Betyder kampen mod terror begyndelsen til enden for privacy ?


privacybrud

The Institute for Public Policy Research (IPPR),  en britisk tænketank med stærke bånd til det engelske Labour parti, har netop udgivet en rapport med titlen “The National Security Strategy: Implications for the UK intelligence community”. 

I rapporten opstiller Sir David Omand, den tidligere regerings koordinator for efterretningstjenesterne,  en plan for, hvordan staten vil kunne udtrække data,  herunder rejseinformation, teledata og e-mails fra både offentlige som private organisationer, og indrømmer:  “At finde ud af andre menneskers  hemmeligheder vil betyde, at vil komme til at bryde hverdagens moral.”

Omand siger, at en voksende mængde af efterretninger med henblik på at fjerne ekstremister og foregribe  potentielle terrorangreb, udledes af såkaldte “beskyttede oplysninger”, som i efterretningskredse også kaldes for “Protint” (sammentræk af ”protected information”).  “Det er personlige oplysninger om enkeltpersoner, lagret i databaser, såsom avancerede passageroplysninger, flyreservationer, og andre rejsedata, pas og biometriske data,  optegnelser om indvandring, identitet og grænsekontrol, strafferegistre og andre statslige og private data, herunder bankdata, telefon og anden kommunikationsdata. ”

“Sådanne oplysninger kan findes i de nationale registre, der er omfattet af lovgivningen om databeskyttelse, men kan også blive opbevaret af andre nationer eller globale virksomheder, og er ikke nødvendigvis omfattet af internationale aftaler.  Adgang til sådanne oplysninger, og i nogle tilfælde med mulighed for at anvende datamining og profileringssoftware til databaser, kan meget vel være nøglen til effektivt foregribende magtanvendelse [anticiperet selvforsvar] mod terrorangreb i fremtiden. “

Rapporten giver den hidtil mest ærlige vurdering af omfanget af den engelske regerings ambitioner om en statslig database til sporing af terroristgrupper.  Den hævder, at selv om foranstaltningerne er betydelige, så vil offentlighedens tillid kun blive sikret, såfremt en sådan indgribende overvågning udføres under forudsætning af en stærk moral og under håndhævelse af menneskerettighederne.

“Moderne efterretningsvirksomhed vil ofte involvere indgribende metoder til overvågning og efterforskning med accept af, at det i visse henseender kan ske på bekostning af nogle aspekter af privacy.” (…)

“Det er et svært valg og går imod aktuelle krav om at tøjle ”overvågningsamfundet”, men det er langt at foretrække at pille ved retsbeskyttelsen eller at fravige de grundlæggende menneskerettigheder.  At være i stand til at påvise en lovlig bemyndigelse og passende tilsyn med anvendelsen af en sådan indgribende efterretningsmetode, kan gå hen og blive en væsentlig problemstilling for fremtidens efterretningsvirksomhed, såfremt den brede offentlighed skal overbevises om det ønskelige i denne form for efterretningsmulighed“.

Hans anbefalede retningslinjer kan ses som en nyttig tjekliste for forsvarere af privacy.  De omfatter:

1. Der skal være en tilstrækkelig bæredygtig årsag tilstede, og omfanget af den potentielle skade skal retfærdiggøre anvendelsen af denne form for efterretningstjeneste.
2. Der skal foreligge et hæderligt motiv og de fordele der forfølges skal begrundes i hensyn til almenvellet.
3. De anvendte metoder skal stå i et rimeligt forhold til alvoren af den pågældende handling og kun ved et minimum af brud på andres privacy.
4. Bemyndigelse skal udstedes på tilstrækkeligt højt niveau med passende tilsyn.
5. Der skal være en rimelig udsigt til succes med et acceptabelt niveau i forhold til risikoen for utilsigtede konsekvenser eller politiske/ diplomatiske skader ved afsløring.
6. Brug af hemmelige efterretningsmetoder skal være den sidste udvej, snarere end den første – er oplysninger tilgængelige fra åbne kilder?

Selvom rapporten er engelsk, så rejser den efter min opfattelse generelle problemstillinger som også er valide i en dansk sammenhæng. Den er derfor værd at stifte bekendskab med. De foreslåede principper lyder jo umiddelbart tilforladelige, men hvem vil på betryggende vis være i stand til at kontrollere at de bliver overholdt ? Uden at gå for meget ned i substansen , så er det tankevækkende, at Sir David Omand foreslår yderligere beføjelser til den engelske efterretningstjeneste og dermed en yderligere indskrænkning i privacy, når forholdet er det, at personfølsomme data allerede nu udleveres til højre og venstre.

Hertil kommer, at det er højst tvivlsomt om datamining har nogen effekt overhovedet. Det er derimod ikke rimeligt, at uskyldige mennesker uden videre skal være omfattet af disse procesteknikker. Raterne for “falske positive” og “falske negativer” er ifølge eksperter  for høje og ideen om, at søge efter en nål i en høstak ved at stable endnu flere høstakke sammen imødegås selv af den engelske efterretningstjeneste, som fastslår, at der ikke findes enkle metoder eller indikatorer, som vil kunne forudsige, hvem der præcist kan blive terrorist. De teknologiske muligheder er ikke tilstrækkelige, fordi vurderingen af et menneskes motiv nødvendigvis må foretages af mennesker selv.  Der henvises iøvrigt til en nylig rapport fra FNs Menneskerettighedsråd, som bl.a. anfører, at etnisk eller racemæssig profilering er et brud på retten til ikke at blive udsat for diskrimination. 

I princippet vil enhver uforholdsmæssig eller arbitrær overvågning, ethvert data eller privacy brud og ethvert nyt overvågningssystem der implementeres, uden at der forinden har været en ordentlig offentlig debat, være med til at svække befolkningens tillid.  Man kan med god grund advare imod den “snigende overvågning” som en trussel mod demokratiet. Derfor er den folkelige debat og den enkeltes engagement under alle omstændigheder bydende nødvendig.

Download rapporten her.

Reklamer

Den svenske aflytningssag – en fortsat sommer thriller


kikkert

 

Igennem sommermånederne har nyhederne – både de svenske og enkelte danske med Computerworld i spidsen – været meget optaget af at følge den svenske sag om ’Försvarets Radioanstalt’ og den nye lov, der bemyndiger det svenske forsvar til at aflytte indholdet af al elektronisk kommunikation, der passerer Sverige.

Flere medlemmer af det svenske regeringsgrundlag med Moderaterne i spidsen har siden heftigt debatteret og kritiseret den lov, som de selv med et spinkelt flertal vedtog i Juli. Senest med en artikel i Svenska Dagbladet den 7. august (http://www.svd.se/nyheter/politik/artikel_1523835.svd)

Går et antal lokalpolitikere til angreb mod partiledelsen og kritiserer loven med udtalelser som ’Massavlyssninger av oskyldigas kommunikation är oacceptabelt.”.

 

I Danmark har især ITEK ved Tom Togsverd har også markeret sig i debatten ved først at bede Forskningsministeren om at sikre at Danmark fik garantier fra svenskerne, der sikrede mod overvågning af industriens og erhvervslivets datakommunikation,  http://www.cio.dk/art/46792?cid=2&q=Politik&a=cid&i=2&o=3&pos=4 og da Helge Sander og senere Statsministeren meldte hus forbi og senere Statsministeren erklærede at dette var et internt svensk anliggende (http://epn.dk/teknologi/sikkerhed/article1386830.ece , blev tonen fra ITEK mere sarkastisk, og Tom Toksverd meddelte så, at så måtte man jo sørge for at kryptere al mail, så det i hvert fald blev besværligt for svenskerne. Det begyndte nu at blive mere underholdende, da Computerworld kunne berette at det svenske forsvar ’fra gammel tid’ havde meget stor datakraft til sin rådighed, og man netop havde opgraderet supercomputeren.

 

Og så indtraf det forunderlige, at den svenske forsvarsminister (fra moderaterne), nemlig Sten Tolgfors kom på banen – dels for at dæmme op for eget internt oprør, og vel også for at berolige de kritiske røster fra udlandet (Hvor Ruslands protester nok vejer tungere end de danske avisers!)

Sten Tolgfors fremførte (http://www.computerworld.dk/art/47163?a=newsletter&i=1914, )

At for det første er efterretningstjenesternes overvågning af elektronisk kommunikation altafgørende for i tide at kunne forudse og afværge international terror og andre forbrydelser rettet mod Sverige og den svenske stat, svenske borgere, virksomheder og myndigheder. Det var jo netop hele begrundelsen for at gennemføre den omdiskuterede lov.

 

Men så tilføjede Tolgfors meget interessant, at den måde, som FRA vil arbejde på når den nye lov træder i kraft, vil være på en måde så svenske statsborgere og enkeltpersoner ikke vil være mål for overvågningen, men derimod organisationer, stater og personer i udlandet med en direkte interesse i at skade Sverige. Han frmeførte, at kun enkeltpersoner, der tilhørte kendte terroristgrupper eller organiserede kriminelle bander ville få deres kommunikation scannet. Og så løftede han sløret for den type teknologi, som vil blive anvendt: (http://www.svd.se/nyheter/inrikes/artikel_1436287.svd):

– Det är inte så att man går igenom och läser alla mejl, utan FRA har sökbegrepp som plockar ut exakt rätt mejl. Det är inte så att om någon skriver “bomb” så blir det träff. Det är bara de mejl som möter sökbegreppen som tas hem för mänsklig läsning, resten passerar.

Tolgfors begrundede det også i helt basale kapacitetsbegrænsninger.

 

For de fleste vil dette sikkert være tilstrækkeligt til at trække på skulderen, men debatten viser et helt tydeligt dilemma: Selvom naturkatastrofer er langt hyppigere end terrorhandlinger, så har også de offentige myndigheder og efterretningstjenester i de vestlande lande en stadig mere kompleks og vanskelig opgave i at beskytte vores samfund mod terrorisme, og derfor har den svenske minister faktisk en pointe i at understrege, at formålet med aflytningen jo netop er at beskytte svenske interesser. Men så er det lavpraktiske, juridiske spørgsmål så blot, om hensigten og måden at føre loven ud i livet på er afbalanceret i forholdet til truslen og at der i loven eller de forskrifter, som loven skal administreres efter, klart tages de nævnte begrænsninger, som gør at den svenske lov kan siges at overholde de europæiske menneskerettighedserklæringer.

 

Argumenter som  at ’overvågning af alt er praktisk umulig’ er  derimod IKKE en acceptabel forklaring, da dette jo blot er et spørgsmål om tid, før udviklingen af lagringsmuligheder rent faktisk har fjernet forhindringer af denne art.

 

Derimod må det slås fast, at der faktisk eksisterer analyseværktøjer og redskaber, der på anonymiseret vis kan scanne store datamængder, foretage analyse af hvilke personer og organisationer, der har kommunikeret med hinanden, om der er identitetssammenfald og forbindelse mellem forskellige personer og kendte kriminelle, og først når et sådant sammenfald er noteret, advare, så f.eks. FRA kan henvende sig til en juridisk myndighed og bede om at få ophævet anonymiteten.

 

Værktøjer af denne art eksisterer og udvikles løbende, men formuleringen af den svenske lov og de tilhørende administrative forskrifter vil utvivlsomt med fordel kunne forelægges WP29 allerede i efteråret før loven træder i kraft, så man kan bringe den i overensstemmelse med hensigterne bag den Europæiske Human Rights og EU’s direktiv  94/96 om dataintegritet. (Se sidste blog om dette)

 

Flere kommentarer følger snarest!

Med venlig hilsen: Søren Duus Østergaard

Når naboerne kigger med …..


peeping tom

peeping tom

En af denne sommers mere interessante debatter blev rejst efter at den svenske rigsdag lige inden den gik på sommerferie den 18. juni fik vedtaget en lov, der bemyndiger det svenske forsvar – nærmere bestemt ’Försvarets Radioanstalt’ til at overvåge indholdet af al elektronisk kommunikation mellem Sverige og udlandet.

Dette er naturligvis bemærkelsesværdigt, idet intet andet europæisk land har vedtaget en så vidtgående lovgivning, der går ud over hvad det meget omdiskuterede logningsdirektiv for teletjenesterne pålagde de enkelte operatører; Direktivet for logning af teletrafik indeholder klare retningslinier for, at det, der logges vedrører afsender og modtager af elektroniske meddelelser, der skal opbevares i en given tid, men altså ikke noget om logning af selve indholdet.

Det var også bemærkelsesværdigt at loven i Sverige blev vedtaget med bare 4 stemmers flertal.

Det skabte naturligvis en vældig debat – ikke bare i Sverige (http://www.vasabladet.fi/story.aspx?storyID=22256 , eller http://www.aftonbladet.se/nyheter/article2712002.ab) men sandelig også I Danmark, dad et gik op for danskerne, at ‘Svensk Udlandstrafik’ også omfattede al trafik, hvor svenske teleoperatører (Telia m.fl.) betjente danskere. Det gjaldt ikke mindst folketinget, hvor Telia faktisk har vundet opgaven at betjene de danske folketingsmedlemmer. ( Se computerworld: http://www.computerworld.dk/art/46613? ). Efterfølgende er også Rusland blevet opmærksom på problemet og har protesteret.

Loven dækker altså al elektronisk kommunikation – mobiltelefoni, e-mails, computer-til-computer overførsler. Så det må sandelig siges at være en stor mundfuld for det svenske forsvar – og i sig rejser det naturligvis en række spørgsmål, idet Sverige som traditionelt bekender sig nøje til åbenhed og anses for at være et af de lande, der står vagt om beskyttelse af privatlivets fred.

Kort sagt: Hvad har de gang i? Er det ikke i direkte strid med de grundlæggende forskrifter og direktiver i EU om borgerrettigheder? (Se http://www.hri.org/docs/ECHR50.html#P1 ) –

Ser vi for eksempel på artikel 8 i European Human Rights Declaration, så står der:

  1. Everyone has the right to respect for his private and family life, his home and his correspondence.

Altså eksplicit også en beskyttelse af brevhemmeligheden. Men så står der godt nok også i paragraf 2:

  1. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

Ved første øjekast ligner det en udvanding af paragraf 1, men spørgsmålet er altså, om den svenske lovgivning, der her foregriber anden lovgivning I andre EU-lande, kan hævde, at netop denne lov er nødvendig for at beskytte det svenske samfund mod terrortrusler og andre mulige overgreb, og det i en grad, der i det, som offentligheden fik at vide ved at læse lovteksten fra den 18. juni kun kunne forstå som et carte blanche til enhver form for overvågning af privatpersoners og virksomheders korrespondance med udlandet.

Det fremgår ikke – og er vel heller ikke sandsynligt – at den svenske lovgivning havde været forelagt nogle internationale organer endsige drøftet med nabolandene. Danske politikere kom på banen, nogle erklærede sig ’foruroligede’ , andre – med statsministeren i spidsen – var hurtige til at slå fast, at dette måtte betragtes som et internt svensk anliggende.

Det er imidlertid tvivlsomt om sagen så let lader sig afvise; og netop til dette formål er der i forbindelse med det såkaldte data-direktiv – der skal ses som en tydeliggørelse af ’Human Rights’ erklæringen for så vidt angår beskyttelse af private data – også kaldet The Data Protection Directive: http://www.cdt.org/privacy/eudirective/EU_Directive_.html etableret et organ, det såkaldte Working Party 29, WP29-organ, der er nedsat med repræsentanter og deltagelse fra alle medlemslandes Databeskyttelsesagenturer, som netop har til formål at vurdere og rådgive om nye tiltag i medlemslandene og især om mulige ændringer, udhulinger eller overtrædelser af datadirektivet.

I indledningen ( paragraf 2) af direktiv 94/96, står der bl.a.

Whereas data-processing systems are designed to serve man; whereas they must, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably the right to privacy, and contribute to economic and social progress, trade expansion and the well-being of individuals

Direktivet blev faktisk taget I anvendelse for ikke så længe siden, da det viste sig at data i bankoverførselssystemet SWIFT, der har sit fysiske hovedsæde i Bruxelles, faktisk kunne dekodes af US myndigheder. WP29 gik ind i sagen, og konkluderede, at SWIFT som et Europæisk organ var underkastet direktiv 94/96

( Se www.cbpweb.nl/downloads_int/Opinie%20WP29%20zoekmachines.pdf )

Ved første øjekast i begyndelsen af juli var der derfor meget der tydede på, at de svenske myndigheder havde været for hurtigt ude og havde forbrudt sig – ikke på et eller andet tilfældigt direktiv – men faktisk mod nogle af EU’s fundamentale borgerrettigheder, som man må formode at både tilhængere og modstandere af EU vil støtte op om.

Sagen var ikke slut hermed – og fortsættelse af denne blog følger, så vi kan vurdere flere og interessante aspekter af det, der efterfølgende indtraf.