Lavabitfallet

augusti 12, 2013

Vid det här laget har ni kanske redan hunnit ta del av den gripande historien om Lavabit – e-posttjänsten som, så som det verkar, genom hemliga amerikanska domstolsbeslut tvingades övervaka innehåll och samtidigt belades med juridiskt bindande munkavle. Detta efter att det blivit känt att Snowden var en av användarna. Ansvarig såg ingen annan utväg än att stänga ner hela verksamheten och alla 410 000 mejlkonton och lämnade följande gripande meddelande på tjänstens hemsida:

My Fellow Users,

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on–the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.

What’s going to happen now? We’ve already started preparing the paperwork needed to continue to fight for the Constitution in the Fourth Circuit Court of Appeals. A favorable decision would allow me resurrect Lavabit as an American company.

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.

Sincerely,
Ladar Levison
Owner and Operator, Lavabit LLC

Historien finns beskriven i de flesta svenska nyhetsmedier. Det som jag tycker är märkligt är att ingen drar paralleller till situationen i Sverige. Statens Offentliga Utredningar publicerade i början av juni SOU 2013:39 med titeln Europarådets konvention om it-relaterad brottslighet (pdf). Där föreslås nya lagar som skulle göra det möjligt att ålägga i princip vem som helst att under ett antal månader bevara och lämna ut elektroniskt lagrade uppgifter som man redan innehar eller har åtkomst till.

Den som träffas av ett föreläggande måste enligt förslaget hålla tyst om det – ett krav som påminner starkt om fallet Lavabit. Den som besitter kunskap om hur ett datorsystem är upplagt kan också, enligt detta förslag, föreläggas att lämna de uppgifter som krävs för att husrannsakan ska kunna verkställas. Det kan enligt utredningen ”röra sig om att beskriva datasystemet, uppge lösenord och åtkomstkoder, lämna dekrypteringsnycklar, […]”.

För att förslaget inte ska stå i strid med Europakonventionen bör nämnas att det finns en begränsning som innebär att den som är misstänkt för ett brott eller dennes advokat inte kan bli föremål för ett föreläggande.

Det finns i sammanhanget inget krav på att någon ska ha angetts som skäligen misstänkt och beslutet om föreläggande kan, verkar det som, fattas på stående fot av på plats varande åklagare eller undersökningsledare (”det finns inte anledning att låta rätten besluta om föreläggande”). Det behöver heller inte vara skriftligt i första skedet. Jag finner ingen beskrivning av eller begränsning av hur dessa lösenord, åtkomstkoder och dekrypteringsnycklar sedan skulle få användas eller hur en proportionalitetsbedömning skulle se ut.

Det känns som ett lagförslag som skulle må gott av mer diskussion…

Se även Sam Sundberg