När en internationell internetsajt anklagades för att förolämpa Atatürk beslutade en turkisk domstol att den i enlighet med nationell lagstiftning skulle blockeras. Telekommunikationsdirektoratet (TiB) som var ansvarigt för att se till att beslutet genomfördes insåg att det inte tekniskt skulle gå med mindre än att blockera hela Google Sites. Därför begärde man och fick godkännande från en domstol att förfara på det sättet. En turkisk student som hade en helt orelaterad sajt drabbades av överblockeringen och hans klagomål gick till Europadomstolen där han nu fått upprättelse.

Beslutet finns ännu bara på franska, men det finns en engelsk press-release. Domstolen beslutade att överblockeringen stod i strid med Europakonventionens artikel 10, eller som det står i press-releasen:

”By  virtue  of  Law  no.  5651, a court could  order  the  blocking of access  to content published  on  the  Internet  if  there were sufficient reasons  to suspect  that  the  content gave rise to a criminal offence. However, neither Google Sites nor Mr Yıldırım’s site were the subject of court proceedings in this case. Although the decision of 24 June 2009 had found Google Sites to be responsible for the site it hosted, no provision was made in Law no. 5651 for the wholesale blocking of access as had been ordered by the court.

Även om det bör påpekas att den turkiska lagen hade vissa brister (t ex. alltför dåliga krav på proportionalitetsbedömning) så tycker jag ändå att det är intressant att jämföra med den svenska dom som tvingade Internetoperatören Black Internet att blockera TPB i sina nät. Black Internet förbjöds närmare bestämt att medverka till att ett litet antal filmer och musikverk filldelas illegalt via TPB. Men det enda sättet att i praktiken uppfylla de krav som hovrätten ställde i sitt föreläggande var att blockera hela sajten, som naturligtvis användes till att utbyta en hel del material lagligt.

I press-releasens sammanfattning av domen står:

Article 10 guaranteed  freedom of expression to  “everyone” and applied not only to the content of information but also to the means of disseminating it.

Ponera nu att hovrätten skrivit rakt ut att Black Internet förbjuds att ge TPB internetaccess (istället för att endast medverka till fildelning av vissa verk – konsekvensen blir ju densamma). Då skulle det finnas en hel del likheter med det turkiska fallet, dvs. att oskyldig tredjeparts inhämtning och spridning av information inskränks. Frågan är vad man ska anse om förelägganden där överblockering inte explicit uttrycks men där det blir den enda naturliga följden.

via Techdirt
Se även Blockering av webbsajter – några reflektioner

Högsta domstolen har nu kommit med ett utslag i ePhone-målet (pdf). Målet handlar om huruvida ett antal ljudboksförlag har rätt att från ePhone få ut abonnentuppgifter för den som drivit en lösenordsskyddad FTP-server med ett antal ljudböcker.

Till att börja med slår HD fast att datalagringsdirektivet och motsvarande svensk lag inte utgör ett hinder för utlämning av uppgifterna. Detta eftersom trafikuppgifterna om vem som haft den här IP-adressen vid det aktuella tillfället inte lagrats i enlighet med datalagringsdirektivet utan istället enligt den lag som ger en operatör rätt att under en viss tid spara uppgifter som behövs för bland annat fakturering. ePhone hade tidigare försökt hävda att de lagrade uppgifterna i enlighet med datalagringsdirektivet, men eftersom det direktivet inte var implementerat i Sverige vid tillfället bedömde HD det som en efterhandskonstruktion.

Så långt inga överraskningar. Man kan säga att HD slår fast att lagarna inte reglerar en trafikuppgift som sådan utan snarare kombinationen trafikuppgift+syfte. Tänk dig att en internetleverantör har två databaser: A) en med trafikuppgifter vars lagring krävs av datalagringsdirektivet och B) en med trafikuppgifter som lagras för företagets egna behov, t ex. fakturering. Datalagringsdirektivet säger att uppgifter ur databas A endast får lämnas ut till behöriga myndigheter (dvs. inga privata aktörer), men reglerar inte den andra databasen. Ipred-lagen kan såvitt jag förstår (det sägs ingenting om det i domen) inte i dagsläget användas för att begära ut uppgifter ur databas A, men däremot ur databas B.

En och samma uppgift kan alltså omfattas av olika regler beroende på i vilken databas den lagras (”i vilket syfte”) , vilket kan vara litet förvirrande. Förhoppningsvis kommer PTS föreskrift om säkerhetsåtgärder vid lagring av trafikuppgifter enligt datalagringsdirektivet att göra att uppdelningen blir någorlunda tydlig.

Internetleverantörer kan precis som förrut själva råda över hur mycket trafikuppgifter som finns tillgängliga för utlämning enligt Ipred-lagen genom att inte lagra mer än nödvändigt i databas A (vilket lagen ändå egentligen redan kräver).

Den överraskande biten är HD:s bedömning av den lösenordsskyddade FTP-servern. När jag först såg vilket fall ljudboksförlagen valde att driva blev jag faktiskt förbluffad. Istället för att välja ett tydligt fall valde de en lösenordsskyddad FTP-server och mycket riktigt ansåg hovrätten att det inte tillräckligt tydligt gick att visa att det handlade om överföring till allmänheten. HD gör en helt annan bedömning grundad på dessa tre argument:

  • På FTP-servern fanns ett stor antal ljudböcker. Därför är det troligt att de varit tillgängliga för ett stort antal personer.
  • Ett flertal av de 27 böcker (vilka i sin tur endast utgjorde någon procent av samtliga böcker på servern) som var aktuella i målet är bästsäljare. Detta talar mot att  kretsen med tillgång varit individuellt bestämd och begränsad.
  • Förekomsten av bland annat release-gruppsnamn i filnamnen och .nfo-filer antyder att verken varit piratkopierade. Detta talar för att syftet med servern har varit att tillgängliggöra upphovsrättsligt skyddat material.

Det enda argument som går att förstå är det tredje, men också där är det otydligt vad som menas med ”tillgängliggöra” eftersom det är skillnad mellan att dela i en sluten grupp och att tillgängliggöra för allmänheten. Litet elakt skulle man kunna omformulera argumenten så här:

  • Eftersom det var många filer måste ett stort antal personer haft tillgång till dem.
  • Mainstream-karaktären hos ett flertal av en i sin tur helt obetydlig (och godtyckligt vald) del av samtliga filer talar för att många personer haft tillgång till den förstnämda lilla gruppen filer.
  • Eftersom filnamnen antyder att filerna piratkopierats talar det för att motivet med servern varit att tillgängliggöra (för allmänheten eller en begränsad grupp?) upphovsrättsligt skyddat material.

HD väljer också att citera den skrivning i förarbetena till Ipred-lagen som lyfter fram att i princip all otillåten utdelning på internet utgör kommersiell skala / viss omfattning och därför gör det möjligt att tillämpa Ipred-lagen, dvs. all fildelning på internet oavsett hur många filer som delas omfattas av Ipred-lagen. Jag tycker att det är rimligt att tolka den meningen som rörande tillgängliggörande för allmänheten. Därför blir jag bedrövad när HD inte förtydliggar det i följande skrivelse: ”Intrånget har avsett tillgängliggörande genom fildelning via internet och har därmed typiskt sett inneburit stor skada för Ljudboksförlagen”.

Tillgängliggörande genom fildelning via internet är inte detsamma som olovligt tillgängliggörande för allmänheten. Om Lovisa mejlar Anna en fil så kan det vara det förstnämnda utan att vara det sistnämnda. Jag tycker att domen kunde ha varit mycket tydligare på den punkten.

ePhone, eller snarare dess konkursbo, dömdes att betala motpartens rättegångskostnader på 828 923 kr.

Andra om fallet: Computer Sweden, Studio Ett, Aftonbladet, GP, Sydsvenskan, Nyheter24, DN, SvD

Ikväll var det debatt i EU-parlamentet om datalagringsdirektivet och EU-kommissionär Cecilia Malmström var där för att svara på frågor. Utöver EU-parlamentarikernas svidande kritik så fastnade jag för några av hennes uttalanden (ej ordagranna citat):

  • De data som saken gäller lagras ändå av kommersiella skäl. (Vilka kommersiella skäl finns det för detaljerad kartläggning av mobilanvändares rörelsemönster undrar jag).
  • Datalagring är här för att stanna. Medlemsstaterna kommer inte att acceptera ett avskaffande.
  • En revidering av direktivet kommer innebära att direktivets tillämpningsområde specifieras på ett uttömmande sätt och att ett kryphål i ePrivacy-direktivet täpps till. (Eftersom datalagringsdirektivet endast avser allvarlig brottslighet medan Sveriges implementation sträcker sig till bötesbrott, innebär det då att Sverige kommer att behöva backa?)
  • Snabblagring av uppgifter först  efter brottsmisstanke (sk. ”quick freeze”) är något helt annorlunda en datalagring och behandlas inte som ett alternativ. (Inskränkningar av de mänskliga rättigheterna är endast tillåtna om de är nödvändiga i ett demokratiskt samhälle. Kan datalagring anses nödvändig om inte möjliga alternativ tas i beaktande?)

Det som Christian Engström kallade anekdoter kallade för övrigt Malmström för konkreta bevis för datalagringens effektivitet. Hon kunde inte presentera någon tidsplan för utvärderingen som redan skulle ha varit klar men sade att den förmodligen inte kommer i år.

Det finns idag nationella undantag från upphovsrätten som gör det möjligt att skapa anpassad media för synskadade. Problemet är att t ex. talböcker som producerats i ett land inte kan föras till ett annat land och användas där, vilket gör att synskadades redan mycket bristfälliga tillgång till litteratur begränsas ytterligare och helt i onödan. Det förhandlas just nu inom WIPO om ett sätt att lösa detta, se t ex. Europaportalens artikel i ämnet där Gustav Gellerbrant, politisk sakkunnig hos justitieminister Beatrice Ask säger: ”Sveriges linje är tydlig. Vi har varit öppna för ett bindande avtal och vi är förhoppningsfulla om att man kommer att reformera EU-linjen”.

Men har Sverige verkligen synskadades bästa för ögonen i förhandlingarna? Det är inte utan att man undrar efter att ha läst James Loves redogörelse:

”In the European Union, the European Commission and a handful of member states want to limit exceptions to cases where publishers do not have similar products on the market, even though it is not common in the EU to make such exceptions conditional upon commercial unavailability. The EU wants restrictive three step language in the agreement. It’s hard to know who the hardliners are in the EU. The EC says they are now Belgium and Sweden, and Belgium does have a large delegation here. Others think the problem is more with France and Germany. We know from the past SCCR that Austria is opposed to a treaty. Most of the EU country positions are not transparent, by design.”

Återigen ser vi problemen med slutna avtalsförhandlingar där inte ens förhandlingspositionerna redovisas. Men inte kan det väl vara så att våra politiska företrädare är beredda att kasta synskadades mänskliga rättigheter i papperskorgen bara för att gå kommersiella aktörer till mötes om att aldrig tillåta förändringar av upphovsrätten som begränsar skyddet – hur betydelselös ändringen än må vara? Nja. Det blir ju väldigt svårt att veta var Sverige står när förhandlingarna inte är mer öppna. James Love berättar om ett annat EU-land:

”I asked Hungary if they were concerned about the use of the exceptions by blind persons, or the precedent a treaty would set. The immediate reply was — the precedent.”

Tillhör Sverige de länder som anser att symbolfrågan är viktigare än synskadades mänskliga rättigheter? Det är i varje fall frågan som jag ställer mig.

Se även Amelia Andersdotter.

Om du inte redan följer .SE-stiftelsens blogg så gör det. De har en rad duktiga skribenter som tar upp många aktuella informationspolitiska frågor. Det senaste inlägget – Kommer .SE att stänga ner thepiratebay.se? – reagerade jag dock starkt på. Närmare bestämt denna passus:

Vilka  åtgärder skulle domstolen begära?

Det går naturligtvis inte att förutse helt, men några möjligheter är att begära att domännamnet ska avregistreras, att namnservern ska tas bort eller att domännamnet ska förverkas (tas i beslag) eller sättas på .SE:s spärrlista.

Jag tycker att det är alldeles utmärkt att .SE resonerar öppet om hur man ser på eventuella blockeringskrav, men jag finner ordvalet problematiskt. Vad innebär det att ett domännamn ”tas i beslag”? När ett domännamn slås upp skickar internetanvändarens klient en förfrågan som en domännamnserver svarar på. Det handlar alltså om kommunikation – en process med vilken meddelanden utbyts. En blockering innebär att operatören av servern konfigurerar mjukvaran så att den svarar fel (”ljuger”) eller inte svarar alls (läs mer om vilka säkerhetsproblem detta leder till). Om ett påbud om blockering ska anses vara ett beslag, vad är det då som beslagtas?

Kanske ett exempel kan göra min invändning tydligare. Säg att mjukvaran DC++ används för att illegalt fildela filmen Prometheus och att filmbolaget vill stoppa det. Låt oss för ett ögonblick betrakta hantering i detta program av filer vars namn innehåller texten ”Prometheus” som ett virtuellt objekt som vi benämner P. Filmbolaget framför nu påståendet att P bör tas i beslag av polisen. Att kalla detta för beslag är inte logiskt. Det handlar inte om beslag av egendom utan snarare om att genom tvång inskränka någons handlingsfrihet.

Är det verkligen rimligt att på detta sätt språkmässigt förvandla processer till virtuell egendom som kan tas i beslag trots att ”beslagets” innebörd blir att vissa handlingar förbjuds eller påtvingas någon?

Det här inte bara en liten språkanmärkning utan någonting som kan få stora konsekvenser. Efter att Ipred implementerades finns det skrivelser i både den svenska upphovsrättslagen och nu på senare tid i artikel 10.2 i Acta som är väldigt lika de lagar som myndigheter i USA lutar sig mot för att motivera domännamnscensur. Det vore en mycket olycklig utveckling för yttrandefriheten om Europa går i den riktningen. Därför bör vi akta oss noga för att beskriva domännamn som ting, egendom, eller hjälpmedel och istället se uppslagning av domännamn som en process.

Problemet med att hävda att upphovsrätten är en form av äganderätt är att det lätt leder tanken fel. Fysiskt ägande kan betraktas på två sätt – antingen som en relation till det ägda tinget eller som en relation till andra människor där äganderätten utgör en begränsning av andra människors handlingsutrymme (jämför mitt tidigare inlägg Är immaterialrättsskydd en rättighet?). När det gäller immaterialrätt är endast det senare perspektivet möjligt. Istället för att handla om ett besittande av en sak handlar det alltså om en begränsning av andra människors frihet att handla på ett speciellt sätt (man behöver inte nödvändigtvis lägga någon värdering i detta).

På bloggen The IPKat stötte jag häromdagen på ett inlägg som jag tycker tydliggör detta. Det handlar om lagstiftning i Australien som förbjuder tobaksföretag att sälja cigarettpaket med varumärkesskyddade logotyper och färgscheman på. Alla paket ska vara tråkigt brungula och endast vara försedda med text enligt visst standardformat. Syftet är naturligtvis att befrämja folkhälsan. Från olika håll har det riktats kritik mot detta från dem som menar att det är ett sätt för staten att expropriera immateriell egendom – varumärken. Så här bemöter emellertid prof. Mark Davidsson de argumenten:

”There is simply no right to use a trade mark under the TRIPS agreement and the arguments to that effect are considerable (here).  The only right given is a right to prevent others from using one’s trade marks. The absence of a right of use has a considerable impact on the argument about expropriation. If a right of use does not exist, how can it be taken? Even if property is taken, expropriation also involves an acquisition by government of that property. Governments considering plain packaging measures have no intention or desire to acquire or use tobacco trade marks.”

Situationen i Norge ger en tydlig bild av riskerna för ändamålsglidning som datalagringsdirektivet skapar. Norska motsvarigheten till SÄPO vill utöka Norges trafikdatalagring till att täcka ”ytringer som (…) blir publisert på nettsteder i form av kommentarer eller innlegg på debattsider”. Myndigheten vill även att tjänsteleverantörer som använder NAT lagrar addresser till webbsidor som användarna besöker. Aftenposten skriver om detta i artikeln PST vil legge nettdebatter under Datalagringsdirektivet. Såvitt jag kan se har man i Norge valt att göra det möjligt för tillsynsmyndigheten att utöka kretsen av aktörer som är lagringsskyldiga. Att man överlåter beslut som inskränker grundläggande mänskliga rättigheter till en myndighet på detta sätt finner jag högst anmärkningsvärt. Redan att Sveriges riksdag gett regeringen rätt att på egen hand – utan omröstning i riksdagen – bestämma vad som ska lagras i förordning tyckte jag var överraskande. Norge verkar ha gått ett steg längre.

Sedan man kanske ska tillägga att svenska brottsbekämpande myndigheter inte är så mycket bättre. Här ville de nämligen att geografisk position för den som talar i telefon skulle lagras varje minut under pågående samtal för att det skulle bli möjligt att i större detalj kartlägga rörelser (detta finns återgivet i propositionen). Och vi har ju vår egen ändamålsglidning i och med att regeringen nu ämnar ändra utlämning av trafikdata från att gälla allvarliga brott till enkla bötesbrott. Bland annat med argumentet att det inte är rimligt att den svenska implementationen av Ipred ger privata aktörer större befogenheter än polisen (se sida 102 i propositionen).

Angående datalagringen i Sverige har jag fått svaret från PTS gällande föreskrifter om vad som ska lagras att:

”När det gäller föreskrifterna finns för närvarande inga planer på att inleda ett föreskriftsarbete. I avsaknad av föreskrifter kommer PTS därför att vid oklarheter få ta ställning till de närmare detaljerna kring vilka uppgifter som ska lagras genom tillsynsbeslut i enskilda tillsynsärenden.”

Myndigheten ville heller inte svara på mina allmänt hållna frågor med följande motivering:

PTS kan dock inte lämna förhandsbesked hur lagen ska tolkas i olika situationer. Dina frågor är relevanta och det är mycket möjligt att dessa kommer att bli föremål för prövning inom ramen för PTS tillsyn men för närvarande kan jag därför tyvärr inte lämna några mer uttömmande och detaljerade svar.

PTS planerar att publicera en vägledning under maj, men några tekniska specifikationer inom ramen för en föreskrift för vad som ska lagras verkar alltså inte vara att vänta detta år.

På tal om Norge så slog förresten Norges Høyesterett i en ganska färsk dom fast att citaträtten inkluderar filmklipp. Eftersom norsk och svensk upphovsrättslagstiftning är mycket lika borde detsamma gälla även här. Jag trodde inte att citaträtten sträckte sig till film, så det kom som en positiv överraskning för mig.

Jag har precis läst den nysläppta boken Case for Copyright Reform av Christian Engström och Rick Falkvinge och tänkte dela med mig av några reflektioner.

Det är intressant att ledande figurer i piratpartiet ställer sig bakom en kommersiell skyddstid på 20 år. Vi har ju redan sett detta från gröna gruppen men att det görs även när det inte föreligger något kompromissbehov kom som en överraskning för mig. Speciellt som Rick, om jag minns rätt – åtminstone tidigare, egentligen inte velat ha något kommersiellt skydd alls. Jag undrar om piratpartiet kommer att följa efter. En kommersiell skyddstid på 20 år med krav på registrering efter 5 år skulle säkert göra piratpartiets politik mer lättsmält för många.

När det gäller moral rights tycker jag återigen att pirater gör misstaget att anta att detta endast handlar om rätten till erkännande. Om det är det som avses vore det bra att vara tydlig med det. Den fria samplingsrätt som PP står för riskerar nämligen att komma i konflikt med bland annat respekträtten.

Jag tycker också att det finns en otydlighet i diskussionen om privat kommunikation. Att annonsera ut att en fil är tillgänglig för nedladdning till allmänheten är inte privat kommunikation såvida man inte definierar privat kommunikation som överföring mellan privatpersoner.

Författarna överväger ett DRM-förbud och skriver ”There is no point in having our parliaments introduce a balanced and reasonable copyright legislation, if at the same time we allow the big multinational corporations to write their own laws, and enforce them through technical means”. Det där sättet att argumentera på riskerar att komma tillbaka och bita en i baken tror jag. Det behöver inte vara fel att överväga ett förbud (även om jag personligen är mycket tveksam till det) utan jag reagerade mer på resonemanget som till sin form liknar anti-piraters. På samma sätt tycker jag att författarna eventuellt öppnar upp för motangrepp i samband med att de förklarar varför endast kommersiell användning ska åtnjuta skydd:

”The reason is very simple. The principle of ‘follow the money’ is enough to enable the authorities to keep track of commercial activities. If an entrepreneur wants to make money the very first thing he has to do is to tell as many people as possible what he has to offer. But if he is offering something illegal, the police will get to hear about  it before he has had  the  time  to attract any  larger circle of customers.”

En av de delar som jag tyckte var allra bäst handlade om avstängning från internet – en kort och bra sammanfattning. Jag fann dock jämförelsen mellan den arabiska våren och Pirate Bay litet magstark.

Angående skadestånd skriver författarna att ”Under current European laws, damages are (at least in principle) limited to actual losses that the party that wins can show that he has actually suffered. They have to be proportional”. I den svenska lagstiftningen verkar skälig ersättning räknas som skadestånd och som det mycket tydligt beskrivs i bland annat TPB-domen behöver skälig ersättning inte ha någonting med den faktiska skadan att göra. Så är det redan idag.

En annan del som jag fann överraskande var den om långfilm: ”But even if it would be true that movies can’t be made the same way with the Internet and our civil liberties both in existence, then maybe it’s just the natural progression of culture”. Det anknyter litet till något som Rasmus Fleischer och Oscar Swartz varit inne på tidigare (kul förresten när man får chans att gräva upp litet gamla inlägg från de nedre bloggsedimentlagren). Denna nya linje framstår för mig som mer intellektuellt hederlig.

Något som betonas i boken är att det inte är piratpartiet som skapar den utveckling som vissa inom kultursektorn räds, utan att politiken istället handlar om att hindra att grundläggande samhällsvärden och rättsprinciper skadas i försök att stoppa en utveckling som kommer att inträffa i vilket fall som helst. Det är mitt intryck att pirater ofta brukade lyfta fram detta argument tidigare, men på senare tid gjort det alltmer sällan.

Redan den 21:e mars beslutade riksdagen att införa trafikdatalatring. Märkligt nog har det varit väldigt tyst om att riksdagen inom bara några veckors tid kommer att debattera och rösta om huruvida tröskeln för utlämning av data ska sänkas radikalt (hela lagförslaget finns här). För den som vill framföra invändningar är det alltså hög tid att kontakta förtroendevalda nu. I nuläget krävs att fängelse är föreskrivet för det misstänkta brottet och att det bedöms ge annan påföljd än böter. Regeringen vill nu ändra detta så att data ska kunna lämnas ut även då det misstänkta brottet inte är allvarligare än att det bedöms ge böter. Detta är tänkt att ske genom en ändring av lagen om elektronisk kommunikation 6 kap. 22 §. Det finns även en socialdemokratiskt motion om att förbjuda anonyma mobilnummer som kommer att behandlas samtidigt.

Det är värt att notera att datalagringsdirektivet inte alls reglerar utlämning av uppgifter. Egentligen behöver Sverige inte lämna ut några som helst uppgifter som lagras i enlighet med direktivet. Det här är alltså någonting som Sveriges riksdag helt självständigt fattar beslut om. Se gärna miljöpartiets förslag och läs mer om polismetodutredningen på Mark Klambergs blogg. Se även mina andra blogginlägg om datalagringsdirektivet.

Från det ena till det andra. Det har skrivits en hel del (Ekot, P3 Nyheter, IDG, SvD) om EU-domstolens avgörande om förhållandet mellan datalagringsdirektivet och Ipred. Det uttrycks på flera ställen att det inte finns någon konflikt mellan dessa och därav kan man lätt få intrycket att trafikdata som lagrats i enlighet med direktivet kan lämnas ut enligt ”Ipred-lagen”, men så är inte fallet. Domstolens dom utgår såvitt jag kan se från antagandet att uppgifterna i fråga inte lagrats med stöd av datalagringsdirektivet och att lagring skett på ett sätt som är förenlig med Artikel 15.1 i direktivet om behandling av personuppgifter och integritetsskydd (detta är upp till högsta domstolen att pröva). Annars hade utlämning endast fått ske till behöriga myndigheter och inte privata aktörer.

Jag har litet svårt att förstå hur man ska tolka domstolens uttalande om att den svenska lagstiftningen i princip kan ”säkerställa en rimlig avvägning i en sådan situation mellan upphovsrättsinnehavarnas skydd för sina immateriella rättigheter och en internetabonnents eller internetanvändares skydd för sina personuppgifter”. Generaladvokatens förslag till avgörande från november uttalade att uppgifter inte får lämnas ut i syfte för vilket de inte i lagstiftningen uttryckligen lagrats. Såvitt jag kan se berör själva domen bara avvägningen mellan olika intressen och motsäger inte generaladvokaten i detta hänseende. Daniel Westman verkar göra en liknande tolkning (Svd tolkar honom dock annorlunda vilket är litet förvirrande). Om det stämmer verkar ju rubrikerna om ”grönt ljus för Ipred” vara ganska vilseledande.

Uppdatering: se även EDRI.org om målet i EU-domstolen.

Johan Pehrson (fp) skapade en del uppståndelse nyligen när han öppnade upp för att förbjuda krypteringstjänster. Uttalandet, som för övrigt Prisjakts algoritmer förtjänstfullt kategoriserat, har Pehrson senare försökt tona ned. Jämför förresten också vad moderaterna och centerpartiet sagt i frågan. Men hur förhåller det sig då med t.ex. anonymiseringstjänster? Omfattas de av datalagringsdirektivet så som ibland påståtts? Det verkar råda viss osäkerhet om det, så jag tänkte försöka reda ut det litet i detta inlägg.

Det hänger på om de kan definieras som ”allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster”. Såväl den svenska lagen som själva direktivet använder dessa två begrepp som definieras i ett annat EU-direktiv från 2002 för att avgränsa vilka som måste lagra trafikdata. Om något så är det kommunikationstjänst som kan komma i fråga – nät torde det knappast vara. Det sistnämnda direktivet uttalar att en sådan tjänst ”helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät” och inte omfattar ”tjänster i form av tillhandahållande av innehåll som överförts med hjälp av elektroniska kommunikationsnät och kommunikationstjänster”. Begreppet signaler tolkar PTS som radiovågor, ljusvågor, elektriska impulser etc. som överför  informationen mellan sändare och mottagare. Även om jag sett vissa EU-länder också inbegripa ren datatrafik framstår PTS tolkning som mer riktigt med tanke på hur ordet används i direktivet.

En VPN-tjänst består av överföring av innehåll med hjälp av ett elektroniskt kommunikationsnät (jämför denna text, del 6.1; om det handlar om ”tillhandahållande av innehåll” är dock naturligtvis en tolkningsfråga) och dessutom utgörs den inte huvudsakligen av överföring av radiovågor, ljusvågor eller elektriska impulser. Redan härav finns det skäl att anse att den inte omfattas. Enligt en PTS-rapport från 2009 krävs också att tjänsteleverantören har rådighet över signalerna – rent fysiskt eller via avtal. För den övervägande delen av överföringen, den som sker över det öppna internet, har VPN-tjänsten inte någon som helst kontroll över signalöverföringen.

PTS skriver i rapporten:

”Det konstateras att s.k. virtuella privata nät (VPN) kan använda en del av det allmänna kommunikationsnätets resurser för en organisations interna kommunikation, men att det även kan avse säker uppkoppling genom t.ex. kryptering över ett allmänt kommunikationsnät för anställda eller kunder på platser utanför organisationens egna nät. Enligt förarbetena är den som tillhandahåller VPN inte anmälningspliktig, däremot den som tillhandahåller det allmänna kommunikationsnätet, om det tillhandahålls mot ersättning”

Inte anmälningspliktig betyder här att tjänsten inte omfattas av någon skyldighet att lagra trafikdata. Lettland anges göra följande bedömning:

”Aktörer som levererar tjänster som endast agerar i den övre delen av [OSI-]modellen bör inte anses vara inblandade i själva överföringen av signaler och tillhandahåller därmed inte en elektronisk kommunikationstjänst.”

Med andra ord, operatören som förser VPN-tjänsten med internettillgång är skyldig att lagra trafikdata, men själva VPN-tjänsten omfattas inte. Även om inte PTS direkt uttalar detsamma får jag intryck av att myndigheten i huvudsak delar Lettlands inställning. Möjligtvis med ett undantag: att den som t.ex. hyr förutsättningarna för en elektronisk kommunikationstjänst och är den som erbjuder den till slutkund är den som ska anses tillhandahålla den. I rapporten står vidare:

Som exempel på tjänster som inte själva utgör en elektronisk kommunikationstjänst enligt LEK kan nämnas Skype Classic och communities på Internet. Denna typ av tjänster innebär endast kommunikation över en redan föreliggande elektronisk kommunikationstjänst. Här sker kommunikationen via slutanvändarens befintliga Internettjänst, vilken möjliggör och har inflytande över överföringen av signaler (transport av IP-paket).  [min understrykning]

Enligt EU-direktivet ovan undantas också ”de av informationssamhällets tjänster enligt definitionen i artikel 1 i direktiv 98/34/EG som inte helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät”. Informationssamhällets tjänster är ett brett begrepp som definieras som ”tjänster som normalt utförs mot ersättning och som tillhandahålls på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare”. I en hovrättsdom bedömdes TPB vara en informationsamhällets tjänst, för att nämna ett exempel.

Europakommissionen skrev förra året i en utvärderingsrapport (pdf):

A number of increasingly common forms of communication are outside the scope of the Directive. Virtual Private Networks (VPNs) in, for example, universities or large corporations, allow several users to access the internet via a single gateway using the same IP address.

Sammantaget framstår det som högst sannolikt att anonymiseringstjänster, i varje fall i Sverige, inte omfattas av datalagringsdirektivet såvida inte företaget samtidigt tillhandahåller en annan tjänst som är anmälningspliktig, och kanske inte ens då. Här skulle man t.ex. kunna lyfta fram Bahnhof som omfattas av lagen eftersom de också är internetleverantör. Datalagringsdirektivet skapar dock ingen skyldighet att lagra information som inte ”genereras eller behandlas”, så de försöker kanske komma runt lagringsskyldigheten genom att undvika att generera eller behandla viss data. Ett annat sätt är att lägga ut vissa tjänster på andra företag. En internetleverantör borde t.ex. undgå kravet på lagring av trafikdata för e-post genom att lägga ut sin e-posttjänst på en underleverantör som inte omfattas av datalagringslagen.

Bahnhof verkar inte ha några planer på det varken för e-post eller för den anonymisering av datatrafik som de planerar att erbjuda. I ett mejl skriver deras kundtjänst ”Då all information (som det ser ut nu) kommer gå via vår egen VPN-tjänst som kommer vara integrerad med bredbandet så skall även det som ni skickar över e-posten skyddas”. Hur VPN skulle kunna användas för att undgå att behandla trafikdata för e-post förstår jag inte. Men det kanske beror på att inte heller personen som svarade mig förstår det…

Jag hörde mig för hos ett par VPN-tjänster som har servrar i många olika EU-länder om hur de ser på frågan:

PureVPN: meddelar att de inte omfattas av implementationer av datalagringsdirektivet i något annat EU-land än Storbritannien. Detta av den anledning att VPN inte utgör en allmänt tillgänglig elektronisk kommunikationstjänst. PureVPN har såvitt jag kan se servrar i praktiskt taget alla EU-länder.

Kryptotel: anser märkligt nog inte att de omfattas av EU-direktiv eftersom företaget inte är registrerat i ett EU-land. Det tycker jag verkar helt galet eftersom de har många servrar i EU-länder.

IAPS: uppger att deras verksamhet är undantagen från reglerna om datalagring.

HMA: säger att de inte omfattas av direktivet eftersom det är inriktat på internetleverantörer och inte ”varje tjänsteleverantörer på nätet”. Däremot följer de nationella riktlinjer och loggar viss trafikdata ändå.

StrongVPN: anger att de inte omfattas eftersom de är ett amerikanskt företag. När jag invänder att de har servrar i EU får jag till svar att de inte har hört någonting från sina leverantörer uppströms.

Cyberghost: anger att de så länge datalagringsdirektivet finns måste lagra trafikdata, men att endast kund-id som inte innehåller några personuppgifter lagras och dessutom delar flera personer på en och samma ip-adress. Kunden kan också i deras administrationsgränssnitt ange att informationen inte ska lagras.

VPN Tunnel: säger att de snart kommer att meddela sin syn på sin blogg.

Anonine: har släppt en pressrelease där de säger att situationen är oklar men att de är fast beslutna att på något sätt fortsätta att leverera en tjänst som inte lagrar loggar.

Mullvad: säger att datalagringsdirektivet ”gäller inte oss utan bara internetleverantörer och telefonbolag”.

Ipredator: verkar ge uttryck för ungefär samma sak som Anonine – osäkerhet men beslutsamhet att inte logga.

För den som vill djupdyka i ämnet kommer här några användbara länkar: lagen om lagring av trafikdata, datalagringsdirektivet, lagen om elektronisk kommunikation, regeringens förordning om vad som ska lagras, PTS: rapport (vilka omfattas?), rapport (internationell utblick), presentation, tidsplan, lista över operatörer som anmält sig och därmed omfattas av den nya lagen. Oscar Swartz ger i ett gammalt inlägg en bra översikt. Detsamma gör Måns Jonasson. Missa inte Lakes länksamling om trafikdatalagring.

Se även tidigare inlägg om datalagringsdirektivet på den här bloggen.