·

Remiss av betänkandet Hemlig dataavläsning – utvärdering och permanent lagstiftning SOU 2023:78

Föreningen för digitala fri- och rättigheter har beretts tillfälle att yttra sig över SOU 2023:78.

Vi avråder från att göra lagen permanent, och vill tillägga följande synpunkter:

Förslaget innebär att göra omfattande utökningar av statens maktbefogenheter permanenta. Sådana initiativ måste hanteras med stor omsorg och övervägas noggrant med hänsyn till grundlagens bestämmelser och förpliktelser till mänskliga rättigheter. En sådan bedömning måste utgå från behovet av proportionalitet och väga individens rättigheter mot samhällets intresse av säkerhet. I kontexten övervakning så har det under de senaste åren både på nationell nivå och inom unionsrätten skett många förändringar på området övervakning och tvångsmedel.  Samtliga av dessa förslag samverkar och adderar till varandra, vilket innebär att nettopåverkan på individuella fri- och rättigheter blir svåröverskådliga. Utredningen har identifierat behovet av en samlad översyn över området för tvångsmedel. Med anledning av att det idag saknas en sådan samlad bedömning konstaterar vi att en samlad bedömning av den inskränkning som förslaget utgör tillsammans med övriga lagar saknar, och proportionalitets- och legalitetsbedömningen av förslaget kan därför inte genomföras på ett meningsfullt sätt. Vi vill därför med utgångspunkt i den nuvarande komplexiteten på området och kravet på proportionalitet avråda från att göra lagen permanent utifrån försiktighetsprincipen. 

Även om lagförslaget inkluderar vissa rättssäkerhetsgarantier, kan dessa anses otillräckliga för att effektivt skydda mot missbruk. Det är svårt att garantera att endast ”nödvändig” information samlas in och att ingen irrelevant eller känslig information missbrukas eller hanteras felaktigt. Vi saknar även en tydlig process för hur rättsäkerhetsgarantierna i praktiken ska förverkligas. Det finns också en brist på transparens kring hur den hemliga dataavläsningen praktiseras, vilket gör det svårt för allmänheten att förstå och granska processen. Vidare saknar vi i utredningen uppställda garantier för vad som händer när en individs rättigheter kränks. Det saknas i utredningen tillfredsställande procedurer och föreslagen praxis för viten, rätt till skadestånd, och andra reparativa åtgärder för de som felaktigt drabbas av tvångsmedel. 

Det har framkommit en tydlig efterfrågan på ett mer systematiskt tillvägagångssätt från lagstiftarens sida när det gäller att bedöma proportionaliteten för varje förslag. Det är avgörande att varje åtgärd är rättfärdigad och inte leder till överdrivna eller obalanserade ingrepp i individens fri- och rättigheter. Vi ställer oss därför endast positiva till utredningens konstaterande att det behövs en mer enhetlig och välgrundad lagstiftning som bättre balanserar samhällets säkerhetsbehov mot skyddet för individens fri- och rättigheter. 

I tidigare remissvar till SOU 2023:22 har vi uttryckt vår åsikt om anpassningsskyldigheten för totalsträckskrypterade tjänster. Vi noterar nu att utredningen i likhet med våra tidigare kommentarer drar en slutsats som vi anser vara felaktig. Utredningen argumenterar för att tjänster bör anpassas så att hemliga tvångsmedel alltid blir möjliga, vilket vi starkt motsätter oss. 

Kryptering fyller en mycket viktig funktion för att skydda kommunikation i förhållande till externa aktörer, men de tekniska lösningarna får inte utformas på ett sådant sätt att de omöjliggör användningen av hemliga tvångsmedel. (SOU 2023:78, ss. 101-102)

Vi håller fast vid den strikta ståndpunkten att system och tjänster aldrig medvetet skall utrustas med bakdörrar, oavsett intentionerna bakom detta. Utifrån ett globalt perspektiv på massövervakning och dataskydd är det inte möjligt att föra den typen av resonemang, särskilt med tanke på världens säkerhetsläge och hotet mot mänskliga fri- och rättigheter. En bakdörr som kan användas av svensk polis för att bekämpa brottslighet kan lika gärna exploateras av makthavare i andra länder för att undertrycka demokratiska rörelser. Eftersom kommunikationssystem och tjänster idag är globala och sällan begränsas av nationella jurisdiktioner, är risken för missbruk av sådana bakdörrar betydande.

Personlig integritet, dataskydd och rätten till säker kommunikation på ett öppet Internet är samhällsbärande fundament, ovärderliga för demokratin.

·

Remiss av SOU 2023:61 – Delbetänkande: En säker och tillgänglig statlig e-legitimation (Fi2023/02704)

Föreningen för Digitala Fri- och Rättigheter yttrar sig här över SOU 2023:61.

Ansiktsbilder och fingeravtryck i bäraren innebär en oacceptabel integritetsrisk

Föreningen för digitala fri- och rättigheter tycker det är fel att ansiktsbild och fingeravtryck enligt förslaget ska sparas i bäraren.

För det första, utredningen konstaterar helt riktigt att om ansiktsbild och fingeravtryck ska sparas i bäraren innebär det en integritetsrisk. Däremot hävdar utredningen att det skulle vara acceptabelt med följande motivering (sid 230 i utredningen):

”Förslagen innebär dock inte att det ska vara obligatoriskt att ansöka om en statlig e-legitimation, varför skyldigheten att lämna ifrån sig integritetskänsliga uppgifter såsom ansiktsbilder eller fingeravtryck inte kan sägas stå i strid med den enskildes grundläggande fri- och rättigheter.”

Det resonemanget håller inte. Att ha någon form av e-legitimation är idag de facto i det närmaste obligatoriskt; det är mycket svårt att klara sig utan e-legitimation. Samtidigt är de dominerande lösningarna (BankID och Freja) djupt problematiska ur integritetssynpunkt. Om nu den kommande statliga e-legitimationen också är integritetskränkande, kommer det inte finnas någon utväg alls för den medborgare som vill bevara sin integritet.

Argumentet att integritetskränkning skulle vara acceptabel för att det inte ska vara obligatoriskt att ansöka om en statlig e-legitimation, är alltså ett mycket dåligt argument.

Dessutom har Myndigheten för Digital Förvaltning [Digg] i sin rapport ”En säker och tillgänglig statlig e-legitimation” tydligt förklarat varför det är orimligt att ha med biometri i bäraren. Dels kommer den biometriska jämförelsen ibland att misslyckas vilket då gör att e-legitimationen inte kan användas. Dels finns rent tekniska hinder för biometriverifiering på distans, se avsnittet ”Lösningen innefattar inte biometriska funktioner” på sidan 3 i Bilaga 3 i Diggs rapport. Den här utredningen gör ingen annan bedömning än Digg om detta, så anledningen till att biometri ändå föreslås ingå i bäraren verkar vara att utredningen har en förhoppning om att en eventuell framtida teknisk utveckling skulle göra det möjligt att använda den biometriska informationen någon gång i framtiden. Vi anser det orimligt att kränka människors integritet när det inte ens går att använda informationen idag, utan endast i ett osäkert framtidsscenario.

Sammanfattningsvis: Föreningen för digitala fri- och rättigheter tycker att grundläggande fri- och rättigheter är väldigt viktiga. Därför borde ansiktsbild och fingeravtryck inte sparas i bäraren.

Bra att den statliga e-legitimationen föreslås bygga på öppna standarder

Föreningen för digitala fri- och rättigheter ser det som positivt att utredningen föreslår att den statliga e-legitimationen ska baseras på öppna standarder.

Bra att e-legitimationen föreslås vara på ett kort och inte i en smarttelefon

Ur ett rättighetsperspektiv ser Föreningen för digitala fri- och rättigheter det som positivt att e-legitimationen tillhandahålls som ett kort, eftersom det finns personer som inte kan eller vill använda en smarttelefon.

Bra att den statliga e-legitimationen föreslås ge möjlighet för id-växling

Att den statliga e-legitimationen föreslås kunna användas för id-växling (sid 93) anser Föreningen för digitala fri- och rättigheter är bra eftersom det underlättar mycket för alternativa lösningar.

Slutligen vill vi än en gång understryka vikten av att grundläggande fri- och rättigheter skyddas. Därför borde ansiktsbild och fingeravtryck inte sparas i bäraren, som förklarats ovan. Det är viktigt.

Tack till alla ideella krafter medlemmar i eleg-projektet och DFRI som skrev remissvaret!

Läs mer om DFRI-projektet Fri- och öppen e-legitimation: https://www.dfri.se/projekt/e-legitimation/

Välkommen att bli medlem i :DFRI: https://www.dfri.se/bli-medlem/

Donera till :DFRI: https://www.dfri.se/donera/

·

Remiss av SOU 2023:2 Delbetänkande En inre marknad för digitala tjänster – ansvarsfördelning mellan myndigheter – Digital Services Act (DSA)

Föreningen för Digitala Fri- och Rättigheter har beretts tillfälle att yttra sig över SOU 2023:02.

DFRI har inte något att invända att Post- och Telestyrelsen utses till samordnande och koordinerande myndighet. Det finns som utredningen lyfter idag inte någon svensk myndighet som har ansvar för alla de sakområden som DSA aktualiserar. Mot bakgrund av behovet av ett stärkt konsumentskydd är det även lämpligt att Konsumentverket utses till behörig myndighet. I den uppräkning av exempel som nämns i skäl 109 i DSA angående vilka myndigheter som kan utses som behöriga framgår att flera myndigheter kan utses.

Med anledning av att rättsakten omfattar flera områden, och det finns en uttalad möjlighet att utse flera behöriga myndigheter vill dock DFRI belysa att rättsakten i sig, vilken har till syfte att reglera plattformars användning av personlig data, även för med sig djupgående implikationer för enskilda vid användningen av digitala verktyg, att övriga krav i rättsakten kan komma innebära att fler automatiserade personuppgiftsbehandlingar i syfte att uppnå efterlevnad, samköring av separata kategorier av uppgifter, och en ökad möjlighet till profilering och övervakning av enskilda registrerade. Genom kraven på insyn och öppenhet, däribland kravet på utomeuropeiska aktörer att utse en enskild kontaktperson, kan detta innebära att europeiska myndigheter ges ökade möjligheter till uppgiftsinsamling om enskilda. Genom utökade möjligheter att inkomma med förelägganden mot innehåll som anses olagligt uppstår också fler personuppgiftsbehandlingar som omfattar analys av integritetskänsliga uppgifter och profilering av enskilda som publicerar material.

Det är viktigt att notera att dessa åtgärder om de implementeras felaktigt eller används otillbörligt innebär en stor risk för den personliga integriteten och har stor potential att skada även andra grundläggande fri- och rättigheter såsom yttrandefriheten. Även med beaktande av kraven på öppenhet och transparens så finns det i rättsakten heller inga tydliga direktiv hur åtgärderna ska kontrolleras och efterlevas.

I och med kraven på skyndsamhet att radera innehåll som anses olagligt uppstår även en risk att operatörerna anlägger en strategi att summariskt radera tillåtna yttranden och publiceringar utan att faktiskt undersöka dem mer ingående. Detta riskerar skada svensk yttrande- och tryckfrihet eftersom publiceringar som anses misshagliga men inte nödvändigtvis är olagliga typiskt sett är sådana uppgifter som renderar många anmälningar och därför är i störst behov av skydd. Sådana yttranden kan även vara centrala för att väcka debatt om känsliga ämnen. Yttrande-, tryck- och informationsfriheten kommer i stor del till sitt förverkligande på onlineplattformar och i digitala kanaler, och det är därför mycket viktigt att dessa värnas i denna kontext. Hanteringen av förelägganden öppnar även för en missbrukspotential där det inte inte på ett tillfredställande sätt hur föreläggandeprocessen går till, hur öppen och transparent processen är mot enskilda vars publiceringar raderas, eller vilka möjligheter det finns att lagpröva en tolkning av vad som är en olaglig publicering.

Med beaktande av dessa risker och med hänsyn till rätten till integritet och privatliv, rätten till yttrandefrihet, och för att förebygga att rättsakten används på ett otillbörligt sätt för att ytterligare inskränka dessa rättigheter så föreslår DFRI att utredningen och lagstiftaren sätter de grundläggande fri- och rättigheterna i första rummet och utser Integritetsskyddsmyndigheten och Myndigheten för press, radio och tv som behöriga myndigheter, med ansvar för att tillse och övervaka att de grundläggande fri- och rättigheterna respekteras både i implementering och det fortsatta nationella arbetet med rättsakten. Genom att inte enbart luta sig på dessa myndigheters kunskap, utan också ge dem ett självständigt uppdrag att utöva tillsyn och yttra sig i rättsaktens införlivande och efterlevnad skapas bättre förutsättningar att hantera de risker som rättsakten innebär. Genom denna tilldelning skapas också bättre förutsättningar för myndigheterna att bedriva arbete som tillsynsmyndigheter för att t.ex. kontrollera dataskyddsförordningens efterlevnad.

Mattias Axell
Ordförande
Föreningen för Digitala Fri- och Rättigheter
https://www.dfri.se/

Länk till Regeringskansliets webbsida för denna SOU: https://www.regeringen.se/remisser/2023/03/remiss-av-sou-20232-en-inre-marknad-for-digitala-tjanster–ansvarsfordelning-mellan-myndigheter/

·

Lagrådsremiss om hemlig dataavläsning

Regeringen har i oktober lämnat en lagrådsremiss om hemlig dataavläsning. DFRI:s kritiska remissvar från förra året nämns flera gånger – men regeringen väljer att ändå gå vidare med ett lagförslag. Det föreslås träda i kraft den 1 mars 2020.


Misstänkta brottslingar använder allt oftare kryptering, som gör det svårt att spåra dem via de metoder som brottsbekämpande myndigheter använder idag, som exempelvis hemlig avlyssning. Därför vill regeringen få till en lag som gör det möjligt att placera spionprogram i exempelvis misstänktas datorer och mobiltelefoner. Systemskydd ska kunna brytas eller kringgås och tekniska sårbarheter ska få utnyttjas.


När förslaget kom lämnade DFRI ett mycket kritiskt remissvar. DFRI ser förslaget om hemligt dataavläsning som ett synnerligen omfattande intrång i rätten till privatliv och skyddet av den personliga integriteten. Dessutom kan verktyg som används för hemlig dataavläsning också innebära stora risker för hela samhället. Genom att aktivt söka efter eller köpa sårbarheter i informationssystem och sedan bygga verktyg för att utnyttja dessa säkerhetsluckor utsätts allmänheten för stora risker. 


I lagrådsremissen avfärdar regeringen de kritiska synpunkter som inkommit från DFRI och flera andra remissinstanser. De risker som uppstår till följd av minskad informationssäkerhet kan enligt regeringen accepteras.

DFRI anser att målet med brottsbekämpning borde vara att göra tillvaron säkrare för landets invånare, inte att utsätta oskyldiga för större risker!

·

FRA-lag föreslås i Norge

Hugin och munin ser dig!

Ett förslag till en ny lag om etterretningstjenesten har varit ute på remiss i vårt grannland Norge. Lagen har vissa likheter med den så kallade FRA-lagen som infördes i Sverige efter en livlig debatt för tio år sedan. Det handlar om massövervakning av all elektronisk kommunikation som passerar den norska gränsen.

En stor del av den norska gränsen är ju mot Sverige så denna massövervakning riskerar att drabba många svenska innevånare. DFRI har tillsammans med dataskydd.net lämnat ett remissvar där vi är mycket kritiska till de inskränkningar av mänskliga rättigheter som lagen innebär.

Vårt remissvar (pdf, 6 sidor)

Lagförslaget (pdf, 395 sidor)