Sweetmorn, the 71 day of Chaos in the YOLD 3191
Datalagring, igen!
Some of my usual readers will have to excuse me. This post will be in Swedish. It's about proposed Swedish legislation for forcing someone who offers a message system to the public to cooperate with the law.
— — —
Ändring
- Första version: 2025-03-10 07:55
- Ändrad: 2025-03-12 18:01 +0100: Listan i "En bugg?" hade automatiskt numrerats av blogverktyget och HTML så poängen försvann. Nu citerad mer korrekt där det framgår att "1." är borttagen.
Inledning
Nytt lagförslag: Även chatsystem ska vara "anpassningsskyldiga" för hemlig avlyssning och hemlig övervakning!
Det är väl ingen överraskning bland mina läsare vad jag tycker om det. Går förslaget igenom gör vi det mer komplicerat för vanliga användare att meddela sig med varandra relativt säkert. Tekniskt bevandrade och kriminella kommer troligen kunna fortsätta kommunicera utan avlyssning.
Vi inför svagheter i systemen genom att tvinga fram anpassningar för avlyssning. Dessa svagheter kan naturligtvis utnyttjas av andra. Finns det en bakdörr kan den uttnyttjas av onda krafter också.
- Vi gör det mycket krångligare för vanliga användare men knappt någon skillnad för kriminella.
- Vi ökar risken för att obehöriga får tillgång.
Till vilken nytta?
Bakgrund
När Sverige först var på väg att införa EU:s Datalagringsdirektiv 2009 skrev jag "Datalagringsdirektivet och möjliga vägar runt det". Nu är de på gång igen, fast värre, för nu är själva innehållet i meddelanden också med i planen.
I november förra året kom ett "Utkast till lagrådsremiss Datalagring och tillgång till elektronisk information". Utkastet innehåller vad som troligen blir en proposition från regeringen på ny lagtext. Den innehåller några skrämmande detaljer som inte är så uppenbara vid en första genomläsning.
När utredningen "Datalagring och åtkomst till elektronisk information (SOU 2023:22)" dök upp våren 2023 var jag lite orolig, kollade på presskonferensen och började skumma själva lagförslagen i utredningen.
Jag var först ganska lugnad, dels för resonemangen från utredaren Sigurd Heuman om att Sveriges implementation av EU:s datalagringsdirektiv gått för långt och att det i omgångar mildrats och nu föreslogs mildras ytterligare.
En stor skillnad i lagtexten är att chatsystem, som utredningen roligt nog kallar "NOIK" för "nummeroberoende interpersonella kommunikationstjänster", också skulle falla under Lagen om elektronisk kommunikation (LEK). Det har de inte gjort förut, utom fallet mail, som har specialbehandlats. Ja, chat och chat? Det är lite vidare än så, förstås. Det gäller också tjänster som förmedlar röst- eller videosamtal.
Juristerna verkar helt svalt Big Telecom-lingot och kallar ibland sitt NOIK-påhitt för "OTT-tjänster" som i "Over the top". Jisses.
Jag såg hur som helst inget uppenbart i utredningen som faktiskt föreslog att någon skulle bli tvingad att lämna över klartext, även om just läsbarheten särskilt nämndes i brödtexten. De konstaterade att det skulle bli svårt att faktiskt genomföra. Ja, jo, med E2EE är det ju lite lurigt, om man inte gör något på klientsidan.
Jag skummade nog lite väl mycket men det kanske kan ursäktas då den är över 600 sidor och jag fokuserade på faktiskt lagtext. Naturligtvis missade jag deras intressanta uppdelning av den föreslagna lagändringen.
Analys av föreslagen lagtext
Jag tänker inte tråka ut er med att analysera all föreslagen lagtext. Jag hoppar också över förslagen till utökad lagringsskyldighet av hänsyn till nationell säkerhet. Istället hoppar vi på det riktigt intressanta.
I förslaget om ändring av LEK 19 § (s 15-16) börjar det bli intressant:
19 a §
Den som tillhandahåller en allmänt tillgänglig nummeroberoende interpersonell kommunikationstjänst ska lagra sådana uppgifter som avses i 31 § första stycket 1 som kan användas för att identifiera en abonnent och registrerad användare.
Lagringsskyldigheten som gäller för allmänt tillgängliga nummeroberoende interpersonella kommunikationstjänster omfattar uppifter som genereras eller behandlas vid tjänster som tillhandahåller samtal och meddelandehantering vid kommunikation som sker till, från eller inom Sverige.
Vid lagring enligt 19 b § av uppgifter som avses i 31 § första stycket 4 omfattar lagringsskyldigheten endast uppgifter som avser lokalisering i Sverige. Även vid misslyckad uppringning gäller skyldigheten att lagra upp- gifter som genereras eller behand- las.
19 b §
Den som bedriver verksamhet som ska anmälas enligt 2 kap. 1 § och den som tillhandahåller en allmänt tillgänglig nummeroberoende interpersonell kommunikationstjänst ska lagra de uppgifter som framgår av ett beslut enligt lagen (2025:000) om lagring av och tillgång till uppgifter om elektronisk kommunikation i syfte att skydda Sveriges säkerhet.
Beslutet får omfatta sådana uppgifter som avses i 31 § första stycket 1, 3 och 4 som är nödvändiga för att spåra och identifiera kommunikationskällan och slutmålet för kommunikationen, datum, tidpunkt och varaktighet för kommunikationen, typ av kommunikation, kommunikationsutrustning, lokalisering av kommunikationsutrustning vid kommunikationen samt lokaliseringsuppgifter som inte är trafikuppgifter.
Riktigt intressant blir det dock först i kapitel 9, 29 §. Föreslagen lydelse (s 18-19):
Den som är skyldig att lagra uppgifter enligt 19, 19 a eller 19 b § ska bedriva sin verksamhet så att beslut om hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation och inhämtning enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet kan verkställas och så att verkställandet inte röjs.
Det som kanske inte noteras direkt är att begränsningen som tidigare gällde tas bort. Tidigare gällde det här i princip bara telefoni. Driver du ett telefoninätverk i Sverige är du alltså tvungen att anpassa dina system så att abonnenter kan övervakas och avlyssnas. Så är det nog i i stort sett alla länder: "lawful interception".
Begränsningarna var listade under det där stycket men tas alltså bort i förslaget. Nu blir plötsligt alla som faller under nya LEK tvungna att också vara anpassningsskyldiga. De måste alltså hjälpa till att lämna ut uppgifter och anpassa sina system så att de kan lämna ut uppgifter.
Exakt vilka uppgifter och till vem är inte så klart uttryckt, tycker jag. Det hänvisas tillbaka 19, 19 a eller 19 b § som jag citerade nyss och som pekade på 31 §.
Det hänvisas till Lag (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet men den pratar bara om "uppgifter om meddelanden", inte själva innehållet.
Vi har förvisso också "Hemlig avlyssning av elektronisk kommunikation" från Rättegångsbalken:
[K27]18 § Hemlig avlyssning av elektronisk kommunikation innebär att meddelanden, som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller en annan adress, i hemlighet avlyssnas eller tas upp genom ett tekniskt hjälpmedel för återgivning av innehållet i meddelandet.
Där är det ju ganska tydligt att innehållet i meddelandet ska kunna lämnas ut. Anpassningsplikten gäller, som jag tolkar det, också detta.
En bugg?
Det här är ju illa nog, för all del. Men det kanske går mycket längre? Eller har någon gjort ett misstag?
Om ni inte tycker att den här potentiella buggen i den föreslagna lagtexten är intressant, scrolla ner till "Effekter" nedan istället.
En lista i 31 § som förvirrande nog för övrigt handlar om tystnadsplikt är särskilt märklig. Gamla texten:
Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst som inte är en nummeroberoende interpersonell kommunikationstjänst, får inte obehörigen föra vidare eller utnyttja det som han eller hon i samband med tillhandahållandet har fått del av eller tillgång till i form av
1. en uppgift om abonnemang,
2. innehållet i ett elektroniskt meddelande, eller
3. en annan uppgift som angår ett särskilt elektroniskt meddelande.
Föreslagen text (s 20-21):
Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst får inte obehörigen föra vidare eller utnyttja det som han eller hon i samband med tillhandahållandet har fått del av eller tillgång till i form av
2. innehållet i ett elektroniskt meddelande,
3. en trafikuppgift, eller
4. en lokaliseringsuppgift som inte är en trafikuppgift och som rör användare som är fysiska personer eller abonnenter. För tillhandahållare av nummeroberoende interpersonella kommunikationstjänster gäller tystnadsplikten enligt första stycket endast vid sådan kommunikation som sker till, från eller inom Sverige samt för lokaliseringsuppgifter som inte är trafikuppgifter och som avser lokalisering i Sverige.
OBS att 1:an utgått men att listan inte omnumrerats! Betyder det här att 2:an är ny nummer 1 eller att det är kvar som 2:a? Den här lilla detaljen är av extrem betydelse.
Om man fortsätter läsa några paragrafer senare blir det klarare hur den här listan används förutom för tystnadsplikt. 33 § (s 22) klargör genom att säga:
Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och som har fått del av eller tillgång till en uppgift som avses i 31 § första stycket ska på begäran lämna […]
och sedan kommer en lång rad villkor för vilka uppgifter får lämnas ut när och till vem. De hänvisar hela tiden tillbaka genom att skriva "31 § första stycket 1" och liknande.
Nu blir alltså numreringen på listan i 31 § viktig. Om det som står högst upp i listan är nummer 1 betyder det att väldigt många kan få ta del av innehåll i meddelanden och inget längre bara uppgift om abonnemang som tidigare. Det här går mycket, mycket längre än Rättegångsbalkens "Hemlig avlyssning av elektronisk kommunikation"!
En tillhandahållare måste i så fall anpassa sina system för att kunna lämna ut själva innehållet i klartext till åtminstone följande:
- Polisen,
- Säpo,
- Skatteverket,
- Tullverket,
- Finansinspektionen,
- Konsumentombudsmannen,
- Konsumentverket,
- Kronofogdemyndigheten,
- Läkemedelsverket,
- Ekobrottsmyndigheten,
- Åklagarmyndigeten,
- regionala alarmcentraler
- vilken myndighet som helst som vill delge någon någonting(!).
Och allt detta bara genom att ta bort en rad ur listan i 31 § första stycket? Sneaky! Men var det verkligen meningen? Är det en bugg?
Som ni kanske minns stod det i nya 19 a § (s 15):
Den som tillhandahåller en allmänt tillgänglig nummeroberoende interpersonell kommunikationstjänst ska lagra sådana uppgifter som avses i 31 § första stycket 1 som kan användas för att identifiera en abonnent och registrerad användare.
"Identifiera en abonnent"? Ja, jo, om nu 1:an hade varit intakt och det var en "uppgift om abonnent" men det är det ju inte längre? Eller?
Effekter
Låt oss anta att meddelandetjänster måste lagra både metadata och meddelandens innehåll. Vilka är det då som måste lagra och lämna ut data?
Rätt ofta står det "Den som tillhandahåller en allmänt tillgänglig nummeroberoende interpersonell kommunikationstjänst" i föreslagna lagtexten. Vad "allmänt tillgängliga" faktiskt betyder är lite oklart, tycker jag.
Nuvarande LEK gäller till exempel inte en mailserver som jag driver privat för familj och vänner eller en mailserver som en förening driver för sina medlemmar eller ett företag för sina anställda. Börjar jag erbjuda mailkonton till allmänheten, däremot, så fallar jag under LEK.
Troligen gäller samma principer ett chatsystem men vad i systemet är det som är allmänt tillgängligt? Är det servrarna? Är det klienterna? Systemet som helhet? Vem är "tillhandahållaren" som det talas om i lagtexten?
Låt oss ta XMPP som exempel på ett federerat meddelandesystem. Om jag driver en XMPP-server (eller grupp av servrar) som låter vem som helst skapa konton så riktar jag mig troligen mot allmänheten och faller under LEK. OK, visst.
Men säg att jag driver en XMPP-server för min vängrupp och inte låter vem som helst skapa konton? Däremot federerar jag, på samma sätt som min mailserver, med alla andra XMPP-servrar i hela världen, inklusive de som riktar sig till allmänheten. Faller jag under LEK? Troligen inte med tanke på att en mailserver under motsvarande omständigheter hittills inte bedömts falla under LEK?
Säg i stället att jag är författare till en extremt populär XMPP-klient, Conversations, som finns inte bara på F-Droid utan också på Google Play, till och med mot betalning. Riktar sig klienten till allmänheten? Ja, utan tvekan.
Men för att kunna använda klienten behöver du också ett konto på en XMPP-server. Om du använder den klienten och kör den mot min lilla server för en vängrupp, faller då klienten ändå under LEK? Jag vet inte men jag gissar att det går att argumentera för det.
Naturligtvis erbjuder Conversations, som en modern XMPP-klient, E2EE i form av både OMEMO och till och med PGP. Det här måste nu brytas, kanske med något så enkelt som att lägga till en dold mottagare. Det är nog möjligt i den version av klienten som finns på Google Play, vars källkod inte lika enkelt kan granskas av andra. För, som ni såg, måste anpassningen ske "så att verkställandet inte röjs".
Det skulle i så fall betyda att Daniel Gultsch, författaren till Conversations, blir tvungen att införa något i klienten som sparar meddelanden i klartext. Jag gissar att Daniel hellre drar tillbaka Conversations från svenska Google Play än går med på något sådant.
Går de efter Conversations på F-Droid också? Kanske men mindre sannolikt.
Worst case scenario? Det här sprider sig i hela EU så att Daniel måste dra tillbaka Conversations från Play i alla EU-länder, dra tillbaka från F-Droid och lägga ner den publika utvecklingen på Codeberg. Kanske dra tillbaka sitt officiella engagemeng i utvecklingen. Naturligtvis kommer den forkas, det är ju FLOSS, och kommer säkert att hostas på en Git forge på en .onion-adress och fortsätta utvecklas av anonyma utvecklare…
Är det verkligen dit vi vill komma?
För att ge extra krydda, vem är tillhandahållaren i system som inte ens har några servrar, som till exempel Briar? Här tänker jag att en domstol skulle komma fram till att det är de som tillhandahåller klienten som är lagens "tillhandahållaren", troligen med motsvarande utveckling som i mitt scenario med Conversation.
I den här framtiden finns alltså vare sig Conversation eller Briar på Google Play.
En avancerad användare tar ner APK:n någonstans ifrån och installerar manuellt. Eller så tar personen rent av ner källkoden och bygger själv innan installation. En kriminell? Samma sak: Ner med APK:n och manuell installation eller, förstås, be någon annan att göra det eller köp tjänsten.
Vi har alltså inte hindrat de vi egentligen vill hindra. Vad är egentligen poängen med lagen?