Datalagringens allt bredare håv

En Promemoria från Justitieutskottet har smitit och läckt ut. SR rapporterade i morse och Piratpartiet var lika tidigt ute att analysera. Promemorian finns för allmän beskådan hos Telecomix/Werebuild.

Promemorian vill att man ska kunna hämta ut uppgifter även för mindre brott, och Piratpartiet drar slutsatsen att fildelning är en måltavla.

Jag har bara läst texten en gång, men vad jag genast uppmärksammade var följande skrivelse:

Vidare föreslås en möjlighet att inhämta lokaliseringsuppgifter avseende en viss elektronisk kommunikationsutrustning som är påslagen men inte vid det aktuella tillfället används eller har använts för kommunikation. Det blir också möjligt att inhämta uppgift om vilka sådana kommunikationsutrustningar som har funnits i ett visst område. Förutsättningarna ska vara desamma som för inhämtande av uppgifter som rör en viss kommunikation.

Lokalisering kan man visserligen göra med IP-nummer och trafikdata på internet. Men, dess fulla kraft ligger i mobiltelefonerna. I ovan nämnda formulering snackar vi bred håv: det räcker att man har varit i närheten för att ens position, ned till några meters precision, ska kunna vara föremål för inhämtande.

Om nu detta kan komma att gälla även för ringa bötesbrott, då har vi en ganska jobbig situation. Även om detta måste analyseras juridiskt, finns det stort utrymme för missbruk. Låt säga att jag är i samma kvarter som ett snatteri – ska min position då kunna hämtas ut? Är alla i kvarteret misstänkta? (Detta är ett dåligt exempel då ren lokaliseringsdata kräver värre brott än snatterier)

Eller om jag vistas på ett visst ställe där det begås brott, är det då så att min trafikdata är föremål för inhåvning?

Här riskerar vi verkligen en situation av total social paranoia och beröringsskräck. ”Jag går inte på den gatan för där hänger det knarkare och då kan man ju bli misstänkt för vad som helst”, ”Jag rör mig inte i den stadsdelen” etc.

Datalagringsdirektivet kringgår vi enkelt med kryptografiska mjukvaror på internet. Men inte i mobilnätet. Där är trafikdata nästintill omöjligt att undvika.

Uppdatering: Exempelvis DN och SvD koncentrerar sig på fildelning och grooming. Jag ser detta som helt klart underställt mobiltelefonerna. De tekniska anledningarna till att jag så envist vill prata mobiler finner ni i denna bloggpost.

21 reaktioner till “Datalagringens allt bredare håv”

  1. Jag läser detta som att detta INTE kommer att regleras i lagen om elektronisk kommunikation, och alltså INTE vara tillgängligt vid bötesbrott.

    ”Förutsättningarna ska vara desamma som för inhämtande av uppgifter som rör en viss kommunikation.” – dvs samma som för att få ut vem som ringde vem, vilket ska motsvara nivån för hemlig teleavlyssning, vilket INTE är bötesnivå.

    Men realtidsspårning är oerhört otäckt ändå.

  2. Hur får du det till att promemorian vill att man ska kunna hämta ut uppgifter även för mindre brott? Det jag ser i texten är att ”Lagen innebär att övervakningsuppgifter ska få hämtas in om det finns anledning att anta att det utövas, har utövats eller kommer att utövas brottslig verksamhet som innefattar brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år.”

    Observera att minimistraffet alltså ska vara två år eller mera, och inte som det varit i någon annan formulering att maximistraffet ska vara en viss tids fängelse (vilket ju även innefattar diverse brott som i praktiken alltid ger böter, även om fängelse teoretiskt kan utdömas). Jag tolkar detta som att det endast gäller en mycket liten grupp av mycket allvarliga brott. Av de exempel du tar upp är det endast grovt narkotikabrott (2-10 år) som skulle komma i fråga. Varken fildelning eller snatteri eller ens ringa narkotikabrott eller narkotikabrott av normalgraden.

  3. min första kontakt med Datorer var en ABC 80 med BASIC programmering på 80 talet, jag ville då efter min skoltid bli programmerare, men istället för programmerare led jag Svältdöden, jag arbetade som kontorist, men jag fick ingen lön. jag var totalt undernärd och hade förgiftningsymtom, när jag kom till läkaren på akuten tog det så lång tid att jag rusade upp med sista krafter upp till IVA och TIVA och kardiologen, då var det där jag fick kontakt med Doktor DÖD, han var docent på lungan3, han ville inte hjälpa mej så när jag bad om präst fick jag en muslims överstepräst, och jag sade på Engelska, why do they want to kill me!
    villket resulterade i att han rusade ut. jag blev beroende av respiratorvård. då under hela 90 talet så dog alla patienterna som var i behov av respiratorvård. alla utom jag svarade på hans enkät som han sänt till alla sina patienter- jag ville ju fortfarande bli programmerare.

  4. anders:

    ”De brottsutredande myndigheternas möjlighet att inhämta uppgifter om abonnemang föreslås finnas kvar i lagen om elektronisk kommunikation. Inhämtning föreslås bli möjlig för alla brott, dvs. kravet på att fängelse ska vara föreskrivet för brottet och att det enligt myndighetens bedömning kan föranleda annan påföljd än böter utgår.”

    Detta gäller dock som sagt bara abonnentuppgifter, inte lokaliseringsuppgifter.

  5. Anders: Just det som Mikael citerar är det jag gick på. Framgår inte så tydligt i bloggposten, men var det som slog igenom i nyhetsrapporteringen.

    Har inte hunnit reflektera om alla konsekvenser ännu, så kommentera gärna på och vänd och vrid på problemet.

    Tack för bra kommentarer förresten!

  6. Mikael: Just det. En nyckelformulering är ”abbonentuppgift” och ”lokaliseringsuppgift” och hur man skiljer dessa åt.

    Riktningsdata från en mobiltelefonbasstation bör vara lokaliseringsdata, men hur hanterar man exempelvis IP-nummer? Det är både och i många fall.

  7. Ok, nu är jag med på vad ni menar. För övervakning och avlyssning av trafiken, samt lokalisering av utrustning, står det som jag sa att det gäller vid misstanke om brott där minimistaffet ska vara två års fängelse.

    Däremot ska man kunna ”inhämta uppgifter om abonnemang” vid misstanke om alla brott (sidan 4 i promemorian). Allvarligt i och för sig, men frågan är dock vilken praktisk roll det spelar. En abonnemangsinnehavare är inte straffrättsligt ansvarig för vad andra (eller ”andra”) gör via hans/hennes uppkoppling. Risken är då att man a) blir civilrättsligt ansvarig eller b) att man på något sätt skärper kraven på vad abonnemangsinnehavaren måste ha koll på.

  8. Uppgiften om vilken kund som haft en viss IP-adress vid en viss tidpunkt borde vara en abonnentuppgift. Är det en fast anslutning så har denna kund i sin tur en anläggningsadress som ISP:n i regel känner till. Detta är i så fall en lokaliseringsuppgift.

    Men jag antar att man inte tänker så i första ledet. För att skilja detta åt så får ISP:n vara noga med att om polisen frågar ”vem har IP-adress x” så ska man svara bara med kundens namn (+ kanske person- eller organisationsnummer) och inte anläggningsadressen. För en privatkund kan man sen kanske utgå ifrån att anläggningsadressen är lika med hemadressen, men helt säkert är det inte. Och för ett företag är kopplingen ännu svagare.

  9. ”Uppgifter om abonnemang” har traditionellt handlat om vilken abonnent som innehar vilket telefonnummer, alltså de kataloguppgifter som i praktiken vem som helst har haft tillgång till i tryckt form, och numera via webben. Därför har skyddet för dem aldrig varit särskilt starkt; polisen är ju knappast förhindrad att söka en abonnent i telefonkatalogen. Det som polisen (och alarmeringscentralerna) behövt särskild befogenhet att få ut är uppgifter om abonnenter med dolda nummer och liknande, vilket åtminstone tidigare gällde en liten minoritet av alla abonnenter.

    Det har dock varit diskussioner om exakt vad dessa ”uppgifter om abonnemang” motsvaras av i fråga om andra kommunikationstjänster än det gamla vanliga (fasta) telefonnätet, till exempel Internet eller anonyma kontantkort till mobiler. Är en IP-adress en ”abonnentuppgift” eller en ”trafikuppgift”? PTS och andra myndigheter har från tid till annan gjort inbördes olika bedömningar beroende på omständigheterna i de enskilda fallen. Finns det någon konsensus om detta i dag, och vilka slutsatser har man i så fall landat i?

    Samtidigt finns det frågor rörande också den konventionella, fasta telefonin som kvarstår obesvarade. Operatörens tystnadsplikt enligt 6 kap. 20 § LEK avseende abonnentuppgifter och trafikuppgifter gäller inte gentemot innehavaren av ett abonnemang som använts för att utväxla ett elektroniskt meddelande. Avsikten med detta är rimligen att operatören skall kunna erbjuda tjänster såsom nummerpresentation, samt att den som blir störd av samtal från skyddade eller olistade nummer (till exempel försäljare eller SMS-mobbare) skall ha åtminstone en chans att identifiera den okända abonnenten för att kunna rikta ett formellt klagomål till vederbörande, utan att för den skull behöva upprätta en polisanmälan om brott.

    Undantaget från tystnadsplikten säger dock ingenting om i vilken riktning samtalet har initierats eller meddelandet sänts. Betyder det att man skulle kunna ta reda på vem som innehar ett godtyckligt olistat telefonnummer genom att ringa numret, vänta tills någon lyfter luren i andra ändan, lägga på och därefter fråga operatören vem det var man ringde? Sannolikt förväntas här operatören göra en bedömning av huruvida begäran om sagda upplysning är befogad eller ej.

  10. anders, i de här sammanhangen verkar alla (alltså även regeringen) utgå från att ”abonnentuppgifter” i LeKs mening innefattar identiteten bakom IP-adress vid varje tidpunkt.

    Jämför

    http://www.sou.gov.se/kommittedirektiv/2007/dir2007_185.pdf

    ”Utredaren ska också utgå från att det ska vara möjligt för de brottsutredande myndigheterna att få tillgång till abonnemangsuppgifter (se 6 kap. 22 § första stycket 2), inklu-sive uppgifter om vem som har haft en viss IP-adress vid ett visst tillfälle, även vid misstanke om brott som i det konkreta fallet bör föranleda ett bötesstraff (jfr förslaget i SOU 2005:38).”

  11. Hur pass stor rättslig tyngd har ett antagande om innebörden av gällande lag i ett utredningsdirektiv avseende en ny lag, när man i framtiden skall utreda den äldre lagens faktiska innebörd? De tekniska termerna i LEK definierades 2003, när lagen infördes, och kan knappast anses få en ny innebörd bara för att regeringen uttalar sig om dem i ett senare lagstiftningsärende.

    Har även PTS rättat sig efter regeringens tolkning? Jag har för mig att det var PTS som anförde att IP-adresser i vissa avseenden mer är att likna vid trafikuppgifter, eftersom de tilldelas dynamiskt i samband med att abonnenten (som alltså inte har någon permanent tilldelad IP-adress) upprättar en dataförbindelse med operatören.

    Man kan jämföra med tekniken i en AXE-växel, där varje uppkopplat telefonsamtal rimligen tilldelas en unik identifierare som bara är giltig så länge samtalet varar för att skilja de olika samtalen åt (jag känner inte till hur AXE-protokollet ser ut). Skillnaderna gentemot en IP-adress är dels att identifieraren knappast överförs till abonnentens utrustning, dels att den bara gäller för det par av abonnentnummer som deltar i samtalet (eller flera abonnentnummer om det är ett gruppsamtal). Samtalet har en början och ett slut vid olika tidpunkter, och identifieraren blir därmed en trafikuppgift.

    Samtidigt har alltså IP-adressen egenskaper som närmare påminner om en abonnentuppgift, till exempel att den tillhör endast en abonnent åt gången och kan användas för flera dataförbindelser med andra abonnenter (samtidigt eller efter varandra i tiden).

    Det är lätt att stirra sig blind på tekniska detaljer i lagtolkningen, men glömma vad syftet var med lagen när den skrevs. Uppenbarligen anses ”trafikuppgifter” vara känsligare än ”abonnentuppgifter”, eftersom det ställs högre krav för att få lämna ut dem till polisen. Upplysningen att en namngiven person innehar ett abonnemang med ett visst telefonnummer säger i sig ingenting om vilka samtal denna person har ringt (eller låtit någon annan ringa) och borde därför inte vara särskilt känslig, annat än om det redan är känt att ett visst samtal har kopplats från eller till just det numret. Varifrån kommer upplysningen om detta samtal? Det är den upplysningen som utgör trafikuppgiften, och som därför borde ha ett högre skydd än upplysningen om vem abonnenten är.

    Byt ut ”abonnentnummer” mot ”IP-adress” och flertalet bedömare, såväl jurister som lekmän, verkar förlora allt vad vardagliga referensramar heter. Vi som känner till tekniken lyckas till nöds dra de väsentliga parallellerna, men om våra slutsatser skiljer sig från juristernas eller allmänhetens, så lär det vara i stort sett omöjligt för oss att övertyga endera gruppen om vilken lagtolkning som är den riktiga.

    Vad är det egentligen som hindrar att man i tur och ordning ringer upp en massa okända människor, provocerar dem att fälla något brottsligt yttrande, och sedan överlämnar deras abonnentnummer till rättsväsendet för utredning, åtal och dom? Skulle allmänheten acceptera det som legitim ”brottsbekämpning”?

  12. Anders Andersson: Jag skulle vilja säga att IP-nummer är både och. För fasta IP-nummer gäller total lokalisering, ned till ett visst uttag i ett rum. Men för dynamiska inte samma lokalisering (något som en ISP visserligen skulle kunna loggföra).

    Sen har vi en till nivå, nämligen MAC-addresser som är kopplade till abonnentens utrustning. (om man inte kör ett ordentligt operativsystem, så man kan ändra detta lätt).

    Alltså, rent tekniskt kan IP-nummer vara både och. Känns som att Lagen(tm) är klumpig i förhållande till protokollens hårdkodning.

  13. Christopher: ”Både och” vad säger du att IP-adresser är? Jag talar om ”abonnentuppgifter” (vem som disponerar utrustningen) respektive ”trafikuppgifter” (med vem abonnenten har kommunicerat, samt när). Du talar om ”lokaliseringsuppgifter” som inte alls är detsamma som ”trafikuppgifter”, utan en tredje kategori, vilken delvis överlappar abonnentuppgifterna.

    De lagtolkningsproblem jag diskuterar berör inte lokaliseringsuppgifterna, som primärt är intressanta vid mobil kommunikation. Jag är medveten om att de omfattas av regeringens väntade lagförslag, men deras existens påverkar knappast gränsdragningen mellan ”abonnentuppgifter” och ”trafikuppgifter”. Jag kan gå med på att IP-adresserna i sig inte utgör ”trafikuppgifter”, förutsatt att de faktiska trafikuppgifterna (till exempel vid vilka tidpunkter IP-adressen har sänt eller tagit emot data) behandlas med den varsamhet som lagen föreskriver, något jag befarar ofta inte är fallet.

    Jag är inte säker på att lagen är klumpigt utformad; den är däremot klumpigt uttolkad. Det går knappast att i en lagtext använda en terminologi som specifikt tar sikte på kretskopplad respektive paketförmedlad kommunikation, för då fallerar lagen så fort det dyker upp ett nytt tekniskt kommunikationskoncept. I stället får man studera förarbetena och försöka utröna lagens syfte, precis som vid annan lagtolkning (som inte nödvändigtvis rör komplexa tekniska system, utan kanske något så vardagligt som familjerätt).

    ”Denna mening saknar.”

  14. Anders Andersson: Du har säkerligen helt rätt. Och det är ju vanvettigt att ha en ”paketförmedlad lag” och en ”kretskopplad”.

    Problement jag har med lagar generellt är att jag har svårt att tänka syfte, men det är kanske bara jag 😀

  15. Christopher:

    Anders Andersson: Du har säkerligen helt rätt.

    Tack för komplimangen, men har du belägg för den uppfattningen? En annan diskussionstråd har nämligen landat i motsatt slutsats. Jag avser inte att fortsätta diskussionen där, då de källhänvisningar som ges ligger utom räckhåll för mig, men ge mig gärna en vink här om du tycker att jag har missat något uppenbart. Argumentet mot mitt synsätt förefaller vara att om någon (i detta fall regeringen) föreslår en lagändring, då är det klarlagt vad den redan gällande lagen betyder, för annars hade ju lagändringen varit omotiverad. Är det alltså ett axiom att regeringen inte kan tolka lagen fel?

    Kopplingen mellan lagens syfte, dess ordalydelse, dess innebörd och dess konsekvens är alltid intressant. Ordalydelsen är ju uppenbar, medan innebörden bör utrönas genom att man åtminstone kastar ett öga också på syftet. Konsekvensen är det där som juristerna i princip skall bortse från, men som politikerna borde beakta i högre grad innan de skrider från syfte till ordalydelse och beslut…

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Time limit is exhausted. Please reload CAPTCHA.