Femte juli Nätet till folket!

Nätet till folket!

EU-domstolen

Utredning: Data om all slags meddelanden bör lagras

av 2 kommentarer

Den svenska lagen om datalagring är olaglig. Därför föreslår en utredare nu att denna form av övervakning begränsas till 70% av Sveriges befolkning. Och utökas till att även gälla meddelande-appar.

Idag har den av förra regeringen tillsatta utredningen om »Datalagring och åtkomst till elektronisk information« överlämnat ett delbetänkande till den nya regeringen.

Detta är komplex materia, men jag skall försöka vara så tydlig och kortfattad som möjligt.

Notera till en början att detta inte är samma sak som EU-kommissionens förslag om Chatcontrol / CSAR (automatiserad granskning av innehållet i folks elektroniska meddelanden). Men det finns en koppling. Mer om det längre ner.

Istället handlar det om datalagring (lagring av data om allas alla telefonsamtal, SMS, mobilpositioner, uppkopplingar m.m.)

EU-domstolen har sagt nej till svepande datalagring för alla, överallt, hela tiden och utan misstanke om brottslig verksamhet. Vilket många medlemsstater – däribland Sverige – struntar i.

• Bakgrund: Den svenska datalagringen är olaglig

Efter att den svenska datalagringslagen fick underkänt av EU-domstolen skrevs den om.

Dock är kärnfrågan olöst: Det handlar fortfarande om svepande datalagring utan misstanke om brott.

Den nya lagen har inte prövats av EU-domstolen. Medveten om problemet tillsatte den förra regeringen en utredning.

• Lagra allt men inte alltid

Till att börja med noterar utredaren att EU-rätten ger utrymme för att lagra all kommunikationsdata man kan (nationell säkerhetslagring) i händelse av ett nationellt nödläge. Vilket kan antas vara en tidsbegränsad situation.

Utredaren föreslår att huruvida detta skall ske bör bestämmas av Säkerhetspolisen.

Man kan tycka att om man skall övervaka hela folket hela tiden, då kanske det slutliga beslutet borde fattas på en högre nivå än hos en tjänsteman på hemliga polisen.

Men det är lite av ett sidospår. Nu kommer det verkligt intressanta.

• Lagra alltid men inte allt

I en av sina datalagringsdomar säger EU-domstolen att det dock kan få förekomma riktad datalagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Vilket leder till att utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

Vilket sannolikt inte skulle flyga hos EU-domstolen, som slagit fast principen: Övervaka dem som misstänks för brott – inte alla, hela tiden.

Om det sedan handlar om alla i Sverige eller alla i Örebro kommun torde i sammanhanget vara av mindre betydelse.

Man kommer att övervaka människor som inte misstänks för brott, urskiljningslöst.

• Lagra mer

Utredaren vill att även data om elektronisk kommunikation via meddelande-appar skall datalagras. (De meddelanden där EU redan vill granska innehållet med Chatcontrol.)

Vilket naturligtvis blir problematiskt då nästan alla meddelandetjänster har sin bas utanför svensk jurisdiktion och som regel även utanför EU. Vilket utredaren dock tror går att hantera.

Material från lagringen skall överlämnas till polisen i läsbar – icke krypterad – form, på operatörernas bekostnad. Detta måste kontrolleras närmare när utredningen läggs upp. För datalagringen skulle ju bara handla om metadata – och den är väl inte krypterad? Eller?

Vad som skall hända med meddelandeappar som inte lagrar data om sina användares kommunikationer är oklart. (Knepet i förslaget om Chatcontrol är att förbjuda apparna i app-stores.)

• Kommentarer

Det är lite lustigt att utredaren kommer med detta förslag nu, då EU och dess medlemsstater befinner sig mitt i processen om hur man skall göra med datalagringen i framtiden. Är detta en testballong för att se hur långt man kan tänja på de gränser EU-domstolen har satt upp?

I så fall kan man konstatera att utredaren med största sannolikhet har passerat den gränsen, med råge. Vilket justitieminister Strömmer – om någon – lär vara medveten om.

Nu blir det remissrunda och sedan skall regeringen fundera på saken.

• Justitiedepartementet: Pressträff vid överlämning av betänkandet Datalagring och åtkomst till elektronisk information »

Se presskonferensen på Youtube:

Söker du information om Chatcontrol, som nämns ovan?

• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Förslaget om Chat Control är slöseri med tid

av Lämna en kommentar

EU-kommissionens förslag om att granska innehållet i allas elektroniska meddelanden är ett slöseri med tid och resurser – som skulle kunna användas bättre om det är barnens bästa man har för ögonen.

Egentligen är det mycket enkelt. EU-kommissionen skriver själv i sitt förslag till #ChatControl (granskning av innehållet i allas elektroniska meddelanden) att det inskränker användarnas möjlighet att utöva sina grundläggande rättigheter.

De grundläggande fri- och rättigheter som kommissionen nämner är rätten till privatliv och privat korrespondens samt yttrandefriheten. (Man nämner också ”informationsfriheten” även om den formellt sett inte är en fördragsskyddad rättighet. Samma sak gäller skyddet av personuppgifter.)

Låt oss nu backa bandet till 2014. Då ogiltigförklarade EU-domstolen EU:s datalagringsdirektiv (lagring av data om folks tele- och datakommunikationer m.m.). Skälet man angav var att det strider mot rätten till privatliv.

Enkelt uttryckt: Övervaka dem som misstänks för brott, inte alla andra hela tiden.

Jämfört med datalagringsdirektivet (som rörde metadata) är Chat Control värre – då det senare förslaget handlar om att granska och analysera innehållet i allas elektroniska meddelanden.

Allt tyder på att EU-domstolen även kommer att ogiltigförklara Chat Control / CSAR om förslaget skulle bli lag.

I så fall har EU satsat åratal av tid samt massor av engagemang och resurser på ett förslag som aldrig borde ha lagts fram från början. Tid, engagemang och resurser som kunde lagts på vettigare saker – inte minst för de barn som förordningen säger sig vilja värna.

Den ansvariga EU-kommissionären Ylva Johansson bör dra tillbaka sitt sitt förslag.

Istället kan hon fundera över vad man bör göra för att hantera alla de anmälningar om verkliga övergrepp mot barn som idag ligger på hög och samlar damm hos polisen i medlemsstaterna.

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• Stop Scanning Me »
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• Why chat control is so dangerous »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »
• ChatControl – detta händer i ministerrådet »
• EU:s ministerråd vill kontrollera allt du gör på nätet
• ChatControl: EU-kommissionen duckar alla jobbiga frågor »

TL;DR:
• ChatControl / CSA Regulation – enkelt förklarad »

EU-domstolen: Sökmotorer behöver inte radera information som är korrekt

av Lämna en kommentar

EU-domstolen har idag kommit fram till att sökmotorer bara behöver radera information om juridiska personer, om den klagande kan visa att denna information är felaktig.

”Rätten att bli glömd” är ett begrepp inom EU-lingo som handlar om rätten att få sina uppgifter raderade av sökmotorer och andra som indexerar nätet. Vilket bland annat är till för att skydda enskildas privatliv. Men den är inte självklar.

Ur EU-domstolens pressmeddelande:

»Rätt till radering (rätten att bli bortglömd): en sökmotorleverantör måste ta bort uppgifter som förekommer i indexerat innehåll om den som framställt begäran om borttagande kan bevisa att uppgifterna är uppenbart felaktiga.«

Två företagsledare i ett tyskt investmentbolag ogillade att Google visar länkar till siter som beskriver deras investmentmodell som ofördelaktig. Därför vill de att dessa sökresultat skall tas bort, vilket Google vägrar. Det är detta som nu prövas.

Google vägrade att efterkomma denna begäran, med motiveringen att dessa artiklar och fotografier ingick i ett yrkesmässigt sammanhang, och hävdade att man inte hade kännedom om huruvida uppgifterna i artiklarna var felaktiga eller ej.

Domstolen utvecklar sitt resonemang:

I dagens dom erinrar domstolen om att rätten till skydd av personuppgifter inte är en absolut rättighet, utan måste förstås utifrån sin funktion i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Således föreskrivs uttryckligen i dataskyddsförordningen att det inte föreligger någon rätt till radering när behandlingen av uppgifterna är nödvändig, bland annat för utövandet av informationsfriheten.

I allmänhet väger den berörda personens rätt till skydd för sitt privatliv och sina personuppgifter tyngre än det berättigade intresset hos de internetanvändare som eventuellt önskar få tillgång till den aktuella informationen. Denna avvägning kan emellertid vara beroende av de relevanta omständigheterna i det enskilda fallet, bland annat vad gäller typen av information och dess känslighet för den registrerades privatliv samt allmänhetens intresse av informationen, vilket kan variera bland annat beroende på den roll som denna person spelar i det offentliga livet.

Yttrande- och informationsfriheten ska dock inte tas i beaktande om åtminstone mer än en obetydlig del av de uppgifter som förekommer i det indexerade innehållet visar sig vara felaktiga.

Enkelt uttryckt gäller ”rätten att bli glömd” privatpersoner i sin privata kapacitet – men inte om det finns ett allmänintresse, till exempel om personen ifråga till exempel är beslutsfattare eller företagare. Uppenbart felaktig information kan dock raderas.

Regeln kan inte användas om till exempel ett företag, en organisation eller en politiker vill dölja dålig publicitet. Dock kan även de kräva att information som är felaktig raderas.

• EU-domstolens pressmeddelande »

EU-stater registrerar användares IP-adresser

av 2 kommentarer

EU:s medlemsstater tycks samla på sig kataloger över enskilda nätanvändares IP-adresser. Vilket EU-domstolen accepterar, trots att den säger nej till generell datalagring.

Gårdagens goda nyhet var att EU-domstolen åter säger tydligt nej till urskiljningslös datalagring. Men djävulen finns i detaljerna.

Bortom huvudnyheten, i det finstilta, läser vi följande i EU-domstolens dom:

»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:

»Unfortunately, the greatest consensus among governments currently seems to exist on mandating indiscriminate IP data retention throughout Europe, which the judges in Luxembourg green-lighted under massive pressure.

Under no circumstances should all internet users be placed under general suspicion and online anonymity be abolished!

IP addresses are our digital fingerprints on the internet. Bulk collection would endanger crime prevention in the form of anonymous counselling and pastoral care, victim support through anonymous self-help forums and also the free press, which depends on anonymous informants.

Incidentally, there is no evidence that IP data retention significantly increases the crime clearance rate. In the absence of data retention Germany today has a higher cybercrime clearance rate than with IP data retention in place.«

Det tycks alltså som om vissa av EU:s medlemsstater samlar IP-adresser för något slags egen katalog. Detta sker även i Sverige.

Här pågår en dragkamp i frågan mellan den svenska Post- och Telestyrelsen (PTS) och Bahnhof. Ur vår tidigare rapportering:

»PTS skriver i sitt pressmeddelande ”Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.”

Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.«

PTS hotar Bahnhof med vite om man inte lämnar ut dessa användaruppgifter. Vilket överklagats till Förvaltningsrätten.

Vi träffade nyligen Bahnhofs VD Jon Karlung, som kunde berätta att om PTS får som de vill – då kan det handla om att lämna ut identiteten på hundratals användare som inte är misstänkta för något brottsligt.

Skälet är att det börjar bli slut på IPv4-adresser och att många kunder därför måste dela på samma IP-adress (NATade adresser) i väntan på IPv6.

Det blir allt tydligare att myndigheterna vill ha en egen katalog över enskilda individers IP-adresser, vilket bland annat tyder på att de inte riktigt förstår hur internet fungerar.

Vi återkommer inom kort med en podcast / intervju med Jon Karlung.

EU-domstolen säger än en gång nej till datalagring

av 1 kommentar

I det senaste av en lång rad beslut om datalagring säger EU-domstolen åter nej till generell lagring av kommunikationsdata utan misstanke om brott.

I ett förhandsutlåtande för den tyska författningsdomstolen säger EU-domstolen än en gång nej till generell, svepande lagring av data om alla människors alla telekommunikationer m.m.

Till skillnad från andra länder som fått en åthutning av domstolen har den tyska regeringen dock redan beslutat att sluta med allmän datalagring.

Ur domstolens beslut (PDF):

»EU-domstolen bekräftar att en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter strider mot unionsrätten, förutom om det föreligger ett allvarligt hot mot nationell säkerhet.«

Vill man data lagra måste det finnas en inriktning mot till exempel personer som är misstänkta för brott.

Samma beslut skulle kunna fattas om den svenska datalagringen, där den nya lagen inte heller lever upp till de krav domstolen ställer upp.

EU-kommissionen och medlemsstaterna funderar just nu på om det går att besluta om ett nytt datalagringsdirektiv, som kringgår domstolens beslut. (EU-domstolen upphävde 2014 datalagringsdirektivet, då det strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.)

• EU-domstolens pressmeddelande (PDF) »

(Domen verkar dock tillåta lagring av IP-adresser, vilket vi återkommer till inom kort.)

EU-domstolen: Sluta med urskiljningslös lagring av data om våra resor inom EU

av Lämna en kommentar

EU-domstolen kräver misstanke om brott och säger nej till urskiljningslös lagring och analys av data om våra flygresor inom EU.

EU:s PNR-direktiv (Passenger Name Record) föreskriver att persondata skall samlas in och behandlas vad gäller flygresor till och från EU. Syftet är att bekämpa terrorism och grov brottslighet.

Direktivet gör det även möjligt (men inte obligatoriskt) för medlemsstater att samla in PNR-data för resor inom EU. Det är detta som nu prövats.

Ur EU-domstolens pressmeddelande (PDF):

»The Ligue des droits humains (LDH) is a not-for-profit association which filed an action for annulment with the Cour constitutionnelle (Constitutional Court, Belgium) in July 2017 against the Law of 25 December 2016 which transposed into domestic law the PNR Directive, the API Directive and also Directive 2010/65. According to LDH, that law infringes the right to respect for private life and the right to the protection of personal data guaranteed under Belgian and EU law. It criticises, first, the very broad nature of the PNR data and, secondly, the general nature of the collection, transfer and processing of those data. In its view, the law also infringes the free movement of persons in that it indirectly re-establishes border controls by extending the PNR system to intra-EU flights, as well as to transport by other means within the European Union.«

Och idag meddelar EU-domstolen sin dom. PNR-direktivet som sådant får grönt ljus, men enkelt uttryckt med följande begränsningar för resor inom EU:

  • Det måste finnas en misstanke om brott och/eller en eller flera misstänkta.
  • PNR-direktivet får endast användas för att bekämpa terrorism och allvarlig brottslighet.
  • PNR-registrering vad gäller resor inom EU skall begränsas till vad som är strikt nödvändigt.
  • Endast vid konkreta hot får PNR-data för alla flyg samlas in och analyseras.
  • Om det inte föreligger ett överhängande terrorhot får PNR endast användas för vissa resemönster eller flyglinjer där det finns indikationer på allvarlig brottslighet.
  • PNR-data får endast samköras mot register över personer som är misstänkta, efterlysta eller under utredning.
  • För att undvika falska flaggningar måste alla positiva träffar verifieras manuellt.
  • PNR-data får lagras högst sex månader, om ingen ny relevant information tillkommer.

EU-domstolen lutar sig alltså mot samma princip som vad gäller datalagringen: Det är inte tillåtet med svepande, urskiljningslös insamling av data utan misstanke om brott.

Läs mer i EU-domstolens pressmeddelande:
• The Court considers that respect for fundamental rights requires that the powers provided for by the PNR Directive be limited to what is strictly necessary (PDF) »

Den ständiga striden om datalagring

av 4 kommentarer

Under ett par årtionden har datalagring varit en het stridsfråga i EU. Ständigt presenterar medlemsstaterna ny lagstiftning på området – som gång på gång slås ner av EU-domstolen och/eller av nationella författningsdomstolar.

2014 upphävde EU-domstolen EU:s datalagringsdirektiv. Den menat att urskiljningslös lagring av data om alla medborgares alla telekommunikationer strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privat korrespondens.

Det hindrar dock inte medlemsstaterna från att vilja datalagra ändå. Till exempel försöker Belgien komma runt EU-domstolens beslut genom att lagstifta om datalagring som inriktas på vissa platser och individer. Men i praktiken innebär även detta förslag att alla människor som rör sig ute i samhället kommer att drabbas.

När Frankrike försökte gå fram med ny lagstiftning sa landets konstitutionella råd nej – med hänvisning till den franska Deklarationen om om mänskliga och medborgerliga rättigheter från 1789.

Danmark, Irland, Portugal och Tjeckien är andra exempel på länder som obstruerar mot EU-domstolens beslut.

Även Sverige har stiftat en lag om datalagring som försöker kringgå EU-domstolens beslut, men som av allt att döma ändå strider mot det.

Undantaget är Tyskland, där landets nya koalitionsregering säger att man tänker sluta med datalagring.

Nyligen hölls ett panelsamtal om frågan med experter och aktivister från olika EU-länder. Bland annat påpekades att EU-kommissionen måste sluta stå på ministerrådets sida i frågan. Istället måste kommissionen leva upp till sin roll som fördragens väktare (i vilka de mänskliga rättigheterna ingår) och stå upp för EU-domstolens beslut.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»The bulk collection of information on non-suspects everyday communications and movements constitutes an unprecedented attack on our right to privacy and is the most invasive method of mass surveillance directed against the state’s own citizens. (…) The anecdotal results are nowhere close to the damage this surveillance weapon inflicts on our societies, as a recent survey found. The persistent violation of fundamental rights, circumvention of case-law, pressuring of judges and ignorance of facts is an attack on the rule of law we need to stop!«

• Läs mer och se en video från panelsamtalet »

EU-domstolen ger grönt ljus till uppladdningsfilter

av Lämna en kommentar

Som väntat meddelade EU-domstolen idag att uppladdningsfilter i EU:s upphovsrättsdirektiv är tillåtna – om man respekterar de åtgärder mot överfiltrering som finns i direktivet.

Uppladdningsfilter var en av de stora stridsfrågorna i EU:s upphovsrättsdirektiv. Det blev verklighet efter att ett antal ledamöter (varav flera svenska) enligt egen uppgift röstade fel i Europaparlamentet.

Polen utmanade dock denna del av direktivet (artikel 17, tidigare 13) och tog frågan till EU-domstolen. Idag kom domen, som i stort sett följer generaladvokatens rekommendation.

Ur domstolens pressmeddelande (PDF):

The obligation, on online content-sharing service providers, to review, prior to its dissemination to the public, the content that users wish to upload to their platforms, is accompanied by the necessary safeguards to ensure that that obligation is compatible with freedom of expression and information.

The Court of Justice dismisses the action brought by Poland against Article 17 of the directive on copyright and related rights in the Digital Single Market.

Uppdatering: Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) har funnit i vart fall några positiva saker i domen. Till exempel kan den leda till starkare skydd för laglig användning av upphovsrättsskyddat innehåll (”fair use”). Han menar också att dagens uppladdningsfilter inte klarar av att möta de krav som ställs upp i domen. Läs mer: Partial success against Internet censorship: Top EU Court severely restricts upload filters »

EU-domstolen upprepar: Det är förbjudet att använda allmän datalagring

av 5 kommentarer

EU-domstolen har idag – återigen – slagit fast att medlemsstater inte kan använda sig av olaglig datalagring i rättsfall.

Med anledning av ett uppmärksammat rättsfall på Irland upprepar EU-domstolen att medlemsstater inte får använda den datalagring som redan ogiltigförklarats av densamma i sina nationella domstolar.

2014 upphävde domstolen EU:s datalagringsdirektiv. Den slog fast att allmän, urskiljningslös lagring av data om medborgarnas tele- och datakommunikationer inte får förekomma utan konkret misstanke om brott. Sådan lagring strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv och privat korrespondens.

Om datalagring alls skall förekomma måste den begränsas i omfattning och tid samt avse ett specifikt hot eller brott.

Vilket många medlemsstater i stort sett har struntat i. Domstolen skriver i ett pressmeddelande:

»The Court confirms that EU law precludes the general and indiscriminate retention of traffic and location data relating to electronic communications for the purposes of combating serious crime.

The national court may not impose a temporal limitation on the effects of a declaration of invalidity of a national law that provides for such retention.«

Dagens dom kan bli vägledande för domstolar i hela EU.

Länkar:
• EU-domstolens pressmeddelande (PDF) »
• Reuters: Top EU court says phone data cannot be held ’indiscriminately’ »