Den kanske mest meme:iga fras som finns för jurister är sannolikt: “Det beror på”. När jag försöker formulera en kort, koncis och tydlig slutsats av den Europadomstolen för mänskliga rättigheters (Europadomstolen) dom i målet Podchasov mot Ryssland (app. no. 33696/19) skulle jag vilja skriva något i stil med rubriken på den nyhetsartikel jag först läste om domen: “Illegal to break encryption,” the European Court of Human Rights rules. Men, det beror som sagt på. Målet rör i vart fall bland annat frågan om mänskliga rättigheter – närmare bestämt rätten till respekt för privatlivet – och krypterad kommunikation.
Vad domstolen konstaterat utgör en inskränkning av de mänskliga rättigheterna är: att lagstiftningen som är föremålet för prövning som föreskriver lagring av all internetkommunikation för alla användare, säkerhetstjänsternas direkta tillgång till de lagrade uppgifterna utan tillräckligt skydd mot missbruk och kravet på att dekryptera krypterad kommunikation, som tillämpas på totalsträckskrypterad (end-to-end encryption, E2EE) kommunikation, kan inte anses nödvändigt i ett demokratiskt samhälle.
Så varför kan man inte bara säga att det är olagligt att bryta E2EE-krypterad kommunikation?
När Europadomstolen prövar om en mänsklig rättighet inskränkts så görs det mot en viss rättighet och omständigheterna i fallet som är ursprung till att en individ klagat hos domstolen. Grunden för klagomålet är i målet en rysk lag med skyldigheter för “arrangörer av spridning av information på internet” (организатор распространения информации в сети Интернет, nedan ICO från den engelska översättning Internet Communications Organiser) att lagra all online-kommunikation, att utlämna den till myndigheter under vissa omständigheter, och om den är krypterad att dekryptera den.
Domstolen konstaterar att så som den ryska lagen är konstruerad är den allt för långtgående. Lagar får inskränka mänskliga rättigheter, men det får bara göras på ett sätt som är förenliga med principerna för ett demokratiskt samhälle. Varför är då inte den ryska lagen förenliga med sådana principer?
Skyldigheten att lagra kommunikation
Redan den insamling av data som ICO:erna är skyldiga att göra utgör enligt domstolen en inskränkning av rätten till privatliv, det innebär dock inte att insamlingen är oförenlig med EKMR. Om inskränkningen sker genom en lag som har ett av de legitima syften som pekas ut i artikel 8 kan den fortfarande vara tillåten. Eftersom att inskränkningen endast får göras genom lag måst den också vara förenlig med rättsstatsprinciper. Lagen måste därför bland annat vara tillgänglig för allmänheten och effekterna av den måste vara förutsebar. Vad gäller inskränkningar av den typ som insamlingen utgör krävs det även att lagen innehåller skyddsmekanismer som hindrar att insamlad data används på ett sätt som är oförenligt med rätten till privatliv. Vid behandling av personuppgifter så är det nödvändigt att tydliga och detaljerade regler som styr omfattningen och tillämpningen av åtgärder, samt minimigarantier avseende bland annat:
De grundläggande principerna för dataskydd kräver att datalagringen ska vara proportionerlig i förhållande till insamlingssyftet och med begränsade lagringsperioder. Domstolen jämför den insamling som den ryska lagen kräver med hemlig övervakning och påpekar att det vid hemlig övervakning finns stora risker för godtycklig tillämpning. För lagar som innebär en form av hemlig övervakning krävs det för att den ska anses förutsebar att den måste vara tillräckligt tydlig för att ge medborgarna en uppfattning om omständigheter och villkor under vilka myndigheter är bemyndigade att använda sådana åtgärder. Det måste även vara tillräckligt tydlig under vilka omständigheter en lag får användas av verkställande myndigheter, så att individer skyddas mot godtyckliga ingripanden från myndigheterna.
Slutligen betonar domstolen att konfidentialitet för kommunikation är en väsentlig del av rätten till respekt för privatlivet. Användare av telekommunikations- och internettjänster måste ha en garanti för att deras egen integritet och yttrandefrihet respekteras, även om en sådan garanti inte kan vara absolut och ibland måste vika för andra legitima syften, såsom förebyggande av brott, nationell säkerhet eller skyddet av andras rättigheter och friheter.
Vad det gäller Beträffande den ryska lagen konstaterar domstolen att den har ett legitimt syfte i nationell säkerhet, förhindrande av ordningsstörningar och brottslighet, samt för att skydda andras rättigheter och friheter. Avgörande för om inskränkningen är tillåten är alltså om lagen lever upp till EKMR:s krav för hur en sådan lag får vara utformad.
Den ryska lagen påverkar alla användare av internetkommunikation, oavsett om det finns en rimlig misstanke om delaktighet i brottslig verksamhet eller aktiviteter som hotar nationell säkerhet Den omfattar innehållet i all kommunikation och alla kommunikationsdata utan någon begränsning av omfattningen, så som territoriell eller tidsmässig tillämpning eller kategorier av personer. Domstolen konstaterar att lagringsskyldigheten för ICO är extremt bred och inskränkningen därför är exceptionellt omfattande och allvarlig. Domstolen riktar därför särskild uppmärksamhet mot vilka skyddsmekanismer som finns för att förhindra missbruk från de rättsvårdande myndigheter som ges tillgång till lagrad data.
I den ryska lagen finns inget krav på att de ryska rättsvårdande myndigheterna behöver uppvisa något domstolsbeslut eller liknande för en ICO när den begära att få tillgång en persons kommunikation. Tvärtom finns det krav på ICO:er att genomföra tekniska åtgärder så att säkerhetstjänsten har direkt åtkomst till lagrad data. Rättsvårdande myndigheter har således direkt fjärråtkomst till all internetkommunikation och relaterad kommunikationsdata. Därigenom finns möjligheter att kringgå den process som finns med krav på föregående domstolsbeslut och systemet kan enkelt missbrukas. Domstolen konstaterar även att den ryska lagen har otillräckliga definitioner för under vilka omständigheter myndigheter med hänvisning till bland annat att förhindra och utreda brott samt skydda Rysslands nationella och militära intressen kan använda sig av hemlig övervakning. Tillståndssystemet kan inte heller saknar även förutsättningar för att säkerställa att hemliga övervakningsåtgärder endast används när det är “nödvändigt i ett demokratiskt samhälle”.
Kryptering
Gällande kryptering poängterar domstolen att det ger ett starkt tekniskt skydd mot obehörig åtkomst till kommunikation och därför används som ett skydd för rätten till respekt för privatlivet och korrespondens. Skyddet för konfidentialitet i kommunikation är även av betydelse för att människor ska kunna åtnjuta andra mänskliga rättigheter, så som yttrandefrihet, och för att kunna skydda sig mot missbruk av informationsteknologier, såsom hackning, identitets- och personuppgiftsstöld, bedrägeri och felaktig offentliggörande av konfidentiell information.
Domstolen anger vidare att det för att det ska vara möjligt att, som den ryska lagstiftningen kräver, dekryptera kommunikation som skyddas med totalsträckskryptering, skulle det vara nödvändigt att underminera krypteringen för alla användare. Även för sådana användare som har legitima behov av att skydda sin kommunikation. Åtgärderna som krävs kan inte begränsas till specifika individer och skulle påverka alla utan åtskillnad. Att försvaga krypteringen genom att skapa bakdörrar skulle uppenbarligen göra det tekniskt möjligt att utföra rutinmässig, allmän och oskälig övervakning. Bakdörrar kan också utnyttjas av kriminella nätverk och allvarligt äventyra säkerheten för alla användares kommunikation online.
Domstolen drar därför slutsatsen att legala krav om att tillhandahålla krypteringsnyckel eller försvaga krypteringen genom användning av legala krav på sårbarheter såsom alternativa sätt att kringgå krypteringen skulle försvaga skyddet för alla användare. Ett sådant krav anser domstolen inte är proportionerligt i förhållande till de legitima mål som regleringen vill uppnå.
Slutsats
Europadomstolen slår alltså fast att den ryska lag som prövats innebär en överträdelse av rätten till respekt för privatlivet och skydd för kommunikation. Den kan sägas innehålla två huvudsakliga moment:
Som den här texten inleds så finns det i domen stora inslag av “det beror på”. Ändringar av en eller flera moment i omständigheterna som ligger till grund för domstolens slutsatser kan göra den typen av inskränkningar som förekommer tillåtliga. Vad gäller den typen av hemlig övervakning som insamlingen innebär skulle till exempel skyddsmekanismer som förhindrar missbruk och avgränsningar för under vilka omständigheter myndigheter kan få tillgång till kommunikation innebär att inskränkningen blir tillåtlig.
Domen kan kanske framstå som mindre betydelsefull eftersom den avser en lag i Ryssland – ett land som upphört att vara part till EKMR. Men lagar som kräver underminering av totalsträckskryptering har stiftats och föreslagits i rättsordningar som ligger betydligt närmare vår egna. I Storbritannien infördes under hösten 2023 Online Saftey Act, som ställer krav på kommunikationsoperatörer att under vissa omständigheter kunna detektera material med sexuella övergrepp mot barn i användares kommunikation, även totalsträckskrypterad. EU-kommisionen har föreslagit en liknande lagstiftning, kallad Chat Control (som EU-parlamentet röstat emot). Europeiska dataskyddsstyrelsens har givit ett uttalande över förslaget till Chat Control innehållande bland annat (punkt 100):
Även om det i förslaget anges att förordningen låter ”den berörda leverantören välja vilken teknik som ska användas för att följa en spårningsorder och bör inte tolkas som att den uppmuntrar eller avskräcker från användningen av en viss teknik”, blir den strukturella inkompatibiliteten mellan en viss spårningsorder och totalsträckskryptering i praktiken ett starkt hinder för att använda totalsträckskryptering.
Innebär då Podchasov mot Ryssland automatiskt att Online Safety Act och Chat Control är oförenligt med mänskliga rättigheter (i vart fall i delar)? Här är det framförallt Europadomstolens uttalanden om underminering av kryptering som blir intressant. Det är ett faktum att kommunikation i förhållande till en kommunikationsoperatör inte samtidigt kan vara krypterad och avkrypterad. Online Saftey Act och Chat Control måste därför i dessa delar anses innehålla krav som motsvar de i rysk lag. Avgörande för om Online Safety Act och Chat Control skulle bedömas på ett annat sätt av Europadomstolen blir därför framförallt om frågan om proportionalitet bedöms annorlunda vad gäller syftet att förhindra övergrepp mot barn och spridning av material med sexuell övergrepp mot barn. Jag har svårt att se att så skulle vara fallet.
