torsdag, oktober 16, 2008

Sverige bör vänta med ratificering av konventionen om cyberbrott

1. Sammanfattning
Flera undrar säkert om det finns något internationellt avtal som tvingar Sverige att införa lagstiftning av det slag som FRA-lagen utgör. Nu har jag hittat en konvention som gör det. Som folkrättsjurist närmar jag mig hemmaplan när det handlar om konventioner.

Det är konventionen om cyberbrott som Sverige har undertecknat, men ännu ej ratificerat, se hela listan på signaturer och ratifikationer här. Jag har noterat att det finns ett regeringsförslag om detta, se DS 2005:6. Efter en svensk anslutning blir det än svårare att backa ur FRA-lagen. Det kan också tänka sig att data samlas in med hjälp av den lag som ska följa på EU:s direktiv om datalagring.

Konventionen tvingar stadgeparterna att lämna över information. Alla länder i Europarådet får ansluta sig vilket inkluderar Ryssland, Azerbajdzjan och bland de sökande till Europarådet finner vi Vitryssland och Kazakstan. Även några stater utanför Europa kan ansluta sig till konventionen, däribland USA och Kanada.

Det behövs inga ytterligare svenska lagändringar för att FRA ska kunna lämna över information från sina databaser.

En bred diskussion måste komma före svensk ratificering av denna konvention. Jag själv skulle gärna vilja ha mer tid att studera konventionen. Min slutsats är att Sverige bör vänta med att ratificera konventionen om cyberbrott så att en bred diskussion kan föras där allmänhet och oberoende experter kan delta.

2. Konventionen definierar trafikdata
I artikel 1(d) definieras trafikdata:

"traffic data" means any computer data relating to a communication by means of a computer system, generated by a computer system that formed a part in the chain of communication, indicating the communication’s origin, destination, route, time, date, size, duration, or type of underlying service.
3. Skyldighet att insamla trafikdata
Anligt artikel 20 så har staterna en skyldighet att samla in trafikdata.

Article 20 – Real-time collection of traffic data
1) Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to:

a) collect or record through the application of technical means on the territory of that Party, and

b) compel a service provider, within its existing technical capability:
i) to collect or record through the application of technical means on the territory of that Party; or
ii) to co-operate and assist the competent authorities in the collection or recording of, traffic data, in real-time, associated with specified communications in its territory transmitted by means of a computer system.

2) Where a Party, due to the established principles of its domestic legal system, cannot adopt the measures referred to in paragraph 1.a, it may instead adopt legislative and other measures as may be necessary to ensure the real-time collection or recording of traffic data associated with specified communications transmitted in its territory, through the application of technical means on that territory.

3) Each Party shall adopt such legislative and other measures as may be necessary to oblige a service provider to keep confidential the fact of the execution of any power provided for in this article and any information relating to it.

4) The powers and procedures referred to in this article shall be subject to Articles 14 and 15.

4. Skyldighet att samla in innehållsdata
Enligt artikel 21 har staterna en skyldighet att samla in innehållsdata.

Article 21 – Interception of content data
1) Each Party shall adopt such legislative and other measures as may be necessary, in relation to a range of serious offences to be determined by domestic law, to empower its competent authorities to:

a) collect or record through the application of technical means on the territory of that Party, and

b) compel a service provider, within its existing technical capability:
i) to collect or record through the application of technical means on the territory of that Party, or
ii) to co-operate and assist the competent authorities in the collection or recording of, content data, in real-time, of specified communications in its territory transmitted by means of a computer system.

2) Where a Party, due to the established principles of its domestic legal system, cannot adopt the measures referred to in paragraph 1.a, it may instead adopt legislative and other measures as may be necessary to ensure the real-time collection or recording of content data on specified communications in its territory through the application of technical means on that territory.

3) Each Party shall adopt such legislative and other measures as may be necessary to oblige a service provider to keep confidential the fact of the execution of any power provided for in this article and any information relating to it.

4) The powers and procedures referred to in this article shall be subject to Articles 14 and 15.

5. Skyldighet att lämna över data
Det behövs inga ytterligare svenska lagändringar för att FRA ska kunna lämna över information från sina databaser.

I 1 kap. 17 § lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet kan vi läsa följande.

Personuppgifter som behandlas med stöd av denna lag får föras över till andra länder eller mellanfolkliga organisationer ... inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet.
5.1 Skyldighet att lämna över traffikdata
Enligt artikel 30 har staterna en skyldighet att lämna över trafikdata till varandra.

Article 30 – Expedited disclosure of preserved traffic data
1 Where, in the course of the execution of a request made pursuant to Article 29 to preserve traffic data concerning a specific communication, the requested Party discovers that a service provider in another State was involved in the transmission of the communication, the requested Party shall expeditiously disclose to the requesting Party a sufficient amount of traffic data to identify that service provider and the path through which the communication was transmitted.

2) Disclosure of traffic data under paragraph 1 may only be withheld if:
a) the request concerns an offence which the requested Party considers a political offence or an offence connected with a political offence; or
b) the requested Party considers that execution of the request is likely to prejudice its sovereignty, security, ordre public or other essential interests.
Det verkar dock på artikel 29 att parterna inte måste ge direkt tillgång till varandras databaser utan staterna kan lämna över begränsad mängd information knuten till ett viss misstänkt brottslighet. Det är bra.

Det verkar dock som den svenska regeringen är öppen för att ge andra stater direkttillgång. På sidan 144 i DS 2005:6 kan man i avsnittet om "Internationell samarbete" läsa följande.

Direktkommunikation mellan myndigheter i Sverige och utlandet kommer att användas i allt större utsträckning.
5.2 Skyldighet att lämna över innehållsdata
Enligt artikel 34 har staterna en skyldighet att lämna över innehållsdata till varandra.

Article 34 – Mutual assistance regarding the interception of content data
The Parties shall provide mutual assistance to each other in the real-time collection or recording of content data of specified communications transmitted by means of a computer system to the extent permitted under their applicable treaties and domestic laws.
Uppdatering. Nu har jag läst mer i DS 2005:6. Utredaren har ganska bra idéer. Det hade kanske varit en idé att anta hennes förslag om ett nytt tvångsmedel "frysning av elektronisk kommunikation" och samtidigt förkastat FRA-lagen samt EU:s datalagringsdirektiv. Förslaget om "frysning av elektronisk kommunikation" samt hur polisen ska få ut data efter domstolsbeslut finns på sidorna 151-152, 249-253 och 321.

23 kommentarer:

Anonym sa...

Vilka lobbade för sveriges underskrivande?

/ --

Perty sa...

Ännu en gång vill jag poängtera vikten av att synliggöra remissinstanserna och de som faktiskt ger regeringen rött eller grönt ljus i frågan.

En snabb sökning på Google "DS 2005:6 remiss" visar bl a att Advokatsamfundet skriver: "Advokatsamfundet avstyrker att förslagen i promemoriorna läggs till grund för lagstiftning."

Vilket verkar bra, å andra sidan verkar just adokatsamfundet vara väldigt ambivialent när det gäller it-frågor och integritet. Mot FRA, för IPRED1, mot DS 2005:6...

Vet inte om jag fattat vad DS 2005:6 egentligen handlar om, men efter din genomgång verkar den vara lika illa som allt annat som kommer nu... Det är ingen hejd...

Tomas Mattsson sa...

Konventionen om cyberbrott handlar, såvitt jag kan förstå, primärt om såväl nationell som internationell polisiär brottsbekämpning.

Alliansöverenskommelsen handlar inte om polisiär brottsbekämpning, tvärtom, punkt 6. stipulerar klart att "FRA får endast bedriva signalspaning på beställning av regeringen, regeringskansliet och försvarsmakten." och det innebär att dessa två dokument strider mot varandra och om Konventionen om cyberbrott kräver FRA-lag så har dubbeltänket inom alliansen alldeles gått vilse i pannkakan.

Men det intressanta, som Mark också påpekar, är att trafikdata (trafikstråk) återkommer hela tiden och är också följdriktigt en gemensam nämnare även i dessa båda dokument.

Jag börjar närma mig övertygelsen om att de som har varit inblandade i den här processen som har lett fram till olika förslag om tekniskt stöd vid brottsbekämpning ännu inte har förstått vidden av denna fullständiga tillgång till trafikdata som båda dokumenten de facto kräver.

Denna brist på förståelse och konsekvensanalys är en humankollaps fullt jämförbar med den marknadsliberala finanskollapsen -- och bör hanteras före!

Mark Klamberg sa...

Perty,
DS 2005:6 handlar om att Sverige ska ansluta sig till konventionen om cyberbrott. Den består av tte delar. 1) Harmonisering av vad som ska vara krimininaliserat, 2) procedurer för att dessa brott ska vara möjliga att bekämpa (processrättsliga bestämmelser), t.ex insamling av data och 3) internationellt samarbete och utbyte.

Mark Klamberg sa...

Tomas,
Polisiär brottsbekämpning har för tillfället skiljts från FRA-lagen, men samtidigt har regeringen den 9 oktober 2008 tillsatt en utredning "Underrättelseinhämtning för vissa polisiära behov" som kan göra att detta kommer tillbaka eller att Polisen på annat sätt får tillgång till FRAs data.

Tomas Mattsson sa...

Mark,

Det är vilse i pannkakan det!

Lars-Erick Forsgren sa...

Vilse i pannkakan verkar vara en träffande beskrivning.

Har de verkligen inte folk i Rosenbad som kan bringa lite ordning i allt detta?
Så vi andra kan koncentrera oss på att kolla vad som är fel eller inte.

Börjar likna rent kaos detta... lekstuga bland regeringsbyråkraterna.
Men så smyger sig misstanken på en, är det medveten oordning... ?

Mot bakgrund av den senaste tidens händelser kan man lätt drabbas av konspirationsteorier.

Mark Klamberg sa...

Tomas,
Jag tror denna till synes schizofrena hållning till samverkan FRA-Polisen beror på att FP-kvinnorna drev hårt att skilja FRA-polisen medan starka krafter i alliansen tycker annorlunda. Man försöker väl överbrygga denna motsättning så att lagen överlever motionerna från oppositionen. Därefter återgår man till plan A, dvs polisen och SÄPO får tillgång till FRAs databaser.

pettter sa...

När det inte ens är juridiska, utan legalese till och med, så är det med svårighet jag ens hänger med i vad som avhandlas, men vad jag förstått så är nyckelorden i de citerade avsnitten "with specified communications in its territory transmitted by means of a computer system."

Detta innebär väl i stort sett hemlig teleavlyssning, och inte nödvändigtvis massavlyssning (även om många utan tvivel tolkar det som så), eller är jag ute och cyklar då?

Vidare verkar Artikel 14 och 15 vara någon slags brasklapp för att konventionen inte skall kunna användas för att motivera brott mot de mänskliga rättigheterna (exempelvis privat kommunikation). Där ingår dock uttrycket "tillräckligt skydd" (adequate protection), vilket säkert går att böja åt lite olika håll som man vill.

Överhuvudtaget ett ganska otydligt dokument, imo, men så har jag inte så stor erfarenhet av internationell rätt heller ;)

Jörgen L sa...

Jag fattar inte, vilken omfattning är det här avsett att ha? Är det avsett att omfatta all kommunikation eller handlar det om att avlyssna vissa specifika adresser?

Om det är avsett att vara heltäckande så är det ju värre än FRA-lagen och datalagringsdirektivet tillsammans...

Oscar Swartz sa...

Alltså jag skummade igenom den där promemorian om Cybercrime för min första rapport om Bodströmsamhället (fri nedladdning här) och det finns vissa referenser till den där. Jag vill minnas att överåklagare Gunnel Lindberg som gjorde utredningen menade att de där två typerna av "empowerment" redan var uppfyllda genom den möjlighet som Sverige har i Rättegångsbalken till Hemlig teleövervakning (trafikdata) och Hemlig teleavlyssning (innehållsdata). Våra myndigheter FÅR alltså redan göra det där och nya lagar behöver inte införas för att uppfylla konventionen. Vid brottsutredningar. Kolla gärna om min minnesbild är riktig. Och det vore bra att få en äkta jurists läsning av det.

I rapportens Appendix listar jag f.ö. de punkter jag anser vara helt nya i Cybercrime-promemorian (sid 59). Och på samma sida berör jag FRA-lagen för första gången (juni 2006) men förpassar den till detta appendix eftersom det stod klart att den skulle läggas på hyllan av (s)-regeringen.

På min blogg citerar jag en annan sak som Lindberg kom fram till där hon menade att IP-nummer är en speciell klass av data som vi borde behandla på ett nytt vis. Men det är litet oklart om det gäller att gå i riktningen abonnent -> IP-nummer snarare än IP-nummer -> abonnent (som ju skivindustrin är intreserad av).

Mark Klamberg sa...

Jörgen,
Jag tror konventionen lämnar öppet hur mycket information som måste samlas in.

På sidan 136-137 i DS 2005:6 kan man läsa: "Den närmare omfattningen av tillämpningsområdet bestäms i nationell rätt."

Det verkar dock som DS 2005:6 menar att konventionen tvingar Sverige att samla in mera (sidan 137): "Tillämpningsområdet för hemlig teleövervakning torde inte helt uppfylla kraven i artikel 20. Tvångsmedlet kan nämligen inte användas för alla de brott som enligt artiklarna 2-11 skall vara kriminaliserade och det är inte heller tillåtet att använda andra tvångsmedel hos operatörer. Anpassningen till konventionen kräver således vissa lagstiftningsåtgärder."

Läs sidan 232: "Detta gäller såväl
lagrade datauppgifter (artiklarna 16 och 17) som uppgifter om elektronisk kommunikation i realtid (artiklarna 20 och 21). I det senare fallet är det fråga om dels trafikuppgifter, dels uppgifter om innehållet i kommunikationen. Syftet med säkrandet är att uppgifterna skall bevaras under viss tid, för att senare kunna lämnas ut för brottsutredningsändamål. Vidare skall enskilda kunna åläggas att såväl bevara bevisning (artikel 16) som att lämna ut den (artikel 18). Svensk rätt uppfyller inte i alla delar konventionens krav."

Utredaren tycks förutsätta utökad trafikdatalagring. Läs vidare på sidan 234: "Det är emellertid inte bara utformningen av tvångsmedelsreglerna som innebär begränsningar. Av hänsyn till den enskildes integritet är huvudprincipen att all information hos en operatör om elektronisk kommunikation skall utplånas eller avidentifieras så snart kommunikationen har avslutats, om inte uppgifterna behövs för vissa specificerade ändamål. Av dessa är debitering det praktiskt viktigaste. Vid användning av kontanttjänster eller andra tjänster (t.ex. flat rate) som inte kräver särskild debitering
utplånas som regel uppgifterna snabbt, även om de sparas någon tid t.ex. för debitering av samtrafikavgifter. Det innebär att det kan vara en slump om uppgifterna är bevarade. Inom EU pågår emellertid arbetet med ett utkast till rambeslut, vars syfte är att utvidga operatörernas skyldighet att bevara uppgifter (se avsnitt 11.8.3)."

Läs sidan 235 som går helt på tvärs mot FRA-lagen. DS 2005:6 menar att insamling av trafikdata är ett tvångsmedel medan FRA-lagen inte gör det. "Det är således förtroligheten vid befordran av meddelanden som åtnjuter särskilt
skydd, inte handlingen eller innehållet i meddelandet som sådant. På motsvarande sätt förhåller det sig med spår av datakommunikation. För spår som finns hos någon annan än en operatör gäller vanliga tvångsmedelsregler."

Jag tycker dock att DS 2005:6 föreslår en lösning som är mycket bättre än EU:s trafikdatalagring och FRA-lagen. Läs deras förslag om domstolsbeslut om frysning och röjning av begränsade mängder trafikdata på sidan 249-253 och 321. Detta borde man kanske plocka upp. Utredaren verkar försöka begränsa de staliga ingreppen och beakta ingreppen i post- och telehemligheten medan försvarsdepartementet maximerar ingreppet.

Anonym sa...

Det som också är oroande är det hemlighetsmakeri som "krävs" av operatörer att information om och att insamling sker och allt relaterat därtill skall vara hemligt"
Artikel 20.3 och 21.3

Vi ska alltså inte ens få veta att så kan ske?

Björn Felten sa...

Verkligen skrämmande!

En detalj bara, när skrev Azerbajdzjan under denna konvention? Enligt listan du länkade till så förefaller det ju som om de inte skrivit under utan tvärt om har bl.a. reservationer mot den.

/me förvirrad

Lars-Erick Forsgren sa...

Det här börjar bli för mycket för mig.

För en normal, icke helt obegåvad och engagerad människa ska det inte behövas att dessutom vara både jurist och tekniker för att hänga med i vad lagstiftarna sysslar med.

Det är det principiella som är viktigt, om lagar är/blir i enlighet med integritet och rättsäkerhetens grundläggande kriterier.

Nu verkar det som att du Mark får alltmer rätt i att djävulen sitter i detaljerna.
I detaljernas labyrinter.

Men det borde inte behöva vara så, inte om lagstiftarna har en demokratisk ansats vill säga.

Konklusion. Vi för ett tvåfrontskrig.
Dels för att bekämpa aktuella galenskaper, som strider mot demokratiska principer.
Dels att skapa en ny attityd bland politiker och andra inblandade i lagstiftning. Den demokratiska attityd som en gång fanns, men som nu verkar förlorad i alltför hög grad.

Mark Klamberg sa...

Björn,
Du har rätt. Azerbdjan har tillträtt men de har inte undertecknat. Man måste granska vad deras reservation innehåller.

Sat sa...

Jag håller med Lars-Erick om att det inte är lätt när man varken är jurist eller tekniker. Men kan vi sätta oss in i alla tokiga lagar och förslag så borde även våra politiker kunna göra det. Det är politikernas jobb att sätta sig in i vad de så glatt signar på och röstar ja till. Och vi får upplysa dem om det och vad demokrati och privatliv är.
Jag har inte gett upp än!
Mark: Tack!
/Satmaran

Tomas Mattsson sa...

DS 2005:6 för ett sympatiskt resonemang (s 249-253) som syftar till att hanteringen av trafikdata icke för myndighet skall medge villkorslös tillgång till trafikdata. På sidan 251 tangerar dock DS 2005:6 djävulen i detaljen, som säger: "Det är således mycket angeläget att det, genom ett snabbt ingripande av brottsbekämpande myndigheter, kan förhindras att viktig information utplånas."

Svaret på denna angelägna och sympatiska tanke, jag får en klar känsla av att DS 2005:6 hyser en äkta känsla för den personliga integriteten, är som vi nu vet tillgång till all trafikdata. Och det svaret har sannolikt inte med något annat att göra än den tekniska realitet som gäller vid produktion av relevanta sociogram. Det är teknikerna på FRA och Siemens, det är väl Siemens som levererar mjukvaran, som i praktiken har skrivit in tillgången till all trafikdata i FRA-lagen. Och denna tekniska förutsättning gäller, som vi nu också vet, i hela västvärlden.

Så frågan kvarstår: Kan man man skydda demokratin genom att kränka densamma? Jag får en bestämd känsla av att den frågan följer DS 2005:6 hela vägen i undertexten - som ett rop från avgrunden som ekar genom hela Vintergatan.

Mark Klamberg sa...

Tomas,
Hur vet du att Siemens leverarar programvaran? Har du en källa på det? Det vore intressant att få tag på.

När jag lyssnade på Peter Bratt hos Fores så sa han att Echelon är programvara och inte själva avlyssningssystemet. Låt oss anta att Peter Bratt har rätt, innebär det att det finns en koppling mellan programmet utvecklat av Siemens och Echelon?

Tomas Mattsson sa...

Mark,

Min källa i detta fall är mitt minne - jag har för mig att jag läst/hört det någonstans men kan inte säga var, och jag säger "det är väl Siemens". Ja, det vore intressant om det kunde bekräftas, men jag kan tyvärr inte bekräfta det.

Det var kanske slarvigt av mig det här.

Tomas Mattsson sa...
Den här kommentaren har tagits bort av skribenten.
Tomas Mattsson sa...

Mark,

Nu har jag hittat källan i mitt minne -- Siemens har utvecklat ett övervakningssystem för bland annat "mönsterigenkänning" som sålts till 60 länder -- frågan kan ställas om även FRA köpt denna mjukvara.

Och här är källans källa i New ScientistTech.

Men, som sagt, det var dumt att referera till Siemens från början på det sätt som jag gjorde.

Mark Klamberg sa...

Tomas,
Stort tack! Jag tycker artikeln är enormt intressant. Ska skriva om den.