Google kan blive tvunget til at udlevere data om tusindvis af mennesker til politiet

Illustration: monsitj / Bigstockphoto.com
Politiet kan via Google opspore data på mere end 10.000 mennesker ad gangen i forsøget på at fange en forbryder.

I forbindelse med at skulle opklare et indbrud i Minnesota, USA, henvendte det lokale politi sig til en dommer i kommunen for at få en “reverse location” arrestordre.

Arrestordren gav politiet mulighed for at beordre Google til at identificere lokaliteten på de mobiltelefoner, der befandt sig i nærheden af gerningsstedet under forbrydelsen og derved finde forbryderne.

Imens politiet forsøgte at lokalisere sig frem til forbrydernes identitet, gjorde reverse location arrestordren også data på over 10.000 borgere i staten Minnesota tilgængelige. Og denne teknik vækker bekymring hos Teresa Nelson, der er juridisk direktør hos American Civil Liberties Union i Minnesota.

»Det, der er så problematisk ved dette, er, at det kan opsnappe helt uskyldige mennesker, der befinder sig i et område af helt legitime årsager, og som ikke fortjener at blive behandlet som mistænkte,« siger Teresa Nelson.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henning Kjær

Engang var man uskyldig indtil det modsatte var bevist, nu er vi som udgangspunkt alle skyldige indtil vi kan bevise vores uskyld.
Noget andet er at tilstedeværelsen af en mobiltelefon i et bestemt område ikke beviser noget i forhold til en kriminel handling. den kriminelle havde måske ingen mobil med, eller havde den slukket.

  • 2
  • 0
Jesper Lund

Arrestordren gav politiet mulighed for at beordre Google til at identificere lokaliteten på de mobiltelefoner, der befandt sig i nærheden af gerningsstedet under forbrydelsen og derved finde forbryderne.

Det samme foregår i stor stil i Danmark. Oplysningerne kommer blot fra teleselskaberne. Udvidet teleoplysning, retsplejelovens § 780, stk. 1, nr. 4.

Brugen af dette indgreb er nærmest eksploderet i de sidste par år. Her er en opgørelse over antal indgreb per år. Tal i parantes er indgreb på øjemed, altså hvor politiet ikke mente at de kunne vente på kendelsen.

2013 75 (0)
2014 83 (4)
2015 85 (20)
2016 220 (12)
2017 347 (13)

Kilde er Rigsadvokatens statistik for indgreb i meddelelseshemmeligheden.

Bemærk at tallene er hvor mange gange (kendelser) at politiet har fået data udleveret, ikke hvor mange personer der har været berørt af indgrebet. Den slags opgør man ikke, og borgerne får ikke at vide, at politiet har skaffet sig adgang til oplysninger om deres færden.

I praksis fodres udvidet teleoplysning med de lokationsoplysninger, som teleselskaberne registrerer, bl.a. efter den ulovlige logningsbekendtgørelse.

Takket været en prisbelønnet aktivist vil der formentlig fremover blive udleveret noget færre oplysninger per kendelse, idet teleselskaberne er stoppet med at registrere lokationsoplysninger i forbindelse med datatrafik.

Jesper Lund
IT-Politisk Forening

  • 7
  • 0
Mogens Ritsholm

Det samme foregår i stor stil i Danmark. Oplysningerne kommer blot fra teleselskaberne. Udvidet teleoplysning, retsplejelovens § 780, stk. 1, nr. 4.

Udvidet teleoplysning har været en mulighed i retsplejeloven siden 2001, og det er mig bekendt hidtil kun brugt til at udlevere oplysninger om mobiltelefoner, der i en kortvarig periode har været aktive under master i et afgrænset område. Det er ret dyrt at bruge for politiet, og det bruges i realiteten kun til at finde bevis for, at personer fra en allerede mistænkt kreds har befundet sig i et område. Man bruger det f.eks. ved bandemord, hvor potentielle medlemmer i en konkurrerende bande allerede er kendt af politiet, Fe.ks ved rockermordet i Kastrup i sin tid.

Det er sådan set meget naturligt, at det bruges mere hyppigt med de bandeskyderier, som vi har oplevet i de senere år.

Kan det så potentielt bruges til indsamling af oplysninger over hele landet? Det tror jeg ikke. Jeg har ihvertfald fået det svar, at en dommer aldrig ville udstede en sådan dommerkendelse, selv om loven egentlig ikke indeholder en klar afgrænsning.

Som jeg forstår sagen fra USA, er der tale om Googles indsamling af GPS positioner. Det er selvsagt langt mere nøjagtige oplysninger, der kan indsnævres til et meget afgrænset område.

Men det er ikke teleoplysninger, da det ikke er oplysninger fra selve teletjenesten.

Kunne politiet i Danmark så bruge tilsvarende oplysninger fra Google?

Ja det kunne de godt via en editionskendelse, og da det ikke er teleoplysninger er det lidt uklart hvilke typer forbrydelser det kan bruges til at opklare.

Det er heller ikke sikkert, at Google ville udlevere dem til dansk politi, selv dansk politi efter dansk lov kan kræve det.

Det korte af det lange er, at vi har en langt bedre retssikkerhed for teleoplyninger end for oplysninger, der logges i stigende omfang for IT-tjenester.

Og det er sådan set mit budskab, at kritikken af telelogning desværre skygger for den meget mere alvorlige og retsløse logning i IT-tjenester.

  • 6
  • 0
Jesper Lund

Udvidet teleoplysning har været en mulighed i retsplejeloven siden 2001, og det er mig bekendt hidtil kun brugt til at udlevere oplysninger om mobiltelefoner, der i en kortvarig periode har været aktive under master i et afgrænset område. Det er ret dyrt at bruge for politiet, og det bruges i realiteten kun til at finde bevis for, at personer fra en allerede mistænkt kreds har befundet sig i et område. Man bruger det f.eks. ved bandemord, hvor potentielle medlemmer i en konkurrerende bande allerede er kendt af politiet, Fe.ks ved rockermordet i Kastrup i sin tid.

Her er en sag, hvor politiet arbejdede med 20000 personer som "mulig" gerningsmand. Det passer cirka med antallet af indbyggere i Korsør, hvor mordet blev begået og involverer utvivlsomt udvidet teleoplysning. En hel bys befolkning sættes under mistanke! Hvordan de 20000 personer senere bliver til 200 personer er ikke helt klart, men politiet har givetvis indhentet lokationsoplysninger for Korsør og det område, hvor liget senere blev fundet. Det er ikke utænkeligt at der er 200 personer som har været begge steder, især fordi politiet formentlig ikke ved præcist hvornår liget blev placeret ved den anden lokation.

Jeg skal ikke kunne sige hvad politiet betaler til teleselskaberne for at modtage disse enorme datamængder om uskyldige borgere, men retsplejelovens krav for at bruge udvidet teleoplysning er ikke specielt store. Der står ganske vist formelt "fare for menneskers liv eller velfærd eller for betydelige samfundsværdier", men landsretten mente at dette krav var opfyldt i en banal røverisag, hvor en kioskekspedient var blevet truet med en pistol eller pistolattrap uden at nogen var kommet til skade (TFK 2010.236).

  • 4
  • 0
Mogens Ritsholm

Her er en sag, hvor politiet arbejdede med 20000 personer som "mulig" gerningsmand.


For god ordens skyld.

I sagens natur dækker en mast ofte et stort område, og flere master kan tænkes at være benyttet fra et ellers afgrænset område. Og så er der jo flere net.

Så selv om politiet "kun" ønsker udvidet teleoplysning til et bestemt sted i et afgrænset tidsrum, kommer man let op på 20.000 poster, hvoraf nogle vil være gengangere.

Men det betyder jo ikke, at alle registrerede er mistænkt. Det vil jo være helt uoverkommeligt at undersøge så mange. Som sagt bruges det til at finde evt. beviser mod en kreds af personer, der i forvejen er mistænkt.

Og det er dyrt at få det udleveret fra teleselskaberne og dyrt at undersøge, hvis kredsen af mistænkte ikke er meget snæver.

Googles data er meget mere præcise, og det kan dermed bruges direkte til at udpege personer, som man ikke i forvejen mistænkte bare fordi de var et bestemt sted på et bestemt tidspunkt. Men det stadig ikke absolutte beviser, da de rigtige gerningsmænd jo kan have GPS slået fra for deres Google-tjenester.

Så jeg synes egentlig, at Googles data er mere betænkelige retssikkerhedsmæssigt end udvidet telepolysning, der som sagt ikke forekommer mig at være et alvorligt indgreb blot fordi mange er registreret.

Det er jo sådan set ikke anderledes end gennemsyn af en video fra en lufthavn, hvor man også hurtigt kommer op på mange tusinde. Men det betyder ikke så meget, fordi formålet med gennemsynet jo er at se efter bestemte mistænkte personer som et af flere indicier.

Sagt med andre ord er det urimeligt at bruge eksemplet med brug af Googles data til at rette kritik mod udvidet teleoplysning. Det er to meget forskellige ting.

  • 3
  • 0
Mogens Ritsholm

her er link til mere udførlig beskrivelse

https://www.mprnews.org/story/2019/02/07/google-location-police-search-w...

Den bekræfter, at det er GPS og andre særlige redskaber såsom kontakt til WIFI, der bruges af Google til en stedbestemmelse med stor nøjagtighed. Og altså ikke teleoplysninger fra mobiloperatøren.

For masteoplysninger er unøjagtigheden som bekendt flere kilometer og retningen ubestemt inden for antennens dækningsområde.

  • 1
  • 0
Jesper Lund

Sagt med andre ord er det urimeligt at bruge eksemplet med brug af Googles data til at rette kritik mod udvidet teleoplysning. Det er to meget forskellige ting.

I den konkrete sag har Google åbenbart udleveret oplysninger om 10000 personer, hvilket indikerer et større område.

Om Google er værre end logningsbekendtgørelsen kan vi diskutere fra nu af og til juleaften.

Ja, GPS er en mere præcis lokation end en mobilmast, omend forskellen bliver mindre og mindre med 4G og måske snart 5G. På den anden side kan du fravælge Google's registrering af lokation, selvom Google ikke reklamerer med muligheden. Det kan du ikke med den ulovlige logningsbekendtgørelse.

Og hvorfor skal vi egentlig diskutere om det ene er værre end det andet? Det er ikke sådan at vi nødvendigvis skal vælge mellem de to onder: Google eller Søren Pape.

Ingen bør gemme oplysninger om hvor du har været. Hverken staten, dit teleselskab eller Google.

  • 4
  • 0
Mogens Ritsholm

Om Google er værre end logningsbekendtgørelsen kan vi diskutere fra nu af og til juleaften.

Nej, det bør ikke være til diskussion. Som den amerikanske artikel nævner, bruges Google direkte til at udpege mistænkte, da de kan stedfæstes inden for 20 meter fra et gerningssted.

Og så er det altså ikke teleoplysninger. Og det er dermed ikke i Danmark underlagt den brugerbeskyttelse og den retssikkerhed, som teleoplysningerer omfattet af. Google skal f.eks. ikke slette efter 1 år, det kan bruges til kommercielle, herunder politiske formål og politiet kan ikke tvinge Google til at udlevere, f.eks. i Meng-sagen.

Så det er stadig på alle måder misvisende at sammenligne med teleoplysninger, som vi nationalt har lovgivningsmæssig snor i, selv om der mildt sagt er forskellige politiske holdninger til det.

Det er måske derfor telelogning diskuteres så meget frem for den omfattende logning hos IT-tjenester.

For det er jo lettere bare at lade det sejle, som ikke kan gøre noget ved.

Men er det rigtigt?

  • 1
  • 0
Jesper Lund

Det er måske derfor telelogning diskuteres så meget frem for den omfattende logning hos IT-tjenester.

For det er jo lettere bare at lade det sejle, som ikke kan gøre noget ved.

Det er faktuelt forkert.

Elektroniske kommunikationstjenester fra OTT-udbydere som Google vil i de kommende år i vist omfang blive sidestillet med de tilsvarende tjenester fra teleselskaber.

Noget er allerede vedtaget (direktivet om oprettelse af europæisk kodeks for elektronisk kommunikation, for nylig publiceret i EU-Tidende 2018/1972). Andre dele er stadig under behandling (ePrivacy forordningen, der skal erstatte 2002/58 som det sidste element i EUs databeskyttelsesreform, der startede i 2012 med forslaget til GDPR).

  • 0
  • 0
Mogens Ritsholm

Elektroniske kommunikationstjenester fra OTT-udbydere som Google vil i de kommende år i vist omfang blive sidestillet med de tilsvarende tjenester fra teleselskaber

Altså itv faktuelt rigtigt - eller hvad?

Og der er vel næppe udsigt til, at vi nationalt kan bestemme hvad Google må logge, hvornår det skal slettes, hvad der skal slettes omgående, at det gemte ikke må bruges til andet end udlevering til politiet og hvad de er pligtige til at gemme i en periode og udlevere til politiet efter dansk dommerkendelse osv.

  • 0
  • 0
Jesper Lund

Og der er vel næppe udsigt til, at vi nationalt kan bestemme hvad Google må logge, hvornår det skal slettes, hvad der skal slettes omgående, at det gemte ikke må bruges til andet end udlevering til politiet og hvad de er pligtige til at gemme i en periode og udlevere til politiet efter dansk dommerkendelse osv.

Det er et EU-direktiv, ikke national lov. Læs mere her om "The Code", som har nogle interessante implikationer for det gode gamle ePrivacy direktiv 2002/58 i forhold til OTTs, mens vi venter på ePrivacy forordningen som mere eksplicit omfatter OTTs.

Spørgsmålet om pligtmæssig logning er overladt til national lov, som skal være i overensstemmelse med EU-retten (logningsdirektivet blev som bekendt underkendt). Derudover er der allerede i dag EU-lande hvor logningskrav gælder andre end teleselskaber (UK med Investigatory Power Act). Da mange OTT-tjenester udbydes på tværs af landegrænser, er der naturligvis nogle issues med territorialitet, som ikke optræder (i samme omfang) hos teleselskaber, der har en fysisk infrastruktur og juridisk etablering i den stat hvor tjenesten udbydes.

De store OTT-tjenester som benyttes i Danmark (Gmail, Facebook Messenger, WhatsApp, Skype, etc) er etableret i andre EU-lande end Danmark. Det vil typisk være gennemførelsen af direktivet og anden national lov i lande som Irland og Luxembourg, der bestemmer hvad der må gemmes og hvad der skal gemmes.

Dansk politis adgang til oplysninger hos elektroniske kommunikationstjenester i andre lande vil kræve et samarbejde med lokale myndigheder via aftaler om gensidig retshjælp.

Der findes på EU-niveau nogle mere "strømlinede" procedurer i form af direktivet om den europæiske efterforskningskendelse og forordningsforslaget om en europæiske editions- og sikringskendelse (som er under behandling i EU-lovgivningsprocessen), men Danmark kan ikke deltage i disse instrumenter på grund af retsforbeholdet.

Det vil sige helt præcist: dansk politi kan ikke få "gavn" af den europæiske editionskendelse pga. retsforbeholdet, men danske borgere kan muligvis risikere at danske tjenesteudbydere i Danmark skal udleveres deres oplysninger til f.eks. polske efterforskningsmyndigheder, der sågar kan gøre brug af denne mulighed til at efterforske forhold som end ikke er strafbare i Danmark. Ja, man tror at det er løgn, men borgernes rettigheder bliver hurtigt glemt, når politiet vil have sugerøret ned i vores personlige oplysninger.

Uden for den danske andedam arbejdes der på højtryk på aftaler om gensidig anerkendelse af kendelser om udlevering af bl.a. teleoplysninger. Den amerikanske CLOUD Act giver mulighed for at USA kan indså sådanne aftaler med andre stater, og EU-Kommissionen forestiller sig at EU (der ikke er en stat) kan indgå en sådan aftale med USA. Igen nok uden Danmark på grund af retsforbeholdet.

TL;DR It's complicated (og endnu mere kompliceret for Danmark pga. retsforbeholdet), og der sker rigtigt meget for tiden på rigtigt mange niveauer (EU, Europarådet i regi af Cybercrime-konventionen, USA med CLOUD Act, en igangværende forhandling mellem UK og USA om gensidig anerkendelse af kendelser der nok skal få fart post-Brexit, EU-Kommissionens udspil på dette område i denne uge, etc etc).

  • 0
  • 0
Jesper Lund

Taget i betragtning hvad tid på natten forbrydelsen fandt sted, har man formodentlig startet med at eliminere alle mobiltelefoner der slet ikke bevægede sig i de relevante nattetimer.

Det er ikke oplagt, at oplysninger om 20000 personers bevægelsesmønstre kan falde ind under udvidet teleoplysning. RPL § 780, stk. 1, nr. 4 giver politiet adgang til oplysninger om telefoner, der har befundet sig i et bestemt område.

  • 2
  • 0
Mogens Ritsholm

Jeg er fuld af beundring, hvis man på under 10 år kan bringe IT-tjenester under samme demokratiske kontrol som teletjenester hele tiden har været.

Det er ikke nemt at få en kat tilbage i sækken, når den er vokset til en tiger efter man selv har sluppet den ud.

Jeg deltog i diskussionerne i EU i 80'erne. Man undlod bevidst at bringe IT-tjenester under en regulatorisk ramme bl. a. med det håb, at europæisk udviklede tjenester så kunne spredes uden nationale barrierer i Europa og demed begå sig på verdensmarkedet.

Man kan vist godt sige, at det gik anderledes.

  • 3
  • 0
Torsten Nielsen
  • 0
  • 0
Log ind eller Opret konto for at kommentere