PTS: "Bahnhof måste följa reglerna eller böta fem miljoner kronor"

När den dagen kommer får du hoppas att det inte är du som drabbas.

Jag hoppas verkligen att bevisningen är baserad på mer än bara vem som haft en IP-adress. Om det räcker som bevis så har vi betydligt större problem för rättssäkerheten i Sverige än om en ISP lämnar ut några hundra abbonentuppgifter.

Som flera påpekat så känns hela uttalandet från PTS väldigt förvirrat.

De skriver själva att:
"Adressöversättningstekniken innebär att ett stort antal abonnenter delar på en och samma IP-adress, vilket gör det omöjligt att identifiera en abonnent med enbart information om IP-adress. För att kunna särskilja abonnenter som delar på samma IP-adress utnyttjar man portnumret i TCP- och UDP-protokollet."

Dvs, om begäran som kommer in enbart anger IP-adressen så blir det ett stort antal abonnenter som "identifieras".

Men direkt efter det:
"PTS konstaterar att Bahnhof, trots beslut om underrättelse, alltjämt inte lämnar ut uppgifter om abonnemang, när portnummer saknas, vilket strider mot datlagringsreglerna. Bahnhof ska därför föreläggas att säkerställa att de uppgifter om abonnemang gällande misstanke om brott som begärs av Polismyndigheten lämnas ut även om underlag i form av portnummer saknas."

Dvs... operatören ska lämna ut uppgifter om ett stort antal abonnenter som inte har med saken att göra när förfrågan är ofullständig? Eller vad är det konkret som avses från PTS sida?

Ja, pressmeddelandet är extremt förvirrat. Läs själva föreläggandet istället (länkades tidigare i tråden, här är länken igen: https://www.pts.se/contentassets/ba1044d05d4a4dc484a1e9719a40... ) - där är det är betydligt tydligare vad PTS är ute efter och vad de resonerar. Det är inte särskilt långt heller, och relativt lättläst.

Kortfattat: Ja, PTS anser att operatören ska lämna ut en lång lista på alla som kan tänkas ha haft den IP-adressen om polisen inte inkommer med information om portnummer.

Ja det år väl tanken.
Det är väl ett ganska vanligt sätt att arbeta på i utredningar.
Begära ut listor på alla som har tillträde till ett område, alla som är med i en förening ,alla som varit i ett skogsparti vid en viss tidpunkt (från mobiloperatör) eller en hel övervakningsvideo med flera personer på.

Sedan får polisen gå igenom matetialet och matcha med annat eller filtrera mer på andra kriterier.

Jag ser inte att det här sticker ut egentligen.

Rimligen är det bättre för polisen om de kan begära ut IPloggar som bara ger svar mot en person, men när det inte är möjligt så är det näst bästa att få ut en grupp med personer och då väntar mer arbete i fler led.
Det här är ju bara ett av många led i en utredning.

Mitt inlägg var en genuin fråga om vad det egentligen var PTS ville ha sagt, inte ett ifrågasättande.
Det går ju inte att begripa vad de vill utifrån pressmeddelandet (eller den citerade texten i Swecs artikel) eftersom detta bara innehåller direkt motstridiga krav utan att peka ut någon avsedd lösning.

Sedan känner jag spontant att det blir väl mycket fiskeoperation om man nu från polisiär sida beslutar om ett sådant utdrag på en IP-adress i hopp om att få information om en specifik kund och då ska kunna få tillbaka tusen kunder utan att det ska ifrågasättas.
Det känns som att det kan vara läge att göra en ny rimlighetsbedömning utifrån de nya förutsättningarna om den ursprungliga förfrågan inte kan utföras.

Jag ser inte riktigt motstridigheten här. Kanske är det något jag missar?

Hur användbart innehållet är borde rimligen vara upp till utredarna - inte operatörerna.
Får man ut fler än en persons namn så kan det vara av relevans ändå.
Får man ut 7 personer istället för 1 så säger bahnhof nej till hela utredningen. I en del fall kanske det inte går att gå vidare med fallet även om man får ut fler än en person.
Det är ju polisen som har i uppdrag att utreda och ta fram bevisunderlaget - och det kan ju skilja sig från fall till fall.
Det får polisen avgöra.

I andra fall kan det finnas annan data man kan matcha mot vilket reducerar antalet misstänkta till en hanterbar mängd att utreda.
Det får också polisen avgöra.

Själva idén med att få ut en lista på personer där en är av intresse är som sagt ett vanligt verktyg redan i många sammanhang - och bara en del i en utredning.

Nja, det är ju inte fullt så enkelt. Operatören kan och bör inte lämna ut exakt all information som polisen ber om, utan bör endast lämna ut den information som polisen lagligen har rätt till, eftersom polisen annars kan missbruka sina möjligheter att hämta ut känslig information som rör privat kommunikation.

Bahnhof argumenterar för att de inte lagligen kan lämna ut informationen som polisen ber om. PTS håller inte med, utan går på Polisens linje. Bahnhof kan fortfarande välja att överklaga till Förvaltningsrätten, så det här ärendet behöver ju inte vara helt avgjort än.

Bahnhof är den enda part här som kan representera sina användares intressen (vilket är de som i slutändan drabbas av detta), därför är det rimligt att de också gör det.

Om Bahnhof hade drivit mobilnät så hade de sannolikt motsatt sig detta också, om de ansåg att det kunde försvara en sådan ståndpunkt utifrån den lagstiftning som finns.

Nu drivs ju svenska mobilnät av stora operatörer som inte har något intresse att bevaka sina kunders integritet på samma sätt som Bahnhof gör.

Jag vet inte. Är det så känslig information vilka personer som delat en IPadress verkligen?
Det handlar ju inte om att fråga efter alla användares metadata för deras internetvanor utan det är bara vilka personer som haft en IPadress vid en viss tidpunkt.
Jag ser inte det som konstigare än att polisen begär ut information om alla som varit och tränat på gymmet en viss dag för en brottsutredning på gymmet. Eller alla bilar som använt ett parkeringshus ett visst dygn.

Jag har svårt att se rimligheten att polisen ska hindras utreda brott för de som delar IPadress.

Den stora skillnaden är att de som varit på gymmet har varit på en offentlig plats. Andra som vart på gymmet har kunnat se vem de är. Man är ute i offentligheten.

Internet å andra sidan utgår från sitt eget hem, och är i huvudsak privat kommunikation, där man har en mycket högre förväntan på ett skyddat privatliv. Det är som att jämföra kameraövervakning på ett offentligt torg med kameraövervakning i sitt eget hem.

Sedan kan man ju resonera fram och tillbaka, om det inte är så att man kanske ändå är "ute i det offentliga" när man är ute på Internet, jag vet inte om jag håller med. Ibland, ja, om man t.ex. postar ett publikt inlägg på ett forum, men inte alltid, t.ex. inte om man har en privat kommunikation med en annan person. Eller till och med laddar upp sina egna privata filer till en molntjänst som man bara själv har behörig åtkomst till. Man kan också resonera att uppgiften i sig inte säger mer än att man delat en viss IP-adress, och därmed inget om vad och vem man kommunicerat med.

Jag ser fortfarande inte att det är så känslig information vilken IPadress ett gäng personer får tilldelat till sig - om flera har delat på en IPadress.

Som sagt - hade det gällt surfvanor så hade det varit något annat.
Men så är ju inte fallet.

Man är inte särskilt utpekad av att ha delat IPadress med någon annan när man inte gjort något val som användare på den fronten.

Tja, jag vet inte, det finns ju argument åt båda hållen.

Ett annat möjligt argument är att Polisen faktiskt får *mindre* information om abonnenten om förfrågningen resulterar i en lång lista möjliga hushåll än bara ett enda.

Oavsett vad så är det skitbra att se att Bahnhof inte släpper på sånt här "gratis", utan ser till att såna här saker faktiskt prövas.

Motstridigheten gällde det faktiska innehållet i PTS pressmeddelande, det innehållet kan väl mer eller mindre sammanfattas som:

1. Det är omöjligt att besvara frågan om vilken kunden är om CGNAT använts och förfrågan endast innehåller IP-adress
2. Bahnhof har underlåtit att besvara frågan om vilken kunden är när CGNAT använts och förfrågan endast innehåller IP-adress och ska därför böta 5MSEK
(Inget förslag nämnt om vad operatören faktiskt skulle göra rent konkret)

Detta är var vad jag kallade för motstridiga krav, bara så vi pratar om samma sak vad gäller specifikt motstridigheten.

Sedan noterade jag ett separat problem utifrån vad som framkommer om man istället läser PTS faktiska utlåtande (som pv2b hjälpsamt länkade), nämligen:
Om nu polisens begäran inte ska ifrågasättas utan att operatören bara ska skicka listan på alla kunder det skulle kunna ha varit och polisen ska göra bedömningen av lagligheten i begäran själva (rimligen då på förhand, annars är det ju för sent)... då är jag väl i grund och botten inte så säker på att polisen har nödvändigt underlag för den bedömningen, de vet ju inte om det är ett stort utdrag ur ett kundregister eller information om en specifik utpekad kund de begär.

Risken finns att de som delat en specifik IP-adress, för den tidpunkt polis begär, kan hamna i misstankeregistret.
https://lawline.se/answers/hur-hamnar-man-i-misstankeregistre...
Blir man kallad till förhör hamnar man med stor sannolikhet i misstankeregistret. I princip per automatik eftersom en förundersökning bara kräver skälig anledning, inte enbart sannolika, dvs i detta fallet en IP-adress.

Det är väl den där brasklappen "Särskilt när den informationen inte ens får sparas" som man kan vara lite försiktig med.

Polisen i Sverige har tyvärr vid flera tillfällen upprättat olagliga register.

För att ta några hyfsat aktuella exempel från de senaste 10 åren:

Skånepolisen förde ett hemligt register över olika romer, många helt ostraffade sådana utan konkret brottsmisstanke. (2013)
Polisen i Västra Götaland anmäler sig själva över ett olagligt register med personuppgifter på 180 personer (2014)
Polisen i Eskilstuna för olagliga register över romska tiggare (2015)
Polisen upprättar ett olagligt register över kvinnor som utsatts för hot och våld (2016)

Sedan finns det sannolikt också ett mörkertal med olagliga register hos Polisen som inte kommit upp till ytan. Hur många har jag ingen aning om.

Mot den bakgrunden finns det goda anledningar att vara restriktiv med vilken information man lämnar ut till polisen. De har inte förtjänat något blint förtroende.