Spørreundersøkelse om datalagringsdirektivet

Hans Rustad

Datalagringsdirektivet er en viktig sak, som VG skrev igår ville det vært vanskelig å ta de to terroristene i Chicago uten adgang til å følge elektroniske spor. Det blir en avveining mellom transparens og personvern.

George Gooding gjennomfører en spørreundersøkelse om direktivet og ønsker flest mulig svar.

Som følge av min dekning av datalagringsdirektivet har jeg ønsket å kartlegge hva folk faktisk vet om direktivet, og hva slags holdninger de har til datalagring tilknyttet forskjellige typer kommunikasjonstjenester.

Gå til undersøkelsen her.

Leserkommentarer på Document er gjenstand for moderering, som ikke skjer kontinuerlig og under enhver omstendighet ikke om natten. Vi ønsker en respektfull tone uten personangrep, sleivete språk eller flammende retorikk. Vis særlig nøkternhet når temaet er følsomt. Begrenset redigering av skjemmende detaljer kan finne sted. Skriv til kontakt@document.no dersom du ikke forstår hvorfor en kommentar uteblir.

  • Aesop

    Det som skremmer meg med datalagringsdirektivet er at det er mektig verktøy for å knuse folk. Når man registrerer all datatrafikk så kan man fort finne ut hvem som er utro, hvem som surfer på porno, hvem som har gjeld, hvem som gambler, hvem som kjenner hvem og så videre.

    Disse dataene vil være av interesse både nasjonale og internasjonale aktørerer. Tenkt for gøy det ville være for KGB å få innblikk i slike ting! Eller tenk på måten de stanset Elliot Spitzer borte i USA…

  • capercaillie.myopenid.com

    Rustad skriver, og jeg har fra tidligere og denne saken tolket at han er for direktivet:

    “Datalagringsdirektivet er en viktig sak, som VG skrev igår ville det vært vanskelig å ta de to terroristene i Chicago uten adgang til å følge elektroniske spor.”

    Hvilke konkrete beviser er denne uttalelsen bygget på, og har Rustad lest direktivet (HTML, PDF) og forstått hva som skal og hva som ikke skal lagres?

    Jeg mener at det ikke er grunnlag for å skape noen slags sammenheng mellom saken i USA og hva Datalagringsdirektivet (heretter DLD) ville bidratt med.

    1. DLD dekker f.eks. ikke bruk av tjenester ala Gmail, Hotmail, eller private serverhostingsleverandører. Kun emailtjenester leverert av ISPer.

    2. DLD dekker ikke kommunikasjon basert på andre medier enn telefoni og internett-telefoni/mail.

    3. DLD dekker ikke innsyn i innholdet av kommunikasjonen – den sier eksplisitt at innhold ikke skal lagres. For å få det må man antageligvis da ty til antiterrorlovgivning eller andre mer kraftige virkemidler. Dette kommer da i tillegg uansett, og finnes mest sannsyneligvis allerede.

    4. “Think of the children”-argumentet spiller på helt andre følelser, og er en avlednings- eller overtalelsesmanøver.

    Ellers må man huske på følgende faktorer:

    1. Man har ikke tatt standpunkt til hvor mye av DLD man ønsker å eventuelt innføre her i Norge, ei heller eventuelle utvidelser/tillegg.

    2. I Danmark har man innført noe liknende system, der man går ut over de rammene som DLD dekker.

    3. Man registrerer i dag ikke hvem som sender brev til hvem, ei heller hvem som har samtaler med hvem. Hvorfor skal internett-basert og telefoni-basert kommunikasjon være såpass mer overvåket? Om man virkelig vil ta terrorister lar man da vinduene stå vid-åpne for alternative kommunikasjonskanaler?

    4. Dette er en kontinuerlig kapprusting: jo mer overvåking, jo mer kryptering, koding og forsøk på å skjule kommunkasjon vil bli tydd til.

    Nå synes jeg uansett at Gooding har gjort en god jobb med å påpeke faktafeil presentert av bevegelsen mot DLD og visse norske medier (som feilaktig hevder at f.eks. hvilke nettsider du besøker skal logges, eller i populisering påstår at “tastetrykk” skal lagres), så han skal ha “creds” der, — men vi vet altså fortsatt ikke helt konkret hvordan implementasjonen av DLD ville blitt her til lands

    Videre ser jeg følgende spørsmål/utfordringer:

    1. DLD må ikke bli et slags falsk sikkerhetsnett som får oss til å tro at vi er beskyttet mot alt mulig rart.

    2. DLD må ikke misbrukes til det ene og det andre for å for lett gi innsyn i private affærer. Det finnes en rekke eksempler på misbruk av antiterrorlovgiving og overvåkingslovgiving fra f.eks. UK.

    3. Om en først innfører DLD så er spørsmålet hva neste ting man mener er nødvendig å innføre er. Jeg mener ikke dette som å spille på frykten og spekulasjonene, men det vil før eller siden komme opp situasjoner der man også da kritiserer DLD fordi man ikke fikk nok informasjon ut av det.

    4. Muligens en avsporing, men: Storberget har allerede bedrevet en noe kuriøs “frivillig tvang” i forhold sensur/svarte-listene han vil at ISPer skal innføre for å stoppe tilgang til nettsteder kjent for barnepornografisk innhold. Istedenfor å innføre det ved lov har han lusket rundt og “truet” og klaget til de som ikke har innført det frivillig:

      “Siden de fleste tilbyderne er med i den frivillige ordningen, vil jeg derfor avvente et lovpålagt påbud til jeg ser resutlatet av denne henvendelsen.”

      Dette er en veldig uryddig måte å operere på, og spørsmålet er da hva slags tilsvarende metoder vil bli brukt ift DLD eller andre cases.

    Det er også av og til litt ironisk å lese hvordan politikerene argumenterer for at det ikke er inngriping i privatliv eller at det ikke finnes risikoer med å bedrive slik datasamling, når de

    1. argumenterer varmt for publisering av skattelister

    2. snakker hardt ut mot identitestyveri, ala det Storberget gjorde:

      Dette er alvorlig og ubehagelig. Jeg er redd for at opplysningene skal misbrukes, Generelt føler jeg ubehag ved at noen andre sitter med informasjon om meg, som de ikke skal sitte med. Jeg kommer til å følge med og være litt ekstra på vakt fremover, sier Storberget.”

    Hvis det da, gitt en tenkt situasjon der DLD eller andre lover krevde lagring av hvilke nettsteder man besøkte; selv om dette da var helt personlig og legalt problemfritt å gjøre, ville vi stolt på å ha lagret i en-eller-annen-logg at vi av og til var innom http://www.gay-scatloving-nazi-sado-midgets.com?

    Eller skal slik lovgivning være et moralsk ris bak speilet og? ..ala den reviderte blasfemiloven?

  • Bakkekontakt

    Det er ekstremt sterke krefter som er ute etter å knuse vår internett-frihet. Barneporno er bare brukt som brekkstang der det er lettest å få aksept for overvåking.

  • capercaillie.myopenid.com

    Et annet viktig poeng i forhold til forebygging av terrorvirksomhet etc er forresten at dette er datalagringsdirektivet, ikke “dataspaningsdirektivet”, “dataovervåkingsdirektivet”, “dataadferdsmønsterdeteksjonsdirektivet” etc.

    Et slikt direktiv vil ikke være en kontinuerlig strøm av data som myndighetene kan “lytte” til og detektere når det er noe skummelt på gang. Dette vil fortsatt måtte løses ved tradisjonelle eller andre metoder. DLD kan i ettertid brukes til å da be om innsyn i mer data for å samle bevis eller bygge en sikrere sak, eller når man først har en mistanke, be om mer data. Her er da et viktig spørsmål videre hva slags begrunnelse som må ligge bak en mistanke for at det skal være lov å få innsyn.

  • Hans Rustad

    Du har lest meg helt riktig: jeg er for lagring, for å gi myndighetene de verktøy de trenger. Under forsvarlig kontroll. Siden du later til å ha satt deg inn i tingene, kunne du ikke skrive en opplysende artikkel om Direktivet? Du er jo langt på vei allerede, og her er det flere ting som jeg ikke var klar over. Solid bakgrunn for egne meninger trengs alltid.

  • SpacemanSpiff

    Capercaillie:

    Et slikt direktiv vil ikke være en kontinuerlig strøm av data som myndighetene kan “lytte” til og detektere når det er noe skummelt på gang.

    Det er jo ikke noe i veien for at de kan gjøre det nå også uten at data er lagret. Det er ikke DET som er utbytte av datalagringsdirektivet. Med dette direktivet får man et arkiv og en historikk så man kan gå tilbake i tid. Å avlytte kommunikasjon har jo blitt gjort i uminnelige tider allerede og vil sikkert bli gjort den dag i dag også om det er noe “skummelt på gang”. Et sånt stort arkiv vil nok være i meste laget å bla i bare for morroskyld. Amerikanernes NSA har jo angivelig dette Echelon-nettverket sitt der de følger kommunikasjonen “live” ved å plukke ut kommunikasjon etter visse kriterier.

    Jeg tror ikke du vil merke så mye til dette direktivet, men for myndigheter og visse bedrifter kan dette være ganske kjedelig med tanke på spionasje. Man skal f.eks ikke se bort ifra at SAAB med sin historikk innen bestikkelser kunne fått litt innsikt i kommunikasjonen med Lockheed Martin f.eks. Ellers har dette sin sterkeste side i forbindelse med etterforskning der man kan gå grundig gjennom tidligere kommunikasjon. Liker du det ikke er jo kryptering en mulighet.

    Det gikk en liten historie om at gutta bak Piratebay hadde en kryptert fil med et navn som gjorde politiet fryktelig interessant men når de omsider klarte å knekke fila inneholdt det bare et telefonnummer til en mindre viktig person. (Lurer på om ikke det var en i politiet) Så med kryptering kan man gjøre jobben for politiet ganske lei selv om de har dette arkivet.

  • capercaillie.myopenid.com

    La meg ta den korte oppsummeringen:

    1. DLD er i effekt kun en “paper tiger” – et fugleskremsel – som lar en hel haug med dører stå igjen vidåpne samtidig som det er begrenset hva det er nyttig til.

    2. Samtidig åpner man for å stikke snuten relativt dypt inn i folks privatliv på en måte som ikke kan forsvares ut fra hvor lite det løser i #1

    3. Siden det er begrenset hvor mye nyttig man får ut av det, kommer det antageligvis til å bli møtt med senere krav om mer innsyn i det ene og det andre, og utvidelser.

    4. Loggene vil også være av interesse for og utsettes for press fra private aktører som vil kreve innsyn/bruk (les: IFPI etc)

    Videre er direktivet på visse punkter vagt eller veldig åpent for tolkning i forhold til definisjonene og visse tekniske aspekter.

    Noen eksempler på punkt 1:

    • Tradisjonell post: det er ikke slik at man i dag registrerer mottakere og avsender av tradisjonell post i en stor database. Vidåpent vindu.

    • Tradisjonell menneskelig kontakt: man registrerer ikke i dag hvem som snakker med hvem, hvem som møter hvem in persona, etc. Vidåpent vindu.

    • Internett-kaféer og liknende: hva skal man gjøre her? Skal man kreve legitimering av brukerene og loggføre protokoll? Hvis ikke: vidåpent vindu.

    • Åpne trådløse nett: skal disse stenges, eller hvordan skal disse administreres? Vidåpent vindu.

    • Skype og andre proprietære telefoni/chatte-protokoller; hva skal man gjøre her? Skype benytter tunge kryptoalgoritmer til å sikre systemet. En kan ikke på en enkel måte loggføre trafikken her med mindre leverandøren påkreves å drive logging. Her vil en da møte problemer med internasjonale bedrifter som leverer tjenester fra andre land. Vidåpne vinduer i fleng.

    • Web-mail, Facebook, “instant messaging”, chatting og andre ikke-standard protokoll ISP-leverte tjenester: dette dekkes ikke i visse tolkninger av DLD siden det ikke fungerer på tradisjonell måte som “e-post”, men implementeres over andre protokoller.

    • Krypterte nett ala TOR (The onion router): Skal slikt forbys? Vidåpne vinduer.

    Etc.

    DLD er en enorm vits om en mener det skal bekytte noen fra terrorisme eller andre type trusler. Det er en falsk sikkerhet. Derfor er det et uunngåelig faktum at det vil komme større krav i form av overvåking og innsyn, og det er ikke paranoia eller skremselspropaganda. (både UK på eget initiativ, EU og US er allerede godt igang)

    Det eneste det er godt for er å kunne grave i gamle logger for et lite utvalg kommunikasjonskanaler og få ut hvem som kanskje snakket med hvem når, men ikke om hva.

  • capercaillie.myopenid.com

    Jfr #3: noen raske eksempler på pågående, gamle eller foreslåtte systemer som går ut på å sanke og samkjøre informasjon. At de er skrotet betyr ikke dermed sagt at de ikke er erstattet av nye:

    IMP – Intercept Modernization Program (UK)
    INDECT (EU)
    Information Awareness Office (US)

    Den mest overhengende faren fra slike systemer virker forsåvidt ikke å være at de samler informasjon, men mer at de lekker og mister den i øst og vest, f.eks UK:

    • September 2007 GMRC lost a CD with national insurance and pension details of 15,000 people
    • October Laptop containing data on 2,000 ISA-holders stolen
    • November Two CDs with details of 25 million people lost in post
    • December Four CDs with court case details missing; laptop with data of 60,000 people stolen from Citizens Advice Bureau; details of three million learner-drivers lost; data on 6,500 pension-holders lost
    • January 2008 Laptop containing details of 600,000 people stolen; details of 1,500 students lost

    (kilde)

  • SpacemanSpiff

    Jada, du har en rekke poeng selvfølgelig, men igjen så er dette først og fremst et arkiv der man går inn på de aktuelle dataene ved behov, ikke direkte tapping av kommunikasjon i det det skjer. Det er jo med visse forbehold lov allerede i dag.

    Så kan man selvfølgelig være for eller imot direktivet på bakgrunn av bl.a mange av dine gode motforestillinger.

    Selv er jeg en av de som har et helt bevisst forhold til at jeg har åpen Wireless Access Point i nettet mitt.

  • capercaillie.myopenid.com

    Jfr #4 kom det jo nettopp en del info om “ACTA” eller “Anti-Counterfeiting Trade Agreement”:

    http://www.boingboing.net/2009/11/03/secret-copyright-tre.html

    http://www.michaelgeist.ca/content/view/4510/125/