GP knyter på sin ledarblogg an till vad (m), (fp) och (kd) i valrörelsen sagt om frihandelsavtalet mellan EU och USA:

Diskussionen har gett intryck av ett i hemlighet framförhandlat avtal, som sedan EU-medborgarna har att svälja och godta oavsett innehåll. I själva verket pågår förhandlingar, något förslag till avtal föreligger inte och ett avtal måste godkännas av EU-parlamentet för att bli giltigt.

Personligen tycker jag att denna inställning osar av ett slags bakåtlutad Bror Duktig-mentalitet. Den präglas mer av auktoritetstro än av kritiskt tänkande, vilket är extra allvarligt när det kommer från journalisthåll. Genom att ta avstånd från ”de där” – de som bråkar om vad som är en storm i ett vattenglas – kan man stärka sitt eget ego och nöjt konstatera att man står för en mer moderat och balanserad hållning. Det hela blir ett identitetsbygge istället för ett öppet sanningssökande.

Men vad är det då som gäller? Jo, att det är ett avtal som förhandlas i hemlighet (under sträng sekretess) är ju sant! Det är inte bara ett ”intryck”. Och när avtalet väl är färdigförhandlat kommer det vara för sent att nämnvärt påverka dess innehåll. Och visst kan parlamentet rösta nej, men det kan ju lika gärna hända att de positiva delarna av avtalet lockar en majoritet att rösta ja och att vi får ett avtal som är betydligt sämre än vad det hade varit om förhandlingsprocessen hade varit öppen.

Tänk dig att regering/riksdag helt slopade remissförfarandet och all kommunikation med väljare innan ett färdigt lagförslag ligger på bordet. Vilken reaktion från riksdagens sida är då rimligast:

  1. Rösta nej oavsett innehållet i lagförslaget som en tydlig protest mot den odemokratiska processen och som ett sätt att tvinga framtida lagförslag att beredas på ett korrekt sätt med insyn och möjlighet för dem som vill att göra sin röst hörd medan saker fortfarande går att påverka.
  2. Förklara att det inte spelar någon roll om processen varit odemokratisk och präglats av bristande insyn då ju riksdagen fortfarande kan säga ja eller nej till slutresultatet.

För mig är svaret självklart 1). Det skrämmer mig att det både finns journalister och flera ledande politiska kandidater i EU-parlamentsvalet som svarar 2). Demokrati handlar om hela processen – inte bara omröstningar.

Vad jag har beskrivit ovan går igen i en rad fall, så tänk på i EU-valet: tänk själv, var kritisk och rösta inte utifrån hur du vill känna dig utifrån vad du tror på och vill åstadkomma. Proteströsta helst inte utan var pragmatisk. Välj en person som kommer att fokusera på de frågor som du tycker är viktiga. Är du fortfarande osäker på vad du ska rösta på, se mitt förra inlägg.

Lavabitfallet

augusti 12, 2013

Vid det här laget har ni kanske redan hunnit ta del av den gripande historien om Lavabit – e-posttjänsten som, så som det verkar, genom hemliga amerikanska domstolsbeslut tvingades övervaka innehåll och samtidigt belades med juridiskt bindande munkavle. Detta efter att det blivit känt att Snowden var en av användarna. Ansvarig såg ingen annan utväg än att stänga ner hela verksamheten och alla 410 000 mejlkonton och lämnade följande gripande meddelande på tjänstens hemsida:

My Fellow Users,

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on–the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.

What’s going to happen now? We’ve already started preparing the paperwork needed to continue to fight for the Constitution in the Fourth Circuit Court of Appeals. A favorable decision would allow me resurrect Lavabit as an American company.

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.

Sincerely,
Ladar Levison
Owner and Operator, Lavabit LLC

Historien finns beskriven i de flesta svenska nyhetsmedier. Det som jag tycker är märkligt är att ingen drar paralleller till situationen i Sverige. Statens Offentliga Utredningar publicerade i början av juni SOU 2013:39 med titeln Europarådets konvention om it-relaterad brottslighet (pdf). Där föreslås nya lagar som skulle göra det möjligt att ålägga i princip vem som helst att under ett antal månader bevara och lämna ut elektroniskt lagrade uppgifter som man redan innehar eller har åtkomst till.

Den som träffas av ett föreläggande måste enligt förslaget hålla tyst om det – ett krav som påminner starkt om fallet Lavabit. Den som besitter kunskap om hur ett datorsystem är upplagt kan också, enligt detta förslag, föreläggas att lämna de uppgifter som krävs för att husrannsakan ska kunna verkställas. Det kan enligt utredningen ”röra sig om att beskriva datasystemet, uppge lösenord och åtkomstkoder, lämna dekrypteringsnycklar, […]”.

För att förslaget inte ska stå i strid med Europakonventionen bör nämnas att det finns en begränsning som innebär att den som är misstänkt för ett brott eller dennes advokat inte kan bli föremål för ett föreläggande.

Det finns i sammanhanget inget krav på att någon ska ha angetts som skäligen misstänkt och beslutet om föreläggande kan, verkar det som, fattas på stående fot av på plats varande åklagare eller undersökningsledare (”det finns inte anledning att låta rätten besluta om föreläggande”). Det behöver heller inte vara skriftligt i första skedet. Jag finner ingen beskrivning av eller begränsning av hur dessa lösenord, åtkomstkoder och dekrypteringsnycklar sedan skulle få användas eller hur en proportionalitetsbedömning skulle se ut.

Det känns som ett lagförslag som skulle må gott av mer diskussion…

Se även Sam Sundberg

Är du bekväm med att Paypal har fri tillgång till dina Dropbox-filer för att kunna övervaka deras innehåll? Inte?

Det skulle nämligen kunna vara följden av PayPals krav på dem som tar emot PayPal-betalningar som ersättning för ”fildelningsprogram och tillgång till nyhetsgrupper”. Dessa villkor föreskriver nämligen att betalningsmottagaren ”must provide PayPal with free access to their service, so PayPal’s Acceptable Use Policy department can monitor the content.”

Jag har utan resultat sökt Dropbox för en kommentar.

Ikväll var det debatt i EU-parlamentet om datalagringsdirektivet och EU-kommissionär Cecilia Malmström var där för att svara på frågor. Utöver EU-parlamentarikernas svidande kritik så fastnade jag för några av hennes uttalanden (ej ordagranna citat):

  • De data som saken gäller lagras ändå av kommersiella skäl. (Vilka kommersiella skäl finns det för detaljerad kartläggning av mobilanvändares rörelsemönster undrar jag).
  • Datalagring är här för att stanna. Medlemsstaterna kommer inte att acceptera ett avskaffande.
  • En revidering av direktivet kommer innebära att direktivets tillämpningsområde specifieras på ett uttömmande sätt och att ett kryphål i ePrivacy-direktivet täpps till. (Eftersom datalagringsdirektivet endast avser allvarlig brottslighet medan Sveriges implementation sträcker sig till bötesbrott, innebär det då att Sverige kommer att behöva backa?)
  • Snabblagring av uppgifter först  efter brottsmisstanke (sk. ”quick freeze”) är något helt annorlunda en datalagring och behandlas inte som ett alternativ. (Inskränkningar av de mänskliga rättigheterna är endast tillåtna om de är nödvändiga i ett demokratiskt samhälle. Kan datalagring anses nödvändig om inte möjliga alternativ tas i beaktande?)

Det som Christian Engström kallade anekdoter kallade för övrigt Malmström för konkreta bevis för datalagringens effektivitet. Hon kunde inte presentera någon tidsplan för utvärderingen som redan skulle ha varit klar men sade att den förmodligen inte kommer i år.

Situationen i Norge ger en tydlig bild av riskerna för ändamålsglidning som datalagringsdirektivet skapar. Norska motsvarigheten till SÄPO vill utöka Norges trafikdatalagring till att täcka ”ytringer som (…) blir publisert på nettsteder i form av kommentarer eller innlegg på debattsider”. Myndigheten vill även att tjänsteleverantörer som använder NAT lagrar addresser till webbsidor som användarna besöker. Aftenposten skriver om detta i artikeln PST vil legge nettdebatter under Datalagringsdirektivet. Såvitt jag kan se har man i Norge valt att göra det möjligt för tillsynsmyndigheten att utöka kretsen av aktörer som är lagringsskyldiga. Att man överlåter beslut som inskränker grundläggande mänskliga rättigheter till en myndighet på detta sätt finner jag högst anmärkningsvärt. Redan att Sveriges riksdag gett regeringen rätt att på egen hand – utan omröstning i riksdagen – bestämma vad som ska lagras i förordning tyckte jag var överraskande. Norge verkar ha gått ett steg längre.

Sedan man kanske ska tillägga att svenska brottsbekämpande myndigheter inte är så mycket bättre. Här ville de nämligen att geografisk position för den som talar i telefon skulle lagras varje minut under pågående samtal för att det skulle bli möjligt att i större detalj kartlägga rörelser (detta finns återgivet i propositionen). Och vi har ju vår egen ändamålsglidning i och med att regeringen nu ämnar ändra utlämning av trafikdata från att gälla allvarliga brott till enkla bötesbrott. Bland annat med argumentet att det inte är rimligt att den svenska implementationen av Ipred ger privata aktörer större befogenheter än polisen (se sida 102 i propositionen).

Angående datalagringen i Sverige har jag fått svaret från PTS gällande föreskrifter om vad som ska lagras att:

”När det gäller föreskrifterna finns för närvarande inga planer på att inleda ett föreskriftsarbete. I avsaknad av föreskrifter kommer PTS därför att vid oklarheter få ta ställning till de närmare detaljerna kring vilka uppgifter som ska lagras genom tillsynsbeslut i enskilda tillsynsärenden.”

Myndigheten ville heller inte svara på mina allmänt hållna frågor med följande motivering:

PTS kan dock inte lämna förhandsbesked hur lagen ska tolkas i olika situationer. Dina frågor är relevanta och det är mycket möjligt att dessa kommer att bli föremål för prövning inom ramen för PTS tillsyn men för närvarande kan jag därför tyvärr inte lämna några mer uttömmande och detaljerade svar.

PTS planerar att publicera en vägledning under maj, men några tekniska specifikationer inom ramen för en föreskrift för vad som ska lagras verkar alltså inte vara att vänta detta år.

På tal om Norge så slog förresten Norges Høyesterett i en ganska färsk dom fast att citaträtten inkluderar filmklipp. Eftersom norsk och svensk upphovsrättslagstiftning är mycket lika borde detsamma gälla även här. Jag trodde inte att citaträtten sträckte sig till film, så det kom som en positiv överraskning för mig.

Jag har precis läst den nysläppta boken Case for Copyright Reform av Christian Engström och Rick Falkvinge och tänkte dela med mig av några reflektioner.

Det är intressant att ledande figurer i piratpartiet ställer sig bakom en kommersiell skyddstid på 20 år. Vi har ju redan sett detta från gröna gruppen men att det görs även när det inte föreligger något kompromissbehov kom som en överraskning för mig. Speciellt som Rick, om jag minns rätt – åtminstone tidigare, egentligen inte velat ha något kommersiellt skydd alls. Jag undrar om piratpartiet kommer att följa efter. En kommersiell skyddstid på 20 år med krav på registrering efter 5 år skulle säkert göra piratpartiets politik mer lättsmält för många.

När det gäller moral rights tycker jag återigen att pirater gör misstaget att anta att detta endast handlar om rätten till erkännande. Om det är det som avses vore det bra att vara tydlig med det. Den fria samplingsrätt som PP står för riskerar nämligen att komma i konflikt med bland annat respekträtten.

Jag tycker också att det finns en otydlighet i diskussionen om privat kommunikation. Att annonsera ut att en fil är tillgänglig för nedladdning till allmänheten är inte privat kommunikation såvida man inte definierar privat kommunikation som överföring mellan privatpersoner.

Författarna överväger ett DRM-förbud och skriver ”There is no point in having our parliaments introduce a balanced and reasonable copyright legislation, if at the same time we allow the big multinational corporations to write their own laws, and enforce them through technical means”. Det där sättet att argumentera på riskerar att komma tillbaka och bita en i baken tror jag. Det behöver inte vara fel att överväga ett förbud (även om jag personligen är mycket tveksam till det) utan jag reagerade mer på resonemanget som till sin form liknar anti-piraters. På samma sätt tycker jag att författarna eventuellt öppnar upp för motangrepp i samband med att de förklarar varför endast kommersiell användning ska åtnjuta skydd:

”The reason is very simple. The principle of ‘follow the money’ is enough to enable the authorities to keep track of commercial activities. If an entrepreneur wants to make money the very first thing he has to do is to tell as many people as possible what he has to offer. But if he is offering something illegal, the police will get to hear about  it before he has had  the  time  to attract any  larger circle of customers.”

En av de delar som jag tyckte var allra bäst handlade om avstängning från internet – en kort och bra sammanfattning. Jag fann dock jämförelsen mellan den arabiska våren och Pirate Bay litet magstark.

Angående skadestånd skriver författarna att ”Under current European laws, damages are (at least in principle) limited to actual losses that the party that wins can show that he has actually suffered. They have to be proportional”. I den svenska lagstiftningen verkar skälig ersättning räknas som skadestånd och som det mycket tydligt beskrivs i bland annat TPB-domen behöver skälig ersättning inte ha någonting med den faktiska skadan att göra. Så är det redan idag.

En annan del som jag fann överraskande var den om långfilm: ”But even if it would be true that movies can’t be made the same way with the Internet and our civil liberties both in existence, then maybe it’s just the natural progression of culture”. Det anknyter litet till något som Rasmus Fleischer och Oscar Swartz varit inne på tidigare (kul förresten när man får chans att gräva upp litet gamla inlägg från de nedre bloggsedimentlagren). Denna nya linje framstår för mig som mer intellektuellt hederlig.

Något som betonas i boken är att det inte är piratpartiet som skapar den utveckling som vissa inom kultursektorn räds, utan att politiken istället handlar om att hindra att grundläggande samhällsvärden och rättsprinciper skadas i försök att stoppa en utveckling som kommer att inträffa i vilket fall som helst. Det är mitt intryck att pirater ofta brukade lyfta fram detta argument tidigare, men på senare tid gjort det alltmer sällan.

Redan den 21:e mars beslutade riksdagen att införa trafikdatalatring. Märkligt nog har det varit väldigt tyst om att riksdagen inom bara några veckors tid kommer att debattera och rösta om huruvida tröskeln för utlämning av data ska sänkas radikalt (hela lagförslaget finns här). För den som vill framföra invändningar är det alltså hög tid att kontakta förtroendevalda nu. I nuläget krävs att fängelse är föreskrivet för det misstänkta brottet och att det bedöms ge annan påföljd än böter. Regeringen vill nu ändra detta så att data ska kunna lämnas ut även då det misstänkta brottet inte är allvarligare än att det bedöms ge böter. Detta är tänkt att ske genom en ändring av lagen om elektronisk kommunikation 6 kap. 22 §. Det finns även en socialdemokratiskt motion om att förbjuda anonyma mobilnummer som kommer att behandlas samtidigt.

Det är värt att notera att datalagringsdirektivet inte alls reglerar utlämning av uppgifter. Egentligen behöver Sverige inte lämna ut några som helst uppgifter som lagras i enlighet med direktivet. Det här är alltså någonting som Sveriges riksdag helt självständigt fattar beslut om. Se gärna miljöpartiets förslag och läs mer om polismetodutredningen på Mark Klambergs blogg. Se även mina andra blogginlägg om datalagringsdirektivet.

Från det ena till det andra. Det har skrivits en hel del (Ekot, P3 Nyheter, IDG, SvD) om EU-domstolens avgörande om förhållandet mellan datalagringsdirektivet och Ipred. Det uttrycks på flera ställen att det inte finns någon konflikt mellan dessa och därav kan man lätt få intrycket att trafikdata som lagrats i enlighet med direktivet kan lämnas ut enligt ”Ipred-lagen”, men så är inte fallet. Domstolens dom utgår såvitt jag kan se från antagandet att uppgifterna i fråga inte lagrats med stöd av datalagringsdirektivet och att lagring skett på ett sätt som är förenlig med Artikel 15.1 i direktivet om behandling av personuppgifter och integritetsskydd (detta är upp till högsta domstolen att pröva). Annars hade utlämning endast fått ske till behöriga myndigheter och inte privata aktörer.

Jag har litet svårt att förstå hur man ska tolka domstolens uttalande om att den svenska lagstiftningen i princip kan ”säkerställa en rimlig avvägning i en sådan situation mellan upphovsrättsinnehavarnas skydd för sina immateriella rättigheter och en internetabonnents eller internetanvändares skydd för sina personuppgifter”. Generaladvokatens förslag till avgörande från november uttalade att uppgifter inte får lämnas ut i syfte för vilket de inte i lagstiftningen uttryckligen lagrats. Såvitt jag kan se berör själva domen bara avvägningen mellan olika intressen och motsäger inte generaladvokaten i detta hänseende. Daniel Westman verkar göra en liknande tolkning (Svd tolkar honom dock annorlunda vilket är litet förvirrande). Om det stämmer verkar ju rubrikerna om ”grönt ljus för Ipred” vara ganska vilseledande.

Uppdatering: se även EDRI.org om målet i EU-domstolen.

Johan Pehrson (fp) skapade en del uppståndelse nyligen när han öppnade upp för att förbjuda krypteringstjänster. Uttalandet, som för övrigt Prisjakts algoritmer förtjänstfullt kategoriserat, har Pehrson senare försökt tona ned. Jämför förresten också vad moderaterna och centerpartiet sagt i frågan. Men hur förhåller det sig då med t.ex. anonymiseringstjänster? Omfattas de av datalagringsdirektivet så som ibland påståtts? Det verkar råda viss osäkerhet om det, så jag tänkte försöka reda ut det litet i detta inlägg.

Det hänger på om de kan definieras som ”allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster”. Såväl den svenska lagen som själva direktivet använder dessa två begrepp som definieras i ett annat EU-direktiv från 2002 för att avgränsa vilka som måste lagra trafikdata. Om något så är det kommunikationstjänst som kan komma i fråga – nät torde det knappast vara. Det sistnämnda direktivet uttalar att en sådan tjänst ”helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät” och inte omfattar ”tjänster i form av tillhandahållande av innehåll som överförts med hjälp av elektroniska kommunikationsnät och kommunikationstjänster”. Begreppet signaler tolkar PTS som radiovågor, ljusvågor, elektriska impulser etc. som överför  informationen mellan sändare och mottagare. Även om jag sett vissa EU-länder också inbegripa ren datatrafik framstår PTS tolkning som mer riktigt med tanke på hur ordet används i direktivet.

En VPN-tjänst består av överföring av innehåll med hjälp av ett elektroniskt kommunikationsnät (jämför denna text, del 6.1; om det handlar om ”tillhandahållande av innehåll” är dock naturligtvis en tolkningsfråga) och dessutom utgörs den inte huvudsakligen av överföring av radiovågor, ljusvågor eller elektriska impulser. Redan härav finns det skäl att anse att den inte omfattas. Enligt en PTS-rapport från 2009 krävs också att tjänsteleverantören har rådighet över signalerna – rent fysiskt eller via avtal. För den övervägande delen av överföringen, den som sker över det öppna internet, har VPN-tjänsten inte någon som helst kontroll över signalöverföringen.

PTS skriver i rapporten:

”Det konstateras att s.k. virtuella privata nät (VPN) kan använda en del av det allmänna kommunikationsnätets resurser för en organisations interna kommunikation, men att det även kan avse säker uppkoppling genom t.ex. kryptering över ett allmänt kommunikationsnät för anställda eller kunder på platser utanför organisationens egna nät. Enligt förarbetena är den som tillhandahåller VPN inte anmälningspliktig, däremot den som tillhandahåller det allmänna kommunikationsnätet, om det tillhandahålls mot ersättning”

Inte anmälningspliktig betyder här att tjänsten inte omfattas av någon skyldighet att lagra trafikdata. Lettland anges göra följande bedömning:

”Aktörer som levererar tjänster som endast agerar i den övre delen av [OSI-]modellen bör inte anses vara inblandade i själva överföringen av signaler och tillhandahåller därmed inte en elektronisk kommunikationstjänst.”

Med andra ord, operatören som förser VPN-tjänsten med internettillgång är skyldig att lagra trafikdata, men själva VPN-tjänsten omfattas inte. Även om inte PTS direkt uttalar detsamma får jag intryck av att myndigheten i huvudsak delar Lettlands inställning. Möjligtvis med ett undantag: att den som t.ex. hyr förutsättningarna för en elektronisk kommunikationstjänst och är den som erbjuder den till slutkund är den som ska anses tillhandahålla den. I rapporten står vidare:

Som exempel på tjänster som inte själva utgör en elektronisk kommunikationstjänst enligt LEK kan nämnas Skype Classic och communities på Internet. Denna typ av tjänster innebär endast kommunikation över en redan föreliggande elektronisk kommunikationstjänst. Här sker kommunikationen via slutanvändarens befintliga Internettjänst, vilken möjliggör och har inflytande över överföringen av signaler (transport av IP-paket).  [min understrykning]

Enligt EU-direktivet ovan undantas också ”de av informationssamhällets tjänster enligt definitionen i artikel 1 i direktiv 98/34/EG som inte helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät”. Informationssamhällets tjänster är ett brett begrepp som definieras som ”tjänster som normalt utförs mot ersättning och som tillhandahålls på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare”. I en hovrättsdom bedömdes TPB vara en informationsamhällets tjänst, för att nämna ett exempel.

Europakommissionen skrev förra året i en utvärderingsrapport (pdf):

A number of increasingly common forms of communication are outside the scope of the Directive. Virtual Private Networks (VPNs) in, for example, universities or large corporations, allow several users to access the internet via a single gateway using the same IP address.

Sammantaget framstår det som högst sannolikt att anonymiseringstjänster, i varje fall i Sverige, inte omfattas av datalagringsdirektivet såvida inte företaget samtidigt tillhandahåller en annan tjänst som är anmälningspliktig, och kanske inte ens då. Här skulle man t.ex. kunna lyfta fram Bahnhof som omfattas av lagen eftersom de också är internetleverantör. Datalagringsdirektivet skapar dock ingen skyldighet att lagra information som inte ”genereras eller behandlas”, så de försöker kanske komma runt lagringsskyldigheten genom att undvika att generera eller behandla viss data. Ett annat sätt är att lägga ut vissa tjänster på andra företag. En internetleverantör borde t.ex. undgå kravet på lagring av trafikdata för e-post genom att lägga ut sin e-posttjänst på en underleverantör som inte omfattas av datalagringslagen.

Bahnhof verkar inte ha några planer på det varken för e-post eller för den anonymisering av datatrafik som de planerar att erbjuda. I ett mejl skriver deras kundtjänst ”Då all information (som det ser ut nu) kommer gå via vår egen VPN-tjänst som kommer vara integrerad med bredbandet så skall även det som ni skickar över e-posten skyddas”. Hur VPN skulle kunna användas för att undgå att behandla trafikdata för e-post förstår jag inte. Men det kanske beror på att inte heller personen som svarade mig förstår det…

Jag hörde mig för hos ett par VPN-tjänster som har servrar i många olika EU-länder om hur de ser på frågan:

PureVPN: meddelar att de inte omfattas av implementationer av datalagringsdirektivet i något annat EU-land än Storbritannien. Detta av den anledning att VPN inte utgör en allmänt tillgänglig elektronisk kommunikationstjänst. PureVPN har såvitt jag kan se servrar i praktiskt taget alla EU-länder.

Kryptotel: anser märkligt nog inte att de omfattas av EU-direktiv eftersom företaget inte är registrerat i ett EU-land. Det tycker jag verkar helt galet eftersom de har många servrar i EU-länder.

IAPS: uppger att deras verksamhet är undantagen från reglerna om datalagring.

HMA: säger att de inte omfattas av direktivet eftersom det är inriktat på internetleverantörer och inte ”varje tjänsteleverantörer på nätet”. Däremot följer de nationella riktlinjer och loggar viss trafikdata ändå.

StrongVPN: anger att de inte omfattas eftersom de är ett amerikanskt företag. När jag invänder att de har servrar i EU får jag till svar att de inte har hört någonting från sina leverantörer uppströms.

Cyberghost: anger att de så länge datalagringsdirektivet finns måste lagra trafikdata, men att endast kund-id som inte innehåller några personuppgifter lagras och dessutom delar flera personer på en och samma ip-adress. Kunden kan också i deras administrationsgränssnitt ange att informationen inte ska lagras.

VPN Tunnel: säger att de snart kommer att meddela sin syn på sin blogg.

Anonine: har släppt en pressrelease där de säger att situationen är oklar men att de är fast beslutna att på något sätt fortsätta att leverera en tjänst som inte lagrar loggar.

Mullvad: säger att datalagringsdirektivet ”gäller inte oss utan bara internetleverantörer och telefonbolag”.

Ipredator: verkar ge uttryck för ungefär samma sak som Anonine – osäkerhet men beslutsamhet att inte logga.

För den som vill djupdyka i ämnet kommer här några användbara länkar: lagen om lagring av trafikdata, datalagringsdirektivet, lagen om elektronisk kommunikation, regeringens förordning om vad som ska lagras, PTS: rapport (vilka omfattas?), rapport (internationell utblick), presentation, tidsplan, lista över operatörer som anmält sig och därmed omfattas av den nya lagen. Oscar Swartz ger i ett gammalt inlägg en bra översikt. Detsamma gör Måns Jonasson. Missa inte Lakes länksamling om trafikdatalagring.

Se även tidigare inlägg om datalagringsdirektivet på den här bloggen.

Enligt den nya lagen om lagring av trafikdata måste den som är lagringsskyldig bevara trafikdata för något som i lagen benämns meddelandehantering. EU-direktivet kräver endast att trafikdata för e-post, sms och mms lagras men regeringen har utvidgat detta till att gälla trafikdata för:

all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och TV-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilde abonnenten eller användaren av informationen

Överföring av samtal faller under bestämmelser för telefoni istället och undantas. I propositionen står:

Med meddelandehantering ska avses tjänster som använder sig av olika kommunikationsprotokoll, dvs. regler om hur kommunikationen ska ske, som SMTP (Simple Mail Transfer Protocol, RFC 2821 och RFC 2822), som är det vanligaste protokollet för att leverera elektronisk post, och SMPP (Short Message Peer-to-Peer Protocol v5.0) som utgör ett kommunikationsprotokoll för utbyte av sms-meddelanden. (…) Eftersom definitionen av elektroniskt meddelande även omfattar viss information som överförs som del av sändningar av ljudradio- och TV-program måste undantag också göras för sådana sändningar.

Lägg här märke till att protokollen som nämns kan tolkas på två sätt: antingen som exempel på vilka protokoll som täcks, eller som exempel på vad ett kommunikationsprotokoll är för något. I vilket fall så ges ingen fullständig förteckning utan bara några exempel. Lägg också märke till att regeringen uttryckligen undantar sändningar av ljudradio- och TV-program. Om meddelandehantering endast handlade om e-post, sms och mms, varför skulle man då göra det? Är det vanligt med radio- och TV-sändningar via e-post, sms, eller mms?

Slutsatsen som jag dragit är att trafikdata för meddelandehantering är ett helt vidöppet begrepp som kan täcka i princip vad som helst utom samtal och radio- och TV-sändningar. Därför var jag nyfiken på regeringens förordning som tycks ha publicerats igår. Marcus Jerräng var vänlig nog att mejla mig en kopia av förordningen, som han även skriver om i Computer Sweden. I förordningen framgår dock i princip ingenting nytt som inte redan fanns i propositionen eller själva lagtexten. Post- och telestyrelsen har sedan tidigare planerat att komma med föreskrifter om lagringsformer (säkerhetskrav och annat) och ersättningsfrågor den 24:e oktober. I och med att förordningen nu bemyndigar PTS att komma med föreskrifter som vad, rent tekniskt, som ska lagras, är det väl inte osannolikt att inte det heller kommer förrän framemot slutet av året. I praktiken verkar varken PTS eller telekomföretagen bli klara förrän långt efter 1 maj då lagen börjar gälla (”Telecombranschen: Vi hinner inte blir klara i tid”). Att lagen anges börjar gälla nu verkar mest vara ett sätt att undslippa böter.

Men för att återgå till huvudfrågan, är begreppet meddelandehantering så vitt att det även skulle kunna inbegripa sådant som webbsidebesök? I princip ja, tror jag, men i propositionen finns det ett uttryckligt undantag från datalagring just för ”surfning”. Däremot kan jag inte se att det skulle finnas något hinder mot att inbegripa DNS-uppslagningar i meddelandehantering. Om regeringen vill kan den när som helst, utan riksdagens medgivande, göra en sådant ”förtydligande”. Då skulle polisen även få tillgång till information som kan indikera vilka webbsajter människor besöker.

I samband med att den nya lagen röstades igenom lades det till bestämmelser om att regeringen måste få riksdagens godkännande gällande förordningar som rör säkerhetsbestämmelser för lagrad data (ett sådant underställande verkar för övrigt vara ytterst ovanligt). Av någon märklig anledning gäller detta dock inte förordningar om vad som ska lagras utan bara hur.

Förresten, det är många som idag återger Computer Swedens artikel av vad som ska lagras. Det är dock viktigt att poängtera att dessa uppgifter inte ska lagras av alla. Det finns de som inte omfattas av datalagring och behandlar uppgifter på den där listan. De är inte skyldiga att lagra några trafikdata. Ett exempel är företag som tillhandahåller e-posttjänst utan att samtidigt vara internetleverantör. Se mitt tidigare inlägg.

När Måns Jonasson hörde sig för hos webbhotellet Binero fick han svaret att de är tvungna att lagra trafikdata enligt den nya lagen. Eftersom detta är helt fel blev jag litet nyfiken på hur andra webbhotell ser på saken och hörde mig för litet. Till saken hör att de flesta webbhotell tillhandahåller e-post som en del av sina paket och den som omfattas av den nya lagen om trafikdatalagring ska lagra trafikdata om e-posttrafik som behandlas.

Det som bäddar för missförstånd är, att enligt lagen omfattas endast vissa typer av verksamheter och om ett företag tillhandahåller en tjänst som omfattas kan lagringsskyldigheten smitta av sig på andra tjänster i dess utbud. Detta samtidigt som andra företag som tillhandahåller samma typ av tjänst (t.ex. e-post) men inga sidotjänster inte omfattas av någon skyldighet att lagra trafikdata. Rena webbhotell omfattas inte av lagen om lagring av trafikdata, även om de tillhandahåller e-post till sina kunder.

När jag hörde runt ställde jag först en förutsättningslös fråga om huruvida webbhotellet kommer att lagra trafikdata för e-post på grund av den nya lagen. Efter att ha fått svar gav jag litet bakgrundsinfo om hur lagen ser ut. Här nedan redovisar jag svaren på dessa båda mejl. Slutsatsen man kan dra är att osäkerheten är stor bland dessa företag om vad som gäller. Och det med bara en månad kvar innan lagen börjar gälla. Lagen gäller från 1 maj. Så om du inte hade en anledning att gå ut och protestera tidigare så kanske du har en nu.

Binero

Vi omfattas av det eftersom de som hanterar e-post åt kunder måste lagra mailloggarna i ett halvår. Men vi har inte börjat med detta ännu utan inväntar vidare direktiv från berörda myndigheter.
(marknadsavdelningen):
Uppenbarligen fick du ett felaktigt svar. Vi har inte fått någon information från någon myndighet om att vi skulle vara anmälningspliktiga eller skyldiga att lagra någon e-post. Svaret på dina frågor är alltså nej, nej och nej tills motsatsen demonstrerats (och eventuellt bevisats) av relevant myndighet.

Wopsa
Vi kommer följa lagen, vilket innebär att vi lagrar mailhuvudet. Relevanta uppgifter i mailhuvudet är t ex vem som skickat mailet, vem som tagit emot det, tidpunkt samt ämne. Meddelandet i sig ingår däremot inte i mailhuvudet. Detta är f ö uppgifter som de flesta ISPs redan lagrar (dock inte så länge som DLD kräver) för att kunna felsöka mailutväxlingar mellan servrarna.
Vi har öppnat samtal med vår jurist om detta. Ha en fortsatt trevlig dag.

Scorpiondata
Vi har inte riktigt tagit ställning ännu, men generellt så måste vi förstås följa lagen, även om man kan ha sina personliga åsikter om den…. I praktiken för oss verkar det innebära att vi ska förlänga den tid som vi sparar loggfiler från får mailserver. Just nu är det 7 dagar, vilket då inte räcker. Det enda vi isåfall skulle logga är tidpunkt, mottagaradress samt avsändaradress, men i praktiken blir det nog hela mailserverns logg (som inte innehåller själva innehållet i mailet, inte ens ärenderaden). Polisen kan sedan begära ut utdrag i vanlig ordning, precis som de redan kan idag. Nu har de aldrig gjort det med just epost hos oss, men ip-adressers ägare efterfrågas ibland (tex vid bedrägerier och liknande är vanligast, vi har ännu inte hanterat någon förfrågan avseende fildelning faktiskt).
Ja, där ser man. Uppenbart någonting som jag måste titta på lite noggrannare innan vi bestämmer oss för hur vi ska göra.

EPS Domains
Det är fortfarande rätt nytt så vi har inte hunnit sätta oss in i detaljerna, men om det kommer en tvingande lag på att e-posttrafik ska spas ser jag inte att vi har något annat val än att spara detta den tid som krävs. Rena internetleverantörer säger sig kunna komma runt direktivet genom anonymiseringstjänster där flera kunder delar samma IP men det går ju inte att applicera på e-post.
Det var faktiskt just så som jag också har uppfattat debatten, att den bara gäller rena internet/tele-leverantörer men när du ställe frågan blev jag osäker och körde en snabb googling och fick fram lite info som kunde tolkas som att det även gällde även e-post. Men jag ska sätta mig in i det hela mer djupgående vid tillfälle, men det låter som att det du säger kan stämma, och jag hoppas att det är så =)

Odibo
Vi väntar på svar på ett par frågor kring detta innan vi kan ge definitivt besked. Det finns ett par olika tolkningar om vi skall omfattas överhuvudtaget eller inte. Eftersom vi inte omfattas av LEK, kan det mycket väl hända att vi inte heller omfattas av detta direktiv. T ex så står Skype, gmail etc utanför direktivet liksom även vår webmail-tjänst. Vad gäller den epost som inte är webmail-baserad har vi inget svar ännu utan avvaktar tills vi fått mer information.

Strongbox
Det är fortfarande ganska oklart vilka tillämpningar denna lag medför samt vilka som skall tillämpa dessa, detta är något som Sveriges Riksdag samt PTS (Post- och Telestyrelsen) nu arbetar med genom att skapa förordningar och föreskrifter för vad som gäller.”
Diskussioner pågår men vi gör ingen ändring förrän myndigheter fastställt vad som ska göras.
Som mina kollegor innan har svarat så kan vi inte svara på om detta infattar oss ännu dessvärre.

Ballou
För att svara dig helt ärligt är detta inget vi har tagit beslut om ännu då det är oklart om vi omfattas eller inte. Utredning pågår och vi kommer informera om vårt ställningstagande på vår blogg när kraven på oss är utredda.
Tack för din återkoppling. Uppskattas. Som du säger är vi varken internetleverantör eller nätoperatör utan det företag som levererar tjänster inom nätet. Håll utkik på vår blogg gällande denna fråga framöver där vårt svar kommer att presenteras något mer i detalj.

Surftown
nej, vi och våra servrar är i Danmark, så nya svenska lagar är inte så relevanta. Det finns en motsvarande lag i Danmark, men såvitt jag vet gäller den enbart internetleverantörer. Vi sparar inte loggar mer än en vecka, och de loggarna är nog mycket mindre detaljerade än vad som krävs i Sverige.