Nätet till folket!
Vi önskar våra läsare en God Jul – det stökiga året som gått till trots.
Ni är viktiga för att sprida kunskap om vad som sker i nätpolitiken – vilket är nödvändigt för att vi skall kunna ta tillbaka internet från makthavare som vill begränsa dess öppenhet och frihet.
God Jul på er önskar vi på Femte juli!
I USA förbereds ett snabbt införande av krav på kundkännedom vid handel med kryptovalutor. Detta kan bli lite som med EU:s regelverk mot penningtvätt, som lett till att vanliga hederliga människor granskas och ifrågasätts av banken så snart de vill flytta eller använda sina egna pengar.
EFF skriver:
”On Friday, the Department of the Treasury’s Financial Crimes Enforcement Network (FinCEN) announced a proposed regulation that would require money service businesses (which includes, for example, cryptocurrency exchanges) to collect identity data about people who transact with their customers using self-hosted cryptocurrency wallets or foreign exchanges. The proposed regulation would require them to keep that data and turn it over to the government in some circumstances (such as when the dollar amount of transactions in a day exceeds a certain threshold).”
EFF sammanfattar även ett antal problem med förslaget:
Enkelt uttryckt vill myndigheterna se ett slut på anonym användning av digitala valutor.
EFF: The U.S. Government Is Targeting Cryptocurrency to Expand the Reach of Its Financial Surveillance »
Ett av de förslag som förs fram i EU:s nya Digital Services Act (DSA / förordningen om digitala tjänster) är så kallade »trusted flaggers«. Enkelt uttryckt handlar det om statligt godkända ordningsmän på nätet.
Detta har väckt förvånansvärt lite uppmärksamhet, i princip ingen alls. Låt oss kika närmare på förslaget.
På sidan 28, motivering 46 (förklarande memorandum, ej lagtext) finner vi en mer utförlig beskrivning:
»Action against illegal content can be taken more quickly and reliably where online platforms take the necessary measures to ensure that notices submitted by trusted flaggers through the notice and action mechanisms required by this Regulation are treated with priority, without prejudice to the requirement to process and decide upon all notices submitted under those mechanisms in a timely, diligent and objective manner. Such trusted flagger status should only be awarded to entities, and not individuals, that have demonstrated, among other things, that they have particular expertise and competence in tackling illegal content, that they represent collective interests and that they work in a diligent and objective manner. Such entities can be public in nature, such as, for terrorist content, internet referral units of national law enforcement authorities or of the European Union Agency for Law Enforcement Cooperation (‘Europol’) or they can be non-governmental organisations and semi- public bodies, such as the organisations part of the INHOPE network of hotlines for reporting child sexual abuse material and organisations committed to notifying illegal racist and xenophobic expressions online. For intellectual property rights, organisations of industry and of right-holders could be awarded trusted flagger status, where they have demonstrated that they meet the applicable conditions. The rules of this Regulation on trusted flaggers should not be understood to prevent online platforms from giving similar treatment to notices submitted by entities or individuals that have not been awarded trusted flagger status under this Regulation, from otherwise cooperating with other entities, in accordance with the applicable law, including this Regulation and Regulation (EU) 2016/794 of the European Parliament and of the Council.«
Dessa nätgranskare kan alltså vara statliga organ, representanter för vissa särintressen och organisationer.
Detta väcker massor av frågor. Hur tänker man till exempel förhålla sig till nätgranskare utsedda att flagga olagligt material i länder som inte respekterar de medborgerliga fri- och rättigheterna och som har lagar som går på tvärs med övriga EU (t.ex. hädelselagar och abortförbud)? Hur genomtänkt är det egentligen att ge olika särintressen rollen som censorer – då de ju till sin natur är partiska? Hur har man tänkt förhålla sig till nätgranskare som kan misstänkas ha en politisk agenda?
Detta kan bli en soppa.
Rent spontant känns det som att prioriterad begäran om censur bara borde få begäras av en myndighet, till exempel den nya Digital Service Coordinator som medlemsstaterna förväntas inrätta. Och egentligen borde det inte få ske med mindre än föregående rättslig prövning.
Men att ha allehanda särintressen som nätcensorer utan någon föregående prövning av deras framställningar till nätplattformarna – det känns som upplagt för missbruk och konflikter. Om man alls skall ha trusted flaggers, då borde de snarare rikta sina anmälningar till sin nationella Digital Services Coordinator för prövning.
Det verkar som att EU – åter igen – dumpar frågan om vad som får publiceras på nätet på andra aktörer istället för att reglera det fria ordet genom lag och rättsväsende.
Förhandlingarna om EU:s nya förordning om terror-relaterat innehåll online är som bekant klara. Nu skall kompromissen behandlas av Europaparlamentet. Första steget blir i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) den 11 januari. Utfallet av den voteringen (förmodligen röstar LIBE ja till kompromissen) kommer sedan att vara huvudförslag när parlamentet under våren röstar i plenum.
Den stora frågan i kompromissen är att onlineplattformar kan men inte måste använda sig av uppladdningsfilter. Som vi tidigare rapporterat kommer detta i de flesta fall förmodligen ändå att leda till att automatiserade uppladdningsfilter används – eftersom alternativet är manuell granskning, vilket vore oerhört resurskrävande och långsamt.
EU har utvecklat en metod för att införa kontroversiella inskränkningar av nätets frihet bakvägen.
Vi har sett det när politiker vill begränsa det fria ordet på internet. När sådana inskränkningar har varit för kontroversiella eller känsliga – då har man istället utövat påtryckningar mot de sociala plattformarna, så att de gör motsvarande inskränkningar genom sina användarvillkor. Vilket flyttar makten över det fria ordet från lagstiftning och domstolar till privata aktörer. Konsekvensen blir att den enskilde användaren i princip blir rättslös.
Ett annat, aktuellt, exempel är förordningen om terror-relaterat innehåll online. När förslaget om obligatoriska uppladdningsfilter blev för kontroversiellt – då blev de »frivilliga«. Plattformarna åläggs fortfarande ett ansvar för att viss information inte sprids, men lagstiftaren lämnar det till respektive plattform att besluta hur det skall ske. Formellt sett är detta ett steg i rätt riktning. Men i praktiken innebär det att plattformarna ställs inför valet att antingen granska allt som ladas upp manuellt (vilket är en närmast övermänsklig uppgift som skulle kräva en omfattande nyanställning av granskare) eller att använda automatiska uppladdningsfilter. Och då kommer de flesta med säkerhet att välja det senare.
EDRi kommenterar:
»Although authorities can no longer impose the use of automated content filtering tools, platforms are highly encouraged throughout the text to make all efforts to delete terrorist content, including by relying on their terms of services. Given current content moderation practices, it would involve content filtering. The problems of these context-blind, ill-suited technologies remain unanswered and unaccounted for.«
I grunden är detta en demokratifråga. Om man vill inskränka det fria ordet då måste reglerna vara föremål för en öppen och grundlig demokratisk lagstiftningsprocess. Vilket även ger den som drabbats av inskränkningen rätt att få sin sak prövad i domstol, under rättssäkra former.
Det är detta EU gång på gång kringgår.
På tisdag eftermiddag presenterade EU-kommissionen sitt förslag till en Digital Services Act (och en Digital Markets Act). Det är ett omfattande dokument, men vi skall här göra ett första försök att vaska fram några av de mest intressanta punkterna.
Låt oss börja med vad EU-kommissionen själv har att säga om DSA – eller Rättsakten om digitala tjänster, som den kommer att heta på svenska. Citat:
Så långt Kommissionen. Nu över till själva dokumentet (PDF), som vi än så länge bara fått tag i på engelska. Det är på 110+ sidor, så vi hoppar direkt till de skarpa förslagen. Detta med reservation för att det är första gången jag ser texten – och säkert inte förstår allt och kanske missuppfattat en del.
Where an information society service is provided that consists of the transmission in a communication network of information provided by a recipient of the service, or the provision of access to a communication network, the service provider shall not be liable for the information transmitted, on condition that the provider:
(a) does not initiate the transmission;
(b) does not select the receiver of the transmission; and
(c) does not select or modify the information contained in the transmission.
Här har vi budbärarimmunitet, i vart fall för internetoperatörer. Vilket är en bra sak.
Artikel 4.1 – Caching – ger en motsvarande budbärarimmunitet till mail-operatörer, meddelandetjänster och förmodligen även chatt-operatörer med reservation för att material som flaggas av myndigheterna måste tas bort.
Artikel 5.1 – Hosting – känns lite knepigare att tolka utan bakgrundsmaterialet. Den lär helt klart täcka molntjänster. Och förmodligen sociala nätplattformar.
Where an information society service is provided that consists of the storage of information provided by a recipient of the service the service provider shall not be liable for the information stored at the request of a recipient of the service on condition that the provider:
(a) does not have actual knowledge of illegal activity or illegal content and, as regards claims for damages, is not aware of facts or circumstances from which the illegal activity or illegal content is apparent; or
(b) upon obtaining such knowledge or awareness, acts expeditiously to remove or to disable access to the illegal content.5.2: Paragraph 1 shall not apply where the recipient of the service is acting under the authority or the control of the provider.
5.2 är en smula kryptisk. Vi får undersöka saken i en senare post.
No general obligation to monitor the information which providers of intermediary services transmit or store, nor actively to seek facts or circumstances indicating illegal activity shall be imposed on those providers.
Detta betyder rimligen att det inte får förekomma något allmänt krav på att operatörer och plattformar skall övervaka all trafik i jakt på olagligheter. Vilket i stort sett känns som att man överför eHandels-direktivets förbud mot generell övervakning. (Hur det är tänkt att gå ihop med förordningen om terror-relaterat innehåll online är oklart.)
Dock håller man i artikel 9 öppet för att granska enskilda användare (som då rimligen är misstänkta för brott):
Providers of intermediary services shall, upon receipt of an order to provide a specific item of information about one or more specific individual recipients of the service, issued by the relevant national judicial or administrative authorities on the basis of the applicable Union or national law, in conformity with Union law, inform without undue delay the authority of issuing the order of its receipt and the effect given to the order.
1. Providers of intermediary services shall, upon the receipt of an order to act against a specific item of illegal content, issued by the relevant national judicial or administrative authorities, on the basis of the applicable Union or national law, in conformity with Union law, inform the authority issuing the order of the effect given to the orders, without undue delay, specifying the action taken and the moment when the action was taken.
2. Member States shall ensure that the orders referred to in paragraph 1 meet the following conditions:
(a) the orders contains the following elements:
– a statement of reasons explaining why the information is illegal content, by reference to the specific provision of Union or national law infringed;
– one or more exact uniform resource locators and, where necessary, additional information enabling the identification of the illegal content concerned;
– information about redress available to the provider of the service and to the recipient of the service who provided the content;
(b) the territorial scope of the order, on the basis of the applicable rules of Union and national law, including the Charter, and, where relevant, general principles of international law, does not exceed what is strictly necessary to achieve its objective;
(c) the order is drafted in the language declared by the provider and is sent to the point of contact, appointed by the provider, in accordance with Article 10.
Myndigheterna skall alltså kunna beordra nedtagning av olagligt material. Men inte utan en hänvisning till lagrum och information om hur man överklagar.
I denna del av DSA föreskrivs bland annat:
Nu blir det nog en smula kontroversiellt. Lite elakt uttryckt skulle man kunna säga att det skall anställas ordningsmän eller renhållningsarbetare på nätet.
1. Online platforms shall take the necessary technical and organisational measures to ensure that notices submitted by trusted flaggers through the mechanisms referred to in Article 14, are processed and decided upon with priority and without delay.
2. The status of trusted flaggers under this Regulation shall be awarded, upon application by any entities, by the Digital Services Coordinator of the Member State in which the applicant is established, where the applicant has demonstrated to meet all of the following conditions:
(a) it has particular expertise and competence for the purposes of detecting, identifying and notifying illegal content;
(b) it represents collective interests and is independent from any online platform;
(c) it carries out its activities for the purposes of submitting notices in a timely, diligent and objective manner
Det skall vara offentligt vilka som utses till trusted flaggers (19:3 & 4) och de skall kunna få sparken om de missköter sig (19:5 & 6).
Kvalitetsmärkta nätriddare som städar upp på nätet – eller EU-godkända nätgranskare som är en del av propagandamaskineriet? Detta är något det kommer att bli debatt om.
Man kan för övrigt undra om 19:2b avser allmänintresset eller kollektiva intressen och i så fall vilka.
Vi går vidare…
I nästa avsnitt skall det upprättas allehanda standards, uppförandekoder och krisprotokoll. Mest byråkrati.
Artikel 38 till 41 lanserar nationella Digital Services Coordinators:
Member States shall designate one of the competent authorities as their Digital Services Coordinator. The Digital Services Coordinator shall be responsible for all matters relating to application and enforcement of this Regulation in that Member State, unless the Member State concerned has assigned certain specific tasks or sectors to other competent authorities. The Digital Services Coordinator shall in any event be responsible for ensuring coordination at national level in respect of those matters and for contributing to the effective and consistent application and enforcement of this Regulation throughout the Union.
Artikel 41 ger dessa – låt oss förkorta dem till DSC – lite halvt polisiära befogenheter. Artikel 42 föreskriver böter på upp till sex procent av vinst eller omsättning för företag som bryter mot denna nya förordning. Artikel 43 ger även användare rätt att vända sig till sin DSC. I artikel 44 föreskrivs att DSC skall avge årliga aktivitetsrapporter. DSC:s i olika länder skall enligt artikel 45 kunna samverka över gränserna och göra gemensamma utredningar (45 & 46).
European Board for Digital Services (47 – 49) är tydligen tänkt som något slags organ för samverkan för nationella DSC:s. Det spontana intryck man får är att detta kommer att bli något slags ny EU-myndighet.
Sektion tre hoppar vi över idag, då det mest verkar handla om olika sanktionsformer och befogenheter för den nya europeiska nät-byråkratin. I artikel 67 meddelas att:
The Commission shall establish and maintain a reliable and secure information sharing system supporting communications between Digital Services Coordinators, the Commission and the Board.
Artikel 68 vädrar tanken på att etablera något slags nationella konsument-råd för användare av nätplattformar, som förmodligen är tänkt som referensgrupp.
Artikel 70 ger oss en Digital Services Committee. Dess uppgift skall vara att biträda EU-kommissionen.
Förordningen skall utvärderas vart femte år (73). Någon implementation i nationell lagstiftning behövs inte (74):
This Regulation shall be binding in its entirety and directly applicable in all Member States.
Så långt the Digital Services Act. Men det är även intressant att se vad som inte finns i lagförslaget.
Man sätter till exempel de tekniska ramarna för att kunna avlägsna material – men ger inga närmare besked om vad som kan komma att avlägsnas. Det lär komma nästa år i EU:s Code of Conduct on countering illegal hate speech online.
Med reservation för att allt ovan är anteckningar från min första genomläsning av själva lagtexten – så känns det som om man är på väg att bygga upp en väldig byråkrati för internet i EU. Och hållningen till de stora sociala plattformarna känns stundtals direkt fientlig (även om det kanske ibland är välförtjänt).
Nu skall jag försöka förstå mer om the Digital Services Act – och återkomma med en mer genomarbetad kommentar. Samt kasta ett öga på the Digital Markets Act.
Återigen har verktyg tänkta att användas för IT-säkerhet hamnat i fel händer. Det är säkerhetsföretaget FireEye som utsatts för ett intrång och bestulits på sina bästa offensiva verktyg, som ofta utnyttjar för allmänheten okända säkerhetsbrister. FBI är inkopplat och spåren sägs leda till Ryssland.
Enligt New York Times är detta den största stölden av offensiva cyberverktyg sedan National Security Agency (NSA) hackades av den ännu anonyma gruppen ShadowBrokers. Då spreds NSA:s offensiva hackningsverktyg och orsakade skador för uppskattningsvis tio miljarder USD.
Detta beskriver risken med att hemlighålla hack och säkerhetsbrister för att använda dem i eget syfte. Förr eller senare läcker de och hamnar i händerna på illasinnade aktörer.
Det rimliga är naturligtvis att alla säkerhetsbrister rapporteras in och åtgärdas – för att uppnå så god allmän IT-säkerhet som möjligt.
Någonstans i världen sitter just nu en kriminell och/eller statlig aktör på en ny samling offensiva verktyg som kan användas för att skada dig, mig, företag, organisationer, myndigheter, vår infrastruktur och vår säkerhet.
Jag sitter och läser i EU:s ministerråds plan (PDF) för att kringgå kryptering…
»We acknowledge this dilemma and are determined to find ways that will not compromise either one, upholding the principle of security through encryption and security despite encryption. Various technical options should be identified and evaluated for this purpose.«
Men tänk om det faktiskt inte går. Tänk om kryptering antingen är solid eller korrumperad, säker eller sårbar. Då kan Europeiska Unionen besluta hur mycket den vill att »olika tekniska alternativ skall identifieras och utvärderas«. De skulle lika gärna kunna besluta att månen är en grön ost. Kringgår man krypteringen av medborgarnas meddelanden, då finns det en bakdörr till våra kommunikationer som står öppen för alla.
EU skriver så mycket… I ett annat, relaterat dokument (PDF) hittade jag följande citat, som på något sätt gjorde mig opassande munter:
»De brottsbekämpande myndigheterna kan använda artificiell intelligens i sitt dagliga arbete, om tydliga skyddsåtgärder vidtas.«
Frågan om elektroniska bevis är en röra. Vad det handlar om är att myndigheterna skall ges möjlighet att säkra bevis i brottsutredningar över gränserna, utan att behöva gå via lokal polis eller andra lokala myndigheter.
Europarådet, EU-kommissionen, FN och USA arbetar samtidigt, var och en på sitt håll, med lagar och regler för eEvidence.
Allt är en soppa och det känns som om det är för många kockar. Någon egentlig debatt om huruvida olika länder skall kunna begära ut uppgifter från andra länders operatörer och plattformar (istället för att begära rättsbistånd från lokal polis) finns inte. Inte heller syns någon egentlig diskussion om säkerhets- och rättsäkerhetsaspekter. Vad händer till exempel om land X begär ut uppgifter från land Y, för att utreda något som inte är olagligt i land Y?
Läs mer: Electronic Evidence: No simplification for digital investigations yet »
Även om det konsoliderade dokumentet från EU:s trilog-förhandlingar om terror-relaterat innehåll online inte finns tillgängligt ännu, så börjar vissa saker klarna.
Vad gäller eventuella uppladdningsfilter har Statewatch följande att tillföra:
»Hosting service providers exposed to terrorist content will need to take specific measures to address the misuse of their services and to protect their services against the dissemination of terrorist content. The draft regulation is very clear that the decision as to the choice of measures remains with the hosting service provider.«
Detta innebär fortfarande att flaggat material måste plockas ner och att plattformarna måste hindra att det laddas upp igen. »Nyheten« är att plattformarna själva får bestämma hur detta skall ske.
Vilket i praktiken är ett val mellan att anställa tusentals nya mänskliga moderatorer – eller använda automatiska uppladdningsfilter. Av ekonomiska och praktiska skäl kommer det med största säkerhet att bli uppladdningsfilter.
På så sätt kan EU-kommissionen och ministerrådet i praktiken tvinga plattformarna att använda uppladdningsfilter – utan att direkt nämna detta kontroversiella verktyg i lagstiftningen.
Det kommer alltså inte att finnas några uppladdningsfilter att rösta om i förslaget – men de kommer att införas ändå.
Tidigare poster:
• Motstridiga besked om uppladdningsfilter i TERREG/TCO »
• EU-förhandlingar: Ja till nätcensur och uppladdningsfilter »