Femte juli

Nätet till folket!

Chat Control 2 – omvända roller i ministerrådet

av

Den goda nyheten är att det senaste förslaget om Chat Control 2 i EU:s ministerråd säger nej till obligatorisk massövervakning. Den dåliga nyheten är att det inte finns någon tillräcklig majoritet i rådet för det heller.

När EU:s ministerråd (RIF-rådet) sammanträder den 6-7 mars kommer frågan om kontroll av innehållet i folks elektroniska meddelanden – Chat Control 2 – upp igen. Inför detta möte har förutsättningarna ändrats.

Efter att ministerrådet dragit frågan i långbänk i åratal har det nya polska ordförandeskapet rört om i grytan. Förra ordförandeskapets förslag om client-side-scanning (spionprogram på din telefon och dator) är borta. Och EU-kommissionens ursprungliga förslag om obligatorisk användning av AI för att granska innehållet i dina elektroniska meddelanden är också borta.

Istället föreslås nu att man gör den tillfälliga lag permanent, som redan låter meddelandetjänster frivilligt skanna efter innehåll relaterat till sexuella övergrepp på barn i sina användares meddelanden – Chat Control 1.

Detta är inte heller oproblematiskt. Men det är bättre än obligatorisk granskning av alla meddelanden i alla meddelandetjänster, oavsett om det sker med AI eller spionprogram. Och det kräver information till / samförstånd med användarna i användarvillkoren.

Därmed finns det inte heller längre något krav på att komma åt helsträckskrypterade (E2EE) meddelanden. (Läs mer i denna tidigare bloggpost »)

På så sätt kommer det fortfarande att finnas säkra meddelande-appar, som Signal.

Nu har de nationella tjänstemännen och ambassadörerna i ministerrådet haft frågan uppe på sitt bord och bett medlemsstaterna om skriftlig feedback.

Dock står det redan klart att hela frågan om Chat Control 2 ställts på huvudet. Tidigare fanns en majoritet för obligatorisk massövervakning – men en tillräckligt stor blockerande minoritet emot.

När man nu plockat bort de giftigaste delarna av förslaget är situationen den omvända. En minoritet är för det nya förslaget och en stor majoritet emot.

Majoriteten – anförd av Spanien – vill ha obligatorisk skanning av innehållet i medborgarnas meddelanden, i någon form. Vilket alltså inte går ihop med det nya förslaget. På så sätt har hela frågan gått i baklås, i vart fall för tillfället.

Detta är en förändring i sista stund, då regeringsombildning i Österrike och val i Tyskland kan leda till att den gamla blockerande minoriteten faller.

Frågan är om det polska ordförandeskapet (som är emot CC2) försöker döda förslaget helt eller bara skjuta beslutet framåt, till det danska ordförandeskapet som tillträder i sommar.

Hur som helst kan man utgå från att ministerrådets centrala funktionärer fortsätter söka en lösning som både innehåller tvingande massövervakning och som kan få en tillräcklig majoritet. De ger aldrig upp.

6-7 mars skall justitieminister Strömmer och hans kollegor diskutera saken på ett rådsmöte. Till dess kan förändringar göras i det senaste förslaget. Det finns till och med tid att koka ihop något nytt, efter det skiftliga rådslag bland medlemsländerna som skall vara klart denna vecka.

Det känns som att man inte kommer att komma till beslut på mötet i mars (heller). Efter det sammanträder rådet igen den 12-13 juni. Sedan tar Danmark över ordförandeskapet vid halvårsskiftet.

• Läs mer: Mehrheit der EU-Staaten beharrt auf verpflichtender Chatkontrolle »

Relaterat:
• Början till slutet för Chat Control 2? »
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

Har US VP Vance rätt om yttrandefriheten i Europa?

av

Är den amerikanske vicepresidenten Vances kritik mot EU:s inskränkningar av yttrandefriheten korrekt? Här är vår granskning.

Samhällsdebatten har flera problem. Ett är att folk och media inte tycks kunna hålla mer än en tanke i huvudet samtidigt. Ett annat är den polarisering som skapat en situation där det tycks vara viktigare vem som säger något än vad personen säger.

Som gammal stöt har jag lärt mig att även människor jag inte sympatiserar med kan ha en poäng. Ibland. Därför bör varje yttrande bedömas inte bara utifrån en bredare kontext utan även på sina egna meriter.

Givet denna brasklapp tycker jag att det var uppfriskande att USA:s vicepresident Vance sa obekväma saker om yttrandefriheten i Europa på säkerhetskonferensen i München. Även om jag långt ifrån håller med om allt han hade att säga.

Men när det gäller inskränkningarna av yttrandefriheten i Europa/EU har Vance en poäng.

Visserligen tycks han ha missuppfattat en del. Men det skiljer honom inte nämnvärt från de europeiska politiker som stiftar de i sammanhanget relevanta lagarna. Eller folk i allmänhet. Eller media. Man får vara tacksam om det blir tillräckligt rätt i debatten…

Vad gäller EU och dess Digital Services Act (DSA) är problemen flera. Även om det enda formella och direkt specificerade kravet är att olagligt innehåll skall plockas bort från sociala media och sökmotorer lämnar man ändå dörren på glänt.

I DSA:s artikel 33/34 föreskrivs:

»Leverantörer av mycket stora onlineplattformar och av mycket stora onlinesökmotorer ska noggrant identifiera, analysera och bedöma alla eventuella systemrisker i unionen som härrör från utformningen av tjänsten eller hur deras tjänst och relaterade system fungerar, inbegripet algoritmiska system, eller från användningen av deras tjänster.«

Bland de »systemrisker« som nämns finns »eventuella faktiska eller förutsebara negativa effekter på samhällsdebatten« – vilket kan betyda i stort sett vad som helst. Det förutsätter också att någon måste bestämma vad som är en negativ effekt på samhällsdebatten. Vem och vad är öppna frågor.

Speciellt i förordningens förtext (skäl/recitals) lyfts i sammanhanget innehåll som anses vara skadligt även om det inte är olagligt.

Kokar man ner det hela innebär DSA att stora sociala media och sökmotorer kan tvingas begränsa även icke olagliga yttranden. Till exempel i sin interna moderering och via sina användarvillkor. Vilket är ett klassiskt knep från EU-politikernas sida för att begränsa det fria ordet utan att behöva ta politisk strid kring detta.

Vi har alltså en EU-lagstiftning som öppnar för censur av icke olagliga yttranden. Vilket är orimligt, på så många sätt.

I DSA:s artikel 22 hittar vi Trusted Flaggers (betrodda anmälare). Detta kan vara NGO:er / GONGO:s / QUANGO:s / DONGO:s (ideella organisationer mer eller mindre finansierade och ibland skapade av myndigheterna), myndigheter, branschorganisationer och företrädare för »kollektiva intressen« med sakkunskap på vissa områden.

Formellt sett skall en Trusted Flagger ha en direktlina till sociala media (m.fl.) för att rekommendera borttagning av olagligt material. (Vad som i sammanhanget är olagligt avgörs av den politiska dagsformen.)

Att se till att avlägsna olagligt innehåll må vara en sak. Men i DSA kan vi läsa att Trusted Flaggers även skall hjälpa till med att identifiera information som är oförenlig med respektive socialt nätverks / sökmotors användarvillkor. Det vill säga innehåll som oftast inte är olagligt.

Statligt godkända nätcensorer skall alltså kunna rekommendera att innehåll som inte är olagligt skall avlägsnas från internet. Vilket känns som en anomali i en rättsstat.

Enligt DSA skall Trusted Flaggers även medverka vid analys av systemrisker, ha ett utökat samarbete med sociala media, medverka vid utbildning för sociala plattformar samt bidra till utformning av uppförandekoder.

En tredje invändning mot DSA är att regleringen ställer krav på en mycket omfattande byråkrati. Den är av en sådan omfattning att även om jättar som Meta och Google kanske har tillräckligt med advokater och compliance officers för att möta DSA:s krav gör kraven det i praktiken omöjligt för nya aktörer att slå sig in på dessa marknader.

Vilket rimligen påverkar yttrandefriheten negativt.

Utöver DSA finns massor av nationella lagar i EU som begränsar yttrandefriheten. Till exempel uppmärksammade VP Vance i sitt tal i München den hårt kritiserade svenska domen mot en koran-brännare – som i allt väsentligt återupplivar det sedan länge avskaffade svenska hädelseförbudet.

På Malta är det förbjudet att uppmana till eller underlätta abort. I Polen kan man få fängelse om man kränker staten eller dess funktionärer. I Grekland finns vissa inskränkningar vad gäller medias rapportering om flyktingar. I Italien kan media bötfällas för ”felaktiga nyheter”. Frankrike har restriktioner om hur man kan rapportera om polisvåld och lagar som gör livet svårt för visselblåsare.

Polen, Spanien, Tyskland och Italien har i varierande grad olika lagar mot hädelse.

Tyskland har sin NetzDG (Netzwerkdurchsetzungsgesetz) som kritiserats för att begränsa yttranden som är legitima. Den utgående tyska regeringen har drivit och driver ett antal uppmärksammade rättsfall mot yttranden i sociala media.

I höstas kastade den tyska författningsdomstolen ut ett sådant fall, där en Youtuber på X ifrågasatt lämpligheten i att tyska regeringen sänt 370 miljoner euro till talibanerna i Afghanistan.

I det fallet påpekade domstolen att staten måste finna sig i att bli hånad. Vilket står i kontrast till inrikesminister Faesers yttrande om att den som hånar staten kommer att få med den starka staten att göra.

Så visst är yttrandefriheten i Europa hotad. Även när man tar sig tid att studera faktiska sakförhållanden, vilket allt för få gör.

Sammanfattningsvis: Även om US VP Vance generaliserade och hade dålig kännedom om sakförhållanden – så ligger det en hel del i hans kritik mot inskränkningar av yttrandefriheten i Europa.

Vilket är något EU:s ledare absolut inte vill kännas vid. Deras upprördhet tyder på att Vance träffat en öm nerv.

EU:s planer för internet – hela (?) listan

av

Trots kritiken mot att man överreglerar kommer EU att rulla ut ett flertal nya lagstiftningsförslag som berör internet, yttrandefrihet och övervakning under den nya mandatperioden.

Den nya EU-kommissionen har nu presenterat sitt arbetsprogram. Totalt planeras 51 större nya politiska initiativ och det finns 123 sådana under beredning sedan tidigare. Låt oss titta igenom dokumenten och se vad som rör internet, övervakning och relaterade frågor.

I ett faktablad kan vi läsa att det kommer ett lagstiftande digitalt paket under fjärde kvartalet i år. Då kommer även en Digital Networks Act, en AI Continent Action Plan och en Quantum Strategy of EU. (Oklart om detta är delar i det digitala lagpaketet eller om de ligger utanför.)

Under tredje kvartalet i år tänker man komma till skott med EU:s Demokratisköld, där vi redan skrivit om kommissionens briefing paper. Intrycket är att det mest är en byråkratisk ordsallad. Vi kan även förvänta oss fördjupad lagstiftning mot diskriminering och rasism, vilket alltid väcker frågor om rättigheter och yttrandefrihet.

Det kommer också en ny intern säkerhetsstrategi för EU i närtid. Vi vet ännu inte vad den innehåller, men några heta frågor i ämnet kan vara ny datalagring, kriget mot totalsträckskryptering, och ökad massövervakning, som ju ständigt är aktuella i unionen.

Gräver man ner sig i bilagorna kan vi även se att man planerar en översyn av EU:s Geo-blocking Regulation.

Plus sådant som redan är under beredning:

  • digital Euro [COM(2023)369 final 2023/0212 (COD)],
  • ett direktiv om »payment services and electronic money services« [(COM(2023)366 final 2023/0209 (COD)],
  • reglering av ramverk för Financial Data Access [COM(2023)360 final 2023/0205(COD)],
  • Chat Control 2 [COM(2022)209 final 2022/0155 (COD)],
  • »A more inclusive and protective Europe« – utökning av listan av EU-brott till att även gälla hat och hot [COM(2021)777 final] (se vår tidigare bloggpost).

Man kan även notera att att EU-kommissionen i sista stund dragit tillbaka ett planerat AI Liability Directive [COM(2022)496 final 2022/0303 (COD)] Vilket kanske kan ses i ljuset av kritiken mot att EU överreglerar AI.

Ett annat förslag som dragits tillbaka är en reglering »concerning the respect for private life and the protection of personal data in electronic communication« [COM(2017)10 final 2017/0003 (COD)].

Något vi vid första påseende inte kan hitta i dokumenten är planen på gemensamma digitala medicinska journaler i EU, digitalt EU-ID och en EU-gemensam digital plånbok. Men det är möjligt att dessa frågor betraktas som färdigbehandlade.

Allt det ovanstående med reservation för att EU-dokumenten är snåriga, att viktiga saker ibland göms bakom missvisande rubriker och att vi kan ha missat eller missuppfattat något. Lägg till det att nya frågor ständigt dyker upp, ofta snabbt och under radarn.

• EU-kommissionen: A bolder, simpler, faster Union: the 2025 Commission work programme »

Relaterat:
• Nya EU-kommissionen och internet »

UK: Krav på bakdörrar till molntjänster för användare i hela världen

av

Brittiska regeringen kräver en bakdörr med tillgång till allt i Apples moln. Det kommer i så fall att drabba användare över hela världen.

Förra veckan avslöjade Washington Post att den brittiska regeringen kräver att Apple skall skapa en bakdörr som ger myndigheterna tillgång till användarnas lagrade information i molnet (backups, foton, meddelanden, e-post, filer, app-data, nyckelring m.m.).

Det spekuleras i att Apple därför kommer att sluta erbjuda sitt avancerade dataskydd för iCloud till brittiska kunder, hellre än att riskera alla sina användares säkerhet. Dock gäller britternas krav tillgång till innehåll inte bara brittiska användare. Således står vi inför ett globalt säkerhetsproblem.

Apples kunder måste nu fråga sig om de alls kan eller vill fortsätta använda företagets molnlagring – som är en integrerad del i ett system där användarna på ett närmast sömlöst sätt kan återskapa sina iPhones med mera från nätet om de uppdaterar eller förlorar sin telefon.

Sedan är det bara en tidsfråga tills samma sak drabbar Google. Möjligen har det redan skett. Drabbade företag förbjuds att utala sig om saken.

James Baker på brittiska Open Rights Group säger:

»The government want to be able to access anything and everything, anywhere, any time. Their ambition to undermine basic security is frightening, unaccountable and would make everyone less safe. WhatsApp and other services will be next in their sights.«

»They seek to do this in secret, with minimal accountability, and potentially global impacts. It is straightforward bullying.«

Från Electronic Frontier Foundation (EFF) kommer liknande reaktioner:

»If Apple does comply, users should consider disabling iCloud backups entirely. Perhaps most concerning, the U.K. is apparently seeking a backdoor into users’ data regardless of where they are or what citizenship they have.«

Den totalsträckskrypterade meddelandeappen Signal, i Financial Times:

»”Using technical capability notices to weaken encryption around the globe is a shocking move that will position the UK as a tech pariah, rather than a tech leader,” said Meredith Whittaker, president of the Signal Foundation, the nonprofit that runs the secure messaging app. ”If implemented, the directive will create a dangerous cyber-security vulnerability in the nervous system of our global economy.”«

I sammanhanget skall påpekas att Europadomstolen har slagit fast att totalsträckskrypterad (E2EE) kommunikation är en mänsklig rättighet, inom ramen för rätten till privatliv och privat korrespondens.

Det är anmärkningsvärt när länder och regionala organ vill införa övervakning som får globala konsekvenser. Ovanstående är bara ett exempel. Ett annat är EU:s Chat Control 2 som kan komma att inte bara drabba privatpersoner och företag över hela världen – utan även oliktänkande och oppositionella i skurkstater.

• Washington Post: U.K. orders Apple to let it spy on users’ encrypted accounts »
• Financial Times: UK orders Apple to give it access to encrypted cloud data »
• Open Rights Group: UK Government undermines security with demands for Apple users encrypted data »
• EFF: The UK’s Demands for Apple to Break Encryption Is an Emergency for Us All »
• Headline USA: Apple Ordered to Provide Gov’t Access to ALL User Data on the Cloud »

Relaterat:
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »

Början till slutet för Chat Control 2?

av

Ett nytt förslag i EU:s ministerråd säger nej till de värsta delarna av Chat Control 2. Men det finns fortfarande problematiska saker kvar.

Efter snart tre år i långbänk i EU:s ministerråd föreslår det polska ordförandeskapet enkelt uttryckt att Chat Control 2 skrotas i sina centrala delar. Istället blir de nu gällande reglerna – Chat Control 1 – permanenta tills vidare.

Vilket innebär att meddelandetjänster kan fortsätta att frivilligt söka efter sexuella övergrepp mot barn i användarnas meddelanden, precis som idag. Men det blir inget krav på att detta skall göras obligatoriskt.

Det blir inte heller någon client-side-scanning med spionprogram på medborgarnas telefoner och datorer. Även tanken på att använda (icke-existrerande) AI-teknik för att analysera innehållet i folks meddelanden skrotas.

Detta sker samtidigt som den blockerande minoriteten mot CC2 i ministerrådet blivit allt mer osäker. Nu blir situationen plötsligt den omvända – att den majoritet av medlemsstater som vill ha massövervakning kan komma att säga nej till det nya förslaget.

Ur det nya förslaget:

»a) Detection orders are deleted from the scope of the Regulation (Articles 7 to 11).
b) A review clause is maintained with the invitation to the Commission to assess within three years after entry into force of this Regulation the legal and technological possibilities of mandatory detection in the future (Article 85).
c) The derogation from certain provisions of Directive 2002/58/EC is included in the Regulation as a permanent measure (Article 4a).«

Men allt är inte frid och fröjd. Den redan existerande Chat Control 1 innebär som sagt att meddelandetjänster har rätt att frivilligt granska innehållet i sina användares meddelanden. Vilket i sig är en form av massövervakning.

Men det blir inget tvång att göra detta och granskningen måste rimligtvis avtalas i användarvillkoren. Dessutom kommer totalsträckskrypterade meddelande-appar som Signal att kunna användas i EU även i framtiden.

Det är även värt att notera att man håller öppet för obligatorisk innehållsgranskning av meddelanden någon gång i framtiden (när/om tekniken så medger).

Ministerrådets nya förlag innehåller även ett krav på en 16-årsgräns (artikel 6) för meddelande-appar och appar som har inbyggd chatfunktion (t.ex. spel). Vilket är en orealistisk och dålig idé. Dessutom kommer detta att medföra ID-krav, vilket i sin tur kommer att göra det omöjligt att vara anonym. (ID-krav för meddelandetjänster finns även i artikel 4.)

Förslaget skall diskuteras bland medlemsstaterna i rådets Law Enforcement Working Party i morgon, onsdag.

Eftersom det är ett helt nytt förslag måste frågan även tas upp i EU:s ministerråd för rättsliga och inrikes frågor. Det har formella möten den 6-7 mars och 12-13 juni.

På det hela taget rör sig frågan år rätt håll, även om det finns problematiska delar kvar.

Europaparlamentet har redan sagt nej till Chat Control 2 i alla dess centrala delar. Om ministerrådet nu ställer sig bakom det nya förslaget – då lär resultatet av trilogförhandlingarna (EU-kommissionen, ministerrådet och Europaparlamentet) bli att allt som har att göra med obligatorisk granskning av innehållet i medborgarnas elektroniska meddelanden faller. Vilket i sig vore en seger för rätten till privatliv.

Men än är vi inte där och det finns fortfarande problematiska delar (som åldersgränser/ID-krav) kvar i både rådets och parlamentets skrivningar.

• Ministerrådets senaste förslag »
• Half-good new Polish Chat Control proposal to be discussed on Wednesday »
• Surveillance: EU Council leaders want to make voluntary chat control permanent »
• Chatcontrol-wetgeving deels afgezwakt: berichten scannen wordt optioneel »

Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation

av

Regeringens förslag om att ge myndigheterna tillgång till krypterade meddelanden sågas grundligt av tunga remissinstanser.

Bort med tassarna från totalsträckskrypterad kommunikation! Det är budskapet när Försvarsmakten ger sitt remissvar på regeringens utkast till lagrådsremiss om »Datalagring och tillgång till elektronisk information«.

Förslaget bygger på en utredning som bland annat föreslår att i princip alla elektroniska meddelandetjänster (utom telefon och SMS) skall tvingas lämna ut information om innehåll i användarnas meddelanen. Det skall ske i läsbar (okrypterad) form. Även om meddelandet är totalsträckskrypterat (E2EE).

Vilket i så fall kräver något slags bakdörr. Detta kallas på kanslihus-svenska för »anpassningsskyldighet«.

Datasäkerhetsspecialisten Karl Emil Nikka har gjort en sammanställning av remissvaren, som presenteras i den utmärkta podcasten Bli Säker. Du kan se avsnittet nedan. Här är några nedslag:

Journalistförbundet menar att det är viktigt för källskyddet med anonymitet och att denna hotas med förslaget. Man pekar även på att totalsträckskrypterade meddelandetjänster är viktiga för människorättsaktivister och andra som riskerar att drabbas av repressalier i autoritära länder.

Södertörns Tingsrätt undrar hur regeringen tänkt få meddelandetjänster i resten av världen att acceptera och följa en sådan svensk lag. »Legitima globala aktörer kan dra sig ur den svenska marknaden, medan oseriösa aktörer i tredje land kan avstå från att följa skyldigheten med begränsade risker.«

Polisen tycks mena att det är möjligt för meddelandetjänster att möta utredningens krav och samtidigt tillgodose säkerhet och skydd för kommunikation. Hur det skall gå till är dock oklart. Detta känns på sin höjd som en åsikt.

Även Säkerhetspolisen menar att förslaget visar att det är möjligt att genomföra utan en generell försvagning av integritets- och informationssäkerhetsskydd. Varifrån kommer denna idé?

I den bakomliggande utredningen kan vi se hur detta är tänkt att gå till. Det verkar som om utredaren tror att det går att skapa en lösning där endast ett meddelandes avsändare, mottagare och svenska myndigheter kan läsa.

I podcasten frågar sig Karl Emil Nikka vad som får utredare och regering att tro att globala företag skulle införa detta för just Sverige. Skulle inte en sådan lösning även kunna användas av auktoritära regimer i andra länder?

IT-säkerhetsföretaget Trusec menar att det »saknas sakkunnig expertis inom cyber och cybersäkerhet i utredningen«. Man menar att förslaget kan leda till sämre säkerhet för alla användare.

De svenska användargrupperna menar att anpassningsskyldigheten skapar ett stort intrång i den personliga integriteten. Den kan även »leda till att företag som tillhandahåller kommunikationslösningar kan komma att dra sig ut från den svenska marknaden och enbart lämna kvar tjänster där kommunikationen inte kan totalsträckskrypteras.« Man efterlyser även en konsekvensanalys.

Internetstiftelsen menar att förslaget inte går ihop »eftersom hela syftet med totalsträckskrypterade tjänster är att ingen förutom mottagare och sändare ska kunna ta del av informationen.«

Näringslivet i TechSverige skriver i sitt remissvar »Vi har sett hur effektiva illvilliga aktörer är på att identifiera och utnyttja sårbarheter i digitala kommunikationssystem. Under senare tid har även experter uppmanat till en ökad användning av totalsträckskrypterad (end-to-end) kommunikation. TechSverige vill därför trycka på vikten av tydliga skydd för krypterad kommunikation så inte lagstiftningen skapar sårbarheter som kan nyttjas av illvilliga aktörer

Juridiska fakulteten vid Stockholms Universitet påpekar följande »Vidare kan krav på att tillhandahålla bakdörrar och nyckeldeponering avseende totalsträckskrypterade tjänster få motsatt effekt, eftersom det inte bara är brottsbekämpande myndigheter som kan göra bruk av dessa utan även kriminella och andra hotaktörer.« Vilket tidigare har påpekats av både Europol och EU:s cybersäkerhetsmyndighet ENISA.

Netnod, tungviktarna som driver knutpunkter som kopplar ihop Sverige med resten av internet konstaterar i tydliga ordalag att kravet på anpassningsskyldighet är omöjligt.

»Detta är tekniskt omöjligt att uppfylla för en totalsträckskrypterad tjänst utan att kompromettera totalsträckskrypteringen. Och om informationen är krypterad med nyckelmaterial i säkert element kan denna nyckel inte delas med en tredje part (dvs tjänstetillhandahällaren) på ett sådant sätt som lagrådsremissen och utredningen föreslår (…)«

»Detta innebär därmed att bakdörrar maste byggas in i kommunikationstjänster. Bakdörrar är att likställa med sårbarheter ur ett riskhanteringsperspektiv, och sårbarheter får aldrig byggas in i tjänster enligt Netnod.«

Det är ord och inga visor. Och den sista spiken i kistan hamras in av Försvarsmakten som säger att »Försvarsmakten bedömer att kravet på anpassningsskyldighet av nummeroberoende interpersonella kommunikationstjänster inte kommer att kuna uppfyllas utan att införa sårbarheter och bakdörrar som kan komma att nyttjas av tredje part

Som synes är kritiken av förslaget massiv. Förhoppningsvis så massiv att regeringen inte kan bortse från den.

Guldstjärna till Karl Emil Nikka som gjort sammanställningen. Se hela presentationen i Bli Säker-podden nedan. (Start vid 15:45.)

Vi har tidigare skrivit om utredningen och vårt remissvar på densamma:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »

Vi har även skrivit om en annan del av förslaget till lagrådsremiss, så kallad »nationell säkerhetslagring« där Säpo i vissa situationer kan besluta om att lagra alla våra elektroniska fotspår i upp till två år:
• Undantagstillstånd i den svenska övervakningsstaten »

Striden om kryptering tar ny fart

av

Regeringen, EU och Europol är på krigsstigen mot krypterade meddelanden. »Anonymitet är inte en grundläggande rättighet« säger Europols chef.

Ingen kan hindra den som verkligen vill från att sända krypterade meddelanden som varken staten eller någon annan kan avläsa på väg från avsändaren till mottagaren. Inte med mindre än att man förbjuder matematik.

Men människor är bekväma. Folk vill inte krångla med nycklar och krypteringsprogram. Därför erbjuder många tjänster en allt-i-ett-lösning. Meddelande-appar sköter kryptering och av-kryptering på avsändarens respektive mottagarens telefon eller dator. Så att meddelandet är oläsbart om det skulle snappas upp däremellan.

Stark kryptering används av till exempel företag, myndigheter, organisationer, media, finansbolag, forskare, läkare, advokater och vanliga människor som vill skydda känslig information.

Och av aktivister som kämpar för frihet och demokrati i skurkstater, med sin frihet och sina liv som insats.

Så länge totalsträckskrypteringen (E2EE) är intakt kan man anta att informationen är rimligt säker mot kriminella, konkurrenter, främmande makt, snokande ögon och makthavare med auktoritära tendenser.

Men sådan säkerhet ogillas av regeringen, EU och Europol. De vill kunna komma åt innehållet i medborgarnas elektroniska meddelanden.

Europols chef Catherine De Bolle, menar att de stora teknikföretagen har ett ansvar att ge polisen tillgång till krypterade meddelanden som används av kriminella.

Men kryptering skiljer inte på om en användare är hederlig eller kriminell. Kringgås den är allas säkerhet i fara.

Om man skapar en »bakdörr« för att kringgå totalsträckskrypterade meddelanden – då kan man inte längre förutsätta att någon information är säker.

»Anonymitet är inte en grundläggande rättighet« säger De Bolle när Financial Times intervjuar henne om saken.

Kanske inte formellt sett. Men privatliv är en grundläggande mänsklig rättighet. Och ibland kan privatliv kräva anonymitet. Folk som inte misstänks för brott skall ha rätt att bli lämnade i fred.

Nu är det dock inte anonymitet vi talar om här – utan om tillgång till innehållet i medborgarnas elektroniska meddelanden. Till priset av försämrad IT-säkerhet.

De Bolle gör en liknelse »När vi har en husrannsakningsorder och vi står framför ett hus där dörren är låst, och du vet att brottslingen är inne i huset, kommer allmänheten inte att acceptera att vi inte kan gå in.«

Men det hon vill ha finns redan. Nämligen hemlig dataavläsning. Det vill säga spionprogrammisstänktas telefoner och datorer – med tillgång till allt som finns och görs på dessa (inklusive användning av kamera och mikrofon). Och till alla dess meddelanden, i klartext.

Detta gäller alltså människor som misstänks för brott. Och inte heller det är helt oproblematiskt, då spionprogram kräver sina egna luckor i IT-säkerheten. Men det är ett verktyg som redan finns och används.

(Hemlig dataavläsning är för övrigt inte helt olik den client-side-scanning som föreslås i EU:s ministerråds senaste variant av Chat Control 2. Vore man konspiratoriskt lagd kunde man ana ett samband.)

Kampen om totalsträckskrypterad kommunikation är inte ny. På 1990-talet var kryptering utan licens förbjuden i Frankrike. I USA försökte redan president Clinton ge staten en (hårdvarubaserad) bakdörr. Sedan följer en lång rad angrepp mot rätten till krypterad kommunikation, fram till idag.

Här står starka motstridiga intressen mot varandra. Dessutom höjs insatserna på båda sidor i takt med teknik- och samhällsutvecklingen.

Då är det viktigt att komma ihåg att det finns mycket goda skäl för att privatliv och privat korrespondens är fastslagna som grundläggande mänskliga rättigheter. De skall inte kunna offras för att nå andra mål, då de är individens yttersta skydd mot staten.

EU:s nya censur-byråkrati

av

EU:s politiker ser sin Digital Services Act som ett verktyg för att stoppa oönskad information online. Men resultatet verkar än så länge mest bli mer byråkrati.

Vi har tidigare skrivit en hel del om Trusted Flaggers (»betrodda anmälare«) i EU:s Digital Services Act (DSA). Det är ett slags statligt godkända nätcensorer som skall få en direktlina till sociala media, för att rekommendera vilket innehåll som bör plockas bort.

Formellt sett kan de bara begära att olagligt innehåll skall tas bort. Men de förväntas även hjälpa till med att identifiera information som är oförenlig med respektive socialt nätverks användarvillkor. Det vill säga även hålla efter innehåll som oftast inte är olagligt.

Vilket blir lite knepigt om en statligt utsedd aktör skall börja gå efter icke-olagligt innehåll. Eller för den delen olagligt innehåll – utan föregående rättslig prövning. Rollfördelningen känns inte helt genomtänkt här.

Nu kommer ytterligare en aktör inom ramen för DSA in i bilden: Monitoring Reporters.

Detta skall vara organisationer från civilsamhället, myndigheter med flera som är tänkta att hålla efter sociala media och kontrollera att de lever upp till vad DSA föreskriver och att de följer EU:s uppdaterade Code of conduct on countering illegal hate speech online +.

Denna code of conduct är en »frivillig« överenskommelse som de stora sociala medierna har skrivit under. Det övergripande syftet är att få dessa att underordna sig DSA:s långtgående krav på redovisning av hur man uppfyllt dess krav.

Sedan har vi EU:s Code of Practice on Disinformation. Även denna är »frivillig« och föreskriver bland annat användandet av faktagranskare. Vilket är något bland andra Meta och X nu är på väg att avveckla.

Men kan i sammanhanget fråga sig om det är meningsfullt att sociala media håller sig med externa faktagranskare om man istället kan använda sig av community notes för att rätta felaktigheter och tillföra kontext – samt DSA:s lagstadgade Trusted Flaggers för att identifiera och avlägsna olagligt innehåll.

Hela processen är underställd EU:s European Board for Digital Services. Den består av medlemsstaternas digitala service-koordinatorer. Dessa har som uppgift att upprätthålla DSA på nationell nivå och är ansvariga för nationella Trusted Flaggers. I Sverige ligger uppgiften hos Post- & Telestyrelsen, PTS.

Till detta skall läggas att de största sociala plattformarna och sökmotorerna (VLOP och VLOSE) förväntas identifiera och vidta åtgärder mot »systemrisker« – vilket kan betyda lite vad som helst.

Det är under denna punkt diskussionen nu förs om förmodat olämpligt och skadligt innehåll som ej är olagligt. En diskussion där det är svårt att få juridiskt hållbara, konkreta exempel på exakt vad det är man vill censurera.

Det skall därför bli intressant att se vad som kommer ut ur EU-kommissionens pågående granskning av X.

Att staten (EU) vill tysta yttranden som inte är olagliga kan – trots allt – visa sig vara lättare sagt än gjort. Även om EU-politiker i olika institutioner nu anser sig ha fått ett verktyg för att censurera sådant som de ogillar.

Vad man säkert kan säga är att EU skapat en helt ny byråkratisk apparat.

Resurser:
• Commission welcomes the integration of the revised Code of conduct on countering illegal hate speech online into the Digital Services Act »
• The EU Code of conduct on countering illegal hate speech online (2016/18) »
• The Code of conduct on countering illegal hate speech online + (2025) »
• Codes of conduct under the Digital Services Act »
• The 2022 Code of Practice on Disinformation »
• DSA: Very large online platforms and search engines »
• The enforcement framework under the Digital Services Act »
• European Board for Digital Services »
• DSA Observatory – More than an advisory group: why The European Board for Digital Services has key roles in DSA enforcement »

Relaterat:
• Möt de nya statligt godkända nätcensorerna »
• EU:s nya demokratisköld tycks mest bestå av byråkrati »

EU:s digitala järnridå

av

EU:s digitala isolationism hotar vår utveckling, vårt välstånd och vår yttrandefrihet.

Ett slags digital järnridå – byggd av byråkrati – håller på att sänka sig runt EU.

Till exempel finns AI-tjänster som är blockerade i EU, på grund av EU:s nya AI Act. Om Chat Control 2 blir verklighet kommer meddelandetjänster som Signal att lämna EU. Och EU:s Digital Services Act (DSA) skapar en massiv byråkrati som driver IT-entreprenörer till andra delar av världen. För att inte nämna konsekvenserna av dataskyddsförordningen GDPR.

EU har en AI Act, men inga egna AI-företag i frontlinjen.

EU reglerar sociala media, men har inga egna stora sociala medieplattformar.

EU har ett mycket långtgående persondataskydd – samtidigt som politiken rullar ut en allt mer allomfattande massövervakning av folket.

Det är ingen naturlag att det skall vara så här. Allt är konsekvenser av medvetet fattade politiska beslut.

Samtidigt byggs en konflikt upp om censur och innehållsgranskning mellan de stora sociala medieplattformarna och EU. Resultatet kan bli att dessa måste skapa någon form av »walled gardens« för användare i EU, där informationen begränsas. Eller ytterst att vissa av företagen lämnar EU och blockerar oss användare här. (Youtube har flera gånger flaggat för att det kan ske.)

Om nu inte EU försöker stoppa dem först… Vilket landar i den debatt om yttrandefrihet och DSA vi nu ser.

På samma sätt har EU:s dataskyddsförordning (GDPR) fått många utländska medier och siter att hellre blockera användare i EU än underkasta sig förordningens massiva, byråkratiska krav. (Det är tur att det finns VPN.)

En beräkning uppskattar den totala kostnaden för GDPR i EU till drygt 200 miljarder euro. Och ytterligare 100 miljarder euro för företag utanför EU.

Kostnaderna för DSA är ännu i stort sett okända.

Center for Data Innovation uppskattar att EU:s AI Act kommer att kosta den europeiska ekonomin 31 miljarder euro under de närmaste fem åren och förväntas minska AI-investeringarna med nästan 20 procent.

EU har blivit en del av världen där det är onödigt krångligt och dyrt att driva IT-företag.

Dessutom håller vi på att skärma av oss från ett fritt och öppet flöde av in formation från övriga världen. (Det är lite som när man diskuterade att förbjuda parabolantenner i Sverige.)

På så sätt hamnar EU på efterkälken – på många områden.

Om vi till exempel inte får tillgång till samma AI-verktyg som i andra länder, då kommer det att bromsa utvecklingen på många andra områden.

Om vi inte får fri tillgång till information, då försämras vår förmåga att fatta genomtänkta beslut.

Vilket i slutändan drabbar vår tillväxt, vår utveckling och vårt välstånd. Det behöver man inte vara raketforskare för att inse.

Alla regelverk ovan är skrivna med goda intentioner och går som sådana att argumentera för. Men det betyder inte att de är bra, nödvändiga eller lämpliga. I stort sett vad som helst kan motiveras på ett eller annat sätt.

Men man kan inte bara se till ett förslags intentioner utan bör även göra en realistisk bedömning av dess konsekvenser. Vilket politiker i allmänhet och EU-politiker i synnerhet är dåliga på.

För att citera Metas Mark Zuckerberg:

»Europe has an ever-increasing number of laws, institutionalizing censorship, and making it difficult to build anything innovative there.«

EU ägnar sig enkelt uttryckt åt digital isolationism. Den tveksamma ambitionen var att bli världsledande på IT-reglering. Resultatet blev att EU nu hamnat på efterkälken både vad gäller digitala plattformar och AI. Samt att yttrandefriheten hotas.

Kusligt nog sker detta i relativt stor politisk enighet. Kampen för ett fritt och öppet internet är därför viktigare nu än någonsin tidigare.