Bahnhof måste lämna ut uppgifter - Kammarrätten avslår Bahnhofs överklagande

Det spelar snart ingen roll vad Bahnhof eller andra ISP lämnar och inte lämnar ut iom införandet av Chat Control 2.0.
Rent mjöl i påsen....

Bara en i raden av anledningar att snabbt införa IPv6. Nu måste de alltså lämna ut uppgifter om kanske hundratals användare som råkade ha samma publika IP på den CG-NAT:en istället för bara den abbonenten som polisen är intresserad av.

Även om jag håller med om att det finns flera anledningar att snabbt införa IPv6, så tolkar jag det inte som att de föreläggs att lämna ut personuppgifter om alla kunder som suttit bakom samma CGNAT-burk. Det vore ju dock inte bra om så faktiskt är fallet.

Om jag inte är felunderrättad så är alla ISP:er som kör CGNAT tvungna att kunna knyta enskilda sessioner till enskilda kunder och lagra denna information en viss tid. Så länge det ursprungliga föreläggandet inkom innan denna information fick raderas så får man väl anta att Bahnhof blev tvungen att spara denna under tiden deras överklagande processades.

Problemet är väl att Polisen inte vet vilken port det gäller. Så en ISP kan inte ge polisen bara ett namn utan måste nu ge kanske hundratals eller tusentals namn på personer som haft samma publika IP vid samma tidpunkt... Sedan måste polisen börja rota i alla dessa oskyldiga personers liv för att utesluta dem ur utredningen.

Förhoppningsvis har de tillräckligt med information för att Bahnhof ska kunna lista ut det. Vi vet inte detaljerna i detta fall, så det blir bara spekulation. Vore intressant att se FUP:en sedan.

Men som sagt, jag ser gärna att CGNAT blir en kortlivad företeelse.

Är det inte samma fall som det varit?

1. Det saknas befogad anledning att utfärda ett föreläggande mot Bahnhof.
Bahnhof anser inte att det finns några konkreta omständigheter som motiverar PTS förläggande.
PTS har i sitt föreläggande påstått att det "Av tillsynen framgår att Bahnhof vid flera tillfällen vägrat
att lämna ut uppgifter om abonnemang till Polismyndigheten enligt 6 kap 22 § LEK när uppgifter
om portnummer saknas i Polismyndighetens begäran" (sid 5). I föreläggande nämner dock PTS
endast ett konkret ärende (sid 3) i vilket Bahnhof, efter att ha fått viss kompletterande information
av polisen, lämnat ut de begärda uppgifterna. Vilka de övriga ärendena är som PTS syftar på känner
Bahnhof inte till.
Bahnhof kan inte se det på annat sätt än att PTS har utfärdat ett föreläggande mot Bahnhof p.g.a. av
att Bahnhof i ett ärende begärt kompletterande information från polisen innan man lämnat ut
begärda uppgifter. Bahnhof anser inte att det är tillräckliga skäl för en så ingripande åtgärd som ett
vitesförläggande.

.....

samråd som PTS haft med polisen innan PTS föreskrifter om NAT-adresser utfärdades. PTS borde
istället för att vitesförelägga Bahnhof begära en förklaring till polisens ovilja eller oförmåga att
ange portnummer. Resultatet av PTS passivitet har nu istället blivit dels att Bahnhof och andra
operatörer tvingats införa dyrbara system för lagring av portnummer som inte använts eftersom
polisen inte uppger portnummer i sina förfrågningar, dels att Bahnhof och andra operatörer tvingas
lägga ner ett betydande merarbete för att få fram de alla de uppgifter som polisen begär om de
kunder som använt NATade IP-adresser, och dels det integritetsintrång som drabbar alla de kunder
vars uppgifter måste lämnas till polisen trots att det absoluta flertalet inte har något med polisens
utredning att göra. Så länge polisen har möjlighet att ange portnummer i sina framställningar är det
mot ovanstående bakgrund oskäligt och onödigt att påtvinga Bahnhof att lämna ut uppgifter på det
sätt som framgår av föreläggandet. Föreläggandet ska därför anses strida mot
proportionalitetsprincipen och sakna rättsverkan och följaktligen upphävas.

PDF:
https://www.bahnhof.se/filestorage/userfiles/Nyheter2022/PTS_...

* Polisen kräver namnet på personen som har en publik IP.
* Bahnhof säger att de behöver veta vilken port personen haft annars kan de inte koppla det till ett specifik abonnemang.
* Polisen säger att de vill ha en lista på ALLA person som haft IPet vid en viss tidpunkt eftersom de inte vet vilken port det gäller.
* Bahnhof vägrar såklart eftersom de tycker det är orimligt att de ska plocka fram 100-tals privata medborgares uppgifter och lämna över till polisen eftersom merparten, eller mer troligt nästan alla inte ens har med saken å göra..
* De delar ut vite till Bahnhof som vägrar. Bahnhof överklagar.

* Domstolen säger nu att Bahnhof måste lämna över listor på alla personer.

Game over.

Vilket betyder att flera hundra personer nu ingår i förundersökningsmaterial som aldrig ens borde hamnat där överhuvudtaget.

Sen förstår jag inte riktigt hur polisen vill få fram rätt person om de inte redan har en misstänkt. De kan ju knappast ringa runt och fråga "Hej begick du ett brott vid X tid"? För då får ju den misstänkta reda på det och gör sig av med bevisen. Okej kanske om man har en geologisk plats för brottet och man kan se om personen är i närheten. Men för alla IT brott blir de ju ganska hopplöst.

De får ju knappast gå in och söka igenom alla hem baserat på en lista bara.

Är det bara snillen spekulerar i tråden eller finns det någon som faktiskt har en aning om anledningen (alltså som, till en början åtminstone, mer eller mindre lusläst och förstått FUP) till begäran? Eller är det mer "hurrdurr nu jagar de pirater igen"?

Det är klart att Bahnhof, som part i målet, hävdar en sak. Det är ju liksom så rättsfall fungerar, två (eller fler) parter som är av olika åsikt. Integritet är inte ett svartvitt koncept (tyvärr, hade varit fint om det varit så enkelt), och hur det tillämpas är föränderligt. Vad som är "rätt" eller "fel"... blir ideologiska diskussioner. Fullt förståeligt att man kan känna att det är oroväckande så klart, av en rad orsaker.

TL;DR: svårt att svara på vad det här innebär rent juridiskt på sikt, då det krävs att jurister (med aktuell kompetens) som inte är partiska i målet faktiskt grottar ner sig i det rätt ordentligt för att ha en rimlig chans att bedöma hur det kommer påverka praxis.

Inte i sig särskilt märkligt, "kan misstänkas" har förhållandevis låga rekvisit. Att digitalt "vara på fel plats vid fel tidpunkt", ungefär.

Är väl skapligt sannolikt att uppgifterna enbart är en del av en förundersökning, inte direkt som att det är enda bevisningen som utredningen utgår ifrån. Det kan vara en relevant pusselbit i att bygga fallet inför åklagare. (Men visst, jag ska inte vara en hycklare, så disclaimer: jag spekulerar, jag har inte läst FUP som ligger till grund för begäran av uppgifterna.) Misstänker för övrigt att du menar geografisk och inte geologisk plats? 😅

Det är ju iofs en rätt märklig begäran, att polisen ska specificera delar av sin utredning för Bahnhof.

Vi vet ju att kriminella grupper infiltrerar både näringsliv och kommunal/politisk verksamhet, då är det väl inte jättekonstigt om polisen inte vill involvera Bahnhof i utredningar mer än absolut nödvändigt.

Ett lätt sätt för Bahnhof att lösa det är ju att dela ut unika IP adresser till alla.

Jag jobbar själv inom en verksamhet som ibland får förfrågningar från polisen.

Och självklart lämnar vi inte ut mer än absolut nödvändigt, men hela regelverket bygger ju på att personer inte ska kunna gömma sig bakom anonymitet.

Det skulle vara som att polisen inte skulle kunna gå in i en lägenhet för att det är 100 personer skrivna på den adressen, trots att man "vet" att det på den adressen sker...ja vad det nu är.

Varför skulle deras VPN-tjänst exkluderas från polisens begäran menar du?