Datalagringsdirektivet – vilka måste lagra vad?

Riksdagen har röstat igenom införandet av Datalagringsdirektivet i Sverige, och nu börjar det stora arbetet med att implementera lagring av trafikdata hos operatörerna. “Operatörerna” ja – vilka är egentligen det? Och vad ska lagras? Det är mycket som inte är tydligt i den här debatten och jag bestämde mig för att åtminstone försöka reda ut på egen hand hur det ligger till. Vilka måste egentligen lagra vad?

Jag började med att leta efter information hos PTS – Myndigheten Post- och telestyrelsen, som har bra information (i den mån information finns) om vad som gäller. De har en informationssida om datalagringsdirektivet och jag hittade där ett par formuleringar som var intressanta, bland annat under “Dessa är skyldiga att lagra uppgifter”:

Enligt lagen är de aktörer som bedriver anmälningspliktig verksamhet enligt Lagen om elektronisk kommunikation, LEK, skyldiga att lagra uppgifter i sex månader.

Det är alltså endast de som har verksamhet som enligt Lagen om elektronisk kommunikation, LEK, är anmälningspliktig som måste lagra uppgifter enligt den svenska implementationen. Jag började således att läsa LEK för att se om jag kunde hitta informationen om vilka som är anmälningspliktiga, men det visade sig vara minst lika luddigt där, för i Kap 2, §1 står det:

Allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster får endast tillhandahållas efter anmälan till den myndighet som regeringen bestämmer.

Det här är nästan rena grekiskan för mig. Jag är (bevisligen) inte jurist och jag får först vänja mig vid tanken på att det alltså finns en svensk lag som säger att den som tillhandahåller elektroniska kommunikationstjänster har en anmälningsplikt till myndigheten som måste fullgöras innan man tillåts leverera tjänster. Så den som vill starta en ISP måste alltså anmäla sig hos myndigheterna först. Varför? Jag har ingen aning, och det hela känns rätt märkligt. Kan det vara en kvarleva från sändningstillstånden som infördes när man startade med radio- och tevesändningar?

Hursomhelst, nyckelorden här verkar vara “mot ersättning” och “allmänt tillgängliga elektroniska kommunikationstjänster”. Dessa har anmälningsplikt och borde därför, enligt PTS, vara de som också måste lagra och leverera trafikdata till polisen på begäran. Men exakt vilka är det då? Den som driver en egen e-postserver för sig och sin familj, måste han också lagra data? Jag måste alltså gräva vidare, och efter att ha ställt ett par frågor på Twitter får jag några länkar som svar.

Oscar Swartz tipsar om ett par rapporter från PTS som ska berätta mer. Jag börjar med att läsa “Lagring av uppgifter för brottsbekämpning enligt EU-direktiv 2006/24/EG – Internationell utblick m.m. ?? PTS-ER-2011:1” vilket för övrigt är en fantastisk titel som jag ska överväga till min nästa skiva. Det här är en rapport från 2011 som PTS gjort i väntan på implementationsbeslut från riksdagen. Den tittar främst på hur andra EU-länder gjort vid implementation av direktivet och drar några försiktiga slutsatser för svensk del kring hur det kan tänkas gå till här hemma. Här står uttryckligen att “Skyldigheten att lagra uppgifter gäller enbart elektroniska kommunikationstjänster” vilket åter syftar på de som enligt LEK har anmälningsplikt.

Sen blir det lite mer spännande, för sen kommer en lista på de som INTE behöver lagra trafikdata. Här finns en gränsdragning mellan det som då kallas “elektronisk kommunikationstjänst” och de tjänster som inte omfattas av LEK, som istället kallas “informationssamhällets tjänster”. Här står det till exempel gällande “Webbpost (webmail) och webbaserad messaging”:

Följaktligen omfattas tillhandahållare av webbpost och webbaserade meddelandetjänster av direktivet om de samtidigt är tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät.

Det här tolkar jag som att de som erbjuder webbmejl eller andra webbaserade meddelandetjänster endast omfattas av direktivet om de också har tjänster som omfattas av anmälningsplikten i LEK. Det här skulle då medföra att de företag som säljer Internetkapacitet och därför har anmälningsplikt måste lagra trafikdata för de tjänster de erbjuder, medan andra företag som kanske bara har en webbmejltjänst slipper undan förutsatt att de inte också är Internetleverantörer.

Rörigt? Lite. Skulle detta betyda att exempelvis Telia måste lagra trafikdata för sin webbmejltjänst medan Loopia slipper? Telia är klart och tydligt en operatör som omfattas av LEK, medan Loopia enligt nuvarande tolkning inte är det. Nu börjar det bli intressant!

Av Torbjörn Eklöv får jag en länk till en förteckning hos PTS på de som är registrerade efter anmälan enligt plikten i LEK. Här återfinns mycket riktigt Telia i listan medan Loopia saknas. Här saknas faktiskt alla svenska webbhotell jag letar efter, förutom ett par som jag känner igen eftersom jag varit/är kund där: ipeer och Glesys. Efter en fråga till  Glesys får jag veta att Glesys faktiskt säljer Internetkapacitet och därför omfattas av anmälningsplikten. Men alla webbhotell då? De saknas i listan, och förvirringen är total! Binero svarar mig på Twitter att de absolut omfattas, fast de är inte anmälda till PTS enligt LEK, så det verkar konstigt i såna fall.

Jag läser vidare i PTS-rapporten och ser att

När tillhandahållaren av en webbplats gör det möjligt för en användare att t.ex. lämna en kommentar till tillhandahållaren eller beställa en vara klassas det normalt som informationssamhällets tjänster och omfattas inte av direktivet.

Så webbplatser kommentarsfunktioner omfattas inte av DLD. Men sen blir det snårigt igen, för nu börjar jag fundera på sånt som Facebook eller andra webbplatser (varav jag själv driver åtminstone en) som låter användare skicka privata meddelanden till varandra:

När en webbplats skickar en notifiering till en användare för att tala om att användaren har ett meddelande som väntar på webbplatsen kan det göras i form av t.ex. e-post eller ett SMS. Om meddelandet passerar en leverantör av allmänt tillgänglig kommunikationstjänst omfattas det normalt av direktivet.

Meddelandet som lämnats inom webbplatsen anses däremot vara en informationssamhällets tjänster. Meddelandet omfattas då inte av direktivet.

Nu blev det ju jobbigt igen. Själva notifieringsmeddelandet som går som SMS eller e-post omfattas av direktivet förutsatt att det går via en “leverantör av allmänt tillgänglig kommunikationstjänst”. Man får anta att det då inte gäller om webbplatsen i fråga driver sin egen SMTP-server till exempel? Jag blir osäker. Men sen står det också:

När en webbplats skickar ett meddelande (inklusive innehåll) till en e-postadress på traditionellt sätt har det betydelse om webbplatsleverantören använder det egna nätet och sin egen mailserver eller inte. Det är stor sannolikhet att meddelandet hanteras av allmänt tillgängliga kommunikationstjänster och det omfattas då av direktivet. Används tillhandahållarens privata nät och den egna mailservern omfattas det inte av direktivet eftersom det då räknas som informationssamhällets tjänster såvida det inte gäller en tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster och som använder sig av dessa.

Att tolka detta kräver lite tankekraft. Hur ett e-postmeddelande skickas från en webbtjänst till en användare e-postadress har alltså betydelse för huruvida meddelandet omfattas av direktivet eller inte. Om tjänsten har sin egen mailserver verkar man klara sig utan att lagra, men om man använder mailserver hos en “operatör” måste det lagras. Lagras av webbtjänsten? Lagras av operatören? Oklart.

Nästa stycke är lättare att begripa:

Besök på webbsidor, användning av sökmotorer, chatt, E-handel och on-line spel omfattas inte av direktivet eftersom dessa anses vara informationssamhällets tjänster.

All vanlig surfning omfattas inte av direktivet. Det betyder att din webbhistorik inte behöver lagras hos din operatör, vilket det tidigare varit tal om. Det står också att FTP och “spam som aldrig levereras till mottagarens e-postkonto” ska undantas från lagring. Däremot ska IP-telefoni lagras, men i dokumentet nämns bara “Internettelefonitjänst som startar och terminerar som en PSTN- telefonitjänst”, det vill säga där ena, andra eller båda parterna i samtalet använder sig av en klassisk “fast telefon” med jack.

Just IP-telefoni är lite extra intressant, för i den andra PTS-rapporten jag läser, “Vilka tjänster och nät omfattas av LEK? – PTS-ER-2009:12” tittade man ju på hur andra EU- och EES-länder bedömer vad som är eller inte är en “elektronisk kommunikationstjänst” och därför bör omfattas av datalagringsdirektivet (sid 16). Där finns en lista på de länder som granskats, nämligen Finland, Danmark, Lettland, Norge, Nederländerna, Tyskland, Spanien och England. Här har alla länder gjort samma sak och bestämt att P2P-VoIP inte är att betrakta som en sådan tjänst, vilket alltså skulle betyda att till exempel Skype helt undandas från trafikdatalagring!

Det är ju rätt häpnadsväckande egentligen. Tanken med direktivet är att polisen ska kunna få tillgång till trafikdata för att lösa terrorbrott, men så länge skurkarna använder Skype klarar de sig alltså. De kan också uppenbarligen använda Twitter eller Facebook för att prata med varandra utan att kommunikationen ska lagras alls! I princip verkar det endast handla om kommunikation som sker över kanaler som när direktivet införs nästan är helt omoderna. “Vanlig” telefoni, “vanlig” mobiltelefoni, SMS och e-post som skickas via registrerade Internetoperatörers e-postservrar. Om jag fattat detta rätt skulle skurkarna alltså i lugn och ro kunna använda iMessage i sina mobiltelefoner för att texta, Skype för att prata med varandra och e-post via en “icke-operatör” (t.ex. ett webbhotell) eller någon av alla hundratals andra e-posttjänster som finns, exempelvis GMail eller Hotmail.

Frågan man måste ställa sig blir till slut om det egentligen är någon brottslighet som kommer att infångas via trafikdatalagring om det är så här snävt det hela ska tolkas. ? andra sidan, om man ska vidga tolkningen blir det nästan löjligt mycket som måste lagras – alla anslutningar till alla webbtjänster i hela världen (för de skulle ju kunna vara e-mail/meddelandetjänster), ja egentligen alla IP-paket överhuvudtaget, eftersom det är mycket svårt utan att göra en ordentlig analys av paketens innehåll att veta om det är “mänsklig” kommunikation som gömmer sig där eller inte.

Till sist det här med VPN. Om man är det minsta orolig för att bli “datalagrad” – kan man då använda sig av en VPN-tjänst för att kryptera trafiken från sin egen dator till Internet och på köpet bli anonymiserad, eller kommer även VPN-tjänster att omfattas av direktivet och därmed tvingas lagra information om sina kunder och deras trafik? Daniel Westman svarar på Twitter att han tycker att det är oklart. Så den nöten återstår att knäcka, även om jag efter att ha läst igenom PTS rapporter tycker det ser tveksamt ut.

Som jag sa inledningsvis: Jag är inte jurist. Jag har säkert fel i massor av ovanstående slutsatser och en hel del är ju rena gissningar från min del (och andras). Om du som läser detta har möjlighet att sprida mer ljus över frågan, skriv gärna en kommentar!

/M;

Internetdagarna och twitterväggen

I veckan som gick var det dags för Internetdagarna igen. Förra året hade jag det tveksamma nöjet att vara den som ansvarade för videosändningarna över webben och det gick åt helvete med det. Därför var det med yttersta glädje och tacksamhet jag överlät åt den alltid eminente och trevlige Björn Falkevik / SocialVideo att göra det i år. Och självklart gick det mycket bättre.

Men det fanns ju annat att göra på Internetdagarna. Förutom att hålla koll på webbarna, moderera ett seminarium om webbutveckling och vara allmänt trevlig och hjälpsam mot talare, besökare och medarbetare försökte jag ha lite koll på twitterflödet. Och ibland hettade det till lite, när några undrade varför vi inte visar twitterflödet på stora skärmar inne i konferenssalarna.

Flashback till 2009 när vi hade exakt samma diskussion, och jag försökte svara på exakt samma vis. Att vi faktiskt tänkt över saken men bestämt oss för att det får räcka med att visa flödet i hallen utanför konferensrummen, och att skälen är flera. Jag ska försöka sammanfatta dem här.

Skitsnacket bakom ryggen

Den som talar inför publik är troligen rätt nervös inför sitt framträdande. Jag vet att jag blir det, nästan oavsett storlek eller typ av publik. Och det står självklart fritt för var och en att kommentera framträdandet i valfri kanal. Twitter är en, och jag deltar gärna i den konversationen. Men för mig är Twitter under konferenser främst en “back channel”, dvs en inofficiell kanal där de invigda för en diskussion vid sidan om den officiella. Det är ju öppet för vem som helst att delta, särskilt när en konferens (som Internetdagarna) har en officiell hashtagg.

Men det betyder inte att man automatiskt ska “tvinga in” alla konferensdeltagare i diskussionen. En majoritet av konferensdeltagarna på Internetdagarna är inte Twittrare, eller väljer åtminstone att inte delta i diskussionerna på Twitter under konferensen. Och flera av dem tycker till och med att det är störande att ha flödet uppe på skärm samtidigt som en talare pratar, vilket vi fick höra förra året efter konferensen då en del av talarna på eget initiativ la upp flödet på projektorn under sina seminarier.

Det blir ofta en väldigt hård och kritisk ton på Twitter under en talares framförande. Nästan oavsett en talares kvalitet kommer delar av presentationen att sågas – om det inte är innehållet i talet så är det talarens röst, kläder, ålder eller utseende som behandlas. Och det är naturligt, eftersom Twitter har tonen av ett fikarum, skitsnacket som man håller över en kopp kaffe i korridoren. Men att ha det samtalet offentligt, och dessutom i ett format där alla i salen kan se vad som sägs om en talare samtidigt som denne inte har en chans att hänga med i samtalet, känns bara orättvist och rent av lite elakt.

Nu finns det ju de som menar att ett publikt och publicerat twitterflöde har motsatt effekt. Och det kan säkert stämma. Men jag har ännu inte sett några bevis på det.

Så – nu väntar jag på att få se lite goda exempel på konferenser där man visar twitterflödet bakom talarens rygg och där det inte sägs något negativt om talaren under tiden. Har du något sånt att visa mig?

/M;

Privat och publikt i den nya världen

Marcin de Kaminski skriver tydigt och initierat om den senaste “incidenten” där Isobel Hadley-Kamptz råkade ut för att få sin “privata” Facebook-konversation citerad i offentligheten. Var går gränsen för det privata och det offentliga samtalet, när allt fler av våra privata samtal flyttar ut på nätet?

Isobel är kanske den senaste i offentligheten som råkat ut för att en privat konversation läckt ut till det publika, men problematiken är inte ny. I många år har det, liksom idag, funnits “offentliga hemligheter” som ofta sprids från journalister med insyn i offentliga personers liv. Det kan handla om vem som ligger med vem, vem som är alkis, vem som har köpt en svart lägenhet, och så vidare. Det här är ju helt vanligt skvaller, och något som ofta sprids genom privata samtal mellan invigda. När fler och fler middagskonversationer sker på Facebook eller Twitter blir det också allt mer otydligt vad som är privat.

Jag såg inte Facebook-tråden som blev citerad, men noterar att Isobel har 352 “vänner” på Facebook. Det är min gissning att konversationen i fråga kunde läsas av minst lika många personer på Facebook. Och även om också jag betraktar det som skrivs på Facebook som åtminstone semiprivat är det läge att fråga sig hur privat något är när det kan läsas fritt av hundratals personer.

Det som skrivs på Twitter är per automatik mer eller mindre offentligt. Det landar direkt hos alla de människor som följer dig, och blir dessutom indexerat, sökbart och läsbart på otaliga webbsidor nästan omedelbart. Detsamma gäller självklart det som skrivs på en blogg – ett bloggsamtal är väl dessutom nästan menat att nå så många som möjligt. Så är konversationer på Facebook automatiskt förbjudna att citera, just för att de inte är 100% publika? Jag kanske sticker ut lite här, men jag tycker inte det. För mig passeras gränsen för vad som är privat redan när något lämnar den sfär av mottagare jag själv kan räkna upp. Otaliga gånger har jag hejdat mig från att posta något på Facebook eller Twitter just för att jag inte vet vilka som läser. Otaliga gånger har jag säkert också passerat gränsen och postat saker jag kanske inte borde. Den stora skillnaden för mig är att jag inte är en offentlig person och därför inte på riktigt behöver oroa mig för vem som läser det jag skriver.

Ja, det är orättvist. Vi som inte har gammelmedianärvaro behöver inte på samma sätt bekymra oss för hur vi framstår när vi skämtar, driver med varandra eller oss själva, postar tankar eller skriver om känslor. Den som är politiker, debattör eller bara känd i största allmänhet måste det. Men min poäng här är att intet är nytt under solen. I alla tider har den som har ett rykte att vara rädd om varit tvungen att välja sina ord, att välja var man ska synas och att inte befinna sig i fel sammanhang eller grupper.

I en liknande situation befinner sig Mats Mügge som inte fick förnyat uppdrag som dagisfröken efter att ha postat ett foto på sig själv på sin Facebooksida med synliga tatueringar och en mössa märkt “Pornstar”. Det är rätt självklart för mig att det är ett enormt övertramp av dagiset i fråga att sparka Mats på grund av ett foto på Facebook, men det intressanta här är just hur informationen sprids. Hade inte Mats kunnat få sparken om han synts på krogen iförd samma kläder och tatueringar där en förälder kunnat se honom och tycka att han inte var lämplig som dagisfröken? Jag tror det. ?ven här är det egentligen inget som är nytt i själva situationen, utöver sättet informationen sprids på.

Min slutsats? Allting är publikt, ingenting är privat. E-posten du skickar kan läsas av ett antal personer på vägen från din dator till sin destination, och det alldeles oavsett FRA:s eventuella inblandning. Det du säger på Facebook kan, och kommer att användas mot dig. Vill du att något verkligen ska vara privat måste du antingen vara duktig på att kryptera din information eller ta samtalet AFK. Får vi på grund av detta ett tråkigare samtalsklimat online? Säkerligen. Men att förlita sig på att journalister, bloggare och Facebook-“vänner” ska kunna avgöra vad du menat vara privat och sen hålla det privat är ohållbart i längden.

/M;