Femte juli Nätet till folket!

Nätet till folket!

Storebror

Kategorin Storebror är hämtad från George Orwells bok 1984. Det handlar dels om övervakning - och dels om menings- och yttrandefrihet. Och om hur staten försöker styra hur människor tänker.

Om rätten till privatliv och privat kommunikation

av 1 kommentar

Decennier av krypskytte mot kryptering från regeringar världen över; EU:s idéer om avkryptering och granskning av meddelanden och e-post; FRA-lagen med sin ändamålsglidning som ger allt fler myndigheter tillgång till innehållet i våra elektroniska kommunikationer… Exemplen på hoten mot vår rätt till privatliv och privat kommunikation online är många.

Men varför är denna rätt så viktig att den betraktas som en grundläggande mänsklig rättighet?

Man kan resonera längs flera olika spår.

Till exempel är fri åsiktsbildning och fri debatt en förutsättning för en fungerande demokrati. Det finns goda skäl att anta att själva vetskapen eller misstanken om att någon kikar över vår axel inskränker denna fria åsiktsbildning. Mycket av framstegen i vårt samhälle bygger på idéer som till en början var kontroversiella eller till och med olagliga.

Man kan också fundera i banorna av att laglydiga medborgare skall lämnas i fred av staten. En stat som betraktar alla sina medborgare som potentiella brottslingar som måste övervakas och vars kommunikationer måste granskas – det är en stat som inte respekterar sitt folk. Staten skall vara till för medborgarna, inte behandla oss som undersåtar.

Om man ansluter sig till idén om att människan har vissa naturliga rättigheter (liv, säkerhet och egendom) då anser man förmodligen också att frihet har ett positivt värde för såväl individen som samhället. Denna frihet inskränks om man är övervakad och därmed måste anpassa sitt beteende för att inte göra något som kan misstolkas. I övervakningsstaten har även den som är oskyldig mycket att frukta.

Även om du har rent mjöl i påsen och även om du själv aldrig kommer att få övervakningsstatens ögon på dig – så bör du ändå vara för rätten till privatliv. Visselblåsaren Edward Snowden uttryckte saken så här: Att vara emot rätten till privatliv bara för att man inte har något att dölja, det är som att vara emot yttrandefriheten bara för att man inte har något att säga.

Sedan har vi naturligtvis risken för att vi någon gång kommer att få en regering med auktoritära böjelser. För en sådan är övervakning av medborgarnas kommunikationer ett utmärkt verktyg för att komma åt dissidenter, för att kartlägga oliktänkande och för att hindra att oppositionella organiserar sig. Varför ge överheten ett sådant verktyg?

Det behöver inte vara en ondskefull regering. Det räcker med någon obalanserad befattningshavare på mellannivå för att dessa verktyg skall kunna missbrukas. Eller överdriven ambition. Missriktad välvilja. Eller inkompetens.

Steg för steg blir övervakningsstaten allt mer omfattande – på bekostnad av medborgarnas rätt till privatliv. Oavsett vilket slags regering vi har kan det inte fortsätta hur långt som helst. I vart fall inte utan att samhället blir outhärdligt att leva i.

Hela idén med grundläggande mänskliga rättigheter är att de utgör individens skydd mot staten. Därför skall man inte kompromissa om dem. Utan dem kan staten göra precis som den vill och individen blir då rättslös.

Sociala media, användarnas rättigheter och nya statligt godkända censorer

av Lämna en kommentar

Sociala medias ofta till synes slumpartade censur av inlägg och avstängning av användare är en ständig källa till irritation. Speciellt som det inte går att kontakta de olika plattformarna – och då den som censureras inte får reda på varför. Vilket blir extra problematiskt med tanke på nätjättarnas dominerande ställning i debatten.

Men det kan bli ändring på den saken. I EU:s föreslagna Digital Services Act (DSA) vill man att den som blir censurerad skall få veta varför – och även få en reell möjlighet att överklaga beslutet.

Även om detta är detaljreglering av hur privata företag skall bedriva in verksamhet – så kommer många användare säkert att välkomna att de nu kommer att få något som ger viss ”rättsäkerhet”. (Även om begreppet rättssäkerhet snarare handlar om förhållandet mellan individen och staten / rättsväsendet.)

Problemet med DSA är att förordningen vill införa ett nytt censurinstrument – så kallade ”trusted flaggers” som enligt förslaget skall representera ”kollektiva intressen” och som skall få en egen gräddfil till respektive sociala medieplattforms abuse-avdelning.

Det skall förvisso vara offentligt vilka dessa ”trusted flaggers” är. Och om de missköter si skall de kunna mista sitt uppdrag. Men det ligger fortfarande något obehagligt över att införa statligt godkända nätgranskare. Speciellt om dessa skall företräda ”kollektiva intressen” – vilket förmodligen kommer att öppna dörren för olika särintressen och identitetspolitiska överväganden. Vilket kan bli en soppa.

Generellt sett bör gränserna för det fria ordet sättas av lagstiftaren och sedan upprätthållas av ett oväldigt rättsväsende. Att sätta icke-statliga aktörer som officiellt godkända censorer kommer garanterat att skapa helt nya konflikter.

Nu gäller det att se till att DSA behåller ”rättssäkerheten” för sociala medias användare – samtidigt som ”trusted flaggers” inte ytterligare bidrar till polariseringen av samhällsdebatten.

Relaterat:
• At a glance: Does the EU Digital Services Act protect freedom of expression? »
• Nätjättarnas makt är ett frihetligt dilemma »

EU hotar rätten till privat korrespondens online

av 12 kommentarer

EU är på väg att ge grönt ljus för granskning av dina meddelanden och även din e-post.

Vi har skrivit om detta tidigare – men vi tänker fortsätta tjata, eftersom debatten om detta är närmast obefintlig.

Motivet man anger den här gången är att man vill kontrollera så att du inte ägnar dig åt sexuella övergrepp på barn. Vilket tycks räcka för att tysta all kritik.

Få känner till förslaget, det finns i princip ingen debatt om det, media är ointresserade, Europaparlamentet har i stort sett sagt ja redan i förväg – och givet syftet är det möjligt att de flesta människor anser att ändamålet helgar medlen.

Men innan vi ställs inför fullbordat faktum tycker vi att det är en del saker du bör känna till.

Det handlar alltså om dina meddelanden och din e-post. (Möjligen undantaget e-post som är PGP-krypterad användare till användare, som i princip är omöjlig att komma åt.) Men vanliga meddelanden i olika appar och vanliga e-postmeddelanden skall kunna avkrypteras, granskas och analyseras. Det gäller även bilder och videofilmer som du sänder – samt video-mötestjänster som Skype, Zoom med flera.

Detta är en gigantisk uppgift. Därför kommer det att ske automatiskt.

Problemet är att algoritmerna inte är speciellt bra på detta. När Schweiz provade något liknande gick det nio falska flaggningar på en äkta.

Det innebär alltså att i nio fall av tio kommer misstanken om sexuella övergrepp mot barn att riktas mot någon oskyldig. Vilket innebär att den som är oskyldig har mest att frukta.

Flaggade meddelanden kommer sedan att överföras till en privat organisation i USA. Där skall de granskas igen och i förekommande fall översändas till polis eller andra myndigheter och organisationer.

Och när det gäller sexuella övergrepp mot barn kommer det att räcka med en misstanke – även om den är felaktig – för att du skall få problem.

Du kan vara oskyldigt misstänkt utan att ens veta om det förrän polisen knackar på dörren – eller innan du stoppas i något främmande lands passkontroll. Den som är oskyldig har, som sagt, mest att frukta.

Men det är inte det enda problemet.

I och med att dina meddelanden och din e-post kommer att kunna avkrypteras blir de även tillgängliga för allehanda myndigheter och underrättelseorgan. Kom ihåg amerikanska NSA:s devis: Collect it all.

Man kan även fundera på hur EU resonerar. Ena stunden vill man skydda användarnas data mot företag som Google, Facebook med flera. Och i nästa ögonblick vill man att våra meddelanden och vår e-post skall avkrypteras – vilket kommer att göra innehållet i dessa tillgängligt för just Google, Facebook och alla andra företag du använder för dina meddelanden och din e-post.

Vi vet dessutom att sådana här lagar alltid drabbas av ändamålsglidning.

När man väl använt sexuella övergrepp mot barn som murbräcka – då kommer man med största säkerhet att utvidga mandatet för att även kunna söka efter annat. Så är det i princip alltid. Finns verktygen, då kommer man ständigt att hitta nya användningsområden.

Europeiska datatillsynsmyndigheten (EDPS) anser att lagförslaget varken är nödvändigt eller proportionerligt. Det saknar laglig grund, tydliga regler och tillräckliga skyddsåtgärder.

EU-parlamentets utredningstjänst (EPRS) anser att en sådan här lag endast bör inriktas mot personer som är misstänkta för att ägna sig åt något brottsligt. Man pekar även på att förslaget strider mot dataskyddsförordningen, GDPR.

UNICEF menar att förbättrad integritet och dataskydd för barn är bättre än automatisk övervakning av deras kommunikation.

Men i Europaparlamentet har en stor majoritet sagt ja till att gå vidare med lagstiftningsarbetet. Trilogförhandlingar pågår. Samtliga svenska partier i parlamentet har röstat ja till att gå vidare, utom Vänsterpartiet som är avvaktande.

Sedan blir det snabbehandling. Den konsoliderade texten väntas släppas av EU-kommissionen i april och godkännas i Europaparlamentet under sessionen i maj månad.

Även om alla sympatiserar med syftet och även om det råder stor politisk enighet – så är detta ett hot mot rätten till privat kommunikation online.

Vilket är allvarligt. Rätten till privatliv och privat korrespondens är en grundläggande rättighet – fastlagen i bland annat Europakonventionen om de mänskliga rättigheterna. Men det tycks ingen bry sig om.

Hur som helst bör du vara medveten om att det i princip är slut med privat korrespondens online. I den mån sådan i praktiken alls existerat.

Länkar:
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• Fyra problem med förslaget om automatisk granskning av privat kommunikation »
• The End of the Privacy of Digital Correspondence »
• SD, MP, S, M, C, L och KD är för övervakning av chatt, email och videosamtal »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »

Europol får utökade befogenheter – och större tillgång till persondata

av Lämna en kommentar

Det europeiska polissamarbetet Europol (som numera är en EU-myndighet) skall få ett nytt regelverk.

Som vi tidigare rapporterat innebär detta bland annat ökade resurser för att knäcka kryptering och automatiserad tillgång till persondata från privata företag. Utanför den officiella debatten har Europol även på egen hand utökat sitt mandat till att också omfatta bekämpning av desinformation.

Här är ytterligare några förändringar:

  • Europol får starta egna utredningar, utan att någon medlemsstat är inblandad.
  • Europol får även utreda icke-gränsöverskridande brottslighet, på eget initiativ, i en enskild medlemsstat.
  • Närmare samarbete skall etableras med den europeiska åklagarmyndigheten (EuPPO) och EU:s myndighet för att bekämpa fusk och korruption (OLAF).
  • Närmare samarbete skall kunna etableras med tredje land (ej EU-länder), inte minst i förbyggande syfte.
  • Närmare samarbete skall kunna etableras med olika underrättelsetjänster.
  • Europol får möjlighet att samköra och korsreferera olika register, vilket lett till kritik från EU:s dataskyddsombudsman.
  • Europol skall använda sig av AI och får omfattande tillgång till persondata för att utvärdera, träna, testa och validera dess algoritmer.
  • Europol skall också få rätt att på eget initiativ flagga människor i Schengen Information System (gräns- och personkontroll).

Det hela beräknas kosta 178 miljoner euro och kommer att behandlas av Europaparlamentet under hösten. Sedan kommer EU – de facto – att ha en federal polis.

Länkar:
• Proposals for new Europol Regulation »
•  EU-kommissionens förslag (75 sidor, PDF) »

Digitalt EU-ID och elektroniskt journalsystem på EU-kommissionens önskelista

av 2 kommentarer

EU-kommissionen har presenterat sina digitala mål för år 2030. Ett par exempel:

Man vill skapa ett digitalt EU-ID, som man hoppas att minst 80% av medborgarna kommer att använda. Det skall ses mot bakgrund av att man i EU i 10-15 års tid har diskuterat ID-krav för att över huvud taget kunna koppla upp sig mot eller verka på nätet. Detta är viktigt att hålla ögonen på.

»By 2030, the EU framework should have led to wide deployment of a trusted, user-controlled identity, allowing each citizen to control their own online interactions and presence. Users can make a full use of online services easily and throughout the EU while preserving their privacy.«

Man vill ha 100% täckning vad gäller lagring av medborgarnas medicinska journaler. Språket är något svävande, men vi vet sedan tidigare att det är ett centraliserat, EU-gemensamt journalsystem som är målet. Vilket säkert kommer att väcka en hel del debatt.

»The ability for European citizens to access, and control access to, their electronic health records (EHR) across the EU should be greatly improved by 2030 based on common technical specifications for health data sharing, interoperability, developing the secure infrastructure, as well as taking actions to facilitate the public acceptability of sharing health information with the medical community.«

Dokumentet säger många vackra saker om hur EU:s digitala industri är viktig och måste utvecklas. Vilket inte riktigt rimmar med hur man driver bort startups och riskkapital från EU genom att överreglera internet.

På önskelistan finns även gigabit för alla; »Cutting edge Semiconductors«; ett klimatneutralt EU-moln med 10.000 noder; kvantdatorer; miljövänlig IT-verksamhet med bättre balans mellan könen – samt att man vill upprätta en »inter-institutionell deklaration om digitala principer« innan årets slut. Och mycket annat.

• EU-kommissionens inforgraphics »
• 2030 Digital Compass: the European way for the Digital Decade (PDF) »

EU: En soppa av motstridiga förslag och beslut om övervakning

av 1 kommentar

En ögonblicksbild från EU:s beslutsapparat:

  • 2020 fattade man beslut om en European Electronic Communications Code (EECD) – som gav användarna starkt skydd för elektronisk korrespondens.
  • Nu vill man fatta ett beslut om »chat control« – det vill säga att alla meddelandetjänster förväntas avkryptera alla sina användares alla meddelanden for att undersöka om de innehåller något som kan kopplas till övergrepp mot barn. Detta som en »tillfällig« lag, på grund av att EECC ovan inte tillåter plattformarna att snoka i sina användares meddelanden.
  • Gällande ePrivacy-förordning förbjuder samtidigt generell övervakning av vad folk har för sig på internet. Denna regel föreslås tas upp och fortsätta gälla inom ramen för den föreslagna Digital Services Act (DSA).
  • En ny ePrivacy-förordning är på gång. Dess syfte var att skydda användarna från plattformarnas insamling av användarnas persondata. Nu vill ministerrådet mjuka upp den för att ge plattformarna tillgång till användarnas metadata, utan att samtycke krävs.
  • Samtidigt ställer både EU:s upphovsrättsdirektiv och förordningen om terror-relaterat innehåll online krav som i praktiken kommer att kräva uppladdningsfilter. Vilket kommer att kräva att allt innehåll som alla laddar upp måste granskas.
  • Redan 2014 beslutade EU-domstolen att upphäva datalagringsdirektivet – eftersom det inte är tillåtet med svepande övervakning av alla, utan misstanke om brott.

Detta är en soppa av motstridiga förslag och beslut.

Gissningsvis är upplägget så här: The European Electronic Communications Code gick längre vad gäller att skydda nätanvändarnas rätt till privatliv än myndigheterna hade tänkt sig. Med förslaget om »chat control« vill man nu införa en tillfällig lag för att kunna fortsätta den övervakning av innehållet i användarnas kommunikationer som bl.a. Facebook och Google redan ägnar sig åt. I ett tredje steg vill man att den nya ePrivacy-förordningen skall permanenta detta undantag. Så att man kan fortsätta övervaka folk.

Det ändrar dock inte det faktum att the Digital Services Act ser ut att innehålla ett fortsatt förbud mot generell övervakning. Det ändrar inte heller det faktum att EU-domstolen har förbjudit svepande övervakning av alla utan misstanke om brott.

Det är också värt att notera att EU med ena handen vill skydda användarnas data och metadata från Facebook och Google – samtidigt som man kräver att Facebook, Google & Co skall öppna och granska innehållet i sina användares privata meddelanden. Motsvarande resonemang gäller uppladdningsfilter i dess olika reinkarnationer.

Hur man tänkt få ihop allt detta är högst oklart. Lägg därtill att EU-kommissionen flaggat för ett nytt datalagringsdirektiv – och oredan blir ännu värre.

Här är en del aktuella länkar, för den som vill försöka förstå:
• PP: ePrivacy-förordningen närmar sig trilogförhandlingar »
• MEP Patrick Breyer (PP, DE): Attack on digital privacy – Council position on ePivacy does not deserve its name! »
• Netzpolitik: EU-Staaten verwässern digitales Briefgeheimnis »
• Lukasz Olejnik: Analysing the Council of the EU ePrivacy Regulation – is it obsolete? »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »
• Aktuella EU-planer som kan inskränka friheten online »

Regeringen utreder hur man skall kunna kringgå posthemligheten

av 2 kommentarer

När myndigheter vill snoka i folks privata elektroniska meddelanden brukar det påpekas att det är lika fel som om staten skulle ta sig rätt att läsa medborgarnas fysiska brev. Nu utreder regeringen hur myndigheterna skall kunna få rätt att kontrollera innehållet i vanlig post.

Till att börja med kan konstateras att rätten till privatliv och rätten till privat korrespondens listas i Europakonventionen om de mänskliga rättigheterna och flera andra fördrag som Sverige anslutit sig till.

I det aktuella fallet finns en direkt internet-koppling, då myndigheterna vill ha koll på om folk beställer olagliga saker online, som sedan levereras med posten.

Flamman skriver:

»Regeringens utredare ska utvärdera om en lagändring kan tvinga personal på postföretag att (…) öppna viss post, och hur tystnadsplikten för sådan personal i så fall ska utformas. Utredaren ska sedan presentera ett förslag som är förenligt med ”grundläggande fri- och rättigheter i regeringsformen och Sveriges internationella åtaganden om mänskliga rättigheter.”«

Det skall bli intressant att se hur förslaget kommer att se ut om det skall tillåta att man öppnar och snokar i folks post samtidigt som det förväntas respektera rätten till privat korrespondens. Vi lär snart få veta. Utredningens förslag skall presenteras redan i april.

Om man ger myndigheterna rätt att öppna och kontrollera fysisk post blir det även svårare att argumentera för att de skall hålla fingrarna borta från elektronisk kommunikation.

Vi vet dessutom av erfarenhet att övervakningslagar alltid tenderar att drabbas av ändamålsglidning och utökas med tiden. Så om man vill försvara rätten till privat korrespondens – oavsett om det handlar om fysisk eller elektronisk post – då måste den striden tas här och nu.

Flamman skiver vidare:

»Stefan Lundberg, chefsåklagare och strategisk samordnare för brottsförebyggande arbete på Ekobrottsmyndigheten – sannolikt en av remissinstanserna – har redan gått ut med en kommentar. I ett Twitterinlägg länkar han till ett nyhetsinslag om Polisens frustration över postsekretessen. Lundberg skriver att det handlar om ”sekretesshinder som bara gynnar kriminella” och att regeringen borde ”gasa med utredningen”.«

Så det råder knappast några tveksamheter om vad myndigheterna vill.

Länk: Chefsåklagare på Ekobrottsmyndigheten om postsekretessen: ”Gagnar bara kriminella” »

 

Snart kan du tvingas lagra digitala bevis åt polisen

av 3 kommentarer

Regeringen går nu fram med en proposition som går ut på att privatpersoner skall kunna tvingas lagra digitala bevis för misstänkt brottslighet – upp till 180 dagar. Om det inte sker kan straffet bli böter eller fängelse. Lagen är tänkt att träda ikraft redan nu i vår.

I propositionen föreskrivs bland annat att »den som innehar en viss lagrad elektronisk uppgift som behövs i en brottsutredning ska kunna föreläggas att bevara uppgiften«.

Dagens Juridik skriver:

»Enligt propositionen kan privatpersoner tvingas att bevara uppgiften i upp till 90 dagar, med möjlighet till förlängning vid särskilda skäl. Ett sådant föreläggande ska dock inte få riktas mot den som kan misstänkas för brottet eller mot någon närstående. Beslutet om föreläggande ska enligt propositionen få fattas av undersökningsledare eller åklagare och dessa kan belägga personen i fråga med tystnadsplikt om att åtgärden har vidtagits.«

Detta är inget nytt lagförslag. Frågan har varit aktuell i snart tio år och bygger på ett tilläggsprotokoll till Europarådets konvention om it-relaterad brottslighet. I en tidigare remissrunda har bland andra Bahnhof, Post- och telestyrelsen, Internetstiftelsen och Advokatsamfundet sågat förslaget. Datainspektionen, Justitiekanslern, Post- och telestyrelsen, JO och Internetstiftelsen har uttryckt tveksamhet. Och Ekobrottsmyndigheten, Polismyndigheten och Säkerhetspolisen var positiva.

Förslaget är inte helt lätt att förstå:

  • Om den digitala uppgiften redan är känd av polisen – är det då inte bättre att polisen lagrar uppgiften i fråga?
  • Om uppgiften i fråga är så känslig att tystnadsplikt skall råda – är det då inte bättre att polisen säkrar det eventuella beviset själva istället för att förlita sig på privatpersoner?
  • Måste inte polisen – i rimlighetens namn – själv säkra bevis som den känner till? Och om så sker, vad är det då för vits med att tvinga privatpersoner att göra samma sak?

Det hela känns väldigt märkligt. Om någon begriper mer, fyll gärna på med information i kommentarerna.

Länk: Privatpersoner ska tvingas lagra uppgifter åt Polisen »

Ny datalagring i EU – med speciellt intresse för IP-adresser

av 2 kommentarer

Vi vet redan att EU-kommissionen och EU:s ministerråd vill se ett nytt datalagringsdirektiv.

Det förra datalagringsdirektivet upphävdes av EU-domstolen på grund av att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat kommunikation.

Enkelt uttryckt menar domstolen att man inte urskiljningslöst får lagra all data om alla medborgares alla tele- och datakommunikationer. Det måste finnas ett konkret syfte, misstänkta och en tidsram.

Nu har det dykt upp ett internt arbetspapper från ministerrådets portugisiska ordförandeskap. I detta vill man diskutera med de andra medlemsstaterna hur man skall tacka frågan. (PDF »)

Speciellt vill man diskutera IP-adresser:

1. Do Member States interpret the possibility of retention of source IPs addresses, established in the recent case law of the Court, as including both static and dynamic IPs? Would or should this include source-port numbers? What are the views on only retaining source but not destination IP addresses?

2. Do Member States consider it to be in line with the jurisprudence of the ECJ that Internet Protocol addresses, strictly needed to identify a subscriber, should include first login IP, last login IP or the login IP used at a specific moment in time? Should this be considered as ’subscriber’ or ’traffic’ data if the IP address is used solely to identify a person?

Det skall bli intressant att se vad som kommer ut av detta. Hur som helst är det klart att processen för att ta fram ett nytt datalagringsdirektiv har börjat.

Vi kan möjligen räkna med ett förslag till nytt direktiv redan i år. Fast det kommer att kräva mycket trixande för att komma runt EU-domstolens ställningstagande – som ju i princip underkänner hela konceptet med datalagring.