Femte juli Nätet till folket!

Nätet till folket!

Steg för steg mot en europeisk övervakningsstat

av Lämna en kommentar

EU är på väg att skapa en övervakningsstat i klass med den amerikanska. Genom många små steg har vi nått en punkt där denna övervakning blir ett demokratiskt problem.

Vår bild av övervakningsstaten är den som återfinns i populärkulturen och möjligen hos amerikanska NSA. Ständig övervakning överallt där allt samkörs i realtid med allehanda register. Collect it all. Allt är sedan tillgängligt med en knapptryckning.

Existensen av ett globalt övervakningsnätverk – som till en början kallades Echelon – förnekades och avfärdades som konspirationsteorier. Sedan kom Snowdens avslöjanden och visade att precis så är det. Och mer därtill.

Här i Europa har det inte gått riktigt lika fort. Vi överför förvisso stora mängder insamlad data till amerikanska NSA. I flera länder har detta krävt speciallagstiftning.

Många EU-länder har krav på lagring av data om allas alla samtal och elektroniska kommunikationer – trots att EU-domstolen upphävt EU:s datalagringsdirektiv. Det stred mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.

Dessutom har EU-staterna en massa egna påfund. Säkerhet är ju trots allt en nationell kompetens. I Sverige har vi till exempel FRA-lagen, långt nere på det sluttande planet. Plus allehanda former av övervakning som polisen samlat på sig under åren.

Till exempel hemlig dataavläsning, vilket innebär att myndigheterna får rätt att installera statliga trojaner på människors datorer, telefoner, plattor med mera. Lite som den skandalomsusade spionmjukvaran Pegasus – som använts för att spionera på den politiska oppositionen i både Polen och Spanien. Journalister är en annan drabbad grupp.

Ibland gör myndigheterna trevare. Som när Säpo bad internetoperatören Bahnhof att få koppla in sig direkt till delar av företagets tekniska infrastruktur. Det skulle liksom vara enklare så än om polisen behöver fråga varje gång… Vilket var ett samtal som Bahnhofs stridbare VD Jon Karlung hade sinnesnärvaro nog att spela in och offentliggöra.

Vilket leder oss till Europols nyligen utökade mandat. I detta ingår nämligen rätten att koppla upp sig direkt mot privata aktörer och deras data. Varesig de senare vill eller ej. Det nya mandatet ger även Europol rätt att samla information om människor som inte är misstänkta för brott. (Vilket man visserligen även gjort tidigare, men då utan lagligt stöd.)

Och nu – Chat Control. Som innebär att alla våra meddelanden, chattar, all e-post, IP-samtal och andra elektroniska kommunikationer skall av-krypteras, öppnas och granskas. Av maskiner. Detta i namn av att bekämpa sexuella övergrepp mot barn. Vilket är ett syfte som enkelt kan utökas – på samma sätt som alla övervakningslagar drabbas av ändamålsglidning.

Många olika EU-finansierade projekt har de senaste tio åren utvecklat allt från biometrisk identifiering; automatiserad realtidsanalys av inkommande övervakningsbilder; automatiserad ansiktsigenkänning i realtid; AI-stödd beteendeanalys; samkörning av övervakningsverktyg och register – till lyktstolpar med högtalare och mikrofon för kameraövervakade områden. Idag börjar allt detta bli tillgängligt för myndigheterna.

Nu kopplas systemen samman. Utöver Europols register skall även polisen i olika EU-länder få direkt access till varandras databaser. Vad kan möjligen gå fel?

Utöver att vi hela tiden har samarbetat med amerikanska NSA – så börjar även EU och dess medlemsstater nu nå en så omfattande grad av övervakning att det är problematiskt ur ett demokratiskt perspektiv.

Därför sväller alltid övervakningsstaten

av Lämna en kommentar

Erik Lakomaa har en intressant artikel hos Timbro. I den beskriver han ett sällan diskuterat skäl till varför övervakningsstaten alltid sväller, ur ett Public Choice-perspektiv:

»Mekanismen bakom detta är att om det finns begärda men inte beviljade befogenheter kommer polisen kunna skylla brister i brottsbekämpningen på detta (”vi hade kunnat komma åt gängkriminaliteten om vi bara fått göra X”). Om de då beviljas X kommer ansvaret att hamna hos polisen – som då måste kräva X+1 för att inte bli ansvariga för att det fortfarande finns gängkriminalitet. Beviljas X+1 kommer det ställas krav på att X+2 införs, etc. Om däremot inte X införs kommer inte heller krav på X+1 att läggas eftersom det skulle minska chanserna att X infördes.

Repressionens järnlag är inte detsamma som ändamålsglidning eller ”sluttande planet”. De har dock gemensamt att de bygger på inkrementalism som politisk metod och att förändringar inte får gå för snabbt för att accepteras. Det senare kan förklara hur förslagen säljs in.«

• Länk: Repressionens järnlag leder till ineffektiv brottsbekämpning »

Går Chat Control att stoppa?

av 1 kommentar

Att Tyskland är emot Chat Control är bra. Men det räcker inte för att stoppa förslaget.

Som vi rapporterat vill EU-kommissionen att operatörerna skall av-kryptera och öppna dina elektroniska meddelanden och din e-post. För att sedan låta sina algoritmer inspektera och analysera dess innehåll. Och i förekommande fall överlämna det till polisen.

Förevändningen är att kontrollera att du inte ägnar dig åt sexuella övergrepp mot barn.

EU-kommissionen måste ju ta i lite om man vill kringgå medborgarnas grundläggande, konventionsskyddade rätt till privatliv och privat korrespondens. Tänk på barnen!

Meddelande-appar som inte samarbetar kommer att förbjudas i Apples och Googles app-stores. Alla skall med. Även moln-tjänster, enligt uppgift.

När verktyget för detta sedan är på plats kan syftet enkelt utökas. Som det brukar bli med övervakningslagar.

Chat Control måste stoppas.

Glädjande nog säger den tyska regeringen nej. Vilket är en bra början.

En EU-förordning läggs fram av EU-kommissionen. Sedan skall både ministerrådet och Europaparlamentet komma överens om texten, vilket i slutskedet brukar ske bakom stängda dörrar.

Vi vet att det finns motståndare till Chat Control i Europaparlamentet. Det kommer att bli en strid.

I ministerrådet fattas beslut med minst 55% av rösterna och måste representera minst 65% av unionens medborgare. Tyskland har en röst av 27. Och 19% av EU:s befolkning. Vilket innebär att det krävs ytterligare 14 länder med minst 46% av unionens medborgare för att stoppa Chat Control. (Om man utgår från att kommissionens förslag är huvudproposition.)

Nästa möte med EU:s justitie- och inrikesministrar kommer att äga rum den 9-10 juni i Luxemburg. Då påbörjas processen för att ta ställning till förslaget om Chat Control. Fast annat står för tillfället betydligt högre upp på dagordningen.

Men förr eller senare kommer man att behöva ta tag i saken. Att Tyskland säger nej kommer att väga tungt. Samtidigt kan man anta att till exempel fransmännen är mer entusiastiska.

Frankrike har för övrigt EU-ordförandeskapet detta halvår. I sommar är det Tjeckien och på andra sidan årsskiftet Sverige. Så striden om Chat Control kan mycket väl komma att landa i det svenska ordförandeskapets knä.

En möjlighet är att det blir så mycket debatt och buller om Chat Control att EU-kommissionen drar tillbaka sitt förslag. Men då måste folk vakna till och ta sig samman.

(Det kan i sammanhanget nämnas att EU-kommissionens ordförande ”Zensursula” von der Leyen fick dra tillbaka ett liknande förslag när hon var familjeminister i den tyska regeringen.)

Det känns som om det är läge för nätet att mobilisera för den digitala brevhemligheten.

Spana gärna på misstänkta. Men inte på vanligt, hederligt folk!

Länkar:
• Skarpt EU-förslag idag: Av-kryptering och granskning av alla meddelanden och all e-post »
• Granskning: Lobbykampanjen för #ChatControl »
• Stoppa EU-lag som kräver insyn i chattar »
• EU avskaffar rätten till privat korrespondens »
• Tyskland stoppar EU:s ChatControl? »
• Lagförslag »

GDPR fyller fyra år – men hur blev det egentligen?

av Lämna en kommentar

Idag fyller GDPR fyra år. Men blev det som man tänkt sig?

EU:s dataskyddsförordning – GDPR – fyller fyra år. Tanken var att ge användarna större kontroll över sin persondata, samt att skapa ett enhetligt regelverk för företag och andra som hanterar persondata.

I teorin har vi faktiskt fått mer makt över vår egen persondata. Men i praktiken fortsätter nästan alla att slentrianmässigt klicka på godkänn när dialogrutan för samtycke kommer upp.

Och reglerna för företag som hanterar persondata har skärpts upp. Men de har även orsakat omfattande och kostsam byråkrati. Vilket vi användare i slutändan får betala för, på ett eller annat sätt.

Man kan notera att EU och de nationella myndigheterna samtidigt utökar sin egen registrering av persondata, utan tillräcklig kontroll.

Till exempel kan nämnas att Europol nu får rätt att registrera persondata om personer som inte är misstänkta för något brottsligt. Samt att myndigheten med sitt utökade mandat även får tillgång till persondata hos privata operatörer.

Eller ta förslaget om »ChatControl« som uttryckligen beordrar Big Data att öppna våra privata meddelanden och att granska innehållet i dessa. Vilket är samma företag som annars brukar kritiseras för sin allt för omfattande tillgång till information om sina användare.

Sammanfattningsvis kan man notera att de flesta användare inte bryr sig, att företag avskyr byråkratin kring GDPR – samt att EU inte lever upp till samma höga krav som man ställer på alla andra.

GDPR bygger på en vacker tanke om att människor skall ha makten över sin egen persondata. Frågan är om förordningen når detta mål eller om den bara blev ett slag i luften, till priset av mer byråkrati.

Tyskland stoppar EU:s ChatControl?

av 3 kommentarer

EU vill granska innehållet i alla dina elektroniska kommunikationer. Men nu ser Tyskland ut att säga nej.

Som vi tidigare rapporterat vill EU av-kryptera, öppna och kontrollera innehållet i alla medborgares alla elektroniska meddelanden, chattar, e-post med mera (ChatControl). Syftet är att bekämpa sexuella övergrepp mot barn.

Men det ser ut som om Tyskland kommer att säga nej i ministerrådet. Justitieminister Marco Buschmann (FDP) och digitaliseringsminister Volker Wissing (FDP) var först ut med att säga stopp. Och nu säger även inrikesminister Nancy Faeser (SPD) nej.

Faeser säger till Spiegel »Jag anser att det inte är förenligt med våra fri- och rättigheter att kontrollera alla privata meddelanden utan anledning.«

Hon menar att det är bättre att spana mot digitala miljöer där man vet att det faktiskt förekommer sexuella övergrepp mot barn, för att snabbt kunna sätta in polisiära insatser.

Om Tyskland säger nej kommer det att bli svårt för EU-kommissionär Ylva Johansson att driva igenom idén om ChatControl. Men än är striden inte avgjord.

• Messengerüberwachung dürfte an Deutschland scheitern »

EU avskaffar rätten till privat korrespondens

av 12 kommentarer

EU-kommissionen vill att alla dina elektroniska meddelanden, alla chattar och all din e-post skall av-krypteras och att dess innehåll skall granskas. Förslaget kallas informellt ChatControl – eller meddelandekontroll på svenska.

Granskningen skall göras av till exempel sociala media, meddelandetjänster och e-post-leverantörer. Ambitionen är att innehållet i alla EU-medborgares alla elektroniska kommunikationer skall granskas.

Detta kommer att ske med hjälp av maskiner och deras algoritmer. Misstänkt material kommer att överlämnas till polisen.

Ironiskt nog håller politiken med detta på att tvinga de nätjättar som redan kritiseras för att veta allt för mycket om sina användare att öppna och ta del av innehållet i våra meddelanden.

Förevändningen är att kontrollera att du inte sprider barnporr eller ägnar dig åt sexuellt utnyttjande av barn.

Detta är en perfekt politisk murbräcka. Vem är väl för sexuella övergrepp på barn?

Men det finns många problem med detta förslag. Några exempel:

Siffror från Schweiz visar att nio av tio sådana flaggningar är falska flaggningar. Därmed drabbas helt oskyldiga människor av misstanken om att de ägnar sig åt barnporr.

40 procent av flaggat material tycks vara tonåringar som sänder bilder på sig själva till andra tonåringar. Vilket i vart fall delvis är en annan fråga.

Enligt förslaget skall en åldersgräns införas för meddelande-appar och meddelandetjänster. Vilket gör det omöjligt att kommunicera anonymt. Detta kan drabba till exempel whistleblowers, journalister, själasörjare, läkare, advokater, medborgarrättsaktivister och många andra som har ett helt legitimt intresse av att kommunicera anonymt.

Dessutom skall man komma ihåg att övervakningslagar alltid drabbas av ändamålsglidning.

FRA skulle bara spana på ryssen. Detta har med tiden ändrats så att man nu även får spana på svenska kommunikationer inom landet.

Trots löften om motsatsen är FRA-butiken nu öppen för allehanda svenska och utländska myndigheter.

Datalagringen skulle bara användas för att bekämpa allvarlig brottslighet. Snabbt blev den ett verktyg för att jaga fildelare. Den blev även populär hos Skatteverket, för att snoka i folks privatliv.

Vad är det som säger att syftet inte kommer att utökas även denna gång?

Vill vi verkligen avskaffa den digitala brevhemligheten? Enligt Europakonventionen om de mänskliga rättigheterna är rätten till privatliv och privat korrespondens en grundläggande mänsklig rättighet.

Vill vi verkligen att allt vi skriver, säger och sänder till varandra skall granskas?

Litar vi verkligen på att maskiner och algoritmer kan göra en rimlig analys av våra meddelanden?

Det måste finnas andra sätt att bekämpa sexuella övergrepp mot barn, utan att avskaffa vår rätt till privat kommunikation. (Det kan nämnas att EU:s direktiv från 2011 om att skydda barn från sexuellt utnyttjande i stora delar ännu inte har implementerats.)

Det är även värt att notera att det redan utan de nya EU-reglerna samlas outredda ärenden om sexuellt utnyttjande av barn på hög hos polisen i många EU-länder. Man kanske skulle börja med att beta av dem?

En sak kan sägas med säkerhet: På samma sätt som andra övervakningslagar drabbats av ändamålsglidning kommer syftet med ChatControl att utökas med tiden.

Därför är det bättre att hålla den dörren stängd.

Relaterat:
• Piratpartiets Katarina Stensson skriver idag i SvD: Stoppa EU-lag som kräver insyn i chattar »
Granskning: Lobbykampanjen för #ChatControl »
Skarpt EU-förslag idag: Av-kryptering och granskning av alla meddelanden och all e-post »
Aktuella lagförslag »

EU gör Europol till ett europeiskt NSA

av 2 kommentarer

EU gör Europols tidigare olagliga insamling av persondata om icke misstänkta medborgare laglig – och öppnar för AI och algoritmbaserade verktyg för ökat automatiserat beslutsfattande.

Aktivister och media börjar nu borra sig ner i EU:s nyligen antagna utökade mandat för den europeiska polisorganisationen Europol. Vi har tidigare rapporterat om huvuddragen, men djävulen finns som vanligt i detaljerna. Bill Goodwin på Computer Weekly har en omfattande genomgång. Vi gör en del nedslag i hans text.

Som vi tidigare rapporterat kommer Europol nu att samla in persondata från företag, internetoperatörer och sociala media. Detta gäller även data om personer som inte är misstänkta för brott, vilket tidigare varit olagligt.

Medlemsstaterna kommer att förse den europeiska polisorganisationen med data som till exempel passageraruppgifter från flyget (snart även båt, tåg, bilhyror och hotellövernattningar) och uppgifter man dammsugit upp från sociala media.

Det finns farhågor om att sådan data kommer att samlas in på nationell nivå utan tillräcklig kontroll och respekt för individens rätt till privatliv – och att den kommer att »tvättas« genom att matas in i nya, centrala databaser.

Samtidigt får Europol allt större möjligheter att samla in och dela data från tredje land – som inte alltid uppfyller europeiska krav på rättsstat och medborgerliga fri- och rättigheter.

EU:s dataskyddsombudsman har uttryckt oro för hur man hanterat data redan innan beslutet om ett utvidgat mandat. »Without putting in place the safeguards provided in the Europol regulation, individuals run the risk of being wrongly linked to criminal activity across the EU, with all the potential damage to their private and professional lives that that entails.«

Med det nya mandatet kommer dataskyddsombudmannen att få minskad insyn i hur Europol hanterar sin data.

Europol får nu även rätt att utveckla algoritmer och AI för automatiskt beslutsfattande och förutspående polisarbete (pre-crime). För att träna upp systemet kommer man att samla in data sets från medlemsstaterna – såväl rörande brottslig verksamhet som om vanliga, hederliga medborgare som inte gjort eller misstänks ha gjort något fel.

Detta kolliderar med Europaparlamentets tidigare rekommendation att inte tillåta AI för till exempel automatiskt beslutsfattande vid pre-crime-analyser. Parlamentet har alltså fattat två helt motstridiga beslut.

Med tanke på att Europol redan tidigare brutit mot reglerna och sparat olaglig data känns det utökade mandatet oroväckande.

Ambitionen tycks vara att göra Europol till en motsvarighet till amerikanska NSA (»collect it all«) eller brittiska GCHQ.

Läs mer i Computer Weekly: Europol gears up to collect big data on European citizens after MEPs vote to expand policing power »

Granskning: Lobbykampanjen för #ChatControl

av 10 kommentarer

Varifrån kommer förslaget om att granska innehållet i alla EU-medborgares alla meddelanden, chattar och all e-post? Tyska Netzpolitik har grävt i ämnet.

I går presenterade EU-kommissionen sitt förslag till ChatControl / meddelandekontroll. Förslaget är kraftigt försenat och har även mött hård kritik från EU-kommissionens tjänstemän. Så hur hamnade vi här?

Det började med att EU antog nya regler till skydd för medborgarnas rätt till privatliv och privat kommunikation online. Alla var i princip överens om att stärka detta skydd, då. Men snabbt påbörjades en lobbykampanj från den amerikanska organisationen Thorn.

Organisationen är grundad av Hoillywood-stjärnan Ashton Kutcher och hans dåvarande fru Demi Moore. Thorn äger dessutom det kommersiella verktyget Safer, som syftar till att identifiera barnporr och övergrepp mot barn (CSAM).

Thorn drev fram ett undantag från de nya EU-reglerna, vilket tillät operatörer och plattformar att granska innehållet i användares meddelanden, chattar och e-post på jakt efter CSAM. Och efter ytterligare lobbyinsatser från Thorn föreslår EU nu alltså att detta skall bli obligatoriskt.

Thorn har haft en extremt god tillgång till makthavare i EU. Man har haft möten med EU-kommissionärer, deras personal och även påverkat enskilda länder som Tyskland och Sverige.

Mängden möten och nivån på dessa saknar närmast motstycke. Bland dem man träffat finns bland andra EU-kommissionens ordförande Ursula von der Leyen och inrikeskommissionär Ylva Johansson.

Dock är man inte så pigga på att avslöja vad dessa möten handlat om. Se nedan.

Samtidigt har EU-kommissionär Ylva Johansson vägrat träffa företrädare för nätfrihets- och medborgarrättsorganisationer som har haft invändningar mot ChatControl.

Efter att ha arbetat i Europaparlamentet i fem år kan jag med säkerhet påstå att det ovanstående inte är ett normalt förfarande. Vilket stärker mig i misstanken om att man använder CSAM som murbräcka för en framtida övervakning av våra elektroniska kommunikationer i andra syften. Denna typ av lagar drabbas alltid av ändamålsglidning.

• Läs mer hos Netzpolitik: How a Hollywood star lobbies the EU for more surveillance »

Skarpt EU-förslag idag: Av-kryptering och granskning av alla meddelanden och all e-post

av 3 kommentarer

Innehållet i alla dina elektroniska kommunikationer och det du lagrar på molntjänster skall nu granskas för att kontrollera att du inte ägnar dig åt sexuella övergrepp mot barn.

Tidigare har EU genom speciallagstiftning gjort det möjligt för nätplattformar, meddelandetjänster, e-post-leverantörer med flera att av-kryptera och granska innehållet i användarnas privata kommunikationer. Syftet är att kontrollera att du inte ägnar dig åt barnporr.

Idag har EU-kommissionen lagt fram #ChatControl2 – som gör detta obligatoriskt.

Vi kommer att gräva i det 137-sidiga förslaget till förordning för att granska detaljerna. En del saker kan man dock redan notera. Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) har gjort en sammanställning. Några exempel:

  • Förslaget omfattar telefoni, e-post, Messenger, chattar (även i spel och på datingsidor) samt videokonferenser.
  • Text, bilder, video och tal kommer att kontrolleras.
  • End-to-end-krypterad kommunikation omfattas också, vilket kan komma att kräva client-side-scanning på din digitala enhet.
  • Även sociala media och molntjänster omfattas.
  • Eftersom alla tjänster potentiellt kan användas för olaglig verksamhet kommer alla att omfattas av förordningen.
  • Automatisk scanning av innehåll kommer att ske, trots att erfarenheter visar att det leder till felaktiga flaggningar i nio av tio fall.
  • Man vill använda maskininlärning/AI för att identifiera tidigare okänt material.
  • Ålderskontroll för alla tjänster och applikationer som kan användas för sexuella kontakter med barn. (Detta får som konsekvens att det blir omöjligt att vara anonym på i princip alla tjänster. Vilket i sin tur kommer att få oönskade konsekvenser.)
  • App-stores måste radera appar som inte underordnar sig ChatControl2.

Detta är bara några exempel och vi återkommer när vi grävt vidare i förslaget.

Det hela skall samordnas av ett »EU Center« placerat hos Europol – som just fått mandat att även lagra data om personer som inte är misstänkta för brott och som även fått direkt tillgång till data hos privata aktörer.

MEP Patrick Breyer (PP, DE) är även först ute med en kommentar:

»Apart from ineffective web blocking, the proposed chat control threatens to destroy digital privacy of correspondence and secure encryption. Scanning personal cloud storage would result in the mass surveillance of private photos. Mandatory age verification would end anonymous communication. Appstore censorship would be the end of secure messenger apps and patronise young people. The proposal does not include the overdue obligation on law enforcement agencies to report and remove known abusive material on the net, nor does it provide for Europe-wide standards for effective prevention measures, victim support and counselling and effective criminal investigations. Von der Leyen continues to chart the territory of censorship, mass surveillance, anonymity bans and paternalism, while leaving the activities of child porn rings completely untouched. The proposed measures deprive the entire population of trust, self-determination and security on the net. This plan is nothing other than terrorism against our digital fundamental rights, which I will not relent to fight.

This Big Brother attack on our mobile phones, private messages and photos with the help of error-prone algorithms is a giant step towards a Chinese-style surveillance state. Chat control is like the post office opening and scanning all letters – ineffective and illegal. Even the most intimate nude photos and sex chats can suddenly end up with company personnel or the police. Those who destroy the digital secrecy of letters destroy trust. We all depend on the security and confidentiality of private communication: People in need, victims of abuse, children, the economy and also state authorities.«

Elefanten i rummet är att när denna typ av övervakning väl införts, då kan syftet lätt utökas. Och vi vet att ändamålsglidning i princip alltid sker, vad gäller övervakningslagar.

Vi återkommer med fler detaljer och kommenterer i takt med att förslaget analyseras.

Länkar:
• EU-kommissionen: Fighting child sexual abuse: Commission proposes new rules to protect children »
Lagtexterna »
• MEP Patrick Breyer (PP, DE): EU chat control bill: fundamental rights terrorism against trust, self-determination and security on the Internet »

Första demonstrationen mot #ChatControl2, idag i Berlin.