fredag, augusti 15, 2008

Vem bestämmer FRA:s sökbegrepp?

Jag har tidigare skrivit om FRA:s filter och sökbegrepp som används för att skilja ut den information som FRA är intresserad av. Jag skrev dock inget om vem som bestämmer dessa sökbegrepp.

Lennart Nilsson på folkpartiet Nackas blogg ställer därför en berättigad fråga, nämlingen "vem bestämmer vad som ska finnas i Urvalsdatabasen ('FRA-filtret')?

Svaret måste delas upp i två steg. Först måste inriktningen av FRA:s signalspaningen bestämmas, därefter bestäms sökbegreppen i Urvalsdatabasen (FRA-filtret).

Ett brett mandat för inriktningen
Inriktningen bestäms av regeringen och berörda myndigheter. Det framgår av 1 § andra stycket i den ändrade lagen (2000:130) om försvarsunderrättelseverksamhet: "Regeringen skall bestämma försvarsunderrättelseverksamhetens inriktning. Inom ramen för denna inriktning får de myndigheter som regeringen bestämmer ange en närmare inriktning av verksamheten."

Inriktningen ska handla om "yttre hot", vilket omfattar internationell terrorism eller annan stats agerande mot Sverige, IT-beroende, försörjningskriser, ekologiska obalanser, miljöhot, etniska eller religiösa konflikter, stora flykting- och migrationsrörelser samt ekonomiska utmaningar i form av valuta- och räntespekulationer, prop. 2006/07:63 sid. 17 och 36.

Det är alltså ett väldigt brett mandat, vilket regeringen försöker mörka, se mitt tidigare inlägg.

Sökbegrepp kan röra känsliga personuppgifter
Jag har i mitt inlägg om FRA:s filter och sökbegrepp beskrivit att lagstiftningen tillåter att sökbegreppen rör känsliga personuppgifter, t.ex. sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv.

FRA bestämmer sökbegreppen
Utifrån de ramar som inriktningen och lagen medger, bestämmer FRA sökbegreppen på egen hand. Det framgår av prop. 2006/07:63, sid. 77-78: "Förhandskontrollen bör enligt regeringens uppfattning dock omfatta inriktningarna av verksamheten, medan utformningen av sökbe-greppen bör betraktas som en praktisk fråga om verkställighet av de inriktningar som ges för verksamheten. ... Fastställandet av sökbegreppen är en komplicerad uppgift som har stor betydelse för hur Försvarets radioanstalts verksamhet bedrivs. Det är därför viktigt att myndigheten har en väl fungerande rutin för fastställande och hantering av sökbegreppen."

Alltså, det är många lagar och paragrafer som ger ett intryck av ett starkt skydd och hård reglering, men de är skrivna på ett sådant sätt att regeringen och dess myndigheter genom FRA:s signalspaning i kabel får ett väldigt stort handlingsutrymme.

Tilläggspropositionen
Tillståndsgivningen beträffade sökbegrepp kan komma att införas med tilläggspropositionen. Uppgörelsen (punkterna 17-28) som pressades fram den 17 juni 2008 innehöll bl.a.:

- inrättande av ny domstolsliknande nämnd för tillståndsprövning.
- krav på tillstånd för användande av sökbegrepp direkt hänförliga till fysiska personer i Sverige.

Detta var en sak som redan var uppe i remissrundan. På sid. 77 i prop. 2006/07:63, kan man läsa att det skulle medföra "stora svårigheter" att anförtro bestämmandet av sökbegrepp till "ett från myndigheten fristående organ". Vi får alltså se om och hur regeringen kommer att hedra överenskommelsen. Viktiga frågor är hur självständig den "domstolsliknande" nämnden kommer att vara och under vilka förutsättningar den kan vägra att ge tillstånd för användande av sökbegrepp. Kommer nämnden att gå igenom alla sökbegrepp regelbundet? Vilken motivering måste FRA lämna inför nämnden avseende föreslagna sökbegrepp? Jag befarar att det endast kommer bli ett summariskt förfarande till skillnad från en reell prövning av sökbegreppen (med sökbegrepp menas här bl.a. "avlyssning av fysiska personer i Sverige").

Alldeles oavsett, problemet kvarstår
I moderaternas brev kan man läsa att FRA idag kommer åt mindre än fem procent av all kommunikation. Med den nya lagstiftningen ska all kabeltrafik som korsar Sveriges gränser överföras till FRA.

Det handlar alltså inte om reglering av befintlig verksamhet i bemärkelsen av en åtstramning utan det handlar om expansion genom att FRA får tillgång till ett nytt medium, det svenska kabelnätet. Annars skulle FRA inte behöva en ny dator. Är det värt mödan?

Bloggar
Opassande, Tomas sida, StoppaFRAlagen.nu

20 kommentarer:

Quest sa...

Jag tycker det är en mycket signifikant fråga huruvida nämnden alls kan bedöma sökbegreppen.

Om tillståndsgivning ska ske i förväg måste nämnden i praktiken kunna förutsäga motsvarande vilka träffar man får om man skriver in några termer i Google - i morgon.

Nu kan man tro att det går att bedöma sökbegrepp i efterhand, men det är inte alls säkert. Om flera sökbegrepp appliceras på rådatat kommer flera av dem att ge match och relevansen för ett meddelande är summan av dessa sökbegrepps relevans. Det kan vara mycket snårigt att reda ut exakt vilka sökbegrepp som gör vad.

Sammanfattningsvis behöver man mycket ingående kompetens om hur systemet är utformat. Kan nämnden få tillgång till sådan spetskompetens på regelbunden basis och vilken risk innebär det att lämna ut såpass mycket av systemets detaljer till inhyrd expertis.

En sak är klar: en summarisk granskning kan aldrig ligga till grund för några trovärdiga bedömningar om integritetsavväganden.

Det kan också vara värt att notera att ovanstående resonemang bygger på förhållandevis enkla sökbegrepp. Om FRA börjar tillämpa mer avancerade verktyg (t ex genetisk mönstermatchningsalgoritmer) är det bokstavligt talat omöjligt att avgöra i förväg vilket resultat de kommer att ge, eftersom de anpassar sig efter det data man matar dem med.

mark sa...

FRA har ju förnekat att den superdator som införskaffats har något med den nya lagen att göra. Det är naturligtvis extremt svårt att tro på det. Vore intressant om man kunde finna något sätt att bevisa att de far med osanning på denna punkt.

Tomas Mattsson sa...

Lennart Nilssons fråga, "vem bestämmer vad som ska finnas i Urvalsdatabasen ('FRA-filtret')?"
är synnerligen intressant.

Intressant är också hur själva uppdateringen av "urvalsdatabasen" går till.

En databas kräver för dess innehållsmässiga administration 3 grundläggande metoder:

- skriva data
- ändra data
- ta bort data

Dessa 3 metoder administreras med stöd av programvara på 2 sätt:

- manuellt
- automatiskt

Det är klart att FRA manuellt vill kontrollera denna administration av "urvalsdatabasen" efter eget gottfinnande.

När det gäller data för den automatiska administrationen, här spekulerar jag, tror jag att dessa data kan levereras av andra underrättelsetjänster i världen. Annars kan jag inte se hur det här FRA-systemet ska kunna fungera internationellt. Alternativt skickas data till FRA för att läggas in manuellt.

I båda fallen av input av selektioner till "urvalsdatabasen", såväl manuellt som automatiskt, ryms ju en uppenbar risk för missbruk. Det är naturligtvis mycket enkelt att lägga till och ändra selektioner i "urvalsdatabasen", som appliceras på alla meddelanden. Att selektioner skulle tas bort från "urvalsdatabasen" är mindre troligt.

Mark Klamberg sa...

Tomas,
Jag delar din bedömning att uppdateringen av Urvalsdatabasen (i förarbetet benämt som metodutveckling) kommer att ske både manuellt och automatiskt. I vart fall finns det lagstöd för detta. Rent logiskt kan det inte fungera på något annat sätt.

Mary sa...

Intressant här vore förstås okså att lista vilka sök begrepp som INTE får användas.

Som exempelvis politisk hemvist, sexuell läggning och liknande som redan idag gäller. Kanske vor een releavnt grej. Men skulle man kunna säga nej till uppdragsgivaren? Vem det nu kan vara.

Tor sa...

Mary sade: "Intressant här vore förstås okså att lista vilka sök begrepp som INTE får användas. Som exempelvis politisk hemvist, sexuell läggning och liknande som redan idag gäller."

Om jag inte minns fel är det så att parametrar som tex. sexuell läggning får ingå i sökbegrepp så länge de inte ensamt utgör grund för sökningen. Kanske fanns även något annat krav på när sådana sökningar får ske.

Erik sa...

Mark.

Om NSA rent tekniskt gör samma sak som FRA vill göra (vilket känns rätt rimligt vid det här laget) borde det också finnas en massa juridiska paralleller. Jag har länkat till den här videon förut, men gör det igen. Det amerikanska parallellfallet Hepting v. AT&T. Vid tiden 1:28:24 pratar dom om "providing certifications" som jag tycker verkar vara en motsvarighet till din fråga om vem som bestämmer om "sökbegrepp".

Lennart Nilsson sa...

Det finns särskilt två frågor som jag skulle vilja ha svar på:
1) som en del här har berört, kommer det att ske automatiska uppdateringar av urvalsdatabasen
2) kommer utländska partners, t.ex. NSA eller DOHS, att förse FRA med sökparametrar.

Anonym sa...

mark skriver, "FRA har ju förnekat att den superdator som införskaffats har något med den nya lagen att göra. Det är naturligtvis extremt svårt att tro på det. Vore intressant om man kunde finna något sätt att bevisa att de far med osanning på denna punkt."

Deras super duper dator har inte mycket med den nya lagen per se att göra, eftersom dom högst sannolikt skulle behöva beräkningskapaciteten oavsett vad.

En del tro att det är denna dator som ska agera filter, trots att det skulle vara slöseri med resurser. Behövs trots allt ingen superdator för att analysera och filtrera.

Super duper datorer används till att knäcka krypton, köra avancerade simuleringar, snabbt analysera och sammanställa alla trådar i ett socialt nätverk ... en mass. Ibland undrar jag om folk faktiskt tror att dom kommer att använda super duper datorn till att köra en uppgift åt gången mest hela tiden ... har man tillgång till 12 000+ processorer med eget arbetsminne trots allt, kan man köra 12 000+ cykler exakt samtidigt (och det går en hel del cykler per sekund. Och eftersom man kan köra flera trådar per processor tillsynes samtidigt, så kan man analysera en hel massa saker på en sekund tillsynes exakt samtidigt. ;-)

//ST

Anonym sa...

Med tanke på att antalet "sökbegrepp", dvs konstanter och variabler, uppgår till ca 250 000, så lär sannolikheten för att ett enda ensamt litet "sökbegrepp" utgör kontentan av sökningen vara sannolikt osannolikt. Dvs det är osannolikt att dom kommer att söka på endast begreppet: "Sven Svensson". :-()

Nu kommer ju inte FRA att ägna sig åt en enda "sakfråga" åt gången, utan kommer att göra en hel del massa spaningar samtidigt, från olika ställen från olika punkter ... varje dag, hela tiden, antalet "jobb" är beroende på hur många specifika uppdrag dom har, och generella uppdrag dom har.

Ett "sökbegrepp" kommer att utformas utifrån uppdragsgivarnas expertis, men destilleras av, och tillämpas av, expertis, dvs übernördar, inom FRA (dvs man går från abstrakt "skräp" till användbara detaljerade konstanter och variabler.)

Således kommer politikerna reglera dagordningen, men dagordningen kommer att preciseras i detalj form av "nerds who compartmentalize their own reality", och precis som grupperna terrorlaban ett och två sk-ter de i vad andra gör, dom gör endast sitt. Om resultatet sen kanske inte är det bästa utifrån folks personliga integritet, blir ju ett fall för diverse politiska kontrollanter att ta reda på ... hmm, och kunskapsnivån hos dessa lär nog inte leda till mer objektivitet än i andra fall, dvs inte mycket objektivitet. Samt att kontrollanterna i slutänden måste ta ställning till vad som är bäst för den "nationella säkerheten", "do we tell, or not?"

(Uhm, tror jag dribblade bort mig själv i min egen skrivklåda ... hmm?!?)

Lennart Nilsson sa...

Jag har analyserat och funderat lite kring FRA:s datorkapacitet på
http://fpnacka.blogspot.com/2008/08/frgor-om-urvalsdatabasen-fra-filtret.html

Mark Klamberg sa...

Vänligen notera att det finns ytterligare en Mark som skrivit kommenter till detta inlägg. Jag r alltid inloggad som "Mark Klamberg" när jag skriver kommentarer, varför kommentaren om superdator ej är skriven av mig. Ser dock inget uppseendeväckande med kommentaren och har inget att för tillfället tillföra den delen av diskussionen något.

Anders Andersson sa...

"Han ser Alcor, men inte månen!"

Ovanstående är ett uttryck bland astronomer med ungefär samma innebörd som "sila mygg men svälja kameler". Jag får liknande vibbar av hela den här diskussionen om "sökbegrepp hänförliga till fysiska personer" (inte bara på Marks blogg, utan överallt).

Som lagen säger, så får sökbegreppen endast undantagsvis avse fysiska personer. Nu har man dessutom aviserat att sådana sökbegrepp måste tillståndsprövas av en nämnd.

Jag ifrågasätter vikten av att diskutera denna nämnds sammansättning, eller hur tillståndsprövningen kommer att gå till i praktiken. Visst, jag inser att nämnden sannolikt bara är ytterligare en politisk halvmesyr framkastad i syfte att lugna oppositionen, och den förtjänar att kritiseras. Intrånget i telehemligheten står dock inte och faller med denna tillståndsprövning. Det har ägt rum redan innan sökbegreppen har applicerats.

FRA kommer, såvitt jag kan se, att helt utan någon tillståndsprövning kunna använda mängder av sökbegrepp som inte är direkt hänförliga till någon fysisk person. Det kan vara namn på organisationer, ortnamn, kemiska ämnesbeteckningar, tidpunkter, historiska händelser, valutor osv. Precis som lagen föreskriver, så torde FRA sällan intressera sig för någon viss fysisk person. Försvarsunderrättelseverksamhet handlar inte om att leta efter individer, precis som den inte handlar om att bekämpa brott.

Likafullt är det enskilda fysiska personers privata kommunikation som kommer att avlyssnas. Att FRA inte får tillstånd att söka efter "Sven Svensson" i nättrafiken betyder inte att Sven Svenssons kommunikation inte kommer att avlyssnas. Det betyder bara att allas kommunikation kommer att avlyssnas i jakten på något annat än "Sven Svensson", kanske "koltetrafluorid". Om nu Sven Svensson använder denna osannolika term (eller kombination av flera dylika termer) i sin korrespondens, då kommer hans meddelande att lagras för närmare analys, automatiserad eller manuell. Att han heter Sven Svensson och är en fysisk person saknar betydelse för FRA, och hans (liksom alla andras) telehemlighet är redan kränkt.

Även om FRA skulle få tillstånd att använda namnet "Sven Svensson" som sökbegrepp (föga sannolikt exempel, men vi kan låtsas att det bara finns en person med det namnet), så skulle det fortfarande vara allas kommunikation som genomsöks, och alla meddelanden som innehåller det sökta namnet kommer att gå vidare till nästa gallring. Det är först när sökbegreppet begränsas till att avse meddelandets avsändare eller mottagare som just Sven Svenssons kommunikation kommer att sorteras fram, men det är fortfarande fråga om massavlyssning i syfte att hitta Sven Svenssons kommunikation.

När väl Sven Svenssons kommunikation, oavsett hur den hittades, har gått vidare för analys, så kan den innehålla vilka personuppgifter som helst, inklusive uppgifter om hälsa, sexuell läggning och politisk hemvist. Alla dessa uppgifter får FRA lagra och behandla, om det bedöms vara av betydelse för försvarsunderrättelseverksamheten. FRA behöver inte tillstånd för att hitta dessa personuppgifter, utan bara för att uttryckligen söka efter dem. När man söker information, så hittar man alltid mer än det man söker efter, för annars vore det ingen mening med att söka.

Särbehandlingen av sökbegrepp som rör fysiska personer är helt och hållet föranledd av 1995 års EG-direktiv om behandling av personuppgifter, det som i Sverige 1998 realiserades i form av personuppgiftslagen. FRA har sedan fått sin egen lag om just personuppgifter. Den enda kränkning som politikerna har vågat diskutera är kränkningen av den personliga integriteten, som för jurister är nära förknippad med personuppgiftslagen.

Det var dock inte risken för kränkningar av den personliga integriteten som utgjorde den formella grunden för oppositionen att våren 2007 begära en ettårig bordläggning av frågan om signalspaningslagen, för det villkoret nämns inte i 2 kap. 12 § RF. Det var i stället inskränkningen av post- och telehemligheten som gav möjlighet till detta andrum, ett andrum som politikerna sedan utnyttjade till att praktiskt taget hålla andan fram till omröstningen ett år senare. De visste antagligen att beslutet skulle bli detsamma oavsett vilka nya argument som framkom.

Även om diskussionen om sökbegrepp kan vara nog så informativ och belysande vad gäller den politiska processen, så känns den för mig inte mer meningsfull än en diskussion om i vilken mån information erhållen vid en olaglig husrannsakan får ligga till grund för skämtsamheter yttrade vid fikabordet i polisens personalrum. Polisen skall inte ha denna information, punkt slut, och FRA borde inte få ha den heller. Att inrätta en nämnd för att tillse att skämten håller sig på en anständig nivå ur integritetssynpunkt är ett slag i ansiktet på den enskilde, som inte ens kan lita på sin brevbärare längre.

Mark Klamberg sa...

Anders,
Ditt inlägg var huvudet på spiken!

Jag försökte väl säga samma sak, men inte lika vältaligt, när jag avslutade inlägget med "Alldeles oavsett, problemet kvarstår".

Du har rätt, låt oss inte förlora fokus. Diskussionen om sökbegrepp är intressant och viktig men den är sekundär i denna debatt.

tvivlar sa...

Å ena sidan är det skrämmande att det är möjligt att spana efter politiska direktiv. Det är inte jättesvårt att se hur man kan glida när det gäller vad som är ett hot. I en diktatur är kanske en demokratirörelse det största hotet. Det är naturligtvis långsökt i Sverige, men att svenskar blivit övervakade på politiska grunder har hänt tidigare.

Å andra sidan är det antagligen ganska omöjligt för en politiskt tilsatt övervakningsenhet att faktiskt styra myndigheten. Med 500 000 sökbegrepp är det omöjligt att överblicka den samlade konsekvensen av sökbegreppen. Dessutom är ett sökbegrepp, även ett relativ simpelt sådant, så krångligt för en lekman att förstå, att det inte egentligen går att övervaka vad FRA egentligen söker efter.

I affärsvärlden bygger man ofta databaser över tex vilka transaktioner man har med sina kunder och sedan analyserar man köpbeteenden, för att tex minimera lagerhållning, utvärdera marknadsaktiviteter et.c.. De stora mat-kedjorna gör det, och är intresserade av vem som köper vad, var och när.
Jag har sett några sådana system, och ingenstans kommer man i närheten av att filtrera och analysera med så många urvalskriterier.

Anonym sa...

Det råder inget tvivel om att de senaste tilläggen är tämligen betydelselösa.

Det är bara ett fåtal av sökbegreppen som kommer att förhandsprövas. Det är endast de eventuella sökkriterier som finns med i samband med tillståndsgivningen som kommer att granskas i förväg.

Det kan t.ex. röra sig om telefonnummer eller e-postadresser som uppdragsgivaren tillhandahåller vid uppdragets inledning.

Detta har bl.a. Staffan Danielsson förklarat.

Liakså är det bara en bråkdel av de svenska sökbegreppen som kommer att genomgå förhandsprövning. Den domstolsliknande nämnden kommer att kunna ge tillstånd till att spaning får riktas mot enskilda i Sverige inom ramen för ett visst uppdrag. Mer än så handlar inte förhandsprövningen om.

Ibland kan det dock finnas svenska sökbegrepp som är kända redan vid tillståndsgivningen, varför de då kommer att prövas i samband med denna.

Men som FRA också framhållit så tillkommer det i regel mängder av sökbegrepp vartefter man arbetar med ett uppdrag.

Inga av dessa nya parametrar kommer att förhandsprövas. Detta gäller även då det handlar om spaning mot personer i Sverige eller svenska medborgare utomlands. Det är genomgående efterhandsgranskning som gäller. Inte heller det nya "integritetsombudet" kommer att förhandspröva alla svenska parametrar.

Jag tror faktiskt inte att riksdagens ledamöter har fattat detta.

/Joppe

Z sa...

Mark

En praktisk fråga, som är viktig:

Vet du möjligen när de sk integritetsskyddande tilläggen till FRA-lagen kommer att komma upp i riksdagen.

Jag menar de tillägg som Johansson och Federley ställde som villkor för att gå med på att rösta ja?

Mark Klamberg sa...

Z,
I försvarsutskottets betänkande 2007/08:FöU15 som lämnades till riksdagen den 18 jun i 2008 (efter uppgörelsen mellan federley och Tolgfors) anges följande: "Utskottet anser att regeringen senast under hösten 2008 ska återkomma med förslag till ändringar i signalspaningslagen i dessa delar."

Detta betänkande antogs av riksdagen. Svaret på din fråga är alltså detta ska komma upp hösten 2008. Det finns dock exempel på där regeringen (den socialdemokratiska) förhalat förslag till riksdagen trots att de fått uppdrag att göra detta omgående. Jag tänker på förslaget om domstolsprövning av asylärenden som riksdagen tvingade på den socialdemokratiska regeringen.

Jag tror dock att denna regering är tvingad att lämna ett förslag hösten 2008, annars blir svekdebatten än svårare än vad den redan är.

Z sa...

Mark, tack för ditt utförliga svar

Det hela låter skumt....."under hösten"? Annie Johansson och Fredrik Federley har alltså inte krävt något mer specifikt? Som t ex "senast siste september"? Tänker de inte mer på detta? Var det endast för att tysta kritiken, som dessa tillägg kom till? kan man fråga sig. Det viktigaste var visst att ligga bra till hos regeringen. Hrmpf...

Det är nästan så jag tänker göra följande: Skriva en veckodagbok i bloggen som varje vecka rapporterar det senaste om de utlovade intregritets-tilläggen, samt naturligtvis twingly-länka till alla möjliga SvD/DN-artiklar om FRA och riksdagen.

Anders Troberg sa...

När jag läser det här så utbrister jag spontant OMGWTFBBQ!

Varför i helsike är det regeringen som ska bestämma sökinriktningen? Det borde väl i rimlighetens namn vara riksdagen?

Som det ser ut nu så kan alltså sittande regering helt köra över oppositionen och börja avlyssna dem. Det låter inte direkt som en stabil, demokratisk och säker modell...