Än en gång är vi en hel del DFRI:are på 31c3 eller personer som är intresserade i oss.
Precis därför vore det kul att träffas, så, idag (29:e December) klockan 19:30 vid EFF’s monter i Noisy Square.
Vi ses!
Än en gång är vi en hel del DFRI:are på 31c3 eller personer som är intresserade i oss.
Precis därför vore det kul att träffas, så, idag (29:e December) klockan 19:30 vid EFF’s monter i Noisy Square.
Vi ses!
Se även Mobilkartläggning bryter mot lagen, Öppet brev från Bumbee Labs, Slaget om staden – om rätten till anonyma söndagspromenader och annat om mobilkartläggning.
Inför dagens aktion i Västerås har flera visat intresse för att diskutera
DFRI motsätter sig inte att statistik över besöksströmmar samlas in eller att skattepengar används effektivt. Men ett sådant insamlande måste ske på ett sätt som inte kränker människors grundläggande rätt till integritet. Ett minimikrav på ett sådant system är transparens, där alla som vistas i området där mätningen pågår kan ta del av den tekniska lösningen, källkod till systemet, databasinnehåll och den statistik som tas fram. Utan dessa möjligheter kan vi inte veta om systemet faktiskt lever upp till att skydda vår integritet utan vi är istället hänvisade till uppgifter från de företag som säljer systemen eller tar betalt för tjänsterna.
Vi tror inte att IOPS syfte är spionera eller att Bumbee labs är intresserade av enskilda medborgare men intention och potential är två olika saker. Alla typer av storskalig datainsamling har potential att användas för kartläggning av individer om inte allt data är helt avidentifierat. Att avidentifiera data är dock ingen lätt uppgift och ingen av den information vi hittills fått från Bumbee labs tyder på att de har lyckats med det. Flera uttalanden har tvärtom fått oss att tvivla på att de förstår det grundläggande problemet.
Ta exempelvis idén med ett register för de som inte vill ha sitt data lagrat. Det mest uppenbara problemet är den logiska kullerbyttan i att personer som vill vara anonyma och inte finnas med i IOPS-databaser måste skriva in sig i en annan databas. Alternativet att inte alls registreras i någon databas erbjuds inte.
Vi ser inte att man med det här nya registret löst ett problem utan snarare att man har skapat ytterligare ett. Det kommer att bli ännu svårare att garantera anonymitet i det här nya registret och det blir ännu en databas som kan missbrukas. Extra känsligt blir det eftersom det riskerar att bli ett register som kopplar ihop fysiska personer med MAC-adresser. Detta krävs exempelvis om man vill erbjuda människor att kunna lämna registret.
Att det här andra registret hanteras av en amerikansk organisation gör inte saken bättre. Vilka dataskyddslagar gäller för svenska medborgares data där? Hur kontrollerar vi innehållet? Den föreslagna lösningen skapar fler frågor än svar.
En annan mycket viktig diskussion rör vad som lagras och hur potentiellt integritetskränkande uppgifter påstås anonymiseras innan de lagras. Det stämmer inte att telefoner enbart sänder ut sin MAC-adress och inget annat. Telefoner sänder också ut nätverksnamn, så kallat SSID, på nätverk där telefonen tidigare varit ansluten. Lagrar IOPS den här informationen? Det är viktigt ur ett integritetsperspektiv då de flesta telefoner har en unik samling nätverksnamn som de kontinuerligt sänder ut.
Telefoner sänder naturligtvis också ut information om sig själv till mobiltelefon-nätet. Många telefoner skickar också data över Bluetooth. Bumbee Labs har fortfarande inte besvarat våra frågor från september om huruvida man förutom WiFi behandlar även annan data från mobiltelefoner.
Diskussionen om huruvida en MAC-adress är anonym är central för hela frågan. Eftersom MAC-adresser. är kopplade till en given telefon och därigenom till fysisk person så är insamling och lagring av var och när sådana plockas upp i etern ytterst känsligt.
Den kryptografiska hashfunktion som nämns i det öppna brevet gör det kanske svårare att utifrån databasägarens sida bestämma vilken MAC-adress som lagras i databasen. Men givet en MAC-adress kan man ändå slå upp alla rörelser gjorda av den som bär telefonen med den MAC-adressen. En hashfunktion ger definitivt ingen garanti för anonymitet. Inget i systemet förhindrar möjligheten att lämna ut rörelsemönster för enskilda individer, givet deras MAC-adress.
Det större problemet är att insamling och lagring av integritetskänsligt data kan se relativt harmlöst ut när det betraktas isolerat från annan lagring av liknande data. Data från ett system räcker kanske inte för att avslöja en persons identitet men givet annat data som länkar vidare där det första sätter stopp är det ofta svårt att dra den slutsatsen.
Om IOPS databas var den enda som fanns i hela världen skulle integritetsproblemen med just denna databas kanske kunna vägas mot nyttan. Det som oroar i verkligheten är hur IOPS databas fungerar som en länk för den som också har tillgång till annan information där en koppling mellan MAC-adress och person finns. För den som känner till sambandet mellan fysisk person och MAC-adress och som har tillgång till IOPS databas är möjligheterna att i detalj kartlägga individers rörelser betydligt större än summan av delarna.
Se även Mobilkartläggning bryter mot lagen, Slaget om staden – andra delen, Slaget om staden – om rätten till anonyma söndagspromenader och annat om mobilkartläggning.
DFRI har fått ett öppet svar från företaget Bumbee Labs på blogginlägget Slaget om staden – om rätten till anonyma söndagspromenader som publicerades igår.
Vi väljer att publicera svaret i sin helhet enligt önskemål från Bumbee Labs och har valt att inte modifiera utöver att ta bort vissa kontaktuppgifter och anpassa formatteringen för publicering på webben. DFRIs styrelse har ännu inte tagit ställning till svaret. DFRI tackar Staffan Liljestrand på Bumbee Labs för att ha tagit sig tiden att skriva ett såpass utförligt svar.
Det öppna brevet följer nedan
Hej!
Jag skriver här ett öppet svar och jag hoppas ni kan publicera det i sin
helhet på er hemsida.
Bumbee Labs är helt öppna med hur IOPS fungerar och har svarat på alla
inkommande mejl som inkommit under senaste tiden. Jag svarar personligen på
alla mejl för att jag tycker det är viktigt att visa oroliga medborgare
respekt. Jag har kollat igenom min inkorg och skickade meddelanden och jag
har inte fått något mejl från er gällande era frågor. Vi svarar gärna på
frågor och jag tycker det är olyckligt att ni skriver i er blogg att vi inte
svarar på frågor. Vi har varit med i många tidningar, radiokanaler och TV
som bevisar motsatsen och där vi är helt öppna med hur det fungerar. Är det
så att vi missat ett anonymt mejl från någon av era medlemmar så ber vi om
ursäkt för det. Mängden mejl som kommit in från privatpersoner är stor och
kanske har vi inte hunnit svara på alla ännu. Vi är ett litet företag, men
ambitionen är att vi ska svara på alla frågor som kommer in.
Vi tycker det är synd att vissa reportage inte alls belyser det positiva
syftet med tjänsten IOPS. Tidigare artiklar i exempelvis Borås Tidning gav
en helt annan vinkel. Syftet är för städer att förstå hur stora anonyma
besöksströmmar rör sig i en stadsmiljö. Det har man nämligen inte kunnat
göra tidigare och förståelsen av detta är enormt kostnadsbesparande för
städer när de bygger om gator och torg, förbättrar cykelvägar, utökar
kvällsbelysning m.m. Alla dessa investeringar görs ju med skattepengar och
många med oss tycker det är viktigt att man gör en korrekt analys innan man
tar kostsamma investeringar med skattemedel. Ingenstans är syftet att
”spionera på enskilda medborgare”. Det är varken intressant eller tekniskt
möjligt för oss. Syftet är att förstå hur stora flöden rör sig genom
städerna.
Städerna ser gärna att deras medborgare är med och hjälper dem att förbättra
staden för just sina medborgare. För de medborgare som absolut inte vill
delta, så kommer vi vår vår hemsida inom kort lansera en tjänst där man kan
avböja att delta i mätningarna. Man kan säga att detta är en tjänst som kan
liknas vid NIX-telefon, där man kan registrera sitt telefonnummer och
därigenom slippa bli uppringd av telefonförsäljare. Det är en oberoende
amerikansk organisation som lanserar denna tjänsten och företag, som
exempelvis Bumbee Labs, kan registrera sig där och lovar (och kontrolleras)
därmed att radera medborgare som inte vill ha sina MAC adresser
registrerade. Vi tror att det ger mera trovärdighet, vilket är viktigt för
oss, om en oberoende leverantör utför tjänsten. Ungefär som NIX-telefon.
I korthet fungerar IOPS tekniken så här:
Ni skriver i er blogg att ”Även påståendet ’det är tekniskt omöjligt för
oss att koppla ihop den anonyma radiosignalen till en fysisk person’ är
falskt, då det ofta går relativt enkelt att identifiera telefonens ägare
genom att avlyssna telefonens WiFi-kommunikation. Mer om detta i nästa
avsnitt.” – Jag undrar lite hur ni tänker att detta ska gå till när vi inte
erbjuder Wi-Fi i Västerås och på inget sätt kan ”avlyssna telefonens
Wi-Fi-kommunikation”? Dessutom är det ju så att all känslig Wi-Fi trafik där
man exempelvis surfar in på sin bank, lämnar mobilnummer, personnummer eller
liknande sker krypterat via HTTPS, vilket vi då inte heller kan lyssna av.
Jag tycker det är lite sorgligt att bilden av IOPS är så onyanserad. Det
finns ingen ond baktanke. Syftet är att för första gången erbjuda städer
empirisk mätdata så att de kan ta bättre beslut kring investeringar som
finansieras med skattemedel.
Det är viktig för oss att medborgarna känner sig trygga med vår tjänst IOPS.
Så, fråga gärna mera om ni önskar.
Vänliga hälsningar / Best regards
Staffan Liljestrand, VD / CEO
Bumbee Labs AB
Kontaktuppgifter borttagna
Se även Mobilkartläggning bryter mot lagen, Slaget om staden – andra delen, Öppet brev från Bumbee Labs och annat om mobilkartläggning.
Edit: Efter publikationen av detta inlägg fick vi ett mail från företaget bakom IOPS. Det finns att läsa här.