För den som undrar vilka som omfattas av den nystiftade lagen om trafikdatalagring gav Post- och telestyrelsen (PTS) ut en vägledning 2009: Vilka tjänster och nät omfattas av LEK?.

Enligt den nya lagen är det de som är anmälningspliktiga enligt lagen om elektronisk kommunikation (LEK) som tvingas lagra trafikdata. För att en kommunikationstjänst ska vara anmälningspliktig krävs att:

  • tjänsten tillhandahålls till en annan (extern) part, på kommersiella grunder och
  • tjänsten huvudsakligen utgörs av överföring av signaler (radiovågor, ljusvågor, elektriska impulser etc. som överför  informationen mellan sändare och mottagare) och
  • tjänsteleverantören har rådighet över överföringen (antingen fysiskt eller via avtal med en annan part)

Rapporten innehåller en ganska intressant tabell över hur olika länder bedömer ett urval av tjänstetyper:

Så mycket för samordningen i EU. Det är ändå intressant med samstämmigheten om att ren IP-telefoni inte omfattas (tredje kolumnen). Som jag tolkar PTS rapport kommer lagringsskyldighet att drabba tjänsteleverantörer som erbjuder både internetaccess och andra tjänster som t ex. e-post, men inte ett svenska företag som endast erbjuder en e-posttjänst (det är dock litet osäkert hur paketerbjudanden kommer att bedömas).

Konsekvensen blir alltså att ju mer vertikal integration av tjänster vi får desto mer trafikdatalagring, och vice versa. Dessutom har medborgarna ett visst inflytande över utvecklingen i den mån de som konsumenter av integritetsskäl undviker paketlösningar (såvida nu inte tillsynsmyndigheten eller regeringen ändrar förutsättningarna).

Det här med rådigheten över överföringen är inte helt tydligt i min mening. Den som driver en webbtjänst har ju (i vart fall avtalsmässig) rådighet över sin egen internetuppkoppling, men inte över de signalvägar ute på det vida internet som kunderna använder få att få kontakt med tjänsten. Frågan är alltså om det måste föreligga rådighet över kommunikationen som helhet, eller om det räcker med partiell kontroll.

PTS har förresten en förteckning över de företag som idag har anmält sig (och således omfattas av trafikdatalagring).

Uppdatering: se även Måns Jonasson som försöker reda ut vad som gäller.

Datalagringsdirektivet

mars 17, 2012

Det finns politiker som hävdar att vi måste implementera datalagringsdirektivet eftersom Sverige annars skulle bryta mot lagen. Men om vår implementation bryter mot Europakonventionen om de mänskliga rättigheterna, då bryter likväl Sverige mot lagen. Läs förresten gärna mitt tidigare inlägg ”Är datalagring svaret på ett trängande samhälleligt behov?” och se även Juristens Funderingar som tar upp rättsfallet Volker och Markus Schecke som också Europeiska datatillsynsmannen beskriver i sitt yttrande om rådets och EU-parlamentets utvärderingsrapport:

”Huruvida lagring av uppgifter i enlighet med datalagringsdirektivet är nödvändig beror också på om det finns alternativa lösningar som inkräktar mindre på den personliga integriteten och som kunde ha gett jämförbara resultat. Detta bekräftades av EU-domstolen i dess beslut i målet Schecke i november 2010, i vilket EU-lagstiftning om offentliggörande av namn på stödmottagare som får stöd från jordbruksfonder ogiltigförklarades. Ett av skälen till ogiltigförklaringen var att rådet och kommissionen inte hade övervägt alternativa åtgärder som skulle vara förenliga med det mål som eftersträvades med offentliggörandet men som ändå innebar ett mindre långtgående ingrepp i berörda personers rätt till privatliv och uppgiftsskydd.

Någon seriös utvärdering av mindre integritetskränkande alternativ till obligatorisk datalagring verkar inte ha gjorts. Vid ett eventuellt rättsfall torde det göra det än svårare för direktivets förespråkare att hävda att det, som Europakonventionen bland annat kräver, är nödvändigt i ett demokratiskt samhälle och svarar mot ett trängande samhälleligt behov.

Hur som helst, det finns sätt att komma runt en del integritetsinskränkningar även om direktivet implementeras. Man skulle t ex. kunna föreskriva att lagrad data måste krypteras med en ny kryptonyckel för varje dag eller timme och att tjänste- och internetoperatörer måste radera dessa nycklar så fort de löpt ut. Kryptonycklar skulle endast få lagras hos berörda myndigheter. Låt sedan antalet berörda myndigheter som har rätt att lagra dessa kryptonycklar och att begära ut lagrad data i enlighet med direktivet vara noll. Ur såväl själva direktivet som beslut i EU-domstolen framgår att ”I direktivet harmoniseras varken frågan om de nationella brottsbekämpande myndigheternas tillgång till uppgifter eller frågan om användning och utbyte av dessa uppgifter mellan nämnda myndigheter”. Alltså kan denna implementation knappast anses bryta mot direktivet så länge den krypterade (och oläsliga) informationen lagras. Motsatsen skulle nämligen innebära att direktivet antagits på en felaktig juridisk grund då det (officiellt sett) endast syftar till att skapa likvärdiga konkurrensvillkor för företag i olika EU-länder.

Avslutningsvis skulle jag vilja rekommendera ett gammalt inlägg av Oscar Swartz: Datalagringen: Folkstorm mot detaljerna krävs. Väldigt läsvärt!

Hoppas att många tar sig ut och demonstrerar idag (och skippa gärna masker – de ger bara fel intryck).


Jag delar den bestörtning som många gett uttryck för efter Ekots avslöjanden om Sveriges militära samarbete med den brutala saudiarabiska regimen och de former under vilka detta sker. Jag skulle förresten rekommendera att ta del av ”Sveriges samförståndsavtal med Saudiarabien om militärt samarbete” från 2005. Jag är faktiskt litet chockad över hur tydligt det redan där framgår vad Sverige ämnade ge sig in på.

En hel del av ansvaret tycker jag faller på Socialdemokraterna som varit idiotiska nog att ingå ett avtal med en brutal diktatur – ett avtal som sedan är svårt att dra sig ur utan skadeverkningar på annan mindre kontroversiell handel. Men naturligtvis är alliansen också ansvarig för att varit feg nog att inte våga avbryta avtalet. Det är för övrigt intressant att Centerpartiet inte motsatte sig en förlängning.

När Ekot frågade generaldirektör Jan-Olof Lind på myndigheten FOI så ljög han rakt ut och påstod att vapenfabriksprojektet inte existerade. Man kan verkligen undra hur stämningen på FOI är efter att någon läckt material som tvingat generaldirektören att ljuga för hela svenska folket. Vilken människa skulle inte bli förbannad i denna generaldirektörs position.

Nu är ju dock myndigheter förhindrade att efterforska medias källor till följd av de svenska lagbestämmelserna om meddelarskydd så generaldirektören själv kan inte göra mycket. Men situationen är inte så enkel. Högt uppsatt personal på FOI startade bulvanföretaget SSTI. Eftersom detta är ett bolag omfattas det inte av efterforskningsförbudet. Såvitt jag kan förstå är inte SSTI förhindrade att efterforska källan och om de kommer på vem det är – oavsett om personen är anställd på SSTI eller FOI – informera FOI om detta (rätta mig gärna om jag har fel). Det är någonting som jag skulle vilja lyfta fram som ytterligare en betänklighet med hela upplägget.

Svenska Freds har förresten en intressant skrift med titeln Sekretess och offentlighet i krigsmaterielärenden (pdf). Den är visserligen från år 2001 men mitt intryck är att på grund av Sveriges ökade internationella samarbete inom ramen för EU har riksdagen varit väldigt försiktig med att utöka utrikessekretessen då det skulle motverka tanken bakom offentlighetsprincipen, så jag skulle förmoda att det mesta fortfarande är aktuellt.

Dagens citat

februari 8, 2012

Dagens citat står Cary Sherman, ordförande för amerikanska musikbranschorganisationen RIAA, för. I New York Times säger han:

”Misinformation may be a dirty trick, but it works.”     [via Techdirt]

Och förresten, när jag ändå är igång måste jag passa på att även lyfta fram MPAA som i sin kommentar till protesterna mot SOPA- och PIPA-lagförslagen menade att det var ”oansvarigt” och ett uttryck för ”maktmissbruk” att censurera sin egen webbsida. Tyvärr uttalade de sig inte om hur de såg på censur av andras webbsidor…

Jag antar att det är tur att galenskapen serveras uppblandad med små portioner humor i alla fall.

Jag skrev en kommentar till Johan Linanders blogginlägg om Acta som jag publicerar även här på bloggen (med ett par tillägg och ändringar):

Regeringen påstår i sina svar att det här hemlighetsmakeriet är normalt för den här typen av avtal. Det stämmer helt enkelt inte vilket Knowledge Ecology Internationals jämförelse med andra liknande avtal visar.

Är det dessutom normalt att rådgivare och lobbyister från RIAA och MPAA får tillgång sekretessbelagda dokument som kommer att styra lagstiftning, samtidigt som parlamentariker i en lång rad länder är utestängda av sekretesskäl? Vita Huset har betraktat sekretessen som en fråga om nationell säkerhet och ambassadören för USA:s handelsdepartement har sagt att om förhandlingstexten var tillgänglig för allmänheten skulle parterna sannolikt lämna förhandlingsbordet. Om lagar och regler endast kan tas fram i hemlighet för att allmänheten annars skulle uppröras för mycket av innehållet har vi då inte slagit in på en farlig väg?

Regeringen verkar också påstå också att Acta inte påverkar möjligheterna till framtida ändringar av Ipred-lagen. Det är en märklig slutsats. Ska man tolka det så att om Ipred-lagen inte införts i Sverige så hade Sverige fortfarande inte behövt ändra mer än varumärkeslagen? Det finner jag högst osannolikt.

Jag skulle vilja ta upp ett litet exempel. Låt säga att det för ett omfattande förslag till lagändringar i Sverige inte tillsätts någon utredning, att det inte utgår några remisser, att lagrådet tillåts göra en granskning men dess utlåtande hemlighetsstämplas, och att ingen utom en snäv grupp av toppolitiker, tjänstemän och särintressen tillåts påverka innehållet förrän utformningen är ett fullbordat faktum – om då riksdagen när den i det läget tar ställning till förslaget väljer att bortse från hur förslaget kommit till, är det då inte att sanktionera en i grunden odemokratisk process? Om de olika förhandlingsparternas linje inte ens i efterhand publiceras, hur möjliggör det demokratiskt ansvarsutkrävande?

Är det så här vårt juridiska ramverk ska bestämmas i framtiden – av en hemlig lagstiftningsprocess som öppnas upp först när allmänhetens tryck blivit fört stort men då de flesta länder redan bundit upp sig i sina positioner och väsentliga delar av innehållet är svåra att ändra? Man skulle kunna jämföra med datalagringsdirektivet där politiska representanter under täckmantel av rättvis konkurrens lagstiftade om krav på bekostandet av en integritetskränkande masslagring av data, som sedan behändigt nog kan börja användas av rättsväsendet utan att frågan “behöver” behandlas som ett rättsligt samarbete – trots att alla förstår och de flesta medger att det är vad det handlar om egentligen. Om sådant kringgående av de demokratiska spelreglerna sanktioneras finns det en uppenbar risk att vi får se mer av det i framtiden.

Jag skulle också gärna få svar på denna fråga: varför ska EU och Sverige skriva under ett avtal som inte inkluderar Kina och där USA som avgörande avtalspart öppet deklarerat att de inte anser sig bundna av Acta?

Enligt den här pressreleasen från japanska utrikesdepartementet har Sverige redan skrivit under Acta-avtalet. På regeringens hemsida hittar jag ingenting om detta. Någon som vet mer?


Uppdatering:
Se även Wired UK och La Quadrature du Net

I takt med staters tilltagande iver att blockera webbsajter (sidor som såväl Pirate Bay och spelsajter men också helt lagliga sajter) skulle jag vilja dela med mig av ett par reflektioner:

1) Hovrättens beslut att förbjuda Black Internet att medverka till upphovsrättsintrång genom att ge Pirate Bay internettillgång framstår i backspegeln som olagligt. Det med tanke på Scarlet-målet där EU-domstolen uttalade att internetoperatörer inte kan åläggas att övervaka all information som går genom deras nät. Det är möjligt att Svea hovrätts föreläggande inte var tänkt att slå så brett (vissa uttalanden i media vid den tidpunkten tydde på det), men det ändrar inte det faktum att man från domens ordalydelse inte kan utesluta att de var tvungna att stoppa all TPB-relaterad trafik genom sitt nät.

2) Antalet DNSSEC-signerade domäner i Sverige har gått upp från 5 000 i början av december förra året till 166 000 vid årsskiftet. DNSSEC är en teknik som garanterar att översättningen av domännamn till IP-address (t ex. från wordpress.com till 72.233.104.124) sker på ett säkert sätt. Detta så att inte webbanvändare ska kunna luras att besöka någon annan sida än den som de tror att de besöker. Myndigheten för samhällsskydd och beredskap prioriterar under 2012 DNSSEC-utbyggnaden och IT-ministern har satt upp målet att alla myndigheter ska använda tekniken år 2013. Stiftelsen .SE säger att deras målsättning är att alla svenska domäner ska använda sig av DNSSEC år 2015.

Så vad har då detta med blockering av webbsajter att göra? Jo, blockering av domännamn är inkompatibelt med DNSSEC. Om en domstol ålägger en internetleverantör som använder sig av DNSSEC att blockera ett domännamn är det detsamma som att beordra dem att inte använda sig av DNSSEC och istället något mindre säkert.  Det leder helt plötsligt till en helt ny typ av proportionalitetsavvägning. Kan alla kunders säkerhet offras för att ett fåtal domäner ska kunna blockeras?

Den största internetleverantören i USA, Comcast, berättade för några dagar sedan stolt att de har fullt stöd för DNSSEC och uppmuntrade alla, och i synnerhet banker och e-handelssajter, att gå över. Samtidigt lät de meddela att den nättjänst som tidigare vidarebefordrat användare till en länkförslagssida när de skrivit in ett ogiltigt domännamn (ett sätt att mixtra med DNS-uppslagningen som många bedömt vara tveksamt, fastän det här motiverades av annonspengar och hjälpsamhet snarare än illvilja) skulle stängas ned eftersom den inte var kompatibel med DNSSEC. Comcast skrev:

Domain Helper has been turned off since DNS response modification tactics, including DNS redirect services, are technically incompatible with DNSSEC and/or create conditions that can be indistinguishable from malicious modifications of DNS traffic (including DNS cache poisoning attacks).

Med tanke på att Comcast, som för övrigt äger NBC Universal, stödjer de drakoniska lagförslagen i USA om rättsosäker blockering av webbdomäner verkar det som om den ena handen inte riktigt vet vad den andra gör (på samma sätt som delar av den amerikanska staten i försök att hjälpa yttrandefriheten i världen stödjer projekt som TOR, men samtidigt överväger att införa lagar som skulle underminera och kanske till och med förbjuda sådan anonymitetsmjukvara). I Sverige har regeringen en utbredd DNSSEC-användning som ett uttalat samhällsmål samtidigt som det stiftas lagar som syftar till att låta rättighetsinnehavare ansöka om blockering och censur på webben. Det känns som upplagt för konflikter.

Om förtal

december 1, 2011

Rasmus Fleischer har skrivit en kort kritik (som jag ansluter mig till) av ett förslag från Mårten Schultz i SvD om att utöka lagen om förtal till att även omfatta uttalanden som riktar sig mot företag. Jag tror att en sådan förändring skulle leda till stora problem för yttrandefriheten. Jag förstår att Schultz riktar in sig på större mediaföretag (TV4 nämns till exempel) men en sådan lagförändring skulle troligen även komma att påverka såväl mindre tidningar som bloggare, twittrare och kanske även intervjuoffer.

Även om man kvalificerar bestämmelserna till att endast omfatta medveten lögn så är det ju ändå någonting som måste bevisas i domstol. Hur många privatpersoner i Sverige har råd och vågar ta risken att gå in i en civilrättslig process mot ett storföretag som känner sig trampat på tårna? Det ekonomiska systemet i Sverige gör att många har ganska små ekonomiska marginaler (pengar avsedda för utbildning, trygghetssystem och pension är i hög grad redan uppbundna). Och vill vi verkligen att människor som Fredrik Gertten ska kunna stämmas av företag som Dole i Sverige? Internationell erfarenhet visar att parten med stora ekonomiska resurser går ofta på enklare mål först för att sedan med en rad förlikningar i bakfickan övertyga även andra att foga sig.

Hur som helst så skulle jag vilja dela med mig av några reflektioner om förtal. Själv betraktar jag det t ex. som irrationellt att lita på kvällstidningars vinklingar eftersom jag vet att de ofta är tendentiösa. Om jag litar på otillförlitlig information, vems fel är det – mitt eget eller den part som förmedlade/gav upphov till informationen? Naturligtvis är förtalslagar sprungna ur pragamatiska överväganden gällande människors tid och möjlighet att avgöra källors trovärdighet, men är det verkligen rätt att lägga hela bördan på avsändaren? Har inte mottagarna av informationen ett stort ansvar i att värdera den? Om en mängd människor inte kan leva upp till det ansvaret är det då rätt att projicera detta tillkortakommandet på avsändaren och låta denne ta hela ansvaret?

Det finns även andra intressanta aspekter. Låt mig t ex. jämföra med det ideella skyddet i upphovsrätten. Om lagen ger upphovsmannen en stark kontroll över i vilka sammanhang ett verk ska få presenteras, då blir det lätt så att allmänheten antar att varje sammanhang som verket presenteras i är något som upphovsmannen står bakom. Om verket t ex. används av Sd och upphovsmannen av förståeliga skäl inte sympatiserar med dem, då blir användningen extra skadlig just på grund av de förväntningar som lagen skapar. Om lagen gav mindre kontrollmöjligheter skulle det vara färre som drog slutsatsen att upphovsmannen står bakom Sd:s användning av verket.

På samma sätt blir det med förtalslagar. Ju starkare de är desto mer påverkas människors förväntningar. En starkare lagreglering kan alltså leda till en självförstärkande process. Påståenden som utan lagen var harmlösa eftersom de rationellt sett borde avfärdats som grundlösa påståenden blir med en reglering plötsligt skadliga eftersom det för mottagaren framstår som mer troligt att informationen är sanningsenlig (då motsatsen skulle innebära risker för avsändaren). Vad är bäst – en situation där människor på grund av lagarna tror att de oftast kan lita på vad som sägs, eller en situation där människor läser kritiskt och försöker värdera sanningshalten (och kanske jämföra med andra källor)? Med tanke på att en förtalslag har svårt att täcka in insinuationer och vinklingar lutar jag mot det senare.

På samma sätt som vi har en marknad för varor har vi ett slags marknad för trovärdig information, eller ”web of trust” om man så vill. Den som ljuger och missleder sänker sitt eget värde på denna marknad. Detta gäller särskilt inom forskarvärlden, men även i stor utsträckning inom medier och vardagslivet också. Frågan är alltså i vilken utsträckning denna trovärdighetsmarknad behöver regleras, samt om vi vill sammankoppla den här marknaden med den ekonomiska marknaden. Jag tror att det av både principiella och pragmatiska skäl är rimligt att vara ytterst återhållsam.

I vilket fall som helst måste vi vara varsamma så att vi inte frånskriver oss vårt personliga ansvar för att värdera och reagera på information. Jag avslutar med ett citat från ett inlägg av Julian Sanchez som handlar om mobbning på internet men liksom anknyter till det här med det personliga ansvaret och att se ens egen del i något större:

For an analogy in the physical world, we can look to street harassment, which is enabled by the high volume of anonymous, brief public interactions characteristic of urban environments. Some men, of course, engage in vulgar and intimidating speech that anyone would consider harassing in itself. But often, the harassment is a distributed phenomenon. Many of us would not particularly mind a single stranger yelling out “Hi, gorgeous” or “You look good today!” once every other month—and I’ve seen men (inexcusably obtuse, to be sure, but not obviously malicious) react with genuine surprise when such remarks are not welcomed as compliments, not realizing they’re the tenth person in as many blocks to volunteer a similar comment to the same woman.

It may be hard to stamp out bullying, then, not just because victims are often unwilling apply the label to their own experience, but because individual aggressors can plausibly—even if somewhat disingenuously—deny that their individual actions qualify. Insofar as it may be counterproductive to encourage the victims of psychological bullying—cyber or otherwise—to consciously identify themselves as such, the more fruitful strategy may be encouraging teens on the aggressor side to be better Kantians, as it were—to imagine whether each mean offhand remark would qualify as “bullying” if it were multiplied by a dozen daily interactions, day after day, week after week.

Nu har EU-domstolens förhandsavgörande (översättningar till andra språk finns här) i målet mellan de svenska förlagen och ePhone kommit. Expressen har en längre artikel om det – läs gärna den. I korthet kan man säga att generaladvokaten inte bara svarat direkt på frågan om huruvida det föreligger en konflikt mellan datalagringsdirektivets krav på skydd av information och Ipred utan även för en del intressanta resonemang där han menar att det med tanke på EU:s dataskyddslagar inte är tillåtet att lämna ut information för andra ändamål än de för vilka den har lagrats. Det skulle kanske vara möjligt för Sverige att stifta lagar som preciserar att lagrade uppgifter får användas i civilmål, men utan sådant lagstöd är utlämning av uppgifterna inte möjlig.

Förresten här är ett intressant citat från generaladvokatens utlåtande:

En möjlig immaterialrättsintrångsgörares identitet kan dock inte bestämmas enbart på grundval av IP-adressen, eftersom flera olika personer kan använda samma IP-adress för att få tillgång till internet. Så är fallet exempelvis med trådlösa nätverk som saknar effektivt skydd, obehörig användning av internetanslutna datorer och situationer där flera personer kan använda samma dator. Jag uppfattar det dock som att i vissa medlemsstater kan en IP-adress användas som bevisning för en intrångsgörares identitet.

Se även Christian Engström.

Anonymitet och e-handelslagen

september 12, 2011

Rapport hade nyligen ett inslag där konsumentverket menade att Google och Facebook kan bryta mot e-handelslagen då de inte uppger kontaktuppgifter i form av post- och e-postadress. Jag tycker att denna tolkning av e-handelslagen är väldigt problematisk. Det är rimligt att den som tar betalt för nättjänster uppger denna information och kanske även de som driver tjänster med vinstsyfte, men kan man verkligen ställa det kravet på andra? Enligt e-handelslagen är en tjänsteleverantör en fysisk eller juridisk person som erbjuder tjänster som ”normalt utförs mot ersättning och som tillhandahålls på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare”. Pirate Bay fanns av hovrätten i TPB-målet vara en tjänsteleverantör. Så att tjänsten utförs mot ersättning är inte något absolut krav (annars skulle ju inte heller Google eller Facebook omfattas).

Låt oss nu säga att en privatperson driver en TOR-exitnod för att hjälpa människor som lever i diktaturer att kunna kommunicera fritt. Skulle han eller hon bryta mot lagen om hemadressen inte anges? Eller ta en person som via Google App Engine erbjuder en webbapplikation, säg en tjänst som konverterar filer från ett format till ett annat. Skulle det vara olagligt att göra det anonymt? Den som har en bittorrent-klient öppen erbjuder ju på sätt och vis en informationssamhällets tjänst. Ska också det vara förbjudet om man inte uppgett namn, adress och e-post? I takt med att vi går över till IPv6 är det troligt att många fler människor kommer att köra program på sina datorer som erbjuder publika tjänster i någon form. Inte kan det vara rimligt att alla dessa människor mister sin rätt att vara anonyma och den möjlighet till ansvarsfrihet som e-handelslagen ger?

Följ

Få meddelanden om nya inlägg via e-post.