Femte juli

Nätet till folket!

ChatControl: EU-kommissionen duckar alla jobbiga frågor

av

Det blev hård kritik men få svar när EU-kommissionär Ylva Johansson grillades om förslaget om att granska innehållet i alla våra elektroniska kommunikationer.

EU-kommissionen vill att din e-post och alla dina elektroniska meddelanden med mera skall av-krypteras, att dess innehåll skall granskas och att misstänkt innehåll skall överlämnas till en ny EU-myndighet.

På måndagen höll Europaparlamentets utskott för mänskliga rättigheter, LIBE, en utfrågning av EU-kommissionär Ylva Johansson med anledning av detta förslag om åtgärder för att förhindra sexuellt utnyttjande av barn på nätet (CSAR), populärt kallat #ChatControl.

Det uppgivna syftet är en perfekt murbräcka, för vem är väl för sexuella övergrepp mot barn? Och vem vågar säga emot utan att riskera att misstänkliggöras? Samtidigt vet vi att nya övervakningslagar i princip alltid drabbas av ändamålsglidning.

Det mesta som presenterades är sådant som lätt går att utöka till andra syften.

Är det verkligen någon som tror att detta verktyg, när det väl finns på plats, inte kommer att användas för andra ändamål?

Du kan se utfrågningen genom att följa denna länk.

Utfrågningen börjar lite försiktigt, men tar sig i andra halvan – då kommissionär Johansson fullständigt bombarderas med kritiska frågor och allvarliga invändningar. Vilka hon i allt väsentligt duckar i sina svar.

Rätten till privatliv och privat korrespondens är en grundläggande mänsklig rättighet. Och mänskliga rättigheter skall även gälla online.

Europakonventionen om de mänskliga rättigheterna föreskriver i artikel 8:1:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.»

Sedan finns det undantag, som till exempel för att bekämpa brott. Men då måste det finnas en misstanke. Att granska innehållet i alla medborgares alla elektroniska kommunikationer för den händelse att någon eventuellt skulle skriva eller sända något olagligt är inte förenligt med rätten till privat korrespondens.

Detta är en princip som redan slagits fast av EU-domstolen vad gäller datalagringen. Svepande övervakning utan misstanke om brott är inte tillåten.

EU-kommissionen försöker komma runt detta genom att göra det hela till en fråga om den inre marknaden snarare än mänskliga rättigheter. Vilket är precis samma knep den använde när man skrev det nu ogiltigförklarade datalagringsdirektivet. Det fungerade inte då och det kommer inte att fungera nu heller.

Men trots att det är uppenbart att CSAR kommer att falla i EU-domstolen om regleringen antas, så försöker kommissionen ändå.

Det finns hur mycket som helst att kommentera om utfrågningen. Därför kommer vi att bryta ner detta till mindre delar den närmaste tiden. Stay tuned.

Video:
• LIBES utfrågning av EU-kommissionär Ylva Johansson om CSAR »

Läs mer:
• Chat Control: The EU’s CSEM scanner proposal – The End of the Privacy of Digital Correspondence »

Just nu förbjuder EU anonyma betalningar med kryptovaluta

av

Med dagens beslut i Europaparlamentet blir anonyma kryptobetalningar olagliga – med ID-krav för hosted wallets och för betalningar från non-hosted till hosted wallets.

Som vi tidigare rapporterat fattades bara Europaparlamentets godkännande för ett EU-förbud mot anonyma kryptobetalningar oavsett belopp. Idag fattade de ansvariga utskotten beslutet med bred majoritet. Förbudet får därmed anses vara ett fullbordat faktum.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

«These rules will deprive law-abiding citizens of their financial freedom. For example, opposition leaders like Alexei Navalny are increasingly reliant on anonymous donations in virtual currencies. Banks have also blocked donations to Wikileaks in the past. The creeping abolition of real and virtual cash threatens negative interest rates and a shutdown of the money supply at any time. We should have a right to be able to pay and donate online without having our financial transactions recorded in a personalised way.«

Hur EU:s nya förbud skall gå att upprätthålla på ett globalt internet framgår inte.

• Patrick Breyer: Pirates are against the new rules on crypto assets which will ban anonymous payments »

• Läs även vår tidigare bloggpost i frågan »

Europol brainstormar om att knäcka krypterade kommunikationer

av

Myndigheternas krig mot krypterad information fortsätter. Samtidigt vill EU:s ministerråd begränsa insynen i hur polisen använder artificiell intelligens i sitt arbete.

Bakdörrar, superdatorer och samarbete med internetoperatörer var några av de idéer som diskuterades när EU:s olika polis- och säkerhetsorgan nyligen brainstormade hur man kan gå vidare för att knäcka krypterade kommunikationer.

Detta skedde på en konferens med EU Innovation Hub for Internal Security som hölls förra månaden, enligt Statewatch som har utskrifter av vad som diskuterades.

Särskilt uppseendeväckande är att man öppnar för att hålla säkerhetsluckor i vår IT-infrastruktur öppna istället för att anmäla dem – för att själva kunna utnyttja dessa för övervakning.

Men sådana säkerhetsluckor kan även användas av andra, till exempel kriminella och främmande makt. Vilket gör oss alla mindre säkra.

Statewatch rapporterar:

»At a recent event hosted by Europol’s Innovation Hub, participants discussed questions relating to encrypted data and the ability of law enforcement authorities to access digital information. One issue raised was a possible ”EU Vulnerability Management Policy for Internal Security,” which could allow for ”temporary retention of vulnerabilities and their exploitation by the relevant authorities.” In effect, this would mean identifying weaknesses in software and, rather than informing the software developers of the problem, exploiting it for law enforcement purposes.«

EU Innovation Hub for Internal Security består av nio olika EU-myndigheter och organ som på olika sätt arbetar med polisiära och säkerhetsrelaterade frågor. Spindeln i nätet är EU:s polismyndighet Europol. Såväl EU-kommissionen som ministerrådet är medlemmar – men inte Europaparlamentet.

I övrigt diskuterade man även hur artificiell intelligens (AI) kan användas i polisiärt arbete samt vad man kan göra för att komma åt elektroniska kommunikationer i 5G-nätet (vilket tydligen är oväntat krångligt).

Intressant nog vill EU:s ministerråd begränsa transparensen vad gäller hur polisiära myndigheter använder AI i sitt arbete. Statewatch skriver:

»The Czech Presidency of the Council has inserted new provisions into the proposed AI Act that would make it possible to greatly limit the transparency obligations placed on law enforcement authorities using ”artificial intelligence” technologies. A new ”specific carve-out for sensitive operational data” has been added to a number of articles. If the provisions survive the negotiations, the question then becomes: what exactly counts as ”sensitive operational data”? And does the carve-out concern just the data itself, or the algorithms and systems it feeds as well?«

Detta är ytterligare en het fråga som lär hamna på det svenska EU-ordförandeskapets bord efter årsskiftet.

Läs mer:
• Statewatch: EU: Discussion on encryption ponders ”retention of vulnerabilities and exploitation by the authorities” »
• ”Wicked problem”: Europol considers vulnerability exploitation to break encryption »
• Statewatch: EU: AI Act: Council Presidency seeks more secrecy over police use of AI technology »

Nu är EU:s nya nätcensur här

av

Nu är det klubbat och klart i EU: Vi får statligt godkända nätgranskare och gränsöverskridande nedtagningsorder av innehåll, även om det inte är olagligt.

Nu har även EU:s ministerråd sagt ja till unionens nya Digital Services Act, DSA (sv: Fördordningen om digitala tjänster). Den kommer därmed att träda ikraft om ett drygt år.

Eftersom det är en förordning (och inte ett direktiv) kommer DSA inte att behöva implementeras i nationell lagstiftning – utan gäller rakt av i alla medlemsstater, som den är skriven.

Förordningen innehåller en del bra saker – som något slags odefinierad möjlighet att överklaga censur av innehåll på sociala media. Men det är de problematiska delarna vi måste hålla ögonen på.

• Trusted Flaggers – statligt godkända nätgranskare

Trusted flaggers (sv: betrodda anmälare) är statligt godkända nätgranskare som skall ha en direktlina till sociala media för att rekommendera vilket innehåll som skall plockas bort.

En Trusted Flagger kan vara en myndighet eller en företrädare för ”kollektiva intressen” (organisationer) som utses av staten. De skall verka under insyn av en ny nationell digital samordnare (Digital Service Coordinator) som i sin tur verkar under en nyinrättad European Board for Digital Services.

Trusted Flaggers är problematiska på flera sätt. Till exempel är det anmärkningsvärt att myndigheter och andra nu får rätt att i praktiken censurera innehåll utan föregående rättslig prövning.

Grundtanken har varit att en Trusted Flagger skall anmäla olagligt innehåll. Men i DSA kan vi läsa om att de kan få bredare uppgifter. Och även om de strikt skulle hålla sig till olagligt innehåll, så finns det gott om lagar i EU:s medlemsstater (t.ex. Polen och Ungern) som inte stämmer överens med vad som rimligen kan anses vara i linje med yttrandefriheten i en liberal demokrati.

Nu skall det bli spännande att se vilka som utses till Trusted Flaggers. Det samma gäller den nya nationella digitala samordnaren. Blir det en ny myndighet eller kommer uppgiften att underställas till exempel Post- och Telestyrelsen? Detta kommer att bli en fråga för vår nya regering.

• Gränsöverskridande nedtagningsorder

Ett annat problem är att en myndighet i en medlemsstat skall kunna beordra nedtagning av innehåll på plattformar och servrar i ett annat land – även om detta innehåll inte är olagligt i det senare.

Detta är problematiskt, av lätt insedda skäl. Men nu när det är klubbat återstår att se hur detta verktyg kommer att användas.

Vi kommer att få anledning att återkomma i frågan.

Politiker anmäls till EU-domstolen för retroaktiv lagstiftning som gör olaglig datainsamling laglig

av

EU har stiftat retroaktiva regler som tillåter Europol att bryta mot lagen. Därför drar den europeiska dataskyddsmyndigheten politikerna inför domstol.

Som vi tidigare berättat har EU:s polismyndighet Europol olagligt lagrat uppgifter om miljontals enskilda individer – som inte är misstänkta för något brottsligt.

Med Europols nyligen utökade mandat gjordes denna olagliga lagring laglig, med ett klubbslag.

En nederländsk politisk aktivist (som inte har några kriminella kopplingar) begärde redan för två år sedan ut sina personuppgifter från Europol. I enlighet med dataskyddsförordningen.

Europol inte bara vägrade – utan raderade istället dessa uppgifter. Vilket gör det omöjligt att veta om och i vilken utsträckning de brutit mot de då existerande reglerna.

Den europeiska dataskyddsmyndigheten (EDPS) beordrade därför Europol att återskapa (!) denna data och överlämna den enligt begäran. Vilket inte skett.

Detta fall är bara en del i en större prövning av hur EU:s beslutfattare (speciellt det tidigare franska ordförandeskapet) skapat retroaktiva regler som gör handlingar lagliga, som vid det aktuella tillfället var olagliga.

EDPS drar därför lagstiftarna (rådet och parlamentet) inför EU-domstolen. Man menar att de nya reglerna inte bara hotar rättssäkerheten utan även tillsynsmyndighetens oberoende.

Detta skall bli intressant att följa. Även denna fråga kan bli en het potatis för det tillträdande svenska EU-ordförandeskapet.

Länk:
• EU privacy watchdog sues lawmakers over new Europol mandate »

Relaterade, tidigare poster (nyast överst):
• EU gör Europol till ett europeiskt NSA »
• Europol får utökat mandat för övervakning »
• Europol får fortsätta registrering av icke misstänkta »

Så kan delar av den förbjudna datalagringen ändå fortsätta

av

EU:s medlemsstater kringgår EU-domstolens förbud mot datalagring genom att bryta loss lagring och katalogisering av IP-nummer i nationell lagstiftning.

Hur kan det komma sig att generell datalagring (data om allas alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar m.m.) är förbjuden – men att lagring av IP-adresser plötsligt blivit högsta politiska mode?

I en lång rad domar (upphävt datalagringsdirektiv samt domar mot länder som ändå fortsätter) har EU-domstolen gång på gång sagt att urskiljningslös insamling av data om allas alla telekommunikationer inte får förekomma. Sådan strider nämligen mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv.

I den senaste domen, som riktas mot Tyskland, säger EU-domstolen dock följande:

»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«

Det vill säga att insamling av IP-adresser ”utanför” datalagringsdirektivet anses vara nationell kompetens.

Vilket öppnar dörrarna för de medlemsstater i EU som vill försöka upprätta något slags IP-nummer-katalog på användar-/individnivå.

Detta är ett fult, men klassiskt EU-knep: Om något inte kan eller får beslutas på EU-nivå, då bestämmer sig medlemsstaterna för att göra så ändå, men var och en för sig. Vilket i praktiken får samma effekt som om beslutet fattats på EU-nivå.

Detta känns rätt mycket som obstruktion mot EU-domstolens grundläggande, principiella förbud mot datalagring. Fast på ett sätt som hindrar domstolen från att göra något åt saken.

Som vi också rapporterat leder detta till nya problem när portnummer saknas. Eftersom det råder brist på IPV4-adresser (i väntan på att allt blir klart med IPV6) delar ofta flera kunder på samma IP-nummer (så kallad NATad adress.)

Detta innebär att om polisen begär ut identiteten bakom en IP-adress – då går det bara att få ut uppgift om alla som delat denna adress. Vilket i sin tur innebär att helt oskyldiga människor kan komma att granskas av myndigheterna.

Vilket inte är acceptbelt. Vanliga, hederlig människor som inte misstänks för brott skall inte övervakas.

Använd VPN!

Läs mer / relaterat:
• EU-domstolens senaste dom (PDF) »
• Data retention ruling: Let’s free Europe from mass surveillance and general suspicion! »
• EU-stater registrerar användares IP-adresser »
• Germany split on using IP data storage to fight online child abuse »
• „Wir müssen die IP-Adressen für die Ermittlungsbehörden verfügbar haben“ »
• IP data retention is no option: IPv6 addresses can be unique and persistent tracking identifiers – a new study finds »
• Dags att ta svensk datalagring till EU-domstolen – igen? »

EU-stater registrerar användares IP-adresser

av

EU:s medlemsstater tycks samla på sig kataloger över enskilda nätanvändares IP-adresser. Vilket EU-domstolen accepterar, trots att den säger nej till generell datalagring.

Gårdagens goda nyhet var att EU-domstolen åter säger tydligt nej till urskiljningslös datalagring. Men djävulen finns i detaljerna.

Bortom huvudnyheten, i det finstilta, läser vi följande i EU-domstolens dom:

»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:

»Unfortunately, the greatest consensus among governments currently seems to exist on mandating indiscriminate IP data retention throughout Europe, which the judges in Luxembourg green-lighted under massive pressure.

Under no circumstances should all internet users be placed under general suspicion and online anonymity be abolished!

IP addresses are our digital fingerprints on the internet. Bulk collection would endanger crime prevention in the form of anonymous counselling and pastoral care, victim support through anonymous self-help forums and also the free press, which depends on anonymous informants.

Incidentally, there is no evidence that IP data retention significantly increases the crime clearance rate. In the absence of data retention Germany today has a higher cybercrime clearance rate than with IP data retention in place.«

Det tycks alltså som om vissa av EU:s medlemsstater samlar IP-adresser för något slags egen katalog. Detta sker även i Sverige.

Här pågår en dragkamp i frågan mellan den svenska Post- och Telestyrelsen (PTS) och Bahnhof. Ur vår tidigare rapportering:

»PTS skriver i sitt pressmeddelande ”Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.”

Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.«

PTS hotar Bahnhof med vite om man inte lämnar ut dessa användaruppgifter. Vilket överklagats till Förvaltningsrätten.

Vi träffade nyligen Bahnhofs VD Jon Karlung, som kunde berätta att om PTS får som de vill – då kan det handla om att lämna ut identiteten på hundratals användare som inte är misstänkta för något brottsligt.

Skälet är att det börjar bli slut på IPv4-adresser och att många kunder därför måste dela på samma IP-adress (NATade adresser) i väntan på IPv6.

Det blir allt tydligare att myndigheterna vill ha en egen katalog över enskilda individers IP-adresser, vilket bland annat tyder på att de inte riktigt förstår hur internet fungerar.

Vi återkommer inom kort med en podcast / intervju med Jon Karlung.

EU-domstolen säger än en gång nej till datalagring

av

I det senaste av en lång rad beslut om datalagring säger EU-domstolen åter nej till generell lagring av kommunikationsdata utan misstanke om brott.

I ett förhandsutlåtande för den tyska författningsdomstolen säger EU-domstolen än en gång nej till generell, svepande lagring av data om alla människors alla telekommunikationer m.m.

Till skillnad från andra länder som fått en åthutning av domstolen har den tyska regeringen dock redan beslutat att sluta med allmän datalagring.

Ur domstolens beslut (PDF):

»EU-domstolen bekräftar att en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter strider mot unionsrätten, förutom om det föreligger ett allvarligt hot mot nationell säkerhet.«

Vill man data lagra måste det finnas en inriktning mot till exempel personer som är misstänkta för brott.

Samma beslut skulle kunna fattas om den svenska datalagringen, där den nya lagen inte heller lever upp till de krav domstolen ställer upp.

EU-kommissionen och medlemsstaterna funderar just nu på om det går att besluta om ett nytt datalagringsdirektiv, som kringgår domstolens beslut. (EU-domstolen upphävde 2014 datalagringsdirektivet, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.)

• EU-domstolens pressmeddelande (PDF) »

(Domen verkar dock tillåta lagring av IP-adresser, vilket vi återkommer till inom kort.)