Hundratals personer samlades på demon­strationen mot Chat Control 2.0

(Bilder: Zee Vieria. Licens: CC-BY-4.0)

Idag den 20 maj så samlades runt 200 personer utanför Mynttorget för att demonstrera mot EU:s massövervakningsförslag Chat Control 2.0. Demonstrationen anordnades av Kamratdataföreningen Konstellationen, Föreningen För Digitala Fri- och Rättigheter (DFRI) och 5 juli-stiftelsen.

Följande personer talade på demonstrationen:

  • Jon Karlung, VD, Bahnhof
  • Peter Hellman, advokat, Integritetsbyrån
  • Ann-Therese Enarsson, VD, Tankesmedjan Futurion
  • Andrea Andersson-Tay, riksdagsledamot, Vänsterpartiet
  • Anton Holmlund, vice ordförande, Liberala Ungdomsförbundet
  • Fabian Lidbaum, språkrör, Grön Ungdom Stockholm
  • Katarina Stensson, partiledare, Piratpartiet
  • Mikael Blomstrand, styrelseledamot, Centerstudenter
  • Mattias Axell, ordförande, DFRI (arrangör)
  • Samuel Skånberg, Kamratdataföreningen Konstellationen (arrangör)
  • Henrik Alexandersson, 5 juli-stiftelsen (arrangör, konferencier)

Sveriges Radio och TT var på plats. Lyssna på radioinslaget. Inför demonstrationen hade också Dagens Arena intervjuat ordförande Samuel Skånberg i Kamratdataföreningen Konstellationen.

Talet från Föreningen för Digitala Fri- och Rättigheter

Följande tal höll Mattias Axell:

Bild: Mattias Axell, Digitala Fri- och Rättigheter (arrangör). Fotograf: Zee-Vieria

Vi har ett nytt inre hot mot Europa. Mot Sverige. Mot oss medborgare. Därför är det hög tid att vi reser oss. Hög tid att vi står upp för det som borde vara självklart. Det handlar återigen om att skydda det finaste och mest värdefulla vi människor i demokratier har. Nämligen vår rätt – att tänka, tycka, kommunicera och uttrycka oss fritt utan att bli kontrollerade och övervakade. Vår rätt till ett privatliv.

Hotet heter Chat Control 2.0 och är ett lagförslag från EU-kommissionären Ylva Johansson. Lagförslaget har tagits fram i syfte att bekämpa allvarliga brott som onekligen kräver kraftfulla insatser. Men det måste helt enkelt tas fram fler och bättre alternativ eftersom riskerna med det här förslaget är alldeles för stora.

Sanningen är att ingen vet hur, eller av vem, en sån här lag skulle kunna användas och missbrukas. Ingen vet hur länge det dröjer innan lagen kommer att utökas eller ändamålen förändras. Ingen vet ens om lagen skulle få önskad effekt – snarare finns det mycket som pekar på motsatsen. En sak vet vi i alla fall helt säkert, och det är att lagen skulle inskränka våra mest fundamentala friheter och rättigheter.

Så därför talar jag nu till dig, Ylva Johansson. Och jag talar för alla oss som vill leva i ett öppet och demokratiskt samhälle med fria människor. Ditt lagförslag som syftar till att bekämpa övergrepp mot barn blir i själva verket ett övergrepp mot hela samhället.

Det är ett förhastat förslag som utgör ett hot mot barnens integritet. Det är ett hot mot oss alla, inklusive visselblåsare och människorättsaktivister som inte längre kan kommunicera säkert. Det är ett antidemokratiskt förslag som bygger ett samhälle på misstro, misstänksamhet och maktmissbruk och som präglas av rädsla och tystnad. Det är nästa steg mot total massövervakning.

Och därför vädjar jag nu till dig, Ylva, och jag vädjar till alla som lockas av falska löften och förhoppningar om att detta förslag kommer lösa ett så komplext problem som det säger sig försöka angripa – tänk ett steg, två steg, kanske tre steg längre! Vart är vi på väg? Vill vi vara på väg mot ett samhälle som präglas av undergivenhet, rädsla och misstänksamhet? Eller vill vi istället fortsätta utveckla vårt fria samhälle som bygger på mod, tillit och trygghet? Vi kan utveckla detta samhälle!

Vår kamp för digitala friheter och digitala rättigheter fortsätter. För varje inskränkning kommer vi att höja tonläget, med allt fler och allt starkare röster.

Tillsammans ska vi uppmärksamma politiker och makthavare på de risker som förslag om massövervakning innebär. Tillsammans ska vi sätta stopp på varenda nytt lagförslag som syftar till att övervaka och kontrollera oss.

Kräv din rätt att själv bestämma över din privata information! Kräv din rätt att själv bestämma vem som får se eller höra vad du säger, skriver eller publicerar. Kräv din rätt över ditt privatliv!

Bilder

Här är lite blandade bilder. Bildcred är Zee-Vieria, Samuel Skånberg eller Kamratdataföreningen Konstellationen. Licens är CC-BY-4.0.

Bild: Jon Karlung, VD för Bahnhof
Bild: Jon Karlung, VD för Bahnhof. Fotograf: Zee Vieria
Bild: Peter Hellman, advokat, Integritetsbyrån
Bild: Peter Hellman, advokat, Integritetsbyrån. Fotograf: Zee Vieria
Bild: Ann-Therese Enarsson, VD, Tankesmedjan Futurion
Bild: Ann-Therese Enarsson, VD, Tankesmedjan Futurion. Fotograf: Zee Vieria
Bild: Andrea Andersson-Tay, riksdagsledamot, Vänsterpartiet
Bild: Andrea Andersson-Tay, riksdagsledamot, Vänsterpartiet. Fotograf: Zee Vieria
Bild: Anton Holmlund, vice ordförande, Liberala Ungdomsförbundet
Bild: Anton Holmlund, vice ordförande, Liberala Ungdomsförbundet. Fotograf: Zee Vieria
Bild: Fabian Lidbaum, språkrör, Grön Ungdom Stockholm
Bild: Fabian Lidbaum, språkrör, Grön Ungdom Stockholm. Fotograf: Samuel Skånberg
Bild: Katarina Stensson, partiledare, Piratpartiet
Bild: Katarina Stensson, partiledare, Piratpartiet. Fotograf: Zee Vieria
Bild: Mikael Blomstrand, styrelseledamot, Centerstudenter
Bild: Mikael Blomstrand, styrelseledamot, Centerstudenter. Fotograf: Zee Vieria
Bild: Samuel Skånberg, Kamratdataföreningen Konstellationen (arrangör)
Bild: Samuel Skånberg, Kamratdataföreningen Konstellationen (arrangör). Fotograf: Zee Vieria
Bild: Henrik Alexandersson, 5 juli-stiftelsen (arrangör, konferencier)
Bild: Henrik Alexandersson, 5 juli-stiftelsen (arrangör, konferencier). Fotograf: Samuel Skånberg
Bild: Demo
Bild: Demo. Fotograf: Zee Vieria
Bild: Plakat
Bild: Plakat. Fotograf: Zee Vieria
Bild: Plakat och banderoll
Bild: Plakat och banderoll. Fotograf: Zee Vieria
Bild: Banderoll. Zee Vieria, Judith Kahrer och Samuel Skånberg från Kamratdataföreningen Konstellationen, Peter Hellman från Integritetsbyrån och Mattias Axell från DFRI
Bild: Banderoll. Zee Vieria, Judith Kahrer och Samuel Skånberg från Kamratdataföreningen Konstellationen, Peter Hellman från Integritetsbyrån och Mattias Axell från DFRI. Bild: Kamratdataföreningen Konstellationen

DFRI i intervju med TV4 Nyheterna angående nya lagändringen som förbjuder anonyma ägare till kontantkort för telefoner

Farligt – vi kan inte ha det så”, säger Elias Rudberg, medlem i DFRI och projektledare i projektet Fri- och Öppen E-legitimation

TV4 Nyheterna publicerade nyheten angående lagändringen som förhindrar ägare av om anonyma SIM-kort.

Nyheten och intervjun går att se hos TV4: https://www.tv4.se/artikel/2e5OSvCg2oaHWz2Qlp85Vb/farligt-vi-kan-inte-ha-det-sa


DFRI intervjuade i Sveriges Radio om rätten till att ha kontantkort anonymt och säkert

Föreningen för Digitala Fri- och Rättigheter, DFRI, har i intervju med Sveriges Radio tagit ställning för rätten till anonyma ägare till kontantkort vilket nu olagliggörs i Sverige. Intervjun finns att höra hos Sveriges Radio i deras inslag hos P4 Göteborg.

Här är några synpunkter:

  • Inga understödjande EU-direktiv. Så vitt DFRI känner till så finns det i dagsläget inga EU-direktiv som tvingar denna lagändring.
  • Brist på framgångsrika exempel. Så vitt DFRI känner till så finns det inte några fullvärdiga demokratier som kan fungera som goda exempel eller ge den vägledning som ger stödjer att denna lagändring som Sverige infört ger några viktiga och konkreta resultat.
  • Brist på underliggande bevis från demokratier. Det finns inga hänvisningar till att fullvärdiga demokratier som gjort denna typ av lagändring löser fler brott. Synsättet att staten ska kunna övervaka alla människors kommunikation hör inte hemma i en demokrati. Se Wikipedia-artikeln om Demokratiindex om ”Fullvärdiga demokratier”.
  • Bryter mot mänskliga rättigheter. Att kunna kommunicera anonymt och privat är en rättighet i ett fritt samhälle, detta enligt FNs deklaration för mänskliga rättigheter. Detta gäller självklart även telefonkommunikation.
  • Alla kommunikationsmedel ska behandlas lika. Brevhemligheten är en viktig princip för kommunikation via brev. Varför gäller inte detta även för kommunikation via dator eller telefon, oavsett kontantkort eller abonnemang? Nu ändras postlagen för att kunna anmäla misstanke om olagligheter, utan att tumma på brevhemligheten, vilket är en mer rimlig lagändring. Läs mer i reportaget hos SR.
  • Brist på empiriska bevis som motiverar lagändringen. Att hävda att registrerade kontantkort ökar chansen till att lösa brott finns det inte tydliga underlag för.
  • Brottsligheten flyttar till andra kommunikationer och brottsmetoder riskerar utvecklas. Risken att kriminella flyttar till andra och mer anonyma kommunikationssätt är större. Alternativt använder andras identiteter, så kallade målvakter och gömmer sig ännu mer för polisutredningar, rättsväsendet och det demokratiska samhället i stort. Risken för ett parallellsamhälle eller skuggsamhälle utanför demokratins kontroll kan öka. Utvecklingen har sett likadan ut med övervakningskameror (som idag ibland kallas ”trygghetskameror”) där brottsmetoder vidareutvecklats.
  • Yrkesgrupper i behov av anonymitet riskerar sin säkerhet. Flera arbetsgrupper och professioner kan riskera sin säkerhet i jobbet, t.ex. politiker, journalister, poliser, säkerhetspersonal och andra som potentiellt kan råka ut för hot och våld.
  • Visselblåsardirektivet från EU med visselblåsarlagen riskerar undergrävas. Visselblåsare kanske inte vågar berätta om missförhållanden när de inte längre kan kommunicera anonymt.
  • F.d. kriminella kan få svårare att lämna sitt förflutna. Personer som lämnat en kriminell livsstil och bakgrund kan riskera att få sin identitet röjd.
  • Personer med skyddad identitet av olika skäl kan riskera sin säkerhet och hälsa. Detta blir extra känsligt om personer med skyddad identitet får sina registrerade nummer läckta efter en potentiellt lyckad cyberattack mot teleoperatörer, t.ex. ransomware-attack (kidnappningsattack) eller identiteten röjd på andra sätt.
  • Extra fara för alla personer som använder betalningstjänsten Swish. Fler oskyldiga människor kan nu utsättas för ovälkomna nummerupplysningar där förövare kollar upp nummer som är registrerade hos betalningstjänsten Swish. Trots stor risk för användare så tillåter Swish fortfarande för vem som helst att kolla upp vilket nummer som helst utan att användare kan skydda sig mot denna typ av ”nummerupplysning” när ett nummer väl är registrerat hos Swish. Detta gör att förövare och personer med ont uppsåt mot en person kan verifiera identitet på den som fått sitt nummer exponerat och därmed är identiteten för personen röjd och säkerheten riskeras.
  • Försvårar för turister och kan skada Sveriges rykte utomlands. Det försvårar för turister att enkelt skaffa ett svenskt telefonnummer vid längre besök och det kan skada Sveriges rykte och internationella anseende att upplevas som smidigt och digitalt samhälle. Dels är det alltid en bökig process med hur icke-medborgare ska identifiera sig. Vill personer kunna köpa ett kort måste de antagligen ha sina pass med sig. Det gör det mycket mer komplicerat att sälja SIM-kort t.ex. i automater på flygplatser, dela ut dem gratis, eller i förväg via postorder.
  • Risk för sämre affärer för teleoperatörer och SIM-kortsförsäljare. Lagändringen riskerar försämra ekonomin för teleoperatörer och göra det svårare för de som driver företag och annan laglig ekonomisk verksamhet som involverar telefonnummer och temporära telefonnummer.
  • Kan försvåra för integrationen i Sverige. Det försvårar även för de personer som är nya invånare i Sverige och vill etablera sig snabbt i landet där denna lagändring kan göra integrationsprocessen ännu svårare och ännu mer byråkratisk. Ett liknande exempel är hur det redan är svårt att komma igång med bankkonto och därmed digital verifiering med e-legitimation. Läs mer om problematiken vid DFRI-projektet om fri och öppen e-legitimation.

Mobilkartläggning bryter mot lagen

[:sv]

Se även Slaget om staden – andra delen, Öppet brev från Bumbee Labs, Slaget om staden – om rätten till anonyma söndagspromenader och annat om mobilkartläggning.


Framgång för den personliga integriteten i ett område DFRI varit engagerad i det senaste året – mobilkartläggning!

DFRI genomförde i november 2014 en aktion i Västerås för att uppmärksamma att företagarna i Västerås Citysamverkan AB anlitat Bumbee Labs AB för att på prov installera ett system som spårar individer som bär mobiltelefoner med wifi. Vi ifrågasatte rimligheten i urskillningslös spårning utan explicit medgivande och Bumbee Labs svarade bland annat att de kontaktat Datainspektionen som nekat att granska produkten. Efter att media uppmärksammat systemet beslöt Datainspektionen sig för att genomföra en granskning. Resultatet visar nu att besöksflödena i Västerås mäts för noggrant (2015-06-22, diarienummer 2729-2014, pdf).

Datainspektionens granskning visar att det system som används i Västerås för att mäta besöksflöden via personers mobiltelefoner inte är tillåtet i sin nuvarande utformning eftersom det går att spåra hur enskilda personer rör sig i stadskärnan.

Datainspektionen förelägger Västerås Citysamverkan AB att upphöra med behandlingen eller, alternativt, att vidta åtgärder för att komma till rätta med de brister som anges ovan och som närmare utvecklas i skälen till detta beslut. Om bolaget inte upphör med behandling utan avser att vidta åtgärder för att rätta till de brister som anges ovan, föreläggs bolaget att komma in med en åtgärdsplan som beskriver vilka åtgärder som bolaget avser att vidta för att åtgärda de ovan konstaterade bristerna. Åtgärdsplanen ska kommit in till Datainspektionen senast den 30 september 2015.

Framförallt är det viktigt att Datainspektionen anser att telefonens mac-adress kan anses vara en personuppgift under personuppgiftslagen.

En allt för restriktiv tolkning av begreppet personuppgifter när det gäller unika identifierare av mobiltelefoner skulle kunna riskera en försvagning av det skydd för den personliga integriteten som personuppgiftslagen avser att skydda. Med beaktande av att detta skydd är en del av rätten till privatliv som utgör en grundläggande fri- och rättighet enligt Europakonventionen och EU-stadgan anser Datainspektionen att begreppet personuppgift i lagen måste tolkas så att inte utfallet påverkar lagens ändamålsenliga verkan och det effektiva och fullständiga skydd för enskildas grundläggande fri- och rättigheter som dataskyddsdirektivet avser att säkerställa.

Att lagra mac-adresser i hashad form är inte heller det tillräckligt för att avidentifiera individer enligt Datainspektionen, vilket DFRI och styrelseledamoten Patrik Wallström skrivit om i artikeln MAC-adresser är personuppgifter?

Vi i DFRI är såklart glada att Datainspektionen gått på samma linje – en vinst för allas våra privatliv!

Artiklar i media

[:]


[:en]Mobile phone tracking horrors, part two[:sv]Slaget om staden — andra delen[:]

[:sv]

Se även Mobilkartläggning bryter mot lagen, Öppet brev från Bumbee Labs, Slaget om staden – om rätten till anonyma söndagspromenader och annat om mobilkartläggning.


Inför dagens aktion i Västerås har flera visat intresse för att diskutera IOPS, det system för att kartlägga hur människor rör sig genom staden som körs på prov i Västerås. Bland annat fick vi under fredagseftermiddagen ett öppet brev från företaget som ligger bakom systemet.

DFRI motsätter sig inte att statistik över besöksströmmar samlas in eller att skattepengar används effektivt. Men ett sådant insamlande måste ske på ett sätt som inte kränker människors grundläggande rätt till integritet. Ett minimikrav på ett sådant system är transparens, där alla som vistas i området där mätningen pågår kan ta del av den tekniska lösningen, källkod till systemet, databasinnehåll och den statistik som tas fram. Utan dessa möjligheter kan vi inte veta om systemet faktiskt lever upp till att skydda vår integritet utan vi är istället hänvisade till uppgifter från de företag som säljer systemen eller tar betalt för tjänsterna.

Vi tror inte att IOPS syfte är spionera eller att Bumbee labs är intresserade av enskilda medborgare men intention och potential är två olika saker. Alla typer av storskalig datainsamling har potential att användas för kartläggning av individer om inte allt data är helt avidentifierat. Att avidentifiera data är dock ingen lätt uppgift och ingen av den information vi hittills fått från Bumbee labs tyder på att de har lyckats med det. Flera uttalanden har tvärtom fått oss att tvivla på att de förstår det grundläggande problemet.

Ytterligare ett register

Ta exempelvis idén med ett register för de som inte vill ha sitt data lagrat. Det mest uppenbara problemet är den logiska kullerbyttan i att personer som vill vara anonyma och inte finnas med i IOPS-databaser måste skriva in sig i en annan databas. Alternativet att inte alls registreras i någon databas erbjuds inte.

Vi ser inte att man med det här nya registret löst ett problem utan snarare att man har skapat ytterligare ett. Det kommer att bli ännu svårare att garantera anonymitet i det här nya registret och det blir ännu en databas som kan missbrukas. Extra känsligt blir det eftersom det riskerar att bli ett register som kopplar ihop fysiska personer med MAC-adresser. Detta krävs exempelvis om man vill erbjuda människor att kunna lämna registret.

Att det här andra registret hanteras av en amerikansk organisation gör inte saken bättre. Vilka dataskyddslagar gäller för svenska medborgares data där? Hur kontrollerar vi innehållet? Den föreslagna lösningen skapar fler frågor än svar.

Vad som lagras

En annan mycket viktig diskussion rör vad som lagras och hur potentiellt integritetskränkande uppgifter påstås anonymiseras innan de lagras. Det stämmer inte att telefoner enbart sänder ut sin MAC-adress och inget annat. Telefoner sänder också ut nätverksnamn, så kallat SSID, på nätverk där telefonen tidigare varit ansluten. Lagrar IOPS den här informationen? Det är viktigt ur ett integritetsperspektiv då de flesta telefoner har en unik samling nätverksnamn som de kontinuerligt sänder ut.

Telefoner sänder naturligtvis också ut information om sig själv till mobiltelefon-nätet. Många telefoner skickar också data över Bluetooth. Bumbee Labs har fortfarande inte besvarat våra frågor från september om huruvida man förutom WiFi behandlar även annan data från mobiltelefoner.

MAC-adresser och anonymitet

Diskussionen om huruvida en MAC-adress är anonym är central för hela frågan. Eftersom MAC-adresser. är kopplade till en given telefon och därigenom till fysisk person så är insamling och lagring av var och när sådana plockas upp i etern ytterst känsligt.

Den kryptografiska hashfunktion som nämns i det öppna brevet gör det kanske svårare att utifrån databasägarens sida bestämma vilken MAC-adress som lagras i databasen. Men givet en MAC-adress kan man ändå slå upp alla rörelser gjorda av den som bär telefonen med den MAC-adressen. En hashfunktion ger definitivt ingen garanti för anonymitet. Inget i systemet förhindrar möjligheten att lämna ut rörelsemönster för enskilda individer, givet deras MAC-adress.

Det större problemet

Det större problemet är att insamling och lagring av integritetskänsligt data kan se relativt harmlöst ut när det betraktas isolerat från annan lagring av liknande data. Data från ett system räcker kanske inte för att avslöja en persons identitet men givet annat data som länkar vidare där det första sätter stopp är det ofta svårt att dra den slutsatsen.

Om IOPS databas var den enda som fanns i hela världen skulle integritetsproblemen med just denna databas kanske kunna vägas mot nyttan. Det som oroar i verkligheten är hur IOPS databas fungerar som en länk för den som också har tillgång till annan information där en koppling mellan MAC-adress och person finns. För den som känner till sambandet mellan fysisk person och MAC-adress och som har tillgång till IOPS databas är möjligheterna att i detalj kartlägga individers rörelser betydligt större än summan av delarna.[:]