IT-Politisk Forening: Hummelgaards udsagn om chatkontrols muligheder kan være stærkt vildledende

Peter Hummelgaards indlæg om chatkontrol indeholder imidlertid en række udsagn, som kan være stærkt vildledende for Altingets læsere.

Overvågningen omfatter samtlige brugere af en beskedtjeneste

Et påbud om opsporing i artikel 7-11 i den danske kompromistekst og EU-Kommissionens oprindelige forslag kan udstedes til alle beskedtjenester (GMail, Proton, Telegram, WhatsApp, Signal, et cetera). 

Reelt er der tale om, at et meget kontroversielt overvågningsforslag deles op i mindre bidder.

Jesper Lund
IT-Politisk Forening

Hvis en beskedtjeneste modtager et påbud, skal beskedtjenesten installere teknologi som kontrollerer indhold på tjenesten med automatiseret scanning , jævnfør artikel 10. Beskeder med muligt overgrebsmateriale (med en lav tærskel i tilfælde af tvivl) skal indberettes til myndighederne (artikel 12). Påbuddet er rettet mod beskedtjenesten som sådan, og omfatter derfor alle brugere på tjenesten uden undtagelser.

Der er ikke noget krav om forudgående mistanke, som vi i et retssamfund normalt forventer ved sådanne indgreb i meddelelseshemmeligheden.

Det er grunden til, at kritikerne kalder forslaget for masseovervågning: alle brugere på en beskedtjeneste, som modtager et påbud, vil blive overvåget efter instruks fra staten. 

Europaparlamentet har vedtaget en forhandlingsposition for CSA-forordningen med målrettet overvågning: påbud om opsporing på en beskedtjeneste skal være rettet mod enkeltpersoner eller grupper, der er knyttet til seksuelt misbrug af børn.

EU-landene, for tiden anført af det danske rådsformandskab, holder derimod fast i Kommissionens forslag om påbud rettet mod hele  beskedtjenester, og dermed overvågning af alle brugere på disse tjenester.

Påbud kan ende med at omfatte tekst

Peter Hummelgaard anfører i sit indlæg, at påbud om opsporing omfatter specifikke beskedtjenester som en sidste udvej, og at tjenesterne i givet fald skal scanne fotos, videoer og links (URL'er).

Men fordi tekstindhold ikke er omfattet, giver forslaget ifølge justitsministeren ikke mulighed for at kigge med i borgernes private kommunikation.

Den påstand er misvisende af flere grunde. For det første spiller billeder og videoer i dag en central rolle i privat kommunikation, takket være den moderne smartphone. Kommunikationshemmeligheden stopper ikke ved tekst, den omfatter også kommunikation udtrykt visuelt.

For det andet er det tydeligt ud fra forslaget, at scanningen hurtigst muligt kan udvides til også at omfatte tekst. Det kan ske allerede efter tre år ifølge revisionsklausulen i artikel 85, og vel at mærke før den generelle evaluering af forordningen efter fem år.

Reelt er der tale om, at et meget kontroversielt overvågningsforslag deles op i mindre bidder.

Peter Hummelgaard har i øvrigt ikke selv lagt skjul på, at han gerne ser overvågningen i chatkontrol udvidet til at omfatte andre typer kriminalitet end overgrebsmateriale. Men når kritikerne nævner Peter Hummelgaards ønsker om udvidelser er det åbenbart forplumring af debatten? 

Påbud kan føre til permanent overvågning

Påbud om opsporing kan ikke automatisk udstedes til samtlige beskedtjenester. Der er en proces, som starter med beskedtjenesternes egen risikovurdering og -begrænsning, og som slutter med muligheden for at udstede et påbud om opsporing.

Selv om disse påbud kaldes "sidste udvej", er tærsklen for at udstede dem dog ret lav, specielt på større krypterede beskedtjenester som WhatsApp og Signal. 

Peter Hummelgaard har i øvrigt ikke selv lagt skjul på, at han gerne ser overvågningen i chatkontrol udvidet.

Jesper Lund
IT-Politisk Forening

Det er i den forbindelse værd at bemærke, at Rådets Juridiske Tjeneste i deres juridiske vurdering af CSA-forordningen (punkt 43-46) lægger til grund, at der de facto kan blive tale om en permanent overvågning af al interpersonel kommunikation (alle personers private beskeder).

CSA-forordningen har været under behandling i over tre år, og uenigheden blandt EU-landene har næsten alene handlet om de omstridte påbud i artikel 7-11.

Hvis disse påbud virkelig er så sjældne, som Peter Hummelgaard antyder med "sidste udvej", er det svært at forstå, at EU-landene ikke har kunnet finde en model uden denne mulighed.

Ikke mindst fordi Rådets Juridiske Tjeneste har sagt meget klart, at masseovervågningen er i strid med Charter om Grundlæggende Rettigheder og må forventes at blive underkendt af EU-Domstolen.

Kan blive enden på sikker kommunikation

Justitsministeren forsikrer borgerne om, at de fortsat kan skrive fortroligt sammen. Argumentet synes at være, at scanningen ikke omfatter tekst, men selv hvis vi lægger den præmis til grund, er Peter Hummelgaards påstand forkert.

Det skyldes forslagets katastrofale konsekvenser for krypterede beskedtjenester.

Fortrolighed af privat kommunikation udfordres i dag af en lang række kommercielle og statslige overvågningsinteresser. Reelt er det kun end-to-end krypterede (E2EE) beskedtjenester, der kan betragtes som sikre i forhold til fortrolighed af privat kommunikation.

Med E2EE-tjenester er det alene afsender og de(n) tiltænkte modtager(e), som kan læse indholdet af beskeden, herunder billeder, video og links.

Tjenesteudbyderen selv kan ikke, hverken til egne kommercielle formål eller for at assistere staten med overvågning.

Men chatkontrol-forordningen omfatter også E2EE-tjenester, selv om ingen aner, hvordan det skal implementeres i praksis uden fuldstændigt at kompromittere sikkerheden. Beskedtjenesten vil modtage et påbud, og så må de selv finde ud af, hvordan de udfører den overvågning, som egentlig skulle være teknisk umulig på grund af kryptering.

I praksis er eneste mulighed såkaldt client-side scanning, som reelt er spyware, der skal tvangsinstalleres på vores telefoner og computere. Eksperter og forskere i IT-sikkerhed og kryptering har gentagne gange advaret mod dette (og andre) elementer af CSA-forordningen.