Data är inte bara egendom. Data är även makt. Vi måste tänka på alla frågor om dataskydd ur ett maktperspektiv: Vem kan samla på sig så stora mängder data att helheten blir någonting kvalitativt annat än summan av sina delar? Det skriver Rasmus Fleischer.
Innebörden av ”personlig integritet” är djupt oklar. Detta medger även Integritetsskyddsmyndigheten, som skriver i sin integritetsskyddsrapport att det saknas en ”vedertagen definition”. Myndigheten förklarar vidare att man utgår från ”en förståelse av personlig integritet som den enskilde individens rätt till privatliv och möjlighet till självbestämmande i det digitala samhället”. Här finner vi någonting relativt ovanligt, nämligen en antydan till en positiv definition av integritet. Inte bara tanken på en sfär fredad från övervakning, utan även en möjlighet till självbestämmande eller suveränitet.
Annars är det legio att ordet integritet får beteckna innehållet i en av två tänkta vågskålar. Integriteten är det som ska vägas mot någonting annat. Det kan vara säkerhet, innovation eller andra värden som uppenbarligen skulle kunna maximeras om det inte vore för denna besvärliga bromskloss. Även om det digitala självbestämmandet lyfts i korthet av Integritetsskyddsmyndigheten, är det bara för att genast åter skjutas åt sidan. Myndigheten har sitt givna uppdrag, grundat i en mer juridisk definition som sägs innebära att fokus ska ligga ”enbart på personlig integritet i bemärkelsen skyddet av personuppgifter”.
Så länge utgångspunkten är juridisk är det ofrånkomligt att integritet handlar om att skydda de enskilda individerna. Målet är att envar, så långt det är möjligt, ”själv [ska] kunna kontrollera vem som använder digitala uppgifter som rör en själv”. Självklart är det angeläget att skydda individer och att se till maktbalansen mellan individ och stat, liksom mellan individ och företag. Men det individcentrerade synsättet blir allt mer otillräckligt i takt med att vad vi faktiskt talar om i tilltagande grad är olika former av artificiell intelligens (AI). Då gäller snarare att summan är mer än delarna: ett plus ett blir mer än två.
Att jag äger mina personuppgifter kan låta robust. Men då har man inte tänkt igenom vad egendom innebär i ett kapitalistiskt samhälle. Kopplat till att äga något är även rätten att sälja det.
Att jag äger mina personuppgifter kan låta robust. Men då har man inte tänkt igenom vad egendom innebär i ett kapitalistiskt samhälle. Kopplat till att äga något är även rätten att sälja det. Därav följer plikten att sälja något för den som är i ekonomiskt trångmål och exempelvis måste betala en skuld. En logisk följd blir även att mina personuppgifter, när de väl har sålts, kan säljas vidare av någon annan, gärna i form av komplexa finansiella derivat. Vilket inte är en helt oriktig beskrivning av de marknader som bär upp den digitala reklamindustrin. Dess livsluft är att vi redan har överlåtit rätten till vår data. Varje dag kan vi se exempel på den liberala kontraktfilosofins gränser i form av de finstilta textväggar som skymmer vår skärmsikt och som vi raskt skriver under genom att klicka ”accept”.
Data är inte bara egendom. Data är även makt. Vi måste tänka på alla frågor om dataskydd ur ett maktperspektiv: Vem kan samla på sig så stora mängder data att helheten blir någonting kvalitativt annat än summan av sina delar? Vilka nya former av maktkoncentration kan då uppstå? Och vem har makten att säkerställa att dessa databaser stannar där de är och inte blir uppköpta eller rentav stulna av någon mer ljusskygg aktör? Livet – inklusive privatlivet – är vad vi lever nu. Men i begreppet integritet finns även en tidslig aspekt. Det syftar bokstavligen på att förbli densamma över tid. När vi talar om dataskydd borde vi i största allmänhet bli tydligare med vilka olika tidshorisonter det gäller. Då blir det också tydligare att det finns olika sorters data.
Många personuppgifter förblir känsliga över lång tid, även efter att den berörda personen själv har gått bort. Andra uppgifter kanske har mer av en realtidskaraktär: känsliga just nu, men svalnar snabbt för att inom några år bli närmast harmlös data. Men så finns också det omvända. Tänk bara på vilka möjligheter som nu finns att utvinna och analysera DNA från minsta hårstrå eller hudflaga, som för några årtionden sedan var föga mer än sopor. Vi får utgå från att det finns vissa former av data som i dag framstår som rätt harmlösa, men som när de samlats i databaser och underkastats framtida analysmetoder får en helt annan sprängkraft. Att förhålla sig till sådant är verkligen inte lätt, men ändå nödvändigt.
Likväl kan inga regelverk till skydd för privatlivet utgöra ett vattentätt skydd mot framtida tekniker. I stället för att resignera inför denna insikt, är det kanske snarare läge att fundera över vad det egentligen är som ska skyddas. Hur väl tjänar oss den strikta tudelningen mellan privat och offentligt? Går det kanske att tänka sig andra former av integritet än den snävt personliga integriteten?
Så länge integritetsfrågan bara kan formuleras med utgångspunkt i den enskilde, följer också något av en narcissistisk tendens som gör farhågorna lätta att vifta bort.
När vi frågar oss om även kollektiv integritet kan vara värd av skydd, bör vi inte utgå från att kollektiven ska vara tydligt avgränsbara grupper. Det kan också handla om språk och sexualiteter, funktionsvariationer och känslotillstånd – eller helt enkelt platser. Fysiska rum, virtuella rum och inte minst arbetsplatser. Ofta är det just platser i vidaste mening, snarare än individer, som är den primära måltavlan för övervakning. Visst blir resultatet ofta ändå ett intrång i vad vi kan uppfatta som den enskildes privatsfär. Men så länge integritetsfrågan bara kan formuleras med utgångspunkt i den enskilde, följer också något av en narcissistisk tendens som gör farhågorna lätta att vifta bort.
Tror du verkligen att de skulle vara intresserade av dig? Nej, kanske inte. Men det kan likväl finnas aktörer som har intresse av att övervaka kollektiva beteendemönster för att bygga databaser som, särskilt med framtida analysmetoder, resulterar i en oerhörd koncentration av makt. Det behöver inte ens vara avsikten. Medieforskare har på senare år tydligt kunnat påvisa hur onda avsikter alls inte är nödvändigt för att nya former av algoritmisk diskriminering ska utkristallisera sig; det räcker att det finns vissa mönster i den data som algoritmerna tränas på för att dessa sedan ska förstärkas, exempelvis om de får guida vilka områden som polisen patrullerar. Risker av dessa slag kommer vi aldrig att kunna avvärja så länge vi är fast i tanken att integritet betyder att varje individ ska äga sin egen data.
En viss form av kollektiv integritet är förvisso redan etablerad, även juridiskt. Det gäller då vad som kallas territoriell integritet, nära besläktat med nationell suveränitet och den militära förståelsen av säkerhet. Dessa värden har ett rätt ambivalent förhållande till den personliga integriteten. Ofta placeras de i var sin vågskål, med den förutsägbara följden att nationens säkerhet kommer att trumfa den personliga integriteten. Som den 25 september 2008, när det stod klart att partipiskan segrat i allianspartierna och riksdagen trots allt kunde klubba FRA-lagen som öppnade för övervakning av all internettrafik. Förvisso med en rad garantier om hur de insamlade uppgifterna absolut inte skulle få användas till andra syften än de tänkta. Men det dröjde såklart inte länge innan dessa löften skingrats för vinden och sedan dess har integritetsdebatten i Sverige aldrig riktigt kunnat återhämta sig. Tröttheten är påtaglig, jämfört med hur det låter på många andra håll i Europa.
Å andra sidan märks kanske en begynnande omkastning av positionerna. Allt oftare hörs varningar för att just ett bristande skydd av privatsfären kan utgöra ett hot mot rikets säkerhet. Oavsett hur lite de enskilda personerna bryr sig om att deras uppgifter läcker, oavsett hur lite personuppgifterna betyder var för sig, kan stora datamängder användas för att lägga pussel som får säkerhetspolitiska konsekvenser. I dagens nya säkerhetsläge märker vi en förskjutning där det främsta argumentet för starkt dataskydd inte alltid är den personliga integriteten, utan nationens säkerhet. Därmed lämnar vi också det liberala ramverket. Individen har inte längre suverän rätt att via avtal sälja ut sin egen integritet, eller ladda ner vilka appar som helst, om det kan få konsekvenser för nationen som kollektiv.
Att varje betalning via Swish och varje inloggning på Bank-id lagras i var sin databas ger en otrolig koncentration av känsliga uppgifter i händerna på privata företag.
En andra ambivalens märks i frågan om pengar. Att kontanter i hög grad har ersatts av elektroniska pengar innebär att varje enskild betalning lagras i en databas. Vem som betalar till vem, när, var och hur. Varje betalning innebär att personuppgifter lagras hos minst ett företag, för att då även bli tillgängliga för brottsutredande myndigheter – men i värsta fall också för brottslingar eller främmande makt, om inte datasäkerheten håller måttet. Här biter heller inte den gängse tanken om att varje individ borde ha ensamrätt till sin egen data. Uppgifter om en betalning omfattar ju per definition minst två parter. Många andra integritetsfrågor borde blekna i jämförelse med hur ingående det går att kartlägga en individ via hennes betalningshistorik. Och ju färre som använder kontanter, desto närmare till hands blir det att misstänkliggöra dem som ännu gör det. Det råder inget tvivel om att de sedlar som fortsätter att cirkulera blir allt svartare. Samtidigt uppmanar MSB alla medborgare att ha kontanter hemma, för i ett krisläge kan vi inte lita på att de elektroniska pengarna kommer att fungera. Läget blir extra prekärt av att vi i Sverige hittills har överlåtit den elektroniska identifieringen via Bank-id till ett konsortium av privata banker, vilka för övrigt också har rätten att neka vem som helst utan att behöva ange orsak. Att varje betalning via Swish och varje inloggning på Bank-id lagras i var sin databas ger en otrolig koncentration av känsliga uppgifter i händerna på privata företag. Om dessa företag skulle misslyckas med sitt dataskydd skulle de säkerhetspolitiska konsekvenserna kunna bli långt värre än en simpel kränkning av Sveriges territorialgränser.
På global nivå framträder ännu en interferens mellan personlig integritet och nationell suveränitet i form av begreppet ”informationssuveränitet”. Ett bra exempel är de internetlagar som Ryssland stiftade år 2014 och som i vissa avseenden stakat ut en riktning för nätpolitiken även i mer demokratiska länder. Med argumentet om att skydda de enskildas personliga integritet stiftas lagar om att olika plattformsföretag måste lagra sin data lokalt. Det verkliga syftet är snarare att ge det egna landets myndigheter lättare tillgång till datan för att kunna övervaka sina medborgare. Med hjälp av patriotisk retorik skjuts alltså själva integritetsfrågan itu i det att utländsk övervakning spelas ut mot inhemsk dito.
Men för de allra flesta stater, inklusive Ryssland, kan denna informationssuveränitet aldrig bli mer än en chimär. För att verkligen betyda något måste den nämligen även omfatta själva hårdvaran. Så länge routers och mobiltelefoner tillverkas i främmande länder får man utgå från att de rymmer en och annan bakdörr som kan utnyttjas av en eller flera säkerhetstjänster. Vad som gör saken än värre är att bakdörrar som installerats i hård- eller mjukvara på order av en stat mycket väl kan upptäckas av skickliga hackers, som i vissa fall kommer att sälja vidare kunskapen till kriminella nätverk. Ännu vanligare förefaller dock det motsatta vara, alltså att stater köper motsvarande kunskap (”zero-day exploits”) på svarta marknaden. Detta är själva utgångspunkten för den nya lagstiftning om hemlig dataavläsning som sedan några år utökat befogenheterna för svensk polis. När polisledningen sedan gått ut och krävt ökade resurser för ”tekniska investeringar” i dataavläsning, betyder det bokstavligen att man vill bidra med ännu fler miljoner till denna globala svarta marknad för zero-days. Samma zero-day kan säljas såväl till polisen som till kriminella nätverk som vill genomföra sina egna dataintrång. När ett köp väl är genomfört, har Polismyndigheten och de kriminella ett gemensamt intresse av att hålla kunskapen hemlig så att säkerhetsluckan inte täpps till. Fastän polisens uppdrag är att förebygga brott, innebär detta förfarande att man aktivt möjliggör en stor mängd nya brott, i global skala.
Frågan om personlig integritet har traditionellt diskuterats utifrån de två polerna privat/offentligt. Som framgått tillkommer nu allt oftare en säkerhetspolitisk dimension utifrån polariteten inrikes/utrikes, för att inte säga vän/fiende. Om man får tillåta sig att vara riktigt spekulativ går det kanske även att ana en tilltagande betydelse för en tredje dimension som handlar om ekologi och hälsa. Då handlar det närmast om det som kallas ”internet of things” och den övervakning som möjliggörs av en fortskridande miniatyrisering som låter olika slags sensorer dyka upp på allt fler ställen omkring oss – och kanske även inne i våra kroppar. Många bedömare menar att sensorer och sändare snart kommer att kunna krympa till storleken av ett sandkorn, för att sedan i stort antal kopplas samman i nätverk av ”smart damm” som kan flyta med strömmar och vindar. Att det kan möjliggöra nya och oanade former av övervakning är möjligen en sekundär farhåga i förhållande till den nedskräpning det innebär att sprida ut mikroskopisk elektronik, som i likhet med mikroplasterna ofrånkomligen kommer att tas upp av växter och djur. Detta scenario må än så länge vara science fiction, men antyder kanske ett behov av att vidga integritetsbegreppet inte bara från personlig till kollektiv integritet, utan även vidare till att hänga samman med frågan om ekosystemens integritet.
Gränserna för vad som är en personuppgift tycks suddas ut, medan dörren öppnas för nya former av bedrägeri.
Men redan i dag, på den simpelt personliga nivån, finns goda skäl att fundera över vad vi lägger i begreppet integritet. Enligt den juridiska förståelsen handlar personlig integritet om skydd av personuppgifter. Som sådana räknas inte bara namn, adress och personnummer, utan även fotografier och teckningar som avbildar människor. ”Till och med en ljudfil med en persons röst kan vara en personuppgift”, upplyser Integritetsskyddsmyndigheten på sin sajt. En så pass bred definition tycks vara gjord för att skjutas sönder av olika undantag. Att varje individ har en absolut äganderätt till de egna personuppgifterna lämnar föga utrymme kvar åt konst, litteratur, journalistik eller politiskt engagemang. Just därför kan den liberala förståelsen av personlig integritet aldrig existera annat än som innehållet i en vågskål som juridiken har att väga mot en mängd andra värden. Så vad hände med ”möjligheten till självbestämmande i det digitala samhället”?
Möjligheten att manipulera bilden av det egna ansiktet har blivit vardagsmat sedan sociala medier som Snapchat lanserade olika slags filter. Någonting motsvarande är nu på väg att ske med rösten. På indiska callcenters har de anställda länge behövt gå kurser för att träna bort sin dialekt och låta mer som en typisk vit amerikan. Men allt oftare används i stället mjukvara som utför samma slags manipulation automatiskt i realtid. Om några år är det sannolikt att vi har tillgång till appar där vi kan välja från en meny av dialekter hur vi vill låta när vi talar i telefon. Därifrån är steget inte långt till möjligheten för AI-stödd imitation av en specifik persons röst, eller ansikte, eller kroppsspråk – så kallade deep fakes. Gränserna för vad som är en personuppgift tycks suddas ut, medan dörren öppnas för nya former av bedrägeri. Men visst fortsätter vi att vara personer med någon form av beständighet, alltså integritet? Frågan är dock om det förblir rimligt att föreställa sig denna integritet som en egendom i liberal mening, alltså något vi kan äga och i vissa fall tvingas att sälja.
Följ Dagens Arena på Facebook och Twitter, och prenumerera på vårt nyhetsbrev för att ta del av granskande journalistik, nyheter, opinion och fördjupning.