tisdag, februari 08, 2011

Signalspaningskommitténs rapport

Idag har signalspaningskommittén lämnat sin rapport "Uppföljning av signalspaningslagen", SOU 2011:13. Mats Eriksson vid Sveriges Radio har fastnat vid att några av de 15 punkterna från överenskommelsen den 25 september 2008 inte blivit uppfyllda.

1. Uteblivna underrättelser
Vad avser de uteblivna underrättelserna så är detta helt väntat, ingen överraskning alls. Lagbestämmelsen om underrättelseskyldighet är försedd med flera undantag.

Underrättelseskyldighet
11 a § Om det vid signalspaning enligt denna lag har använts sökbegrepp som är direkt hänförliga till en viss fysisk person, ska personen underrättas om detta, om inte annat följer av 11 b §. ...

11 b § Underrättelse enligt 11 a § får skjutas upp, om sekretess hindrar att underrättelsen lämnas. Har det på grund av sekretess inte kunnat lämnas någon underrättelse inom ett år från det att inhämtningsuppdraget avslutades, behöver någon underrättelse inte lämnas.
Läs även FRAs yttrande från den 27 februari 2009.
Den signalspaningsverksamhet som FRA bedriver är av särskilt känsligt slag vad gäller bl.a. myndighetens metoder, förmåga och inriktning. Man kan därför redan nu förutse att den föreslagna möjligheten att skjuta upp en underrättelse om sekretess hindrar att underrättelse lämnas ut och att därefter underlåta att den kommer tillämpas med ytterst få undantag. Man kan därför fråga sig om den föreslagna underrättelseskyldigheten för FRA kommer fylla någon funktion.
Visst är det anmärkningsvärt att regeringen i sitt pressmeddelande den 25 september 2008 lovat mer än vad de kunde hålla, men vad avser FRAs lagstiftning ska man ta det försiktigt med regeringens pressmeddelanden och istället hålla sig till lagtext och förarbeten.

2. Oppositionens inställning

I kommittén fanns det inga representanter från miljöpartiet och vänsterpartiet utan från oppositionen fanns endast tre socialdemokrater. Jag hade förväntat mig att dessa två skulle hålla låg profil men deras kritik är ganska allvarlig. De skriver följande på sidorna 83-84.
I en utredning där själva verksamheten som ska utredas, på mycket välgrundande skäl, är omgärdad av den största sekretess är det givetvis inte enkelt att formulera nödvändiga slutsatser och förslag på ett klokt och enkelt sätt. Detta uppdrag har heller inte underlättats av den debatt kring integritetsfrågor som föregick tillsättandet av kommittén.

Det har därför varit en komplex uppgift för oss i kommittén att slutföra utredningen med ett kvalitativt nöjaktigt innehåll. Tyvärr har förståelsen för denna komplexitet inte funnit hos regeringen. Vår uppfattning är att arbetet i kommittén inte har slutförts och hade därför gärna sett en förlängning av den tid vi har haft för arbetet, allt i syfte att säkra en så allsidig genomlysning som mjöligt och ett så kvalitativt resultat av vårt arbete som vi anser att både regering och allmänhet har rätt att kräva. Regeringen har dock valt att inte förlänga tiden och därmed kommitténs möjligheter att fullfölja det arbete vi enligt direktivet ska utföra. Sakläget är därför att vi är satta att bedöma konsekvenser för den enskildes integritet för signalspaning i kabel, en verksamhet som knappt är påbörjad och där den förmodade kommande volymen skapar helt andra villkor för arbetet att skydda integriteten än i den signalspaning som bedrivs i dag. Det säger sig självt att det inte går att bedriva ett seriöst utredningsarbete under sådana villkor.
Med andra ord, den del av oppositionen som varit med och granskat FRA anser inte att granskningen har varit seriös. Detta kan tyckas vara en petites, men kritiken är mycket allvarlig. Hela FRAs verksamhet bygger på absolut sekretess som ska balanseras av att representanter från såväl riksdagsmajoritet som opposition har insyn i och effektivt kan granska verksamheten. Om riksdagens opposition inte anser att denna granskning bedrivs på ett seriöst sätt så uppstår uppenbara förtroendeproblem.

3. FRAs trafikdatalagring omfattar även för underrättelsesyftet icke relevant kommunikation
För egen del har de frågor jag haft besvarats. Som en raspig skiva har jag påtalat avsaknaden av information om FRAs trafikdatahantering i riksdagens beslutsunderlag. Det var tack vare en läcka från en FRA-anställd till SVT Rapport som jag (och en del andra) blev uppmärksammade på detta. Avslöjandet var intressant eftersom det motsade regeringens bild av att FRAs inhämtning av data är väldigt begränsad. Signalspaningskommittén skriver följande på sidorna 66-67.
Inhämtning av elektronisk kommunikation enligt signalspaningslagen innefattar både meddelandeinnehåll och trafikdata. ... Sökbegreppen för inhämtning av trafikdata är nämligen mindre specifika än de som används vid inhämtning av trafik med meddelandeinnehåll. Detta innebär att även för underrättelsesyftet icke relevant kommunikation kan komma att inhämtas av FRA och sparas i form av trafikdata. De personer som kommunicerar i de signalbärare som FRA bedriver inhämtning mot kan därigenom få uppgifter om sin kommunikation sparad hos FRA i form av trafikdata.

Datainspektionen skrev ungefär likadant i sin granskning som presenterades den 6 december 2010.

Sökbegreppen vid inhämtning av trafikdata är mer generella än vid inhämtning av meddelanden och medför en omfattande behandling av personuppgifter hos FRA. Det innebär i sin tur att det finns en relativt hög sannolikhet för att de personer som kommunicerar i de signalbärare som FRA bedriver inhämtning mot, kommer att få uppgifter om sin kommunikation sparad hos FRA i form av trafikdata. (sid. 4)
På vanlig svenska, om du som laglydig medborgare ringer eller skickar mail som korsar Sveriges gränser så bör du räkna med att FRA registrerar vem du har ringt eller mailat. Detta legitimeras genom att FRA förmodligen inte kommer att granska dina uppgifter, även om de är lagrade hos FRA och uppgifterna kommer att raderas efter ett år. Var och en får bedöma hur stort integritetsintrång detta utgör. Min blygsamma poäng är att den förhållandevis tydliga och lättillgängliga information som signalspaningskommitténs rapport innehåller om trafikdata borde ha funnits med i beslutsunderlaget inför riksdagsbeslutet och inte presenteras tre år efteråt när frågan är avgjord.

Jag skrev följande för två år sedan, jämför gärna med signalspaningskommitténs rapport apropå att inhämtningen kan avse för "underrättelsesyftet icke relevant kommunikation".

Som tidigare nämnts överför operatörerna all trafik i de berörda kablarna, vilket kan omfatta avsändare och mottagare av meddelanden som befinner sig i Sverige. Samtidigt finns inget krav på att inhämtning enligt 1 § andra stycket signalspaningslagen ska vara kopplat till yttre hot eller utländska förhållanden. Det innebär att FRA har rätt att inhämta, bearbeta och lagra trafikdata utan att detta nödvändigtvis är kopplad till något hot mot Sverige (sid. 528 i SvJT 2009)

4. Vad är problemet med trafikdatalagring?
Signalspaningskommittén anser att trafikdatalagring är mindre allvarlig än inhämtning av innehåll i meddelanden.
Trafikdata ger upplysningar om kommunikationen utan att ge information om innehållet i meddelandet. Därigenom kan inhämtningen av signaler med trafikdata sägas vara mindre integritetskänslig än den inhämtning som sker för att ta del av meddelandeinnehåll. (sid. 67)
Jag håller inte med utan hävdar att:
Uppgifter om vem som kommunicerar med vem (trafikdata) kan användas för att analysera kommunikationstrafiken varigenom en persons sociala nätverk och ställning i en viss grupp kan kartläggas och fastställas. Vidare är det betydligt lättare att med datorstöd automatiskt hantera och lagra trafikdata jämfört med att granska innehållet i meddelanden. Ökade möjligheter till trafikbearbetning av kommunikation kan därför ur den enskildes perspektiv vara lika känsligt som om staten tar del av innehållet i enstaka meddelanden. (sid. 520-521 i SvJT 2009)
Media och bloggar
SvD I HAX I Mary Jensen I Staffan Danielsson I Emma

7 kommentarer:

Googles utvecklare är idioter sa...

Bra artikel!

Hittade en lite skojsig detalj i ett citat:

"allt i syfte att säkra en så allsidig genomlysning som mjöligt"

Verkar nästan lite freudianskt... :D

Jonas B sa...

Förväntningarna på vad dessa parlamentariker skulle kunna åstadkomma har nog varit lågt ställda hos de flesta. Redan i direktiven klargjordes att kommittén inte fick ifrågasätta FRA:s verksamhet eller spaningen i kabel. Inte heller fick man något mandat att granska myndighetens informationsutbyte med andra länder.

Så vi har alla vetat att det handlat om en form av icke-granskning. Men den rapport man nu presenterar är ännu tunnare än vad man kunnat befara. Kommittén skriver ju att man inte har kunnat studera hanteringen av kabeltrafiken eftersom den inhämtningen ännu är i sin linda. Man har med andra ord inte lyckats slutföra sitt uppdrag p.g.a. FRA:s senfärdighet och myndighetens uppenbara inkompetens att hantera kabelflöden.

Hade jag varit ordförande skulle jag ha vägrat att författa en slutrapport på sådana premisser. Från dag 1 hade jag också krävt att v och mp skulle ha varit representerade.

Mitt intryck är att kommittén även i andra hänseenden har varit i händerna på FRA och fullt ut anammat myndighetens sätt att arbeta. Långa stycken i rapporten skulle lika gärna kunna vara skrivna av FRA:s generaldirektör. Hit hör t.ex. hanteringen av trafikdata. Jag letar förgäves efter argument för att trafikuppgifter som kan hänföras till enskilda ska kunna inhämtas och lagras i utvecklingsverksamheten. Att andra icke intetgritetskränkande typer av trafikuppgifter ska kunna samlas in är föga kontroversiellt. Var finns politikernas frågor och motförslag? Men visst ja, verksamheten fick ju enligt direktiven inte ifrågasättas. Inte ens på en sådan här punkt, tydligen.

Det måste annars vara en smal sak att utestänga sådana trafikdata som utgörs av fullständiga abonnentnummer, e-postadresser eller IP-nummer. Det förefaller ju som om sådana data främst är till nytta i själva underrättelsearbetet, inte i utvecklingsverksamheten. Så varför reflekterar inte ens kommittén över detta? Är det inte uppenbart att huvudsyftet med denna datasamling är att kunna göra historiska sökningar i materialet?
Ska FRA verkligen ha den möjligheten?

Det är också intressant att se att det nu för första gången klargörs att även innehållsinhämtning sker inom ramen för utvecklingsverksamheten.

Nej, betyget blir underkänt för detta hafsverk. Och det får nog bli det vanliga mantrat: Riv upp, gör om, gör rätt! Det gäller alltså även denna rapport.

Fredrik sa...

Den bild som DI och kommittén ger av FRA:s massavlyssning är en helt annan än den som gavs till riksdagen 2007-08. Det är nu debatten borde börja och ett nytt lagpaket tas fram.

Vi kan ta två problemområden ur rapporten:

1) Avlyssning av fysisk person

Enligt lagen får spaning mot fysisk person endast ske om det är av "synnerlig vikt". 2008 var jag i kontakt med Allan Widman, där jag påpekade att denna formulering var meningslös. Han kontrade då med att framhålla att det rörde sig om en mycket sträng skrivning. Det närmaste man kommer "undantagsfall" i juridiska sammanhang.

Idag vet vi att lagtexten haft föga betydelse för praxis. Både DI och kommittén skriver att spaning mot fysisk person är normalfallet i FRA:s verksamhet. Vad blir då kommitténs slutsats? Jo, att den restriktiva formuleringen i lagen är meningslös.

Kommittén går helt på FRA:s linje, vilket är ett genomgående drag i rapporten. FRA måste i stor utsträckning avlyssna individer. Punkt.

2) Masslagring av trafikdata

Även här konstaterar kommittén att masslagring av enskildas trafikuppgifter är nödvändig. Dock utan att förklara varför. Och återigen hänvisar man till FRA och deras uppfattning om hur spaningen måste bedrivas. Enligt någon slags oskriven naturlag. Och naturlag går alltid före svensk rätt.

Den parlamentariska processen tycks bara vara en chimär. Här står det ju svart på vitt att det är FRA som dikterar hur lagstiftningen bör se ut. Och politikerna sitter kvar i knät och håller med.

Mark Klamberg sa...

Fredrik,
Allan Widman var inte den enda som kom med påståendet att FRA endast i undantagsfall spanar på individer.

FRAs generaldirektör Ingvar Åkesson skrev på SvD Brännpunkt den 29 juni 2008:

"Signalspaningen riktas inte mot individer, misstänkta för brott eller ej.

Den riktas mot abstrakta företeelser som till exempel it-attacker och mot stater, organisationer och i sällsynta fall faktiskt mot personer under förutsättning att de är intressanta från underrättelsesynpunkt"

Jämför med signalspaningskommittén (sid. 17):

"Sökbegreppen ska enligt 3 § signalspaningslagen utformas och användas med respekt för enskildas personliga integritet och får endast vara direkt hänförliga till en viss fysisk person om det är av
synnerlig vikt för verksamheten. FRA har beskrivit för kommittén att de sökbegrepp som används vid signalspaning i stor omfattning är direkt hänförliga till en viss fysisk person. Detta är den gängse
metoden för signalspaning som har sin grund i att den kommunikation som FRA söker efter sker mellan individer och det är därför nödvändigt att använda sökbegrepp hänförliga till dessa personer.
Den enligt lag uttryckta mycket restriktiva möjligheten att använda sökbegrepp hänförliga till viss fysisk person motsvaras enligt kommitténs bedömning inte av de praktiska förutsättningarna för att bedriva signalspaning."

Jag tycker hela resonemanget om att FRA spanar på abstrakta företeelser, inte individer, är märkligt. Den kommunikation som FRA är intresserad av sker ju mellan människor. Om FRA inte spanar på enskilda individer (eller organisationer) så måste man ju övervaka alla individer, men FRA har ju tydligt förklarat att man inte övervakar alla individer. Någonstans måste de som konstruerat denna lag bestämma sig hur de ska beskriva FRAs verksamhet.

ConnyT sa...

"...men vad avser FRAs lagstiftning ska man ta det försiktigt med regeringens pressmeddelanden och istället hålla sig till lagtext och förarbeten"

Som en röd tråd i denna soppa går regeringens uppenbara vilja att försköna och förvränga vad lagen egentligen innebär. Även om det kanske inte är ett juridiskt problem är det ett gigantiskt demokratiskt problem.

Fredrik sa...

Tack för kompletteringen, Mark. Jag hittade också ett liknande citat på FRA:s hemsida:

"Polisen avlyssnar personer i Sverige medan FRA:s spaning riktar sig mot utländska förhållanden. För FRA:s del kan spaningen inriktas mot objekt (t.ex. en vapenagent i Mellanöstern) eller företeelser (t.ex. en kemisk substans som kan användas vid framställning av kemiska vapen)."

Och en vapenagent är alltså ingen person? Här är det också helt fel att sätta likhetstecken mellan "utländska förhållanden" och "utlandet". Som vi alla vet får FRA visst spana på personer i Sverige inom ramen för uppdragen. Hur kan en generaldirektör komma undan med så vilseledande information till politiker och allmänhet?

Även dessa rader är av intresse:

"För att nå precision i spaningen använder FRA kombinationer av ett mycket stort antal parametrar (flera hundra tusen) och det finns en stor dynamik genom att parametrar ständigt skiftas. En svensk domstol kan knappast bedöma dessa frågor i den takt som verksamheten kräver."

Detta skrevs uppenbarligen innan den nämnd, som de svage kallar domstol, hade inrättats. Det är ju onekligen intressant att se hur FRA:s generaldirektör betvivlar att en fungerande förhandsprövning är möjlig att genomföra.

Slutligen kommer här en formulering som FRA-chefen säkert filat länge på:

"FRA samlar inte uppgifter om "vanliga svenskar" utan om "mycket ovanliga utlänningar"

Men då är det förstås som objekt eller företeelser, inte som individer, väl? Eller vad säger du, Ingvar Åkesson?

Anonym sa...

Den sista obesvarade från är vilka andra länder som får ta del av FRA:s insamlade trafikdata. Denna nyckelfråga kommer aldrig att besvaras.