Podcast: EU-domstolen säger återigen nej till datalagring – men ja till lagring av IP-adresser. Medverkande: Jon Karlung och Henrik Alexandersson
Sökresultat för: datalagring
EU-stater registrerar användares IP-adresser
EU:s medlemsstater tycks samla på sig kataloger över enskilda nätanvändares IP-adresser. Vilket EU-domstolen accepterar, trots att den säger nej till generell datalagring.
Gårdagens goda nyhet var att EU-domstolen åter säger tydligt nej till urskiljningslös datalagring. Men djävulen finns i detaljerna.
Bortom huvudnyheten, i det finstilta, läser vi följande i EU-domstolens dom:
»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«
Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:
»Unfortunately, the greatest consensus among governments currently seems to exist on mandating indiscriminate IP data retention throughout Europe, which the judges in Luxembourg green-lighted under massive pressure.
Under no circumstances should all internet users be placed under general suspicion and online anonymity be abolished!
IP addresses are our digital fingerprints on the internet. Bulk collection would endanger crime prevention in the form of anonymous counselling and pastoral care, victim support through anonymous self-help forums and also the free press, which depends on anonymous informants.
Incidentally, there is no evidence that IP data retention significantly increases the crime clearance rate. In the absence of data retention Germany today has a higher cybercrime clearance rate than with IP data retention in place.«
Det tycks alltså som om vissa av EU:s medlemsstater samlar IP-adresser för något slags egen katalog. Detta sker även i Sverige.
Här pågår en dragkamp i frågan mellan den svenska Post- och Telestyrelsen (PTS) och Bahnhof. Ur vår tidigare rapportering:
»PTS skriver i sitt pressmeddelande ”Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.”
Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.«
PTS hotar Bahnhof med vite om man inte lämnar ut dessa användaruppgifter. Vilket överklagats till Förvaltningsrätten.
Vi träffade nyligen Bahnhofs VD Jon Karlung, som kunde berätta att om PTS får som de vill – då kan det handla om att lämna ut identiteten på hundratals användare som inte är misstänkta för något brottsligt.
Skälet är att det börjar bli slut på IPv4-adresser och att många kunder därför måste dela på samma IP-adress (NATade adresser) i väntan på IPv6.
Det blir allt tydligare att myndigheterna vill ha en egen katalog över enskilda individers IP-adresser, vilket bland annat tyder på att de inte riktigt förstår hur internet fungerar.
Vi återkommer inom kort med en podcast / intervju med Jon Karlung.
En justitieminister med principer?
Kommer Sverige att få en ny justitieminister som försvarar eller i vart fall begriper principerna bakom rättsstat och mänskliga rättigheter?
Enligt spekulationerna är Moderaternas partisekreterare Gunnar Strömmer en stark kandidat till posten som justitieminister i nästa regering. Vilket i så fall är intressant.
Strömmer var tidigare chef på Centrum för Rättvisa – som driver rättsprocesser som försvarar den enskilda individen mot överheten.
CfR drev bland annat den svenska FRA-lagen till Europadomstolen. Vilket ledde till att ett antal allvarliga brister i lagen påpekades.
Stämmer spekulationerna får Strömmer så att säga byta sida. Från individen till staten. Om det inte skedde redan när han gick tillbaka till politiken.
Han kommer då samtidigt att få ett antal principiellt intressanta frågor på sitt bord. Som frågan om anonyma vittnen och visitationszoner. För att inte tala om allt som har med övervakning att göra.
Frågan blir om Strömmer kommer att kunna stå fast vid sina principer, om han skulle bli justitieminister. I vart fall bör det vara ett gott tecken att han är väl bekant med resonemangen bakom rättsstaten och de grundläggande mänskliga rättigheterna.
Samtidigt kommer han att utsättas för tryck från sitt eget parti och övriga högerpartier för att gå fram med hårdare tag.
Dessutom kommer Sverige att vara ordförandeland i EU nästa halvår. Vilket innebär att till exempel ChatControl och det eviga stöket kring datalagringen kommer att hamna på den svenske justitieministerns bord.
Detta skall bli mycket intressant att följa. Vi kommer att försöka tjata in en intervju med Gunnar Strömmer – eller vem som nu blir ny justitieminister.
Valet, politikerna och de mänskliga rättigheterna online
Den som vill rösta för ett fritt internet, för yttrandefrihet off- såväl som online och för rätten till privatliv och privat korrespondens har ett svårt val.
Bryr man sig bara om dessa frågor finns Piratpartiet och kanske Vänsterpartiet. Piratpartiet har ingen chans att komma in i riksdagen. Och Vänsterpartiet är ett ytterkantsparti som de flesta har andra skäl att ogilla.
Vänsterpartiet skall dock ha en eloge för att ha hållit ut längst. De är idag det enda riksdagsparti som motsätter sig övervakningsstaten – efter att Miljöpartiet sålde ut sina principer i utbyte mot makt. Vad gäller yttrandefrihet befinner de sig dock på ett sluttande plan.
I övrigt är mörker. EU:s nya statligt godkända nätgranskare accepteras utan vidare debatt. EU-lagstiftning som leder till att vi får uppladdningsfilter, som skall förhandsgranska allt alla lägger upp på sociala media och andra plattformar är inte något kontroversiellt bland våra politiker.
De driver på vad gäller lagring av data om allas alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner med mera – utan misstanke om brott. Trots att EU-domstolen förbjudit verksamheten, med hänvisning till de mänskliga rättigheterna.
Svenska politiker ser inget problem med att EU-kommissionen föreslår att all e-post och allas alla meddelanden och andra elektroniska kommunikationer skall av-krypteras, öppnas och att dess innehåll skall granskas. Av maskiner.
Alla dessa frågor faller tillbaka på de mänskliga rättigheterna och vad dessa har att säga om rätten att fritt uttrycka sig samt rätten till privatliv och privat korrespondens.
Sverige var för övrigt med och drev fram FN:s »5 juli-resolution« som säger att mänskliga rättigheter offline även skall gälla online. Så vi borde leva upp till vårt ord.
De mänskliga rättigheterna finns för att skydda individen mot staten. Därför är det alarmerande att se hur dessa rättigheter ständigt gröps ur och inskränks av just de politiker som nämnda rättigheter är tänkta att skydda oss emot.
Statligt godkända nätgranskare är en dålig idé. Fast Orban blir nog glad. Uppladdningsfilter är det verktyg som, när det väl finns på plats enkelt kan få utökat syfte. Sådana här lagar drabbas i princip alltid av ändamålsglidning.
Datalagring är en kränkning av rätten till privatliv som EU-domstolen sagt nej till gång på gång. Inte för att medlemsländerna bryr sig. Och förslaget om »#ChatControl« är att avskaffa den digitala brevhemligheten. Det vill säga att avskaffa rätten till privat korrespondens.
Vad är detta, annat än inskränkningar av våra mänskliga rättigheter?
Allt detta sker i stort sett utan offentlig debatt, utan insyn och i stor politisk enighet. (Ingen annan bryr sig heller.)
Så hur röstar man, om man tycker att dessa frågor är viktiga? På riktigt, viktiga.
EU upphäver rätten till privat korrespondens
Datalagring och Chat Control (meddelandekontroll) är exempel på hur EU inskränker vår rätt till privatliv och privat korrespondens.
Rätten till privatliv och privat korrespondens är en konventionsskyddad mänsklig rättighet.
Mänskliga rättigheter är individens yttersta försvar mot övergrepp från staten. Och rätten till privatliv är till för att staten inte skall veta allt om alla. Den vars privatliv blottas för överheten blir sårbar och utlämnad till politikers och byråkraters godtycke. Människor skall helt enkelt ha rätt till en privat sfär.
Rätten till privatliv skall gälla även online. FN:s så kallade 5 juli-deklaration (A/HRC/RES/20/8) slår fast att mänskliga rättigheter skall gälla även online. Men hur står det till i verkligheten?
Precis som när det gäller yttrandefriheten online kommer mycket av lagstiftningen från EU.
Datalagringen har varit en följetong i EU-politiken. Den går ut på att lagra data om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner med mera.
2014 upphävde EU-domstolen EU:s datalagringsdirektiv. För att det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv.
Generell, svepande övervakning får inte ske utan misstanke om brott.
Sedan dess har domstolen gång på gång givit medlemsstaterna bakläxa för att de ändå fortsätter med datalagringen. Kreativiteten för att kringgå domstolens beslut har varit stor. EU-kommissionen och EU:s ministerråd funderar just nu på ett nytt datalagringsdirektiv.
Även Sverige har tvingats ändra sin lag om datalagring. Dock är det troligt att även den nya svenska, reviderade lagen om datalagring strider mot EU-domstolens principiella beslut.
Ett annat, högaktuellt hot mot rätten till privat kommunikation är det som populärt kallas Chat Control. EU-kommissionen föreslår att alla medborgares all e-post, alla elektroniska meddelanden och andra elektroniska kommunikationer skall avkrypteras, öppnas – och att dess innehåll skall granskas.
Detta är med andra ord tillfället då man inte bara bereder sig tillgång till metadata om våra kommunikationer – utan även själva innehållet.
Syftet sågs vara att kontrollera att du inte sprider barnporr. Vilket är ett syfte man tar till då EU egentligen inte har rätt att fatta beslut som rör nationell säkerhet. Och vem vill eller vågar väl argumentera mot ett förslag som går ut på att bekämpa sexuella övergrepp mot barn?
När detta system sedan finns på plats, då kan syftet lätt utökas. Det vore inte första gången. Övervakningslagar brukar drabbas av ändamålsglidning. Frågan diskuteras redan i ministerrådet.
Chat Control är med alla rimliga måttstockar en kränkning av rätten till privatliv och privat korrespondens. En kränkning av en av våra grundläggande mänskliga rättigheter.
I EU:s ministerråd gör Tyskland halvhjärtat motstånd mot Chat Control. Och i Europaparlamentet finns ett visst motstånd.
Men för att Chat Control skall kunna stoppas – då krävs att frågan kommer upp på dagordningen i samhällsdebatten, att media intresserar sig och att folk börjar protestera.
Förlorar vi rätten till privat korrespondens online nu, då lär den vara borta för alltid.
Vi måste protestera när de mänskliga rättigheterna inskränks. Innan det är för sent.
Länkar Chat Control:
• Chat Control – The End of the Privacy of Digital Correspondence »
• EU avskaffar rätten till privat korrespondens »
• EU-förslag: 18-årsgräns för alla meddelandeappar »
• The EU’s Proposal on CSAM Is a Dangerous Misfire »
Statligt godkända nätgranskare och gränsöverskridande nätcensur – klubbat av Europaparlamenet
EU:s Digital Services Act (DSA) har nu klubbats av Europaparlamentet. Lagpaketet är problematiskt på flera sätt och de flesta bra förslag som diskuterats har försvunnit under lagstiftningsprocessen.
Statligt godkända nätgranskare – Trusted Flaggers / betrodda anmälare – som skall rekommendera vilket innehåll som sociala media skall ta bort blir nu verklighet i alla EU-länder. Dessa förväntas företräda »kollektiva intressen«, vilket öppnar för olika särintressen att censurera internet.
Vi kommer också att få gränsöverskridande nedtagningsorder. Vilket innebär att myndigheter i till exempel Ungern, Polen och Frankrike kan beordra att innehåll skall plockas bort från svenska plattformar och servrar. Detta även om innehållet i fråga inte är olagligt här.
Den goda nyheten är att den som får innehåll censurerat i sociala media skall informeras om varför det sker och få möjlighet att överklaga.
Under resans gång har ett antal bra förslag skalats bort. Det blir ingen rätt till anonymitet online. Ingen rätt till kryptering. Inget förbud mot datalagring. Och inget förbud mot uppladdningsfilter.
Man kan även notera att EU nu fått ännu mer reglering och politisk styrning av nätet. Vilket lär komma att bidra till att startups (morgondagens Google, Facebook och Twitter) kommer att etablera sig utanför unionen.
DSA är nu i princip färdigbehandlad och det återstår att se hur den kommer att tillämpas i medlemsländerna. Det skall bli speciellt intressant att se vilka som blir Trusted Flaggers.
EU-domstolen: Sluta med urskiljningslös lagring av data om våra resor inom EU
EU-domstolen kräver misstanke om brott och säger nej till urskiljningslös lagring och analys av data om våra flygresor inom EU.
EU:s PNR-direktiv (Passenger Name Record) föreskriver att persondata skall samlas in och behandlas vad gäller flygresor till och från EU. Syftet är att bekämpa terrorism och grov brottslighet.
Direktivet gör det även möjligt (men inte obligatoriskt) för medlemsstater att samla in PNR-data för resor inom EU. Det är detta som nu prövats.
Ur EU-domstolens pressmeddelande (PDF):
»The Ligue des droits humains (LDH) is a not-for-profit association which filed an action for annulment with the Cour constitutionnelle (Constitutional Court, Belgium) in July 2017 against the Law of 25 December 2016 which transposed into domestic law the PNR Directive, the API Directive and also Directive 2010/65. According to LDH, that law infringes the right to respect for private life and the right to the protection of personal data guaranteed under Belgian and EU law. It criticises, first, the very broad nature of the PNR data and, secondly, the general nature of the collection, transfer and processing of those data. In its view, the law also infringes the free movement of persons in that it indirectly re-establishes border controls by extending the PNR system to intra-EU flights, as well as to transport by other means within the European Union.«
Och idag meddelar EU-domstolen sin dom. PNR-direktivet som sådant får grönt ljus, men enkelt uttryckt med följande begränsningar för resor inom EU:
- Det måste finnas en misstanke om brott och/eller en eller flera misstänkta.
- PNR-direktivet får endast användas för att bekämpa terrorism och allvarlig brottslighet.
- PNR-registrering vad gäller resor inom EU skall begränsas till vad som är strikt nödvändigt.
- Endast vid konkreta hot får PNR-data för alla flyg samlas in och analyseras.
- Om det inte föreligger ett överhängande terrorhot får PNR endast användas för vissa resemönster eller flyglinjer där det finns indikationer på allvarlig brottslighet.
- PNR-data får endast samköras mot register över personer som är misstänkta, efterlysta eller under utredning.
- För att undvika falska flaggningar måste alla positiva träffar verifieras manuellt.
- PNR-data får lagras högst sex månader, om ingen ny relevant information tillkommer.
EU-domstolen lutar sig alltså mot samma princip som vad gäller datalagringen: Det är inte tillåtet med svepande, urskiljningslös insamling av data utan misstanke om brott.
Läs mer i EU-domstolens pressmeddelande:
• The Court considers that respect for fundamental rights requires that the powers provided for by the PNR Directive be limited to what is strictly necessary (PDF) »
Nu klubbas EU:s Digital Services Act
Statligt utsedda nätgranskare och gränsöverskridande nätcensur blir konsekvensen av EU:s Digital Services Act, som just nu är på väg att godkännas.
Idag har EU:s ministerråd godkänt den (bakom stängda dörrar) slutförhandlade Digital Services Act (DSA). I morgon väntas Europaparlamentets utskott för den inre marknaden (IMCO) göra det samma. Sedan återstår bara ett sista OK från Europaparlamentet i plenum.
Detta innebär bland annat att statligt utsedda nätgranskare – så kallade Trusted Flaggers – med rätt att rekommendera sociala media att ta bort innehåll blir verklighet. Dessa skall, enligt dokumenten, företräda »kollektiva intressen« och kommer att ha en direktlina till de olika sociala plattformarna så att deras rekommendationer prioriteras.
Vi kommer även att få gränsöverskridande nedtagningsorder. Vilket innebär att myndigheter i ett EU-land kan beordra att innehåll skall censureras i en annan medlemsstat – även om detta innehåll inte är olagligt i det senare. Vad kan möjligen gå fel?
Det är även intressant vad som inte finns i DSA. Det finns ingen rätt till anonymitet. Inte någon rätt till kryptering. Det finns inte heller något skydd mot svepande datalagring eller uppladdningsfilter.
Nu återstår att se hur DSA kommer att tillämpas. Till exempel vilka som blir statligt utsedda nätgranskare och hur deras mandat kommer att omsättas i praktiken.
• Läs mer: Digital Service Act shows EU‘s unwillingness to take digital age into its own hands »
Läckta EU-dokument: Ministerrådet vill ha allmän meddelandekontroll och lagstifta om kryptering
Att EU verkligen har ambitionen att granska innehållet i alla människors alla elektroniska kommunikationer framgår av ministerrådets egna dokument.
Nyligen skrev jag om riskerna med EU:s nya Chat Control / meddelandekontoll. Det vill säga av-kryptering och inspektion av innehållet i alla dina elektroniska kommunikationer. Vars syfte är att kontrollera att du inte ägnar dig åt sexuella övergrepp på barn.
Jag påpekade även risken för ändamålsglidning. Nu visar det sig att EU:s ministerråd redan planerat för sådan.
I ett läckt dokument från 11 april visar det sig att medlemsstaternas justitie- och inrikesministrar (Morgan Johansson för Sverige) enkelt uttryckt vill utöka idén om Chat Control till att även gälla terrorism. Och det finns även dokument som pekar på att Chat Control är tänkt att omfatta kamp mot all slags brottslighet:
»… lawful and targeted access to encrypted information in the context of criminal investigations and prosecutions…«
Tänk på barnen, var alltså bara en förevändning. En murbräcka.
Ministrarna vill också ha en EU-förordning om »tillgång till digital information inklusive krypterad data«.
Man tänker alltså lagstifta om att ge myndigheterna tillgång till krypterad information. Vilket med nödvändighet leder till att sådan kryptering korrumperas och blir osäker. Antingen har man säker kryptering eller så har man det inte. Man kan inte bli bara lite gravid.
Dessutom vill ministrarna att AI skall användas för att processa massdata i kampen mot allvarlig brottslighet, våldsam extremism och terrorism. Fler syften lär tillkomma, som vanligt.
Här kan det vara på sin plats att påpeka att Europakonventionen om de mänskliga rättigheterna slår fast att rätten till privatliv och privat korrespondens är en grundläggande mänsklig rättighet.
Vilket är den princip som EU-domstolen lutade sig mot när den upphävde EU:s datalagringsdirektiv 2014.
Då handlade det om att samla in data om alla människors alla elektroniska kommunikationer, utan misstanke om brott. Nu vill man alltså göra ett liknande försök, men inriktat på innehållet i våra kommunikationer. Vilket känns en smula skamlöst.
Detta och mycket annat kommer att diskuteras på ministerrådsmötet i Luxemburg den 9 juni.
• Data retention and decryption: Justice and Home Affairs Council wants more surveillance »
• EU counter-terror shopping list: sanctions against “radical rhetoric”, intelligence agencies in asylum proceedings »
Steg för steg mot en europeisk övervakningsstat
EU är på väg att skapa en övervakningsstat i klass med den amerikanska. Genom många små steg har vi nått en punkt där denna övervakning blir ett demokratiskt problem.
Vår bild av övervakningsstaten är den som återfinns i populärkulturen och möjligen hos amerikanska NSA. Ständig övervakning överallt där allt samkörs i realtid med allehanda register. Collect it all. Allt är sedan tillgängligt med en knapptryckning.
Existensen av ett globalt övervakningsnätverk – som till en början kallades Echelon – förnekades och avfärdades som konspirationsteorier. Sedan kom Snowdens avslöjanden och visade att precis så är det. Och mer därtill.
Här i Europa har det inte gått riktigt lika fort. Vi överför förvisso stora mängder insamlad data till amerikanska NSA. I flera länder har detta krävt speciallagstiftning.
Många EU-länder har krav på lagring av data om allas alla samtal och elektroniska kommunikationer – trots att EU-domstolen upphävt EU:s datalagringsdirektiv. Det stred mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.
Dessutom har EU-staterna en massa egna påfund. Säkerhet är ju trots allt en nationell kompetens. I Sverige har vi till exempel FRA-lagen, långt nere på det sluttande planet. Plus allehanda former av övervakning som polisen samlat på sig under åren.
Till exempel hemlig dataavläsning, vilket innebär att myndigheterna får rätt att installera statliga trojaner på människors datorer, telefoner, plattor med mera. Lite som den skandalomsusade spionmjukvaran Pegasus – som använts för att spionera på den politiska oppositionen i både Polen och Spanien. Journalister är en annan drabbad grupp.
Ibland gör myndigheterna trevare. Som när Säpo bad internetoperatören Bahnhof att få koppla in sig direkt till delar av företagets tekniska infrastruktur. Det skulle liksom vara enklare så än om polisen behöver fråga varje gång… Vilket var ett samtal som Bahnhofs stridbare VD Jon Karlung hade sinnesnärvaro nog att spela in och offentliggöra.
Vilket leder oss till Europols nyligen utökade mandat. I detta ingår nämligen rätten att koppla upp sig direkt mot privata aktörer och deras data. Varesig de senare vill eller ej. Det nya mandatet ger även Europol rätt att samla information om människor som inte är misstänkta för brott. (Vilket man visserligen även gjort tidigare, men då utan lagligt stöd.)
Och nu – Chat Control. Som innebär att alla våra meddelanden, chattar, all e-post, IP-samtal och andra elektroniska kommunikationer skall av-krypteras, öppnas och granskas. Av maskiner. Detta i namn av att bekämpa sexuella övergrepp mot barn. Vilket är ett syfte som enkelt kan utökas – på samma sätt som alla övervakningslagar drabbas av ändamålsglidning.
Många olika EU-finansierade projekt har de senaste tio åren utvecklat allt från biometrisk identifiering; automatiserad realtidsanalys av inkommande övervakningsbilder; automatiserad ansiktsigenkänning i realtid; AI-stödd beteendeanalys; samkörning av övervakningsverktyg och register – till lyktstolpar med högtalare och mikrofon för kameraövervakade områden. Idag börjar allt detta bli tillgängligt för myndigheterna.
Nu kopplas systemen samman. Utöver Europols register skall även polisen i olika EU-länder få direkt access till varandras databaser. Vad kan möjligen gå fel?
Utöver att vi hela tiden har samarbetat med amerikanska NSA – så börjar även EU och dess medlemsstater nu nå en så omfattande grad av övervakning att det är problematiskt ur ett demokratiskt perspektiv.