[:en]Data retention and the data retention directive didn’t become a huge success in the EU — 10 out of 28 member states have already nullified the effects of the directive in national legislation or didn’t implement it in the first place. See the full list and read more here![:sv]Datalagring och datalagringsdirektivet blev ingen succé i Europa. 10 av 28 EU-länder har redan avskaffat den eller aldrig implementerat den. DFRI har hela listan, läs mer här.[:]
[:en]Mobile phone tracking horrors, part two[:sv]Slaget om staden — andra delen[:]
[:sv]
Se även Mobilkartläggning bryter mot lagen, Öppet brev från Bumbee Labs, Slaget om staden – om rätten till anonyma söndagspromenader och annat om mobilkartläggning.
Inför dagens aktion i Västerås har flera visat intresse för att diskutera
DFRI motsätter sig inte att statistik över besöksströmmar samlas in eller att skattepengar används effektivt. Men ett sådant insamlande måste ske på ett sätt som inte kränker människors grundläggande rätt till integritet. Ett minimikrav på ett sådant system är transparens, där alla som vistas i området där mätningen pågår kan ta del av den tekniska lösningen, källkod till systemet, databasinnehåll och den statistik som tas fram. Utan dessa möjligheter kan vi inte veta om systemet faktiskt lever upp till att skydda vår integritet utan vi är istället hänvisade till uppgifter från de företag som säljer systemen eller tar betalt för tjänsterna.
Vi tror inte att IOPS syfte är spionera eller att Bumbee labs är intresserade av enskilda medborgare men intention och potential är två olika saker. Alla typer av storskalig datainsamling har potential att användas för kartläggning av individer om inte allt data är helt avidentifierat. Att avidentifiera data är dock ingen lätt uppgift och ingen av den information vi hittills fått från Bumbee labs tyder på att de har lyckats med det. Flera uttalanden har tvärtom fått oss att tvivla på att de förstår det grundläggande problemet.
Ytterligare ett register
Ta exempelvis idén med ett register för de som inte vill ha sitt data lagrat. Det mest uppenbara problemet är den logiska kullerbyttan i att personer som vill vara anonyma och inte finnas med i IOPS-databaser måste skriva in sig i en annan databas. Alternativet att inte alls registreras i någon databas erbjuds inte.
Vi ser inte att man med det här nya registret löst ett problem utan snarare att man har skapat ytterligare ett. Det kommer att bli ännu svårare att garantera anonymitet i det här nya registret och det blir ännu en databas som kan missbrukas. Extra känsligt blir det eftersom det riskerar att bli ett register som kopplar ihop fysiska personer med MAC-adresser. Detta krävs exempelvis om man vill erbjuda människor att kunna lämna registret.
Att det här andra registret hanteras av en amerikansk organisation gör inte saken bättre. Vilka dataskyddslagar gäller för svenska medborgares data där? Hur kontrollerar vi innehållet? Den föreslagna lösningen skapar fler frågor än svar.
Vad som lagras
En annan mycket viktig diskussion rör vad som lagras och hur potentiellt integritetskränkande uppgifter påstås anonymiseras innan de lagras. Det stämmer inte att telefoner enbart sänder ut sin MAC-adress och inget annat. Telefoner sänder också ut nätverksnamn, så kallat SSID, på nätverk där telefonen tidigare varit ansluten. Lagrar IOPS den här informationen? Det är viktigt ur ett integritetsperspektiv då de flesta telefoner har en unik samling nätverksnamn som de kontinuerligt sänder ut.
Telefoner sänder naturligtvis också ut information om sig själv till mobiltelefon-nätet. Många telefoner skickar också data över Bluetooth. Bumbee Labs har fortfarande inte besvarat våra frågor från september om huruvida man förutom WiFi behandlar även annan data från mobiltelefoner.
MAC-adresser och anonymitet
Diskussionen om huruvida en MAC-adress är anonym är central för hela frågan. Eftersom MAC-adresser. är kopplade till en given telefon och därigenom till fysisk person så är insamling och lagring av var och när sådana plockas upp i etern ytterst känsligt.
Den kryptografiska hashfunktion som nämns i det öppna brevet gör det kanske svårare att utifrån databasägarens sida bestämma vilken MAC-adress som lagras i databasen. Men givet en MAC-adress kan man ändå slå upp alla rörelser gjorda av den som bär telefonen med den MAC-adressen. En hashfunktion ger definitivt ingen garanti för anonymitet. Inget i systemet förhindrar möjligheten att lämna ut rörelsemönster för enskilda individer, givet deras MAC-adress.
Det större problemet
Det större problemet är att insamling och lagring av integritetskänsligt data kan se relativt harmlöst ut när det betraktas isolerat från annan lagring av liknande data. Data från ett system räcker kanske inte för att avslöja en persons identitet men givet annat data som länkar vidare där det första sätter stopp är det ofta svårt att dra den slutsatsen.
Om IOPS databas var den enda som fanns i hela världen skulle integritetsproblemen med just denna databas kanske kunna vägas mot nyttan. Det som oroar i verkligheten är hur IOPS databas fungerar som en länk för den som också har tillgång till annan information där en koppling mellan MAC-adress och person finns. För den som känner till sambandet mellan fysisk person och MAC-adress och som har tillgång till IOPS databas är möjligheterna att i detalj kartlägga individers rörelser betydligt större än summan av delarna.[:]
[:sv]Slaget om staden – om rätten till anonyma söndagspromenader[:en]Mobile phone tracking horrors [:]
[:sv]
Se även Mobilkartläggning bryter mot lagen, Slaget om staden – andra delen, Öppet brev från Bumbee Labs och annat om mobilkartläggning.
Edit: Efter publikationen av detta inlägg fick vi ett mail från företaget bakom IOPS. Det finns att läsa här.[:]
Privacy not PrismPrivatliv, inte PRISM
Redan förra sommaren gick ett antal organisationer samman och stämde
den brittiska staten inför Europadomstolen (ECHR). De menar att den
övervakning som sker genom PRISM [xxx] och TEMPORA [xxx] bryter mot
[xxx] https://sv.wikipedia.org/wiki/Prism_%28%C3%B6vervakningsprogram%29
[xxx] https://en.wikipedia.org/wiki/Tempora
Europakonventionens artikel 8 [xxx]. De ifrågasätter om
[xxx] https://sv.wikipedia.org/wiki/Europakonventionen
Storbritanniens agerande är proportionerligt och huruvida lagen som är
tänkt att skydda allmänhetens rätt till privatliv verkligen
fungerar. Rätten ombeds tvinga Storbritannien att ändra sin
internetövervakning och ändra lagen. [xxx]
[xxx] https://www.privacynotprism.org.uk/news/2013/10/03/legal-challenge-to-uk-internet-surveillance/
I Januari i år svarade Europadomstolen genom att be den brittiska
regeringen förklara hur dess underrättelseverksamhet och tillsynen av
denna uppfyller kraven på rätt till privatliv enligt
Europakonventionens artikel 8. Britterna har till den andra maj på sig
att svara.
Inför den första omgången i denna kampanj lyckades man samla in
motsvarande 300 000 kronor på två dygn. Nu försöker man igen inför en
andra runda. Se [xxx] för information om hur du kan ge ditt stöd.
[xxx] https://www.privacynotprism.org.uk/
Redan förra sommaren gick ett antal organisationer samman och stämde den brittiska staten inför Europadomstolen (ECHR). De menar att den övervakning som sker genom PRISM och TEMPORA bryter mot Europakonventionens artikel 8. De ifrågasätter om Storbritanniens agerande är proportionerligt och huruvida lagen som är tänkt att skydda allmänhetens rätt till privatliv verkligen fungerar. Rätten ombeds tvinga Storbritannien att ändra sin internetövervakning och ändra lagen.
I Januari i år svarade Europadomstolen genom att be den brittiska regeringen förklara hur dess underrättelseverksamhet och tillsynen av denna uppfyller kraven på rätt till privatliv enligt Europakonventionens artikel 8. Britterna har till den andra maj på sig att svara.
Inför den första omgången i denna kampanj lyckades man samla in motsvarande 300 000 kronor på två dygn. Nu försöker man igen inför en andra runda. Besök kampanjsajten för information om hur du kan ge ditt stöd.