Femte juli

Nätet till folket!

Sökresultat för: datalagring

EU:s planer för internet – hela (?) listan

av

Trots kritiken mot att man överreglerar kommer EU att rulla ut ett flertal nya lagstiftningsförslag som berör internet, yttrandefrihet och övervakning under den nya mandatperioden.

Den nya EU-kommissionen har nu presenterat sitt arbetsprogram. Totalt planeras 51 större nya politiska initiativ och det finns 123 sådana under beredning sedan tidigare. Låt oss titta igenom dokumenten och se vad som rör internet, övervakning och relaterade frågor.

I ett faktablad kan vi läsa att det kommer ett lagstiftande digitalt paket under fjärde kvartalet i år. Då kommer även en Digital Networks Act, en AI Continent Action Plan och en Quantum Strategy of EU. (Oklart om detta är delar i det digitala lagpaketet eller om de ligger utanför.)

Under tredje kvartalet i år tänker man komma till skott med EU:s Demokratisköld, där vi redan skrivit om kommissionens briefing paper. Intrycket är att det mest är en byråkratisk ordsallad. Vi kan även förvänta oss fördjupad lagstiftning mot diskriminering och rasism, vilket alltid väcker frågor om rättigheter och yttrandefrihet.

Det kommer också en ny intern säkerhetsstrategi för EU i närtid. Vi vet ännu inte vad den innehåller, men några heta frågor i ämnet kan vara ny datalagring, kriget mot totalsträckskryptering, och ökad massövervakning, som ju ständigt är aktuella i unionen.

Gräver man ner sig i bilagorna kan vi även se att man planerar en översyn av EU:s Geo-blocking Regulation.

Plus sådant som redan är under beredning:

  • digital Euro [COM(2023)369 final 2023/0212 (COD)],
  • ett direktiv om »payment services and electronic money services« [(COM(2023)366 final 2023/0209 (COD)],
  • reglering av ramverk för Financial Data Access [COM(2023)360 final 2023/0205(COD)],
  • Chat Control 2 [COM(2022)209 final 2022/0155 (COD)],
  • »A more inclusive and protective Europe« – utökning av listan av EU-brott till att även gälla hat och hot [COM(2021)777 final] (se vår tidigare bloggpost).

Man kan även notera att att EU-kommissionen i sista stund dragit tillbaka ett planerat AI Liability Directive [COM(2022)496 final 2022/0303 (COD)] Vilket kanske kan ses i ljuset av kritiken mot att EU överreglerar AI.

Ett annat förslag som dragits tillbaka är en reglering »concerning the respect for private life and the protection of personal data in electronic communication« [COM(2017)10 final 2017/0003 (COD)].

Något vi vid första påseende inte kan hitta i dokumenten är planen på gemensamma digitala medicinska journaler i EU, digitalt EU-ID och en EU-gemensam digital plånbok. Men det är möjligt att dessa frågor betraktas som färdigbehandlade.

Allt det ovanstående med reservation för att EU-dokumenten är snåriga, att viktiga saker ibland göms bakom missvisande rubriker och att vi kan ha missat eller missuppfattat något. Lägg till det att nya frågor ständigt dyker upp, ofta snabbt och under radarn.

• EU-kommissionen: A bolder, simpler, faster Union: the 2025 Commission work programme »

Relaterat:
• Nya EU-kommissionen och internet »

Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation

av

Regeringens förslag om att ge myndigheterna tillgång till krypterade meddelanden sågas grundligt av tunga remissinstanser.

Bort med tassarna från totalsträckskrypterad kommunikation! Det är budskapet när Försvarsmakten ger sitt remissvar på regeringens utkast till lagrådsremiss om »Datalagring och tillgång till elektronisk information«.

Förslaget bygger på en utredning som bland annat föreslår att i princip alla elektroniska meddelandetjänster (utom telefon och SMS) skall tvingas lämna ut information om innehåll i användarnas meddelanen. Det skall ske i läsbar (okrypterad) form. Även om meddelandet är totalsträckskrypterat (E2EE).

Vilket i så fall kräver något slags bakdörr. Detta kallas på kanslihus-svenska för »anpassningsskyldighet«.

Datasäkerhetsspecialisten Karl Emil Nikka har gjort en sammanställning av remissvaren, som presenteras i den utmärkta podcasten Bli Säker. Du kan se avsnittet nedan. Här är några nedslag:

Journalistförbundet menar att det är viktigt för källskyddet med anonymitet och att denna hotas med förslaget. Man pekar även på att totalsträckskrypterade meddelandetjänster är viktiga för människorättsaktivister och andra som riskerar att drabbas av repressalier i autoritära länder.

Södertörns Tingsrätt undrar hur regeringen tänkt få meddelandetjänster i resten av världen att acceptera och följa en sådan svensk lag. »Legitima globala aktörer kan dra sig ur den svenska marknaden, medan oseriösa aktörer i tredje land kan avstå från att följa skyldigheten med begränsade risker.«

Polisen tycks mena att det är möjligt för meddelandetjänster att möta utredningens krav och samtidigt tillgodose säkerhet och skydd för kommunikation. Hur det skall gå till är dock oklart. Detta känns på sin höjd som en åsikt.

Även Säkerhetspolisen menar att förslaget visar att det är möjligt att genomföra utan en generell försvagning av integritets- och informationssäkerhetsskydd. Varifrån kommer denna idé?

I den bakomliggande utredningen kan vi se hur detta är tänkt att gå till. Det verkar som om utredaren tror att det går att skapa en lösning där endast ett meddelandes avsändare, mottagare och svenska myndigheter kan läsa.

I podcasten frågar sig Karl Emil Nikka vad som får utredare och regering att tro att globala företag skulle införa detta för just Sverige. Skulle inte en sådan lösning även kunna användas av auktoritära regimer i andra länder?

IT-säkerhetsföretaget Trusec menar att det »saknas sakkunnig expertis inom cyber och cybersäkerhet i utredningen«. Man menar att förslaget kan leda till sämre säkerhet för alla användare.

De svenska användargrupperna menar att anpassningsskyldigheten skapar ett stort intrång i den personliga integriteten. Den kan även »leda till att företag som tillhandahåller kommunikationslösningar kan komma att dra sig ut från den svenska marknaden och enbart lämna kvar tjänster där kommunikationen inte kan totalsträckskrypteras.« Man efterlyser även en konsekvensanalys.

Internetstiftelsen menar att förslaget inte går ihop »eftersom hela syftet med totalsträckskrypterade tjänster är att ingen förutom mottagare och sändare ska kunna ta del av informationen.«

Näringslivet i TechSverige skriver i sitt remissvar »Vi har sett hur effektiva illvilliga aktörer är på att identifiera och utnyttja sårbarheter i digitala kommunikationssystem. Under senare tid har även experter uppmanat till en ökad användning av totalsträckskrypterad (end-to-end) kommunikation. TechSverige vill därför trycka på vikten av tydliga skydd för krypterad kommunikation så inte lagstiftningen skapar sårbarheter som kan nyttjas av illvilliga aktörer

Juridiska fakulteten vid Stockholms Universitet påpekar följande »Vidare kan krav på att tillhandahålla bakdörrar och nyckeldeponering avseende totalsträckskrypterade tjänster få motsatt effekt, eftersom det inte bara är brottsbekämpande myndigheter som kan göra bruk av dessa utan även kriminella och andra hotaktörer.« Vilket tidigare har påpekats av både Europol och EU:s cybersäkerhetsmyndighet ENISA.

Netnod, tungviktarna som driver knutpunkter som kopplar ihop Sverige med resten av internet konstaterar i tydliga ordalag att kravet på anpassningsskyldighet är omöjligt.

»Detta är tekniskt omöjligt att uppfylla för en totalsträckskrypterad tjänst utan att kompromettera totalsträckskrypteringen. Och om informationen är krypterad med nyckelmaterial i säkert element kan denna nyckel inte delas med en tredje part (dvs tjänstetillhandahällaren) på ett sådant sätt som lagrådsremissen och utredningen föreslår (…)«

»Detta innebär därmed att bakdörrar maste byggas in i kommunikationstjänster. Bakdörrar är att likställa med sårbarheter ur ett riskhanteringsperspektiv, och sårbarheter får aldrig byggas in i tjänster enligt Netnod.«

Det är ord och inga visor. Och den sista spiken i kistan hamras in av Försvarsmakten som säger att »Försvarsmakten bedömer att kravet på anpassningsskyldighet av nummeroberoende interpersonella kommunikationstjänster inte kommer att kuna uppfyllas utan att införa sårbarheter och bakdörrar som kan komma att nyttjas av tredje part

Som synes är kritiken av förslaget massiv. Förhoppningsvis så massiv att regeringen inte kan bortse från den.

Guldstjärna till Karl Emil Nikka som gjort sammanställningen. Se hela presentationen i Bli Säker-podden nedan. (Start vid 15:45.)

Vi har tidigare skrivit om utredningen och vårt remissvar på densamma:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »

Vi har även skrivit om en annan del av förslaget till lagrådsremiss, så kallad »nationell säkerhetslagring« där Säpo i vissa situationer kan besluta om att lagra alla våra elektroniska fotspår i upp till två år:
• Undantagstillstånd i den svenska övervakningsstaten »

Man kan inte samtidigt ha massövervakning och säkra elektroniska kommunikationer

av

På ena sidan står politiker som vill kontrollera innehållet i alla medborgares elektroniska meddelanden. På den andra sidan finns ett ökat behov av säkra elektroniska kommunikationer. Men våra beslutsfattare duckar frågan.

Politik kolliderar inte sällan med verkligheten. Ett praktiskt exempel är EU:s ambitioner att övervaka medborgarnas elektroniska kommunikationer, som står i konflikt med ett ökat behov av säker elektronisk kommunikation.

EU vill använda AI och/eller spionprogram för att granska innehållet i alla européers elektroniska meddelanden inom ramen för Chat Control 2 (CSAM regulation).

Den nya EU-kommissionen och EU:s ministerråd vill se ett nytt regelverk för datalagring (lagring av metadata om allas telekommunikationer, elektroniska meddelanden, mobilpositioner med mera). Detta trots att EU-domstolen redan sagt nej till sådan.

Inom ramen för projektet Going Dark vill EU skapa verktyg och metoder för att komma åt totalsträckskrypterad (E2EE) elektronisk kommunikation.

Samtidigt ser vi hur främmande makt och kriminella också vill komma åt våra elektroniska kommunikationer.

I USA har statens verktyg för att kontrollera medborgarnas meddelanden missbrukats av kinesiska hackare. Tidigare har myndigheternas hela katalog av övervakningsverktyg hamnat i orätta händer.

I Nederländerna varnar underrättelsetjänsten i bestämda ordalag för konsekvenserna av Chat Control 2.

Nyligen varnade FBI och experter på cybersäkerhet till och med för att använda SMS. Behovet av säkra kommunikationer blir allt mer uppenbart.

Detta är bara några exempel. Intressekonflikten är uppenbar. Det gäller inte bara privatpersoner. Företags, organisationers, medias och myndigheters elektroniska meddelanden kommer också att utsättas för risker.

När det gäller människor som misstänks för brott har staten redan de verktyg som krävs för att komma åt all elektronisk kommunikation och allt som görs och finns på dessa personers telefoner och datorer genom hemlig dataavläsning.

Att man skall kunna övervaka personer och grupper som misstänks för brott är de flesta överens om.

Den politiska striden handlar om ifall denna övervakning skall utökas till att gälla alla. Det vill säga även vanliga hederliga människor, som inte misstänks för något brottsligt. Till priset av försämrad IT-säkerhet.

EU-domstolen har redan slagit fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den rättsliga basen för domstolens bedömning är de grundläggande mänskliga rättigheterna. Dels handlar det om rätten till privatliv och privat kommunikation. Dels om vad yttrandefriheten har att säga om allas rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning.

Nyligen efterlyste riksdagens lagråd en samlad översyn av den stora mängden lagar och verktyg för övervakning. Är övervakningen i proportion till de problem man säger sig vilja lösa?

Är övervakningen ens effektiv? Aktuella siffror visar att endast två av tio fall av hemlig avlyssning i Sverige leder till åtal.

Hur påverkar övervakning av alla samhällets fria åsiktsbildning och demokrati? Vilka är riskerna för att dessa verktyg kan komma att missbrukas, nu eller i morgon?

Det enda klara svar vi får från politiken är att man inte vill diskutera saken. Men så enkelt får våra makthavare inte komma undan.

Hemlig övervakning leder oftast inte till åtal

av

70-80% av myndigheternas hemliga övervakning leder inte till åtal. Samtidigt växer övervakningsstaten utan att någon samlad översyn görs.

Regeringens skrivelse till riksdagen om användningen av hemliga tvångsmedel under 2023 är intressant läsning. Bland annat får man en bild av hur den hemliga övervakningen även drabbar många i den övervakades omgivning, även om det inte är textens syfte.

Tolkningsutrymmet är stort och skrivelsen innehåller anonymiserade beskrivningar av hur övervakningen sägs ha varit till nytta. Utan att ifrågasätta dessa utsagors äkthet kan man konstatera att de är av anekdotisk karaktär och att de inte går att verifiera.

Om man tar andelen fall av hemlig övervakning som leder till en stämningsansökan eller ett åtal ligger den på 20-30% av de beviljade tillstånden. Det vill säga att 70-80% av denna övervakning inte leder till åtal.

Till detta kan läggas att även om det blir åtal betyder det inte att den hemliga övervakningen nödvändigtvis bidragit till detta. Endast att det handlar om en person som på någon grund kunnat åtalas.

Skrivelsen argumenterar för att övervakning kan ge annan nytta än åtal. Men även i fall där ett brott kunnat förhindras måste väl i rimlighetens namn åtal kunna väckas för förberedelse eller stämpling?

Här följer en överblick av de hemliga tvångsmedel som redovisas:

Hemlig avlyssning av elektronisk kommunikation

Definitionen omfattar avlyssning av telefon- och telefaxtrafik, e-posttrafik och överföring av datafiler.

Används huvudsakligen för att utreda narkotika- och våldsbrott. 4.203 tillstånd (1.837 personer) under 2023 (4.108/1.465 år 2022). 29% har lett till åtal.

Hemlig övervakning av elektronisk kommunikation

Enkelt uttryckt handlar detta om metadata från datalagring, mobilmast-tömningar med mera.

Används huvudsakligen för att utreda vålds- och narkotikabrott. 15.353 tillstånd (3.943 personer) under 2023 (13.146/3.314 år 2022). Ingen uppgift om hur stor andel som lett till åtal.

Hemlig kameraövervakning

Optisk personövervakning med »fjärrstyrda tv-kameror, andra optisk-elektroniska instrument eller därmed jämförbara utrustningar«. Ljudupptagning får ej ske.

Används huvudsakligen för att utreda narkotika- och våldsbrott. 407 tillstånd (534 personer) under 2023 (239/250 år 2022). 23% har lett till åtal.

Hemlig rumsavlyssning

»Avlyssningen får omfatta tal i enrum, samtal mellan andra eller förhandlingar vid sammanträden eller andra sammankomster som allmänheten inte har tillträde till.«

Används huvudsakligen för att utreda narkotika- och våldsbrott. 146 tillstånd (110 personer) under 2023 (79/60 år 2022). 29% har lett till åtal.

Hemlig dataavläsning

Detta handlar om att installera spionprogram på telefoner, datorer, plattor och annan elektronisk utrustning. Med sådana kan man sedan komma åt allt som görs och finns på enheten, bedriva kameraövervakning och rumsavlyssning, positionsdata med mera.

(Säkerhetsluckor i hård- och mjukvara lämnas utan åtgärd för att dessa spionprogram skall kunna installeras vilket påverkar samhällets övriga IT-säkerhet negativt.)

Används huvudsakligen för att utreda narkotika- och våldsbrott. 172 tillstånd (331 personer) under 2023 (148/365 år 2022). Hemlig dataavläsning redovisas per användningssätt (se ovan) men i genomsnitt har 16% lett till åtal.

Övervakning enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott

Användning av »hemliga tvångsmedel för att förhindra brott, så kallade preventiva tvångsmedel, utanför en förundersökning« om det finns en »påtaglig risk för att en person kommer att utöva |viss] brottslig verksamhet«. Detta gäller även organisationer och grupper.

Används huvudsakligen för att utreda våldsbrott. 106 tillstånd (67 personer) under 2023. Ingen uppgift om hur stor andel som lett till åtal.

Inhämtning av uppgifter om elektronisk kommunikation i underrättelseverksamhet

Rätt för Polismyndigheten, Säkerhetspolisen och Tullverket att i underrättelsesyfte »i hemlighet hämta in uppgifter om meddelanden som i ett elektroniskt kommunikationsnät har överförts till eller från ett telefonnummer eller annan adress, om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område, eller uppgifter om inom vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits.«

På ansökan av Polismyndigheten och Tullverket beviljades 876 beslut, varav två avslagsbeslut under 2023 (727 beslut varav 23 avslag 2022). Ingen uppgift om hur stor andel som lett till åtal.

Hemliga tvångsmedel i Säkerhetspolisens verksamhet

Detta är Säpos användning av de olika hemliga tvångsmedlen ovan.

676 beslut om hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, hemlig kameraövervakning och hemlig rumsavlyssning fattades år 2023 (562 beslut 2022); 803 beslut om hemlig dataavläsning 2023 (292 beslut 2022) samt 305 beslut med stöd av lagen om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (203 beslut 2022). Ingen uppgift om hur stor andel som lett till åtal.

Sammanfattning

Input för de olika formerna av hemliga tvångsmedel varierar i skrivelsen och viktig information (t.ex. hur stor andel som gått till åtal) saknas i flera fall. Vilket gör det svårt att få en komplett bild av helheten.

I de fall där andelen beslut om hemliga tvångsmedel lett till åtal redovisas kan man dock konstatera att siffran förefaller låg. Man kan därför inte utesluta att ett stort antal oskyldiga personer drabbats. I vart fall om man går efter principen att »envar skall betraktas som oskyldig till dess motsatsen bevisats«.

Med tanke på polisens organisatoriska problem, omfattande byråkrati och låga uppklarningsprocent väcks frågor om huruvida övervakningen är ändamålsenlig, effektiv och proportionell.

Tidigare i höstas efterlyste Lagrådet en samlad utvärdering av övervakningsstaten. Rådet skrev (i samband med att det förgäves avstyrkte att lagen om hemlig dataavläsning görs permanent):

»Frågan om i vilken utsträckning den enskilde ska behöva tåla övervakning av det slag som hemliga tvångsmedel innebär måste emellertid enligt Lagrådets mening också bedömas samlat med beaktande av den samlade övervakning som den enskilde kan utsättas för. Lagrådet anser därför att det är synnerligen angeläget att det inom en snar framtid görs en samlad översyn, i ljuset av 2 kap. 6 § andra stycket regeringsformen och artikel 8 i Europakonventionen, av hur hemliga tvångsmedel ska kunna användas.«

För ett sådant syfte räcker denna skrivelse inte. Men regeringen verkar obekymrad:

»Regeringens bedömning är sammanfattningsvis att myndigheternas användning av hemliga tvångsmedel under 2023 har varit ett ändamålsenligt och nödvändigt instrument i brottsbekämpningen.«

• Regeringen: Redovisning av användningen av hemliga tvångsmedel under 2023 Skr. 2024/25:64 »

• Dagens Juridik: Ökad tvångsmedelsanvändning förra året – inga avslag »

FRA – ändamålsglidningen fortsätter

av

Nu föreslås Försvarets Radioanstalt – FRA – få rätt att spana på inrikes kommunikationer och begå dataintrång.

Förra veckan skrev vi om hur den nya lagen om datalagring ger Säpo rätt att på eget bevåg lagra metadata om alla våra elektroniska kommunikationer i upp till två år – om de skulle anse att det är nödvändigt.

Därför kan det även vara på sin plats att uppmärksamma att Försvarets Radioanstalt – FRA – är på väg att få rätt att spana på elektronisk trafik även inom Sverige. Utan att först behöva inhämta tillstånd.

Detta skall gälla i händelse av krig, vilket må vara en sak. Regeringen kan även besluta att så får ske vid krigsrisk, vilket möjligen lämnar ett visst tolkningsutrymme.

Även om man tycker att detta är bra bör man vara uppmärksam så att förslaget inte används för att sänka ribban för övervakningen i fråga.

Och tänka sig. Lite längre in i texten föreslås ett undantag från förbudet för FRA mot att spana på inrikes elektroniska kommunikationer (det är Säpos jobb) – i »brådskande situationer« i fredstid.

Dessutom skall det vara fritt fram för FRA att dela information med andra länder och internationella organisationer även om det inte går att garantera att denna inte används i den globala massövervakningen. Man skriver…

»Förslaget innebär att Försvarets radioanstalt, efter föreskrift eller beslut, får överföra personuppgifter till en mottagare utomlands även om Försvarets radioanstalt inte kunnat förvissa sig om skyddet för de överförda personuppgifterna hos mottagaren.«

Vad är nu detta för förslag? Jo, utredningen »Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59«.

Remisstiden gick ut i veckan och vi på 5 juli-stiftelsen har yttrat oss. Du kan läsa vårt remissyttrande genom att följa denna länk. Några nedslag…

»Stiftelsen menar att förslaget utöka FRA:s befogenheter att övervaka svenskar och svenskars kommunikationer är omotiverat och dessutom med stor sannolikt är oförenligt med Europakonventionen om mänskliga rättigheters grundläggande krav på skydd för privatliv och korrespondens. Utredningen uppvisar också påtagliga brister bland annat genom att negativa konsekvenser av föreslagen inte beskrivs och kvantifieras, vilket omöjliggör proportionalitetsbedömningar.«

»Stiftelsen avstyrker utredningsförslagen till förmån för att det görs en samlad översyn av alla övervakningslagar (oavsett syftet vid införandet). Vid en sådan översyn bör en nyttokostnadsanalys som även omfattar kostnader av övervakning göras.«

En intressant detalj som vi uppmärksammar är förslaget om att »signaler i elektronisk form får inhämtas oavsett om signalerna är under förmedling eller är lagrade«. Man betraktar alltså nu även lagrad data som signaler. Så att FRA får rätt att göra dataintrång. Detta är ändamålsglidning in action.

Vi noterar även att förslaget om »Signalspaning i övningsverksamhet« som det ligger innebär att FRA får avlyssna eller göra dataintrång hos i praktiken vem som helst av vilket skäl som helst och utan att det finns några faktiska kontrollmekanismer.

Detta är bara några exempel på märkligheter i utredningen. Läs mer i vårt remissyttrande.

• Regeringen: Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning SOU 2024:59 »

• 5 juli-stiftelsen: Yttrande/Remiss över Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning (SOU 2024:59), Fö2024/01478 »

• Tidigare bloggpost: Mer ändamålsglidning för FRA »

Undantagstillstånd i den svenska övervakningsstaten

av

Regeringen föreslår att Säpo skall kunna införa »nationell säkerhetslagring« av svenska folkets elektroniska fotspår – inklusive metadata om våra meddelanden – i upp till två år.

Enligt regeringens utkast till lagrådsremissDatalagring och tillgång till elektronisk information – skall Säpo på eget bevåg kunna proklamera nationell säkerhetslagring.

Inom ramen för denna skall alla tele- och internetoperatörer samt meddelandetjänster samla in och lagra följande uppgifter.

6.5 »Beslutet ska få omfatta uppgifter om abonnemang, trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter och som rör användare som är fysiska personer eller abonnenter. Uppgifterna ska vara nödvändiga för att spåra och identifiera kommunikationskällan och slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning, lokalisering av kommunikationsutrustning vid kommunikationen samt lokaliseringsuppgifter som inte är trafikuppgifter.«

Vilket som synes är mer än vad den redan existerande datalagringen (som för övrigt står i strid med EU-domstolens beslut om att upphäva EU:s datalagringsdirektiv) föreskriver.

Operatörerna oroas bland annat över att lokaliseringsuppgifter kommer att kräva orimliga lagringsvolymer med tillhörande kostnader.

Dessutom skall lagringsplikten vid nationell säkerhetslagring vara ett eller två år, till skillnad från den vanliga datalagringens huvudregel om sex månader.

Den nationella säkerhetslagringen skall kunna införas när Säkerhetspolisen anser att det föreligger ett allvarligt hot mot nationen. Så här motiveras det på sidan 65:

»Det går inte med någon större säkerhet att förutse vilka företeelser som kan komma att innebära ett tillräckligt hot mot den nationella säkerheten. Det är i stället mer ändamålsenligt att den behöriga myndigheten, på ett så komplett underlag som möjligt, avgör om det finns tillräckligt konkreta omständigheter för att anse att det finns ett allvarligt hot mot Sveriges säkerhet som är verkligt, aktuellt eller förutsebart.«

Men då så… Frågan man måste ställa sig är om det verkligen är tjänstemän på Säpo som skall fatta beslut om något slags nationellt undantagstillstånd vad gäller massövervakning.

Detta känns mer som en fråga för regeringen, om nu detta är något vi alls skall ha. Den kan också fatta snabba beslut om det kniper. Om det skulle bli krig eller terrorangrepp eller så.

Enligt förslaget skall Säpos beslut verkställas omedelbart och sedan bekräftas i efterhand av Försvarsunderrättelsedomstolen.

Hemliga polisen skall alltså fatta beslut om en aldrig tidigare skådad inhämtning av data i syfte att kunna kartlägga alla svenskar, deras kommunikationer och platsdata upp till två år bakåt i tiden. Vilket sedan skall bekräftas av en hemlig domstol. Orwell hade blivit imponerad.

Man kan även fråga sig hur regeringen tänkt sig att alla de utländska meddelandetjänster och appar som vi använder skall förmås verkställa svensk nationell säkerhetslagring.

Som historien visar tenderar alla övervakningslagar att utvidgas till syfte och metod. Tröskeln kommer att sänkas med tiden.

Det skulle inte förvåna om Säpo klipper till med en nationell säkerhetslagring så fort lagen trätt i kraft, med någon allmänt diffus motivering om det yttre och inre säkerhetsläget. Finns verktyget kommer det att användas.

Och så får vi väl hoppas att all denna integritetskänsliga data som skall lagras i åratal ute hos en stor mängd olika operatörer aldrig kommer att hackas, läcka eller missbrukas.

Detta är bara ett av alla uppseendeväckande förslag i regeringens utkast till lagrådsremiss, som nu skall ut på en ny remissrunda.

Vår ordförande filar redan på ett remissyttrande. Och här kommer vi att fortsätta gräva ner oss i detta dokument – som innehåller mycket mer som är anmärkningsvärt och oroande.

Stay tuned.

Länkar:
• Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information »
• Direkt till dokumentet ovan (PDF) »
• Aftonbladet / Oisín Cantwell: Säpo får helt nya möjligheter till massövervakning »
• SVT: Integritetsfrågorna offras på säkerhetens altare »

Bakgrund (nyast överst):
• Striden om ett nytt datalagringsdirektiv i EU »
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »

Nya EU-kommissionen och internet

av

Den nya EU-kommissionen kommer att ha fullt upp med att reglera internet, övervaka medborgarna och skrämma bort IT-investeringar från Europa.

Idag har Europaparlamentet godkänt den nya EU-kommissionen. Här är några frågor på dess bord som rör internet under mandatperioden.

Datalagring

2014 upphävde EU-domstolen EU:s direktiv om datalagring (lagring av metadata om allas telefonsamtal, SMS, e-post-meddelanden, uppkopplingar, mobilpositioner m.m.).

Detta med hänvisning till de grundläggande mänskliga rättigheterna och vad de har att säga om rätten till privatliv och privat korrespondens. Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Nu diskuteras ett nytt datalagringsdirektiv i EU, som är tänkt att försöka kringgå EU-domstolens beslut. Precis som i Sverige vill man även komma åt de olika meddelandetjänsterna. Speciellt de totalsträckskrypterade.

Ännu finns inget konkret på bordet, men det kommer. Gissningsvis rätt tidigt under mandatperioden då det tar åratal att få igenom ett nytt direktiv. Det skulle inte förvåna om förslaget redan ligger klart och väntar på tillträdande kommissionär Brunners skrivbord.

Chat Control 2 / CSAR

Den nya EU-kommissionen står fast vid Ylva Johanssons ursprungliga förslag om att låta AI granska innehållet i folks elektroniska kommunikationer (och molntjänster m.m.).

Om ministerrådet kommer fram till en position går frågan in i trilog-förhandlingar mellan EU-kommissionen, ministerrådet (client-side-scanning) och Europaparlamentet (som säger nej till Chat Control 2 i dess bärande delar).

Vilket med största sannolikhet kommer att landa i någon form av ja till förslaget. Om inte parlamentet upplever ett yttre tryck som får det att inse att ett hårdnackat nej ligger i dess intresse.

The Digital Services Act (DSA)

Den utgående EU-kommissionen lämnar efter sig frågan om hur det är tänkt att stora sociala media skall stoppa innehåll som man ogillar – men som inte är olagligt.

I en rättsstat bör det – i förväg – tydligt framgå vad som är tillåtet att säga eller ej. Det som inte uttryckligen är förbjudet måste vara tillåtet.

Det blir även upp till den nya kommissionen att se till att DSA:s krav på nätcensorer – Trusted Flaggers / betrodda anmälare) uppfylls. Riken är uppenbar att olika särintressen och intressegrupper kan komma att se en sådan roll för sig själva som ett verktyg för att kunna styra vad som sägs på nätet.

Hat & hot blir EU-brott

Kommissionen och parlamentet (inklusive alla svenska partier i Europaparlamsentet utom SD) driver på för att göra hat och hot till ett »EU-brott« i klass med terrorism och vapensmuggling.

Än så länge finns bara pladdriga policypapper och resolutioner som inte närmare berör vad det är som skall bli förbjudet att säga, skriva och posta. Men nu måste man bli mer konkreta.

Vad gäller »hat« är utrymmet för subjektiva bedömningar stort. Givet EU:s återkommande gräl med sociala media i allmänhet och X i synnerhet är det uppenbart att detta är en fråga som kommer att beröra yttrandefriheten på internet.

Vi följer denna dossier och återkommer när det händer något av betydelse.

Going Dark

Kommissionen, medlemsstaterna och Europol håller (vid sidan av Chat Control 2) på med ett projekt för att komma åt totalsträckskrypterad kommunikation, Going Dark.

Det finns dock redan en lösning, även om den har sina brister: Hemlig dataavläsning. Det vill säga spionprogram (client-side-scanning) på misstänktas telefoner och datorer som registrerar allt som sker på och kring enheten.

Dock drar frågan åt att man vill ha en generell möjlighet att komma åt krypterade meddelanden. Vilket kan kasta ett visst ljus över ministerrådets senaste förslag om client-side-scanning på allas telefoner och datorer som en del av Chat Control 2.

Nu återstår att se vad som kommer ut ur Going Dark-projektet. Blir det några förslag från kommissionen? Eller är detta något som medlemsstaterna kommer att hantera synkroniserat på nationell nivå?

EU, internet och världen

EU har en allt mer omfattande reglering vad gäller internet. Regler som den nya kommissionen har att upprätthålla – även om de driver IT-entreprenörer ut ur EU.

Chat Control 2 har föranlett meddelandetjänster som Signal att hota om att inte längre tillhandahålla sina tjänster i EU. Nya aktörer på meddelande-marknaden kommer att tvingas bygga in spion-moduler från början, vilket kommer att avskräcka nya aktörer som respekterar sina användares integritet.

GDPR gav oss inte bara cockie-eländet utan begränsade även EU-medborgares tillgång till en del utländska siter, bland annat utländsk media. Denna reglering gav dessutom våra företag en ny, kostsam byråkratisk börda.

EU:s nya AI-lagstiftning har än så länge medfört att Apple inte släpper alla sina AI-funktioner på mobiler i EU. Fler oönskade konsekvenser lär följa. Och investeringarna i AI kommer att ske i andra delar av världen.

The Digital Services Act har hamnat på kollissionskurs med yttrandefriheten. Den påbjuder även en omfattande byråkrati för stora sociala plattformar – vilket är en garanti för att startups som saknar Metas och Alphabets resurser och kår av jurister aldrig kommer att kunna etablera sig eller växa sig stora på markanden.

Detta drabbar inta bara oss i EU. Internet känner inga gränser. Om till exempel Chat Control 2 leder till bakdörrar till (än så länge) toitalsträckskrypterde meddelanden kommer sådana även att kunna utnyttjas av regimer i skurkstater för att förtrycka sin befolkning och opposition.

EU:s självbild är att man är »väldsledande« vad gäller att sätta en standard för reglering av IT. Det är inte helt säkert att det är en bra sak.

Detta var bara några exempel på vad som är i görningen. Följ oss för att hålla dig uppdaterad.

Regeringen och EU fortsätter marschen in i övervakningsstaten

av

Svenska regeringen riskerar säkerheten för hela vår IT-infrastruktur och EU förbereder mer massövervakning.

Häromdagen trotsade regeringen lagrådet och höll fast vid sitt förslag om att göra lagen om hemlig dataavläsning (spionprogram) permanent.

Skälet till att lagen varit tillfällig är att den är kontroversiell. Den lämnar säkerhetsluckor öppna, för att kunna installera nämnda spionprogram.

Då lämnas dessa sårbarheter även öppna för cyberattacker, kriminella och främmande makt. Säkerhetsbrister i vår IT-miljö skall skyndsamt rapporteras in och åtgärdas.

Detta kan inte nog understrykas. Man skapar spionprogram som registrerar allt som sker på eller i närheten av våra telefoner. Som kommer åt alla filer och bilder. Som bygger på säkerhetsluckor som även kriminella, Putin, Kina, terrorister och allehanda galningar kommer att kunna utnyttja för att skada oss.

IT-tekniken känner inga gränser. Byggs det bakdörrar är det inte bara vår rättskaffens europeiska polis som kan använda dem – utan även skurkstater som inget hellre vill än att få tillgång till sina medborgares kommunikationer.

Därav att lagen om hemlig dataavläsning infördes som en tillfällig lag. Den är problematisk. Men nu har man alltså utrett frågan, regeringen har lagt fram ett lagförslag, fått nej från lagrådet men sagt att man kör på ändå.

Lagrådet påpekar att om det nu fungerat så bra med den tillfälliga lagen, varför då inte bara förlänga den med fem år till. Eftersom den fortfarande är problematisk. Lagrådet uttrycker sammanfattningsvis »stor tveksamhet till den föreslagna permanentningen«.

Men inte då. Nu skall lagen göras permanent. Att lagrådet efterlyser en »samlad översyn« av övervakningsstaten, dess verktyg, dessa verktygs risker och dess effektivitet förbigås i sammanhanget med tystnad.

Här någonstans öppnas bakdörrarna till våra digitala liv en efter en. För det är ju inte bara den svenska regeringen som rullar ut massövervakningen.

Till exempel gör EU och dess medlemsstater allt för att komma runt medborgarnas rätt till totalsträckskrypterad kommunikation.

Ett verktyg för att göra det återfinns i ministerrådets senaste version av Chat Control 2. Client Side Scanning. Programmoduler som kontrollerar innehållet i meddelanden redan innan de krypterats och sänts. Spionprogram. På allas telefoner. Och datorer. Och plattor.

Dessutom kommer EU nu att ta fram ett nytt datalagringsdirektiv. EU-domstolen upphävde det förra, då det stred mot grundläggande mänskliga rättigheter. Tanken är att göra oss och våra elektroniska kommunikationer spårbara bakåt i tiden. Alla.

Sammantaget är bilden rätt dystopisk. Detta kan vara ögonblicket då vi på riktigt stiger in i den digitala övervakningsstaten.

Vi får verkligen hoppas att ingen dum och elak människa kommer till makten och använder dessa verktyg för att förtrycka folk. Någonstans. Någonsin.

Läs vår förra bloggpost:
• Lagrådet ifrågasätter övervakningsstaten »

Pressmeddelande:
• Regeringen föreslår att hemlig dataavläsning permanentas »

Kommer Europaparlamentet att utmana EU-kommissionen om Chat Control 2?

av

Tisdag 5 november kl 18:30-21:30 frågas den nominerade kommissionären för inrikes frågor och migration – Magnus Brunner – ut av Europaparlamentets utskott för medborgerliga fri- och rättigheter.

Då kan parlamentet utmana den tillträdande EU-kommissionen om Chat Control 2. Om viljan finns. Det handlar ju trots allt om en aldrig tidigare skådad övervakningsapparat – och grundläggande mänskliga rättigheter. Ett förslag som parlamentet redan sagt nej till, i alla dess bärande delar.

Se utfrågningen här »

Det kommer även upp andra intressanta frågor, som datalagring, under utfrågningen.

Bakgrund:
• På tisdag kan Europaparlamentet döda Chat Control 2 »
• Nu kan Europaparlamentet döda Chat Control 2 »
• The way to end Chat Control 2 »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• StopScanningMe.eu »

Följ oss även på X: @femtejuli

Lagrådet ifrågasätter övervakningsstaten

av

Lagrådet är inte bara kritiskt till regeringens förslag om att göra lagen om hemlig dataavläsning permanent. De höga juristerna vill även se en samlad utvärdering av övervakningsstaten.

»Vad den sammantagna regleringen – med den förhållandevis omfattande övervakning som den möjliggör – innebär för ett demokratiskt samhälle har kommit att falla utanför de enskilda lagstiftningsärendena.«

Så skriver lagrådet om regeringens förslag om att göra lagen om hemlig dataavläsning permanent.

Vilket är precis vad vi tjatat om i ett årtionde: Tänk dig en skala från noll till 100. Noll är ingen övervakning alls. 100 är total övervakning av alla överallt hela tiden. Var på skalan befinner vi oss idag? Vid vilken punkt hotar den ständigt expanderande övervakningen vårt fria, demokratiska samhälle? Borde vi inte diskutera detta?

Lagrådet skriver:

»Frågan om i vilken utsträckning den enskilde ska behöva tåla övervakning av det slag som hemliga tvångsmedel innebär måste emellertid enligt Lagrådets mening också bedömas samlat med beaktande av den samlade övervakning som den enskilde kan utsättas för. Lagrådet anser därför att det är synnerligen angeläget att det inom en snar framtid görs en samlad översyn, i ljuset av 2 kap. 6 § andra stycket regeringsformen och artikel 8 i Europakonventionen, av hur hemliga tvångsmedel ska kunna användas.«

Det aktuella stycket i regeringsformen (som är en grundlag) säger:

»Var och en är gentemot det allmänna skyddad (…) mot kroppsvisitation, husrannsakan och liknande intrång samt mot undersökning av brev eller annan förtrolig försändelse och mot hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande.

Utöver vad som föreskrivs i första stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.«

Och i Europakonventionen om de mänskliga rättigheterna säger huvudregeln:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Vilket förtydligats av EU-domstolen när den upphävde EU:s datalagringsdirektiv: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Lagrådet oroas inte bara över den ständigt expanderande övervakningsstaten. Man ifrågasätter även behovet av att göra den tidsbegränsade lagen om hemlig dataavläsning permanent. Den måste ju vara precis lika användbar för myndigheterna oavsett om den är tidsbegränsad eller permanent.

I Aftonbladet skriver Oisín Cantwell:

»Således plockades än en gång ett av politikens smartaste och fulaste knep fram, att låtsas införa kontroversiella nya lagar på försök. Ett användbart trix då tunga remissinstanser går i taket och det lilla antalet ledarskribenter som ännu kan stava till ett ord som integritet morrar. Fem år är den vanliga prövotiden och när den väl har gått har alla vant sig vid den nya ordningen och ingen orkar längre protestera.«

Lagrådet:

»Lagrådet kan dock inte se att en tidsbegränsad förlängning, i stället för en permanentning av lagen, skulle kunna innebära några nackdelar för brottsbekämpningen. Lagrådet vill därför uttrycka stor tveksamhet till den föreslagna permanentningen

Man synar med andra ord tricket att smyga på oss övervakningslagar genom att första »bara« göra dem tillfälliga.

Uppdatering: Regeringen bortser från lagrådets invändningar och går vidare med sitt förslag till riksdagen »

Länkar:
• Lagrådets yttrande »
• Dagens Juridik: Lagrådet: ”Stor tveksamhet kring permanentering av hemlig dataavläsning” »
• Aftonbladet / Oisín Cantwell: Rikets högsta jurister har tröttnat på övervakningen »

Bakgrund, hemlig dataavläsning:
• Regeringens hemliga dataavläsning hotar vår säkerhet »