Femte juli

Nätet till folket!

Sökresultat för: datalagring

Statligt godkända nätgranskare och gränsöverskridande nätcensur – klubbat av Europaparlamenet

av

EU:s Digital Services Act (DSA) har nu klubbats av Europaparlamentet. Lagpaketet är problematiskt på flera sätt och de flesta bra förslag som diskuterats har försvunnit under lagstiftningsprocessen.

Statligt godkända nätgranskare – Trusted Flaggers / betrodda anmälare – som skall rekommendera vilket innehåll som sociala media skall ta bort blir nu verklighet i alla EU-länder. Dessa förväntas företräda »kollektiva intressen«, vilket öppnar för olika särintressen att censurera internet.

Vi kommer också att få gränsöverskridande nedtagningsorder. Vilket innebär att myndigheter i till exempel Ungern, Polen och Frankrike kan beordra att innehåll skall plockas bort från svenska plattformar och servrar. Detta även om innehållet i fråga inte är olagligt här.

Den goda nyheten är att den som får innehåll censurerat i sociala media skall informeras om varför det sker och få möjlighet att överklaga.

Under resans gång har ett antal bra förslag skalats bort. Det blir ingen rätt till anonymitet online. Ingen rätt till kryptering. Inget förbud mot datalagring. Och inget förbud mot uppladdningsfilter.

Man kan även notera att EU nu fått ännu mer reglering och politisk styrning av nätet. Vilket lär komma att bidra till att startups (morgondagens Google, Facebook och Twitter) kommer att etablera sig utanför unionen.

DSA är nu i princip färdigbehandlad och det återstår att se hur den kommer att tillämpas i medlemsländerna. Det skall bli speciellt intressant att se vilka som blir Trusted Flaggers.

EU-domstolen: Sluta med urskiljningslös lagring av data om våra resor inom EU

av

EU-domstolen kräver misstanke om brott och säger nej till urskiljningslös lagring och analys av data om våra flygresor inom EU.

EU:s PNR-direktiv (Passenger Name Record) föreskriver att persondata skall samlas in och behandlas vad gäller flygresor till och från EU. Syftet är att bekämpa terrorism och grov brottslighet.

Direktivet gör det även möjligt (men inte obligatoriskt) för medlemsstater att samla in PNR-data för resor inom EU. Det är detta som nu prövats.

Ur EU-domstolens pressmeddelande (PDF):

»The Ligue des droits humains (LDH) is a not-for-profit association which filed an action for annulment with the Cour constitutionnelle (Constitutional Court, Belgium) in July 2017 against the Law of 25 December 2016 which transposed into domestic law the PNR Directive, the API Directive and also Directive 2010/65. According to LDH, that law infringes the right to respect for private life and the right to the protection of personal data guaranteed under Belgian and EU law. It criticises, first, the very broad nature of the PNR data and, secondly, the general nature of the collection, transfer and processing of those data. In its view, the law also infringes the free movement of persons in that it indirectly re-establishes border controls by extending the PNR system to intra-EU flights, as well as to transport by other means within the European Union.«

Och idag meddelar EU-domstolen sin dom. PNR-direktivet som sådant får grönt ljus, men enkelt uttryckt med följande begränsningar för resor inom EU:

  • Det måste finnas en misstanke om brott och/eller en eller flera misstänkta.
  • PNR-direktivet får endast användas för att bekämpa terrorism och allvarlig brottslighet.
  • PNR-registrering vad gäller resor inom EU skall begränsas till vad som är strikt nödvändigt.
  • Endast vid konkreta hot får PNR-data för alla flyg samlas in och analyseras.
  • Om det inte föreligger ett överhängande terrorhot får PNR endast användas för vissa resemönster eller flyglinjer där det finns indikationer på allvarlig brottslighet.
  • PNR-data får endast samköras mot register över personer som är misstänkta, efterlysta eller under utredning.
  • För att undvika falska flaggningar måste alla positiva träffar verifieras manuellt.
  • PNR-data får lagras högst sex månader, om ingen ny relevant information tillkommer.

EU-domstolen lutar sig alltså mot samma princip som vad gäller datalagringen: Det är inte tillåtet med svepande, urskiljningslös insamling av data utan misstanke om brott.

Läs mer i EU-domstolens pressmeddelande:
• The Court considers that respect for fundamental rights requires that the powers provided for by the PNR Directive be limited to what is strictly necessary (PDF) »

Nu klubbas EU:s Digital Services Act

av

Statligt utsedda nätgranskare och gränsöverskridande nätcensur blir konsekvensen av EU:s Digital Services Act, som just nu är på väg att godkännas.

Idag har EU:s ministerråd godkänt den (bakom stängda dörrar) slutförhandlade Digital Services Act (DSA). I morgon väntas Europaparlamentets utskott för den inre marknaden (IMCO) göra det samma. Sedan återstår bara ett sista OK från Europaparlamentet i plenum.

Detta innebär bland annat att statligt utsedda nätgranskare – så kallade Trusted Flaggers – med rätt att rekommendera sociala media att ta bort innehåll blir verklighet. Dessa skall, enligt dokumenten, företräda »kollektiva intressen« och kommer att ha en direktlina till de olika sociala plattformarna så att deras rekommendationer prioriteras.

Vi kommer även att få gränsöverskridande nedtagningsorder. Vilket innebär att myndigheter i ett EU-land kan beordra att innehåll skall censureras i en annan medlemsstat – även om detta innehåll inte är olagligt i det senare. Vad kan möjligen gå fel?

Det är även intressant vad som inte finns i DSA. Det finns ingen rätt till anonymitet. Inte någon rätt till kryptering. Det finns inte heller något skydd mot svepande datalagring eller uppladdningsfilter.

Nu återstår att se hur DSA kommer att tillämpas. Till exempel vilka som blir statligt utsedda nätgranskare och hur deras mandat kommer att omsättas i praktiken.

• Läs mer: Digital Service Act shows EU‘s unwillingness to take digital age into its own hands »

Läckta EU-dokument: Ministerrådet vill ha allmän meddelandekontroll och lagstifta om kryptering

av

Att EU verkligen har ambitionen att granska innehållet i alla människors alla elektroniska kommunikationer framgår av ministerrådets egna dokument.

Nyligen skrev jag om riskerna med EU:s nya Chat Control / meddelandekontoll. Det vill säga av-kryptering och inspektion av innehållet i alla dina elektroniska kommunikationer. Vars syfte är att kontrollera att du inte ägnar dig åt sexuella övergrepp på barn.

Jag påpekade även risken för ändamålsglidning. Nu visar det sig att EU:s ministerråd redan planerat för sådan.

I ett läckt dokument från 11 april visar det sig att medlemsstaternas justitie- och inrikesministrar (Morgan Johansson för Sverige) enkelt uttryckt vill utöka idén om Chat Control till att även gälla terrorism. Och det finns även dokument som pekar på att Chat Control är tänkt att omfatta kamp mot all slags brottslighet:

»… lawful and targeted access to encrypted information in the context of criminal investigations and prosecutions…«

Tänk på barnen, var alltså bara en förevändning. En murbräcka.

Ministrarna vill också ha en EU-förordning om »tillgång till digital information inklusive krypterad data«.

Man tänker alltså lagstifta om att ge myndigheterna tillgång till krypterad information. Vilket med nödvändighet leder till att sådan kryptering korrumperas och blir osäker. Antingen har man säker kryptering eller så har man det inte. Man kan inte bli bara lite gravid.

Dessutom vill ministrarna att AI skall användas för att processa massdata i kampen mot allvarlig brottslighet, våldsam extremism och terrorism. Fler syften lär tillkomma, som vanligt.

Här kan det vara på sin plats att påpeka att Europakonventionen om de mänskliga rättigheterna slår fast att rätten till privatliv och privat korrespondens är en grundläggande mänsklig rättighet.

Vilket är den princip som EU-domstolen lutade sig mot när den upphävde EU:s datalagringsdirektiv 2014.

Då handlade det om att samla in data om alla människors alla elektroniska kommunikationer, utan misstanke om brott. Nu vill man alltså göra ett liknande försök, men inriktat på innehållet i våra kommunikationer. Vilket känns en smula skamlöst.

Detta och mycket annat kommer att diskuteras på ministerrådsmötet i Luxemburg den 9 juni.

• Data retention and decryption: Justice and Home Affairs Council wants more surveillance »
• EU counter-terror shopping list: sanctions against “radical rhetoric”, intelligence agencies in asylum proceedings »

Steg för steg mot en europeisk övervakningsstat

av

EU är på väg att skapa en övervakningsstat i klass med den amerikanska. Genom många små steg har vi nått en punkt där denna övervakning blir ett demokratiskt problem.

Vår bild av övervakningsstaten är den som återfinns i populärkulturen och möjligen hos amerikanska NSA. Ständig övervakning överallt där allt samkörs i realtid med allehanda register. Collect it all. Allt är sedan tillgängligt med en knapptryckning.

Existensen av ett globalt övervakningsnätverk – som till en början kallades Echelon – förnekades och avfärdades som konspirationsteorier. Sedan kom Snowdens avslöjanden och visade att precis så är det. Och mer därtill.

Här i Europa har det inte gått riktigt lika fort. Vi överför förvisso stora mängder insamlad data till amerikanska NSA. I flera länder har detta krävt speciallagstiftning.

Många EU-länder har krav på lagring av data om allas alla samtal och elektroniska kommunikationer – trots att EU-domstolen upphävt EU:s datalagringsdirektiv. Det stred mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.

Dessutom har EU-staterna en massa egna påfund. Säkerhet är ju trots allt en nationell kompetens. I Sverige har vi till exempel FRA-lagen, långt nere på det sluttande planet. Plus allehanda former av övervakning som polisen samlat på sig under åren.

Till exempel hemlig dataavläsning, vilket innebär att myndigheterna får rätt att installera statliga trojaner på människors datorer, telefoner, plattor med mera. Lite som den skandalomsusade spionmjukvaran Pegasus – som använts för att spionera på den politiska oppositionen i både Polen och Spanien. Journalister är en annan drabbad grupp.

Ibland gör myndigheterna trevare. Som när Säpo bad internetoperatören Bahnhof att få koppla in sig direkt till delar av företagets tekniska infrastruktur. Det skulle liksom vara enklare så än om polisen behöver fråga varje gång… Vilket var ett samtal som Bahnhofs stridbare VD Jon Karlung hade sinnesnärvaro nog att spela in och offentliggöra.

Vilket leder oss till Europols nyligen utökade mandat. I detta ingår nämligen rätten att koppla upp sig direkt mot privata aktörer och deras data. Varesig de senare vill eller ej. Det nya mandatet ger även Europol rätt att samla information om människor som inte är misstänkta för brott. (Vilket man visserligen även gjort tidigare, men då utan lagligt stöd.)

Och nu – Chat Control. Som innebär att alla våra meddelanden, chattar, all e-post, IP-samtal och andra elektroniska kommunikationer skall av-krypteras, öppnas och granskas. Av maskiner. Detta i namn av att bekämpa sexuella övergrepp mot barn. Vilket är ett syfte som enkelt kan utökas – på samma sätt som alla övervakningslagar drabbas av ändamålsglidning.

Många olika EU-finansierade projekt har de senaste tio åren utvecklat allt från biometrisk identifiering; automatiserad realtidsanalys av inkommande övervakningsbilder; automatiserad ansiktsigenkänning i realtid; AI-stödd beteendeanalys; samkörning av övervakningsverktyg och register – till lyktstolpar med högtalare och mikrofon för kameraövervakade områden. Idag börjar allt detta bli tillgängligt för myndigheterna.

Nu kopplas systemen samman. Utöver Europols register skall även polisen i olika EU-länder få direkt access till varandras databaser. Vad kan möjligen gå fel?

Utöver att vi hela tiden har samarbetat med amerikanska NSA – så börjar även EU och dess medlemsstater nu nå en så omfattande grad av övervakning att det är problematiskt ur ett demokratiskt perspektiv.

EU avskaffar rätten till privat korrespondens

av

EU-kommissionen vill att alla dina elektroniska meddelanden, alla chattar och all din e-post skall av-krypteras och att dess innehåll skall granskas. Förslaget kallas informellt ChatControl – eller meddelandekontroll på svenska.

Granskningen skall göras av till exempel sociala media, meddelandetjänster och e-post-leverantörer. Ambitionen är att innehållet i alla EU-medborgares alla elektroniska kommunikationer skall granskas.

Detta kommer att ske med hjälp av maskiner och deras algoritmer. Misstänkt material kommer att överlämnas till polisen.

Ironiskt nog håller politiken med detta på att tvinga de nätjättar som redan kritiseras för att veta allt för mycket om sina användare att öppna och ta del av innehållet i våra meddelanden.

Förevändningen är att kontrollera att du inte sprider barnporr eller ägnar dig åt sexuellt utnyttjande av barn.

Detta är en perfekt politisk murbräcka. Vem är väl för sexuella övergrepp på barn?

Men det finns många problem med detta förslag. Några exempel:

Siffror från Schweiz visar att nio av tio sådana flaggningar är falska flaggningar. Därmed drabbas helt oskyldiga människor av misstanken om att de ägnar sig åt barnporr.

40 procent av flaggat material tycks vara tonåringar som sänder bilder på sig själva till andra tonåringar. Vilket i vart fall delvis är en annan fråga.

Enligt förslaget skall en åldersgräns införas för meddelande-appar och meddelandetjänster. Vilket gör det omöjligt att kommunicera anonymt. Detta kan drabba till exempel whistleblowers, journalister, själasörjare, läkare, advokater, medborgarrättsaktivister och många andra som har ett helt legitimt intresse av att kommunicera anonymt.

Dessutom skall man komma ihåg att övervakningslagar alltid drabbas av ändamålsglidning.

FRA skulle bara spana på ryssen. Detta har med tiden ändrats så att man nu även får spana på svenska kommunikationer inom landet.

Trots löften om motsatsen är FRA-butiken nu öppen för allehanda svenska och utländska myndigheter.

Datalagringen skulle bara användas för att bekämpa allvarlig brottslighet. Snabbt blev den ett verktyg för att jaga fildelare. Den blev även populär hos Skatteverket, för att snoka i folks privatliv.

Vad är det som säger att syftet inte kommer att utökas även denna gång?

Vill vi verkligen avskaffa den digitala brevhemligheten? Enligt Europakonventionen om de mänskliga rättigheterna är rätten till privatliv och privat korrespondens en grundläggande mänsklig rättighet.

Vill vi verkligen att allt vi skriver, säger och sänder till varandra skall granskas?

Litar vi verkligen på att maskiner och algoritmer kan göra en rimlig analys av våra meddelanden?

Det måste finnas andra sätt att bekämpa sexuella övergrepp mot barn, utan att avskaffa vår rätt till privat kommunikation. (Det kan nämnas att EU:s direktiv från 2011 om att skydda barn från sexuellt utnyttjande i stora delar ännu inte har implementerats.)

Det är även värt att notera att det redan utan de nya EU-reglerna samlas outredda ärenden om sexuellt utnyttjande av barn på hög hos polisen i många EU-länder. Man kanske skulle börja med att beta av dem?

En sak kan sägas med säkerhet: På samma sätt som andra övervakningslagar drabbats av ändamålsglidning kommer syftet med ChatControl att utökas med tiden.

Därför är det bättre att hålla den dörren stängd.

Relaterat:
• Piratpartiets Katarina Stensson skriver idag i SvD: Stoppa EU-lag som kräver insyn i chattar »
Granskning: Lobbykampanjen för #ChatControl »
Skarpt EU-förslag idag: Av-kryptering och granskning av alla meddelanden och all e-post »
Aktuella lagförslag »

Den ständigt växande övervakningsstaten

av

Hur mycket övervakning kan vi införa innan den blir ett demokratiskt problem? Bryr sig någon?

Förra veckan gav Europaparlamentet polismyndigheten Europol rätt att registrera människor som inte är misstänkta för brott. Europol fick även direkt tillgång till data hos privata aktörer som Facebook, Google och Microsoft.

För två veckor sedan beslutade riksdagen om »modernare regler för användningen av tvångsmedel«. Polisen får rätt att genomsöka externa servrar och molntjänster. Enskilda kan tvingas att låsa upp sin mobiltelefon om polisen vill titta i den. Med mera.

ChatControl2 innebär att alla elektroniska meddelanden och all e-post skall avkrypteras och att dess innehåll skall granskas. Den senaste informationen är att detta förslag kommer att läggas fram denna vecka, efter upprepade förseningar.

ChatControl2 / meddelandekontroll bryter – enligt intern kritik i EU-kommissionen – mot förbudet mot generell övervakning, förslaget är tekniskt oklart och det respekterar inte individens rätt till privatliv. Ändå ser det ut att nu läggas fram.

Samtidigt pågår utfrågningar i Europaparlamentet på grund av att medlemsstater som Polen och Spanien använt övervakningsverktygt Pegasus för att spionera på oppositionella. Till och med ledamöter av parlamentet har avlyssnats och deras mobiler genomsökts.

Trots EU-domstolens upprepade protester tänker EU-kommissionen även lägga fram ett nytt förslag till datalagring. Det vill säga lagring av data om alla medborgares alla telefonsamtal, meddelanden, uppkopplingar och mobilpositioner.

Ett antal EU-länder – däribland Sverige – struntar för övrigt i att EU-domstolen redan för åtta år sedan sa nej till datalagring. Den svenska lagen på området lär vara olaglig, om den skulle prövas rättsligt. Regeringens envishet är på gränsen till domstolstrots.

Detta är bara några exempel på vad som är aktuellt, nyligen klubbats eller är på gång.

Lägg till detta all övervakning som redan beslutats inom ramen för till exempel hemlig dataavläsning, FRA-spaning åt allehanda myndigheter och årtionden av samlad, ständigt expanderande lagstiftning på området.

Övervakning läggs till övervakning. Förr eller senare blir den ett demokratiskt problem. Men ingen tycks bry sig.

Frågan är om någon ens har en total överblick över alla former av övervakning som införts på nationell respektive EU-nivå.

EU:s Digital Services Act klar för beslut

av

Ingen rätt till anonymitet online, ingen rätt till kryptering, inget förbud mot datalagring eller uppladdningsfilter. Myndigheter i ett EU-land kan beordra borttagning av innehåll på servrar i en annan medlemsstat – även om det inte är olagligt i det senare. Dessutom statligt godkända nätcensorer. Det är några av punkterna från slutförhandlingen om EU:s nya Digital Services Act.

Efter 16 timmars förhandlingar mellan EU-kommissionen, ministerrådet och Europaparlamentet finns nu en överenskommelse om EU:s Digital Services Act. Det finns dock ingen sammanställd slutlig text ännu. Men en del saker vet vi redan.

Låt oss börja med att se hur Europaparlamentet presenterar saken i sitt pressmeddelande:

• Access to platforms’ algorithms now possible
• Online platforms will have to remove illegal products, services or content swiftly after they have been reported
• Protection of minors online reinforced; additional bans on targeted advertising for minors as well as targeting based on sensitive data
• Users will be better informed how content is recommended to them

En god nyhet är att användare som censureras av sociala media kan komma att få någon form av möjlighet att överklaga.

Så över till den mer kritiske ledamoten av Europaparlamentet Patrick Breyer (PP, DE):

»We were able to prevent removal obligations for search engines. We could also prevent the indiscriminate collection of the cell phone numbers of all uploaders to adult platforms, which would have endangered their privacy and the safety of sex workers due to foreseeable data hacks and leaks. Minors will be protected from surveillance advertising on online platforms. However, the ban on using sensitive personality traits (e.g. a person’s political opinion, diseases or sexual preferences) for targeted manipulation and targeting was heavily watered down.«

»Our online privacy will not be protected by a right to use digital services anonymously, nor by a right to encryption, a ban on data retention, or a right to generally opt-out of surveillance advertising in your browser (do not track). Freedom of expression on the Internet is not protected from error-prone censorship machines (upload filters), nor from arbitrary platform censorship. Cross-border removal orders issued by illiberal member states without a court order can take down media reports and information that is perfectly legal in the country of publication.«

Dessutom står förslaget om Trusted Flaggers (betrodda anmälare / statligt godkända nätcensorer) kvar, då det inte mött något egentligt motstånd eller ens ifrågasatts under förhandlingarna. Läs mer om problemen med Trusted Flaggers här »

Nu när förhandlingarna är klara kommer förordningen sannolikt att godkännas av EU:s ministerråd och Europaparlamentet utan ändringar.

Vi återkommer när det finns en slutlig, konsoliderad text.

Brutal intern sågning av EU:s planer på att av-kryptera och inspektera all e-post och alla meddelanden

av

ChatControl2 möter inte bara extern kritik. Förslaget sågas nu även av EU-kommissionens egna tjänstemän.

EU-kommissionär Ylva Johanssons planer på av-kryptering och granskning av innehållet i alla e-post-meddelanden och alla elektroniska meddelanden möter nu mycket hård kritik, från kommissionens egen ”review board”.

Några exempel:

  • Förslaget bryter mot EU:s förbud mot generell övervakning.
  • Förslaget innehåller tekniska oklarheter.
  • Förslaget respekterar inte individens rätt till privatliv.
  • Det är olämpligt att låsa sig för en viss teknisk lösning innan man analyserat problemet.

ChatControl2 / meddelandekontroll syftar till att göra det obligatoriskt med av-kryptering och granskning av innehållet i all e-post och alla elektroniska meddelanden – för att kontrollera att du inte ägnar dig åt barnporr. (Vilket är en fråga som används som murbräcka. Syftet kan sedan utökas, som vanligt, genom ändamålsglidning.)

Det finns redan en tillfällig lag som gör sådan granskning möjlig – men inte obligatorisk.

Förslaget skulle ursprungligen ha lagts fram i december. Detta ändrades till mars. Och nu meddelas att förslaget skjuts fram till slutet av april (27/4).

Gissningsvis har den nya tyska regeringen kastat in grus i maskineriet. I dess koalitionsfördrag säger man nej till generell övervakning, speciellt av privat kommunikation. Den röd-gul-gröna regeringen har redan meddelat att man slutar med datalagring.

Rent allmänt tyder det som nu sker på en tillnyktring – och förnyad respekt för de mänskliga rättigheterna, individens rätt till privatliv och rättsstaten. Vilket dock inte tycks hindra Ylva Johansson från att ändå försöka gå fram med sitt förslag.

En annan faktor som spelar in är att det är högst troligt – närmast uppenbart – att EU-domstolen kommer att underkänna ChatControl2 om förslaget skulle bli verklighet.

Principen bör (precis som när det gäller datalagring) vara att övervakning skall inriktas mot personer som är misstänkta för brott, inte alla andra.

Länkar:
• EDRi: Leaked opinion of the Commission sets off alarm bells for mass surveillance of private communications »
• PP: Chat Control: Leaked Commission Paper (on) EU Mass Surveillance Plans »
• EDRi: The European Commission might put a stop to end-to-end encryption »
ChatControl.eu »

EU-domstolen på väg ge grönt ljus för registrering av alla dina resor

av

EU-domstolens generaladvokat föreslår att registrering av alla våra resor kan fortsätta. Vilket dock strider mot andra domar mot svepande övervakning utan misstanke om brott.

I ett förslag till dom i EU-domstolen föreslår dess generaladvokat att EU:s PNR-system (Passenger Name Record) kan fortsätta. Vilket – intressant nog – i någon mening kolliderar med tidigare domar som sätter stopp för urskiljningslös övervakning och registrering, som till exempel datalagringen.

Vanligtvis följer domstolen generaladvokatens rekommendationer. Men i just detta fall kan det bli annorlunda, på grund av ovan nämnda förhållande till andra domar.

PNR-systemet är till för att registrera alla flygpassagerares namn och personliga information. Det kan till exempel handla om vem du reser med, hur du betalt din biljett, om du har ovanligt lite bagage, din hälsoinformation, om du beställt specialkost med mera. Denna information överförs sedan till polisen innan planet avgår.

Ärendet är väckt av belgiska Ligue des droits humains. Värt att notera är att Belgien redan utökat systemet till att även gälla internationella resor med tåg, buss och båt. Vilket är något som fler EU-länder överväger att ta efter. Det diskuteras även PNR för bilhyra och hotellövernattningar.

• Statewatch: EU: Mass travel surveillance: no problem, says court »
• Verfassungsblog: A cautious green light for technology-driven mass surveillance »