Femte juli

Nätet till folket!

UK

Ålderskontroll online – UK vs. EU

av

Hur kommer det sig att det blivit bråk om ålderskontroller online i Storbritannien men inte i EU – trots att även vi har åldersgränser? Och vad är på gång i EU?

Britternas Online Safety Act har väckt stor uppståndelse och protester. Bland annat är det åldersgränser för innehåll som är olämpligt för barn, med åldersverifiering som stött på patrull.

EU har också åldersgränser för »informationssamhällets tjänster« (t.ex. sociala medier) sedan flera år tillbaka, i dataskyddsförordningen GDPR. Gränsen är 16 år, men medlemsstater kan sätta en lägre ålder ner till 13 år (som i Sverige). Hur kommer det sig då att det inte blir samma reaktion här som i Storbritannien?

Skillnaden är att i EU har man en »mjuk« åldersgräns. Det vill säga att användare får ange sin ålder vid registrering. Britternas nya regler kräver dock »hård« ålderskontroll – till exempel med foto-ID, biometrisk eller AI-analys (baserad på historik). Ofta utförd av tredjeparts-leverantörer som inte nödvändigtvis behandlar persondata med den försiktighet som krävs.

Men i EU är det inte bara GDPR som föreskriver åldersgränser, även om det bara är i den som man anger en konkret ålder. EU:s Digital Services Act föreskriver att plattformar måste identifiera och hantera risker för barns säkerhet, hälsa och utveckling. Tekniskt är EU:s pågående arbete med en egen »mini-wallet« för ålderskontroll och den kommande EU Digital Identity Wallet (EUDI) tänkt att stödja detta.

Även EU:s Audiovisuella medietjänstdirektiv kräver att medlemsstaterna inför skyddsmekanismer för minderåriga mot innehåll som kan skada deras fysiska, mentala eller moraliska utveckling. Och EU:s AI Act föreskriver särskilt skydd för barn i samband med användning av algoritmer, men inga fasta åldersgränser.

Läget i EU är alltså att man redan nu rullar ut en egen »mini-plånbok«, som de medlemsstater som vill kan använda för åldersverifikation. (Testas i Danmark, Grekland, Spanien, Frankrike och Italien.) Den kommer sedan att ersättas med en digital plånbok för alla. I vilken mån den senare kommer att leda till ett allmänt ID-krav för alla på sociala media och online-tjänster är en fråga som ligger i framtiden. Men givet tonläget är det troligt att så blir fallet.

Relaterat:
• Rörigt när EU inför åldersgräns för sociala media »
• Åldersgräns för sociala media är en usel idé »
• Ålderskontroll online – hur tänker EU då? »

CC0

Brittiska myndigheter kartlägger folks sociala medie-poster med AI

av

I Storbritannien använder både skattemyndigheten och polisen AI för att snoka i folks privatliv, bland annat på sociala media.

Den brittiska skattemyndigheten HMRC är pigg på att använda ny teknik för att hålla koll på medborgarna. Det visar sig nu att man använder AI för att gå igenom folks poster på sociala media.

Vilket väcker flera frågor. Till exempel om automatiserad myndighetsutövning och rättsskipning. Även om HMRC menar att det finns säkerhetsrutiner på plats finns det en uppenbar risk för att maskiner som inte begriper kontext och mänskligt beteende flaggar oskyldiga.

Men det är inte bara skattemyndigheten som trålar efter information om befolkningen.

Övervakningsverktyget Palantir har använts av polisen i östra England för att dela känslig information om medborgarnas politiska åsikter, filosofiska övertygelser, hälsojournaler med mera. Och polisen i Bedfordshire använder Palantir för att hålla koll på folks politiska uppfattningar, etnicitet och sexliv.

Vilket är oroväckande med tanke på hur lågt till tak det numera är i Storbritannien vad gäller medborgarnas rätt att uttrycka politiska åsikter.

Britterna anstränger sig verkligen för att behålla positionen som Västeuropas ledande övervaknings- och polisstat.

CC0

UK: Högljutt om Online Safety Act

av

Debatten om Online Safety Act har eskalerat i Storbritannien. Nedan en BBC-debatt med Reform UK’s Zia Yusuf, Labour peer Thangam Debbonaire och Jonathan Hall, regeringens »Independent Reviewer of Terrorism Legislation«. Det blir livat.

Läs mer om Online Safety Act:
• Online Safety Act – britternas DSA och Chat Control i ett »
• UK Online Safety Act – konsekvenserna börjar bli synliga »
• UK Online Safety Act vs. Wikipedia »

UK Online Safety Act – konsekvenserna börjar bli synliga

av

Britternas Online Safety Act har lett till ökat VPN-användande, politisk diskussion om VPN-förbud och nya former av cyberbrottslighet.

Snabbt börjar Storbritanniens Online Safety Act få konsekvenser.

Den goda nyheten är attt användandet av VPN ökat. Ett syfte med detta är att komma runt de ID-krav/ålderskontroller som den nya lagen ställer på många typer av sidor, från porr till Reddit.

Den dåliga nyheten är att detta har väckt nytt liv i den slumrande politiska debatten om att förbjuda VPN. Vilket riskerar att slå tillbaka både tekniskt, juridiskt och politiskt. (Inte ens EU har vågat gå så långt. Ännu.)

En annan konsekvens är att brittiska användare lockas till fejk-siter där de luras lämna ut sina ID-uppgifter till cyberbrottslingar, i tron att »ID-kravet« på dessa sidor beror på den nya lagen.

Detta lär bara vara början vad gäller oväntade och oönskade konsekvenser av OSA.

Lagens motståndare håller på att samla in namn för att få till stånd en debatt om den i parlamentet. I skrivande stund har runt 250.000 personer skrivit under. Regeringen meddelar dock att den inte har några planer på att ändra eller dra tillbaka lagen.

Relaterat:
• Online Safety Act – britternas DSA och Chat Control i ett »
• UK Online Safety Act vs. Wikipedia »

CC0

Online Safety Act – britternas DSA och Chat Control i ett

av

Knappt har bläcket hunnit torka på britternas kritiserade Online Safety Act. Men redan kräver parlamentsledamöter att den utökas.

Britternas Online Safety Act (OSA) liknar EU:s Digital Services Act (DSA) och Chat Control 2, fast i en lag. Den riktar in sig särskilt på sociala medier, användargenererade plattformar och söktjänster.

Målet är att att göra Storbritannien till »den säkraste platsen i världen att vara online«.

Stora nätplattformar måste proaktivt begränsa olagligt och skadligt innehåll.

De skall särskilt skydda barn och erbjuda olika upplevelser beroende på användarens ålder. Vissa sajter måste införa åldersverifiering, särskilt porrsajter. Nu senast även Reddit.

Vuxna användare skall ges möjlighet att välja bort olika former av lagligt men »skadligt« innehåll. Till exempel hatfulla uttryck. Hur detta skall gå till har givit upphov till styrdokument med omfattande micro management.

Vad som skall anses vara skadligt är upp till den politiska dagsformen, regeringens förordningar och tillsynsmyndigheten Ofcom. Än så länge har man en svart lista med 130 olika typer av innehåll.

Plattformar måste klargöra sina modereringsprinciper i sina användarvillkor. Det skall finnas en tydlig möjlighet för användare att klaga och överklaga beslut. Så långt skiljer sig OSA inte så mycket från DSA.

Och precis som när det gäller DSA uppstår olika praktiska problem när de goda föresatserna i OSA skall omsättas i verkligheten. Det finns kritik till exempel vad gäller användarnas integritet, gränsdragningsproblem, risk för övermoderering och censur.

En sak som skiljer OSA från DSA är att man inte bara skall söka efter olagligheter och hat i poster på sociala media – utan även i privata elektroniska meddelanden, även om dessa skulle vara totalsträckskrypterade. Vilket påminner om EU:s Chat Control 2, fast med bredare syfte.

Brittiska parlamentsledamöter menar nu att OSA inte är tillräckligt effektiv mot desinformation, särskilt efter upploppen i Southport förra året. Man menar även att lagen misslyckas med att reglera innehåll som är skadligt men inte olagligt.

Parlamentets Science, Innovation and Technology Committee har lagt fram en rapport som bland annat kräver att OSA även skall omfatta artificiell intelligens. AI-genererat innehåll skall tydligt märkas på ett sätt som är väl synligt och inte kan avlägsnas. Hur nu det är tänkt att gå till.

Man vill se mer faktakontroll utförd av tredjeparts fact checkers. Precis som EU. Och precis det sociala media nu rör sig bort ifrån i USA, då sådana fakttakontrollanters oberoende och neutralitet har ifrågasatts.

Rapporten kräver vidare att plattformarna hålls ansvariga för »the impact from amplification of harmful content«. Och man vill tydligare kunna censurera »legal but harmful content«, till exempel hat, manipulativt och vilseledande innehåll.

För att undvika missförstånd bör påpekas att OSA inte är den lagstiftning som lett till uppmärksammade polisinsatser mot folk som tycker fel på nätet de senaste åren. De bygger istället på Public Order Act (1986) och Communications Act (2003).

Dessa lagar tillåter ingripanden mot »grov förolämpning« och »stötande« kommunikationer även om de inte är direkt olagliga. Det räcker att innehåll upplevs som skadligt. Vilket naturligtvis öppnar för ett stort mått av subjektiv bedömning. Men det är som sagt en annan fråga.

CC0

EU-UK i nytt samarbete om biometrisk data

av

I det nya avtalet mellan EU och Storbritannien återupptar man utbytet av biometrisk data för automatiserad ansiktsigenkänning. Med mera.

»53. The European Commission and the United Kingdom will explore ways to reinforce mutual and reciprocal exchanges of data on fingerprints, DNA, and criminal records of third country nationals, in the light of technical developments; and acknowledge the requirement in the Trade and Cooperation Agreement to set up automated searching of vehicle registration data. They will also explore extending the exchange of data to facial images for the prevention, detection and investigation of criminal offences.«

Här kan man notera att automatiserad ansiktsigenkänning visat sig komma med stora problem för brittisk polis – såväl praktiskt som vad gäller rättssäkerhet.

I EU har unionens nya AI Act öppnat dörrarna för denna teknik för rättsvårdande myndigheter. Den svenska regeringen vill gå så långt detta regelverk tillåter.

• A renewed agenda for European Union – United Kingdom cooperation Common Understanding »

CC0

UK: Krav på bakdörrar till molntjänster för användare i hela världen

av

Brittiska regeringen kräver en bakdörr med tillgång till allt i Apples moln. Det kommer i så fall att drabba användare över hela världen.

Förra veckan avslöjade Washington Post att den brittiska regeringen kräver att Apple skall skapa en bakdörr som ger myndigheterna tillgång till användarnas lagrade information i molnet (backups, foton, meddelanden, e-post, filer, app-data, nyckelring m.m.).

Det spekuleras i att Apple därför kommer att sluta erbjuda sitt avancerade dataskydd för iCloud till brittiska kunder, hellre än att riskera alla sina användares säkerhet. Dock gäller britternas krav tillgång till innehåll inte bara brittiska användare. Således står vi inför ett globalt säkerhetsproblem.

Apples kunder måste nu fråga sig om de alls kan eller vill fortsätta använda företagets molnlagring – som är en integrerad del i ett system där användarna på ett närmast sömlöst sätt kan återskapa sina iPhones med mera från nätet om de uppdaterar eller förlorar sin telefon.

Sedan är det bara en tidsfråga tills samma sak drabbar Google. Möjligen har det redan skett. Drabbade företag förbjuds att utala sig om saken.

James Baker på brittiska Open Rights Group säger:

»The government want to be able to access anything and everything, anywhere, any time. Their ambition to undermine basic security is frightening, unaccountable and would make everyone less safe. WhatsApp and other services will be next in their sights.«

»They seek to do this in secret, with minimal accountability, and potentially global impacts. It is straightforward bullying.«

Från Electronic Frontier Foundation (EFF) kommer liknande reaktioner:

»If Apple does comply, users should consider disabling iCloud backups entirely. Perhaps most concerning, the U.K. is apparently seeking a backdoor into users’ data regardless of where they are or what citizenship they have.«

Den totalsträckskrypterade meddelandeappen Signal, i Financial Times:

»”Using technical capability notices to weaken encryption around the globe is a shocking move that will position the UK as a tech pariah, rather than a tech leader,” said Meredith Whittaker, president of the Signal Foundation, the nonprofit that runs the secure messaging app. ”If implemented, the directive will create a dangerous cyber-security vulnerability in the nervous system of our global economy.”«

I sammanhanget skall påpekas att Europadomstolen har slagit fast att totalsträckskrypterad (E2EE) kommunikation är en mänsklig rättighet, inom ramen för rätten till privatliv och privat korrespondens.

Det är anmärkningsvärt när länder och regionala organ vill införa övervakning som får globala konsekvenser. Ovanstående är bara ett exempel. Ett annat är EU:s Chat Control 2 som kan komma att inte bara drabba privatpersoner och företag över hela världen – utan även oliktänkande och oppositionella i skurkstater.

• Washington Post: U.K. orders Apple to let it spy on users’ encrypted accounts »
• Financial Times: UK orders Apple to give it access to encrypted cloud data »
• Open Rights Group: UK Government undermines security with demands for Apple users encrypted data »
• EFF: The UK’s Demands for Apple to Break Encryption Is an Emergency for Us All »
• Headline USA: Apple Ordered to Provide Gov’t Access to ALL User Data on the Cloud »

Relaterat:
• Försvarsmakten värnar rätten till totalsträckskrypterad kommunikation »

Signal hotar lämna länder som bryter kryptering

av

Meddelande-appen Signal meddelar att den kan komma att lämna länder som tvingar den att kringgå kryptering. Till exempel vad gäller brittiska Online Safety Bill och EU:s #ChatControl / CSA Regulation.

Positionerna tycks vara lika låsta nu som när frågan diskuterats tidigare. Staten vill inspektera innehållet i folks elektroniska meddelanden. (Detta gäller alla, inte bara dem som misstänks för brott.) Vilket kräver att krypteringen bryts.

På andra sidan står teknik-samhället som säger att det inte går att kringgå kryptering eller att skapa bakdörrar utan att försämra säkerheten för alla.

Till BBC säger Signals chef Meredith Whittaker att det är 100 procent säkert att företaget kommer att lämna Storbritannien om the Online Safety Bill blir verklighet.

»Ms Whittaker told the BBC it was ”magical thinking” to believe we can have privacy ”but only for the good guys”.

She added: ”Encryption is either protecting everyone or it is broken for everyone.”«

Också WhatsApp har tidigare meddelat att man inte tänker försämra sin säkerhet på order av någon stat eller regering.

Även om artiklarna främst handlar om brittisk lagstiftning är de lika tillämpliga vad gäller EU:s #ChatControl / CSA Regulation. Enligt detta förslag skall alla människors elektroniska meddelanden av-krypteras, öppnas och dess innehåll inspekteras av maskiner.

Länkar:
• Unterwanderung von Verschlüsselung: Signal droht mit Rückzug »
• Signal would ’walk’ from UK if Online Safety Bill undermined encryption »
• WhatsApp: We won’t lower security for any government »
• ChatControl / CSA Regulation – enkelt förklarad »

UK Online Safety Bill – ett hot mot ett fritt och öppet internet

av

Fängelse för otillåtna eller kränkande meddelanden och postningar, statligt godkända uppladdningsfilter och av-kryptering av meddelanden i ny brittisk internetlag.

I Storbritannien närmar sig den föreslagna Online Safety Bill beslut. Detta är ett förslag som är problematiskt på flera sätt.

  • Det föreskrivs fängelse i upp till två år för otillåtna yttranden online eller meddelanden som anses kunna orsaka »psychological harm amounting to at least serious distress«.
  • Även den som sprider »false communications« skall kunna dömas till fängelse i upp till ett år.
  • Online service providers måste använda statligt godkänd programvara för att söka efter och avlägsna innehåll och postningar som kan kopplas till terrorism eller sexuellt utnyttjande av barn.
  • Webplatser som anses vara kränkande kan bötfällas och/eller blockeras.

Det är uppenbart att mycket av detta lämnar utrymme för subjektiva bedömningar, vilket inte är bra i en lagtext. Dessutom kan syftet lätt utökas.

Det finns undantag i sektionen om »communications offenses« för etablerad media och vid spridning av film producerad för visning på biograf. Så lagen kommer inte att träffa Big Media – bara alternativmedia, medborgarjournalister, aktivister och vanligt folk.

För att kunna söka efter otillåtet innehåll måste man skanna allt som alla lägger upp. Detta är för det första ett ingrepp i användarnas rätt till privatliv. Dessutom förutsätter det att man kringgår kryptering, vilket kommer att göra alla användare mindre säkra.

Plus att uppladdningsfilter är dåliga på att bedöma kontext, humor och tonfall – vilket kommer att leda till överfiltrering. Detta gäller speciellt då dessa skall vara statligt godkända och därför blir svårare att fintrimma.

Ett antal organisationer har skrivit ett brev till den nye brittiske premiärministern Rishi Sunak. Ett utdrag:

»Undermining protections for end-to-end encryption would make UK businesses and individuals less safe online, including the very groups that the Online Safety Bill intends to protect. Furthermore, because the right to privacy and freedom of expression are intertwined, these proposals would undermine freedom of speech, a key characteristic of free societies that differentiate the UK from aggressors that use oppression and coercion to achieve their aims.«

Detta lagförslag har varit aktuellt länge, men flera gånger dragits tillbaka och omarbetats. Nu återstår att se om den nya regeringen kommer att gå fram med förslaget i sin senaste skrivning. Det mesta talar för att det kommer att läggas fram för parlamentet inom kort.

UK Online Safety Bill – another fine mess.

Länkar:
• Experts Condemn The UK Online Safety Bill As Harmful To Privacy And Encryption »
• The UK Online Safety Bill Attacks Free Speech and Encryption »