EU:s medlemsstater tycks samla på sig kataloger över enskilda nätanvändares IP-adresser. Vilket EU-domstolen accepterar, trots att den säger nej till generell datalagring.
Gårdagens goda nyhet var att EU-domstolen åter säger tydligt nej till urskiljningslös datalagring. Men djävulen finns i detaljerna.
Bortom huvudnyheten, i det finstilta, läser vi följande i EU-domstolens dom:
»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«
Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:
»Unfortunately, the greatest consensus among governments currently seems to exist on mandating indiscriminate IP data retention throughout Europe, which the judges in Luxembourg green-lighted under massive pressure.
Under no circumstances should all internet users be placed under general suspicion and online anonymity be abolished!
IP addresses are our digital fingerprints on the internet. Bulk collection would endanger crime prevention in the form of anonymous counselling and pastoral care, victim support through anonymous self-help forums and also the free press, which depends on anonymous informants.
Incidentally, there is no evidence that IP data retention significantly increases the crime clearance rate. In the absence of data retention Germany today has a higher cybercrime clearance rate than with IP data retention in place.«
Det tycks alltså som om vissa av EU:s medlemsstater samlar IP-adresser för något slags egen katalog. Detta sker även i Sverige.
Här pågår en dragkamp i frågan mellan den svenska Post- och Telestyrelsen (PTS) och Bahnhof. Ur vår tidigare rapportering:
»PTS skriver i sitt pressmeddelande ”Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.”
Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.«
PTS hotar Bahnhof med vite om man inte lämnar ut dessa användaruppgifter. Vilket överklagats till Förvaltningsrätten.
Vi träffade nyligen Bahnhofs VD Jon Karlung, som kunde berätta att om PTS får som de vill – då kan det handla om att lämna ut identiteten på hundratals användare som inte är misstänkta för något brottsligt.
Skälet är att det börjar bli slut på IPv4-adresser och att många kunder därför måste dela på samma IP-adress (NATade adresser) i väntan på IPv6.
Det blir allt tydligare att myndigheterna vill ha en egen katalog över enskilda individers IP-adresser, vilket bland annat tyder på att de inte riktigt förstår hur internet fungerar.
Vi återkommer inom kort med en podcast / intervju med Jon Karlung.