeal Content Censorship on Facebook »
• Why did Facebook pull your post? Digital rights groups want you to know »

/ HAX

EU vill göra datalagringen gränslös

av

Det går alltid till på samma sätt. Först så föreslås någon ny typ av massövervakning eller registrering. Politikerna lovar dyrt och heligt att denna bara skall användas om man behöver utreda verkligt allvarliga brott.

Men så blir det ju inte i verkligheten. Knappt hade FRA-lagen trätt i kraft förrän »FRA-shoppen« öppnade för en rad andra myndigheter. Samma sak gäller teledatalagringen / datalagringsdirektivet som (innan EU-domstolen upphävde det och upprepade gånger givit Sverige smäll på fingrarna) huvudsakligen kom att användas för att jaga fildelare och för att låta Skatteverket snoka i folks privatliv.

Grundpremissen bör vara att om man alls skall ägna sig åt massövervakning eller massregistrering – då innebär detta ett så stort intrång i den enskildes rätt till privatliv att informationen bara får användas när det verkligen, verkligen är viktigt. Vår rätt till privatliv stadgas i sin tur i Europakonventionen om de mänskliga rättigheterna, som en av våra grundläggande rättigheter som inte får fuskas bort.

Därför är det anmärkningsvärt att se det förslag till »eBevis« som EU-kommissionen nu försöker få igenom. Där finns inga sådana spärrar. Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst. Någon nedre gräns för när detta kan anses vara befogat anges inte.

Vilket är en signal om att dammluckorna nu kan öppnas – och att personlig information skall utlämnas även till EU-länder vars rättsstat, rättssäkerhet och sätt att hantera känslig information kan ifrågasättas.

Denna information skall lämnas ut inom tio dagar, eller i brådskande fall inom sex timmar. Och det är internetoperatören, den sociala plattformen eller appens ägare som skall göra en första bedömning av om en sådan begäran är i enlighet med svensk lag eller ej. Svenska rättsvårdande myndigheter är i normalfallet inte inblandade alls. Vilket kommer att skapa problem när till exempel polska myndigheter begär ut information som är relaterad till en handling som är brottslig i Polen men inte i Sverige.

EU-kommissionen signalerar även att man i framtiden vill kunna ägna sig åt realtidsavlyssning och direktåtkomst till information som lagras i molnet och på operatörernas servrar.

Hur detta går ihop med att EU-domstolen upphävt det direktiv som tillåter urskiljningslös datalagring (eftersom den strider mot de mänskliga rättigheterna) är oklart.

Länkar:
• Svensk operatör om EU-förslag: En katastrof »
• Ännu ett hot mot rättssäkerheten i EU »
• Independent study reveals the pitfalls of “e-evidence” proposals »
• Cecilia Wikström om e-bevis: Ett sjukt dåligt förslag »
• European Commission rolls out its proposal for a so-called eEvidence law »
• EU-kommissionen om eBevis »
• E-evidence – cross-border access to electronic evidence »
• Riksdagen: Förordning om tillgång till e-bevisning inom EU och Direktiv om utseende av representant för utlämnande av e-bevisning »

Ännu ett hot mot rättssäkerheten i EU

av

EU-kommissionen föreslår ett nytt regelverk om »e-bevis« i rättsprocesser. Förslaget dras med en del rätt anmärkningsvärda skrivningar. Till exempel om utbyte av elektroniska bevis mellan länder, även i mål där inget brottsligt förekommit enligt det ena landets lagar.

Facktermen är European Production and Preservation Orders (EPO).

Europaparlamentet har nu släppt en rapport om saken, skriven av professor Martin Böse vid universitetet i Bonn.

EDRi sammanfattar:

The conclusion of the study could not be clearer: “The added value of the new cooperation regime (quick and effective access to provider data) is mainly based on the abolition of cooperation obstacles and procedures ensuring effective protection of fundamental rights.”

Läs mer »