Se for deg at PST åpner en forebyggende sak på deg på grunn av noen uheldige ord du brukte i en chat-gruppe for mer enn ti år siden i meldinger som du senere slettet. Kan dette være et mulig scenario dersom Justisdepartementet forslag til endringer i politiregisterloven blir vedtatt av Stortinget.
Lovforslaget lar PST bruke åpen informasjon
Vi har gått gjennom lovforslaget som Justisdepartementet har sendt på høring. Forslaget justerer enkeltparagrafer i Politiloven, Politiregisterloven og Politiregisterforskriften. Den viktigste endringen er forslaget til en ny paragraf i Politiregisterloven. Teksten er krevende å tolke, fordi den refererer andre lover som igjen referer andre lover. Vi vil forsøke å gi en oppsummering. Her er teksten i sin helhet:
65 a Behandling av åpent tilgjengelig informasjon til etterretningsformål
Politiets sikkerhetstjeneste kan behandle åpent tilgjengelig informasjon for etterretningsformål, jf. § 64 tredje ledd nr. 6, uten at bestemmelsene i §§ 6 og 7 kommer til anvendelse. Informasjon er ikke åpent tilgjengelig dersom tilgang krever forsering av passord eller lignende beskyttelsesmekanismer.
Opplysninger som behandles etter denne bestemmelsen skal sperres, og kan bare brukes til følgende formål:
- PSTs etterretningsvirksomhet, jf. politiloven § 17 b fjerde ledd
- opprettelse av eller bruk i forebyggende sak, jf. § 64 tredje ledd nr. 1 bokstav a
- etterforskning av lovbrudd som nevnt i politiloven § 17 b, jf. straffeprosessloven § 224
Opplysningene skal slettes senest etter 15 år. Kongen gir i forskrift nærmere regler om behandling av opplysninger etter denne bestemmelsen, herunder om tilgangsbegrensning og kontroll.
En litt unøyaktig oppsummering: PST skal kunne lagre og maskinelt behandle åpen informasjon for å bekjempe angrep på rikets sikkerhet (straffeloven kapittel 17) og terrorhandlinger (straffeloven kapittel 18). Oppgavene de kan utføre er etterretning (spesielt: utarbeide trusselvurdering), opprette og behandle forebyggende saker på identifiserte personer, og etterforske lovbrudd innen PST sitt mandat.
Det er positivt at PST sin bruk av åpen informasjon blir regulert i lov og det er rimelig at PST skal kunne lete frem den samme informasjonen om oss som det du kan, kjære leser.
Men våre data endrer karakter når store datamengder samles inn om mange personer og når man foretar beslutninger basert på automatisk databehandling. I høringsnotatet (5.2.6) skriver departementet:
Det at forslaget går ut på masseinnsamling av informasjon uten noen form for vurdering på individnivå, kan tilsi at inngrepet i utgangspunktet er begrenset.
Dette er feil. Innsamling av data om alle uten individuell vurdering av nødvendigheten er selve definisjonen på masseovervåking. Slik overvåking må ha god begrunnelse for behovet og tydelige begrensninger på hvordan informasjonen kan brukes. Her kommer høringsnotatet til kort.
Avinor bytter ut overvåkningskameraer fra Hikvision
Lagring er overvåking
Allerede når man samler inn informasjon om enkeltpersoner gjør man et inngrep i personvernet deres. Sikringsmekanismer kan redusere sannsynligheten for at informasjonen misbrukes, men dette gjør ikke selve inngrepet mindre. Folk føler seg med rette fortsatt overvåket.
Høringsnotatet tar opp «nedkjølingseffekten», en sentral vurdering ved myndighetenes overvåking. Derimot konkluderer de med at «eventuell nedkjølende effekt etter departementets syn ikke tillegges avgjørende vekt» (5.4.2), spesielt fordi de mener informasjonen er så viktig og fordi sperring tilstrekkelig reduserer risikoen for misbruk.
Her gjør departementet en vanlig, men grov feil: nedkjølingseffekten er ikke avhengig av reell risiko, men av opplevd risiko. Høringsnotatet påpeker at vi forventer en viss grad av privatliv, selv i det offentlige rom. Vi ser at folk opplever økt overvåking fra politimyndighet som går ut over privatlivet. Et eksempel på dette er saker som påtvunget rustest av en gravid kvinne fordi hun uttalte seg kritisk til nåværende ruspolitikk i åpne medier. Opplevelsen av å bli overvåket påfører reell skade på demokratiet og befolkningens tillit.
Vi ser en tendens i saker som Smittestopp og den nye loven for etterretningstjenesten fra 2020: Myndighetene forventer å stadig kunne overvåke befolkningen mer. I tillegg til nedkjølingseffekten kan økt overvåking også ha en «normaliseringseffekt», der terskelen for enda mer overvåkning blir lavere og reaksjonene svakere.
At PST foretar brede søk i åpen informasjon om mistenkte er rimelig. Overvåkingseffekten kommer allerede når man samler inn data. Derfor må man spørre om lagringen er nødvendig?
Høringsnotatet begrunner behovet for overvåking slik: «Det forekommer at åpen informasjon må lastes ned og lagres lokalt før det er mulig å foreta søk i innholdet.» (5.4.2). Men det er ikke forklart noen hinder for at informasjonen mellomlagres ved behov og slettes etter bruk.
Lovforslaget legger ikke opp til utvikling av et system for å hente inn og oppbevare informasjonen. Lovforslaget sier heller ikke at informasjon skal lagres i 15 år, kun at den skal slettes etter 15 år. Det er lov å lagre, men formålet av loven ser ikke ut til å være lagringen.
Vi mener derfor at loven kun burde gi anledning til å mellomlagre informasjon for konkrete oppdrag, og at informasjonen må slettes etter bruk.
Profilering gir risiko for uberettiget mistanke og diskriminering
For mye lagring kan utgjøre en trussel mot borgeres frihet. Det kan også maskinelle avgjørelser.
I forskningsverdenen har man begrepet «p-hacking». Dersom man har mye data og spør mange spørsmål om dataene, vil noen rare sammenhenger dukke opp helt tilfeldig. En hverdagslig illustrasjon: tenk deg at du kastet 10 terninger og halvparten ble 1-ere. Det hadde vært mystisk! Men tenk deg at 10 personer kastet 10 terninger og at man så etter noen som fikk halvparten 1-ere, 2-ere, 3-ere, 4-ere, 5-ere eller 6-ere. Da ville mysteriet vært oppklart.
Kriminalhistorien har flere eksempler hvor uskyldige har blitt dømt fordi omstendigheter oppleves som usannsynlig dersom de var uskyldige. Men med nok data og nok analyse finner man alltid usannsynlige sammentreff (YouTube-kanalen Vsauce2 har nylig hatt en serie om slike saker).
Det er derfor personvernloven setter begrensninger på bruk av automatiske beslutninger og profilering (GDPR artikkel 22). Spesielt vet vi at kunstig intelligens ofte når konklusjoner som både er feil og fordomsfulle (for eksempel Amazons rekrutterings-AI som var kjønnsdiskriminerende).
I lovforslaget er overgangen mellom etterretning og forebygging det mest spennende området: " … dersom PST, når de bruker opplysninger for etterretningsformål, kommer over opplysninger om en person som det er grunn de til å undersøke om forbereder et straffbart forhold som PST skal forebygge, vil de kunne registrere denne person i sine alminnelige registre» (5.2.6).
Er dette greit eller ikke? Et scenario hvor det er greit kunne være om PST overvåker et ekstremt forum og en etterforsker legger merke til en person som kommer med gjentatte farlige meldinger. Et scenario hvor det ikke er greit er om PST kjører alle personer i Norge gjennom en maskinlæringsalgoritme som skal plukke ut de som ligner mest på kjente eksempler på farlig oppførsel. Det siste tilfellet er profilering med stor risiko for feil mistanke og stor risiko for systematiske fordommer i hvem som velges ut. Algoritmene vil fremheve det mest mistenkelige ved personens oppførsel, så en etterforsker som ser over vil være tilbøyelig til å være enig med algoritmen (confirmation bias).
Sagt enkelt: en algoritme vil anklage flere mørkhudede muslimske menn enn hvite kristne kvinner.
Siden lovforslaget kan komme i konflikt med GDPR sin beskyttelse mot profilering, burde høringsnotatet diskutert profilering eksplisitt.
Død komiker dukket opp i nyttårsshow: Islandsk KI-furore ender i parlamentet
Konklusjon
Det er bra at PST sin bruk av åpen informasjon blir lovbestemt og PST skal ikke begrenses mer enn folk for øvrig. Når PST allerede har en forebyggende sak eller etterforskning er det rimelig at de kan laste ned og søke gjennom relevant åpen informasjon. Det er også rimelig at PST kan laste ned og analysere for eksempel aktivitet i ekstreme miljøer på Internett som en del av sitt etterretningsoppdrag.
PST bør derimot ikke ha anledning til å samle inn og beholde informasjon som ikke er relatert til oppdrag. De bør kun innhente informasjon til konkrete oppdrag, og når informasjonen ikke lenger brukes må den slettes. Forslaget om 15 år slettefrist er dramatisk og ikke godt begrunnet i høringsnotatet.
Når det gjelder algoritmer som kan brukes til å identifisere mistenkelige personer bør dette reguleres strengt. PST bør ikke ha lov til å bruke automatiske algoritmer til å identifisere personer for overvåking, da risikoen for uskyldige mistanke og diskriminering er for høy.
Forslaget er i realiteten ikke kun en forlengelse av tradisjonell analog etterretning. Det er trist at lovforslaget ikke tar innover seg hvor kompleks problemstillingen egentlig er. Dermed blir det vanskelig å ha en demokratisk debatt om hvilken overvåking som er grei. Teknologien endrer spillereglene og vår intuisjon må endres når både datamengdene og mulighetene til å behandle dem øker dramatisk.
Om myndighetene gir etter for alle muligheter teknologien skaper så får vi et samfunn der borgernes privatliv og autonomi utarmes. Selv med de beste intensjonene og de beste sikkerhetstiltakene er overvåking en form for undertrykkelse som samfunnet bare kan tåle i små mengder før tilliten vi er så stolte av forsvinner. I verste fall vil vi ødelegge akkurat de egenskapene ved samfunnet vi forsøker å beskytte.
Bedriftene må se på IT-sikkerhet som en investering i stedet for en kostnad
