. Kista 2002-08-28 Till SAITS-projektets referensgrupp, Först och främst: hjärtligt välkomna till SICS den 5 september kl. 13 16! Det ska bli spännande att höra era kommentarer på den inriktning vi valt för projektet. Det dokument ni får här är ett försök att på så få sidor som möjligt med ett populärvetenskapligt format uttrycka några av de problem vi vill attackera i projektet. Vår finansiär, VINNOVA, ser gärna att SAITS-projektet försöker nå ut så vitt och brett som möjligt med resultaten. Vi har därför valt att beskriva den teknik och de problem vi arbetar med i några olika scenarier. Vi kommer att gå igenom dessa och diskutera deras innebörd för projektet när vi ses i nästa vecka. Vi vill gärna höra i vilken mån de problem vi beskriver är relevanta för era respektive organisationer. Problemen är beskrivna på en ganska generell nivå. När vi nu kommer in i arbetsfasen av projektet kommer vi att konkretisera arbetet med verkliga problem av olika slag. Det gör vi gärna i samarbete med er i olika konstellationer. Vi ser därför gärna att ni försöker relatera de generella scenarier vi beskriver till er organisations konkreta problemsställningar. Dokumentet som följer består av: En introduktion till integritetsproblematiken av Peter Seipel, professor i rättsinformatik Två scenarier om två generella aspekter på integritet: ett av Peter Seipel och ett av Anders R Olsson. Tre scenarier som utgår från teknik som vi bygger/byggt på SICS som försöker illustrera dess integritetsaspekter: modellering av användares intressen av Markus Bylund och Kristina Höök, förtroende i samarbetande system av Olle Olsson, och röstningssystem och digitala pengar av Gunnar Sjödin. 1
Program för eftermiddagen: Kl. 13 Välkomna! Presentation av projektets målsättning och kort om planerna inför det första året, presentation av de som arbetar i projektet. Kristina Höök Kl. 13.20 Deltagarna presenterar sig en minut per person. Kl. 13.30 Kort bakgrund till begreppet personlig integritet, något kort om datalagstiftningen, problematiken, etc blandat med diskussion Peter Seipel Kl. 14.00 Fika Kl. 14.15 Presentation av våra scenarier och den teknik vi fokuserar på samt diskussion om vart och ett av dem (10 minuter vardera plus 5 minuter diskussion) Markus Bylund, Kristina Höök Gunnar Sjödin Olle Olsson Anders R Olsson Peter Seipel Kl. 15.30 Diskussion om projektet, när ska vi ha en workshop, speciella önskemål, etc Alla Kl. 16 Avslutning - bestäm när nästa möte ska ske Kommer: Hans-Olof Lindblom, Datainspektionen Roberto Zamparo, Telia Anette Järn, Telia R Anders Ahlqvist, IT-Brottsroteln, Rikskriminalpolisen Christer Marking, IT-kommissionen Kommer ej men vill ha rapportering: Tommy Svensson, Svenskt Näringsliv Kurt Junesjö, LO/TCO Rättskydd Vägbeskrivning: Vi håller till på SICS i Kista, Electrum-huset, plan 6 med B-hissen. Vägbeskrivning finns här: http://www.sics.se/about/contact.php Välkomna! Kristina Höök, kia@sics.se 2
Innehåll Skydd av användare i IT-samhället: SAITS... 4 Scenarier: Integritetsskyddets förvecklingar...7 Identifiering: Snart är det 2020... 11 Kan vi få titta i vagnen, tack?... 13 Personlig integritet och förtroende... 16 Elektronisk omröstning och digitala pengar... 20 3
Peter Seipel 27 augusti 2002 Skydd av användare i IT-samhället: SAITS Några synpunkter på projektets utgångspunkter och mål Ett mångsidigt projekt Projektets tema skydd av användare i IT-samhället förutsätter ett brett studium. SAITS tyngdpunkt ligger på skyddet av enskilda människors personliga integritet. Man kan tänka sig alternativa inriktningar som t.ex. konsumentskydd och säkerhetsskydd. Inriktningen på integritetsskydd kommer att ge anledningar och tillfällen att ta upp även sådana angränsande frågor. Skyddet av användarnas personliga integritet kommer att studeras från flera utgångspunkter. Grundläggande är trippeln teknik juridik kritik. Med teknik menas både speciella frågor om någon viss teknikanvändning (t.ex. elektroniska pengar) och allmänna frågor om ITsamhällets infrastruktur (t.ex. ständig uppkoppling). Arbetet kommer att fokusera på ett begränsat antal teknikområden som utgör särskilda moduler i projektet. Med juridik menas både rättsvetenskaplig teori och praktisk juridik. Diskussionen rör både gällande rätt och behov att utveckla rätten, nationellt och internationellt. Med kritik menas samhällsdebatt, opinionsbildning och etik. Annorlunda uttryckt: integritetsskyddet som en samhällsfråga och en politisk angelägenhet. Grundläggande är att de tre utgångspunkterna inte fullföljs genom separata insatser i projektet utan att de tvärtom i största möjliga utsträckning kombineras med varandra, sammansmälter, berikar varandra o.s.v. I detta ligger projektets bärande idé, dess ratio. Som projektet är uppbyggt innebär det också att informationstekniska frågor och förhållanden är i förgrunden och präglar vad som tas upp. Detta avspeglas i projektets budget. Teknik och juridik Integritetsskyddets juridik är, vid det här laget, ganska väl genomarbetad såvitt gäller traditionella, rättsliga aspekter. Det finns en omfattande litteratur om integritetsskydd (privacy, Persöhnlichkeitsschutz, personvern etc), både rättsvetenskaplig och mer populär, t.ex. praktiska handböcker. Andra aspekter på integritetsskyddet än de renodlat rättsliga har inte blivit utan uppmärksamhet (statsvetenskap, sociologi, teknik, etik etc.). Här finns det emellertid luckor och sambanden mellan olika infallsvinklar och frågeställningar är långt ifrån klara. Inte minst området teknik och juridik är angeläget att studera som en helhet. Perspektivet har sedan länge tillämpats i nordisk, rättsinformatisk forskning. Det har under senare år tilldragit sig växande intresse, inte minst genom att bli uppmärksammat i den amerikanska diskussionen. Några exempel på samband mellan teknik och juridik inom integritetsskyddsområdet är dessa: (a) Tekniska förutsättningar och faktorer av betydelse för lagstiftningens effektivitet. (b) Teknik för att åstadkomma lagreglerat säkerhetsskydd. (c) Faktorer i teknikutvecklingen som inverkar på lagstiftningens utformning. (d) Utvecklingen av en terminologi som underlättar förståelse av sambanden mellan teknik och juridik. (e) Samspelet mellan tekniska och juridiska faktorer som styrmedel. (f) Betydelsen av tekniska standarder för den rättsliga regleringen och vice versa. 4
Teknik och kritik George Orwells roman 1984 citerades flitigt fram till dess att det olycksbådande året inträffade. Övervakningsvåldet som det skildrades i romanen fick stå som mönster för diskussionen om riskerna med den moderna ADB-tekniken storebror ser dig. Verkligheten blev (naturligtvis) inte just den som Orwell tecknade utan på många vis annorlunda. Men utvecklingen av övervakningstekniker och deras användning i samhället har inte minskat riskerna. För att förstå dem och bedöma dem måste någorlunda sannolika tekniska framtidsbilder tecknas och bedömas. Vilka valmöjligheter gäller? Hur formuleras alternativen när det inte handlar om teknik i isolering utan om samhället i stort och människors situation i vardagen? Som ett exempel på tankegångarna kan nämnas David Brin s The Transparent Society (1998), där Brin ställer frågan om tekniken tvingar oss att välja mellan privacy och freedom. Sammanfattningsvis kommer projektet både att allmänt bidra till att utveckla debatten om integritetsskyddet i framtiden och att placera in projektets olika teknikmoduler (t.ex. elektroniska pengar) i ett brett samhällsperspektiv med tonvikt på integritetsskydd. Att det också finns nära samband med projektets juridiska del behöver knappast nämnas. Ett lärande projekt När projektet nu inleds finns en väl genomdiskuterad ansats, nämligen den trippel som just beskrivits. Det finns också en plan för vilka moduler som skall ingå och hur de skall utformas. Samtidigt gäller att projektet är i hög grad öppet för justering och anpassning med hänsyn till hur det utvecklas och hur kombinationerna av utgångspunkter faller ut. Projektet är alltså i hög grad lärande, inte bara inom den arbetande kretsen av forskare utan också genom hur projektet organiserats med samverkande parter och intressenter som deltar i att utveckla projektet. Grundstrukturen i projektet är given, men inte detaljerna. Tyngdpunkten är given, teknikorienterade frågor kring integritetsskyddet i IT-samhället, men inte hur den kommer att prägla projektets närmare utformning. Att det förhåller sig så är helt naturligt. Med projektets mångsidiga upplägg behövs det en inskolningsfas där de olika synvinklarna preciseras, relateras till varandra, prövas i analys och diskussion o.s.v. Förhoppningen är att när inskolningen är slutförd kommer de vunna kunskaperna och erfarenheterna att kunna utnyttjas också för framtida arbete och utgöra en värdefull del av projektets resultat. Problembeskrivning genom scenarier I projektets öppningsskede är det angeläget att försöka se helheter och de stora dragen hos problemen. Inte minst handlar det om att försöka blicka in i framtiden och dra ut konsekvenser av det som idag är tekniskt möjligt och praktiskt förutsebart. För detta syfte har de medverkande i projektet skrivit ett antal scenarier. Peter Seipel formulerar mot bakgrund av ett praktiskt exempel på förväntad teknikutveckling tre sprickzoner hos det traditionella integritetsskyddet, bl.a. orimligheten hos anspråk på totalskydd. Det behövs studier av interaktionen mellan teknik och juridik som klargör var dessa sprickzoner finns och hur de kan hanteras. Anders R Olsson diskuterar det faktum att människor genom att stegvis och utan närmare diskussion eftersom fördelarna tycks så uppenbara inlemmas i alltmer komplexa kommunikationssystem, får allt svårare att värna sin personliga integritet. Hur kan en meningsfull offentlig debatt om konsekvenserna uppstå? Markus Bylund och Kristina Höök utgår från den teknik som finns för att modellera användares intressen både mönster i stora användargrupper, men också modellering av individers beteenden. Sådan aggregerad information kan vara svårgripbar för användare och 5
man kan gå med på att loggas utan att alltid inse konsekvenserna. Hur kan vi skapa bättre användargränssnitt som gör att användare själva kan ta kontrollen över sin information? Olle Olsson synar problematiken med att fabricera användningsdata för att skapa intresse för en tjänst. Gunnar Sjödin fokuserar på elektronisk omröstning, som innebör möjligheter att hålla rikstäckande val ofta och till låg kostnad. Direktdemokrati blir möjlig (men är den önskvärd?). Systemet kan, särskilt för stater med en ohederlig regering, bli svårare att manipulera än dagens manuella system. Riskerna har att göra med att om man använder sig av ett system som inte är bevisbart säkert så finns alltid faran att någon knäcker systemet och kan manipulera resultatet och/eller förstöra valhemligheten. Sjödin diskuterar också elektroniska pengar där möjligheterna ligger i att förenkla penningtransaktioner i allmänhet och speciellt att göra mikrobetalningar ekonomiskt försvarbara utan att sätta upp speciella konton etc. jag vill ha 12 öre av dig för att du använder det spel jag lagt upp på min hemsida. Men knäcker någon systemet kan det få katastrofala följder för ekonomin. 6
Peter Seipel 17 augusti 2002 Integritetsskyddets förvecklingar En sann historia Det skulle bli jazzkonsert på Kyrkoplan i Mariefred. Högsta klass: en ortens son, känd basist i stora världen, och flera av hans duktiga musikerkompisar. En planeringsgrupp var engagerad, biljetterna förköptes snabbt. Femhundra lyssnare skulle säkert fylla tältet. För tält var beställt, säkrast så. Att ordna musikfest utan tak är att utmana regn- och ruskgudarna, dessa skadeglada blötdjur. Tältfirman infann sig för montering. Bråttom, bråttom. I god tid dagen innan hade skyltar satts upp att Kyrkoplan måste vara fri från bilar. Ändå stod där sex parkerade fordon kvar. De måste bort, och det snabbt. Tid är pengar, också i tältbranschen. En handlingskraftig dam från planeringsgruppen satte igång med att finna ägarna. Fem av bilarna var svenskregistrerade. Ett telefonsamtal till polisen gav hjälp. Flera av dem tillhörde privatpersoner med namnen si och så, och den femte ägaren visade sig vara ett företag högt uppe i Norrland. Telefon dit gav namnet på en säljare på tur i södra Sverige. Fem namn klara och alla visade sig inbokade på hotellet strax intill. Kontakt och bilarna bort. Den tyskregistrerade bilen kunde polisen inte säga något om, tyvärr. Men, skam den som ger sig. Den handlingskraftiga damen ringde till polisen i Berlin. Mannen i den tyska luren visade sig bara tala sitt eget språk, ingenting annat. So, bitte, was wollen Sie eigentlich? Den handlingskraftiga damen staplade sig fram på tyska. Mannen i Berlin hade svårt att förstå. Vad? Ska ni resa till Berlin och önskar parkera bilen? Men efter en stunds hoppande på glosornas förrädiska tuvor kom frågan fram. Beskedet blev att den tyska lagstiftningen inte tillåter att polisen lämnar ut namnen på bilägare. Tyvärr; Auf wiederhören. Den handlingskraftiga damen gjorde ännu en raid in på hotellet, chansade och lyckades med en portion tur i matsalen bland frukostgästerna finna ägarna. Bilen bort. Två timmar drygt hade tältgubbarna fått vänta. Utan den handlingskraftiga damen hade det nog dröjt mycket längre. En kanske sann historia Det skulle bli jazzkonsert på Kyrkoplan i Mariefred. Levande framföranden hade blivit alltmer populära under 2050-talet. Trots MMK:s (multimediakommunikationens) utveckling mot allt större fullkomning av upplevelser fanns det ett stadigt sug efter verklig verklighet, närhet, trängsel, samvaro eller vad det nu kunde vara. Nostalgi var det kanske som gjorde att ett tält skulle resas för evenemanget, inte en vanlig ballosfär utan ett rejält gammaldags, retro-cirkustält. Det fanns faktiskt fortfarande företag som levde drägligt på att hyra ut sådana, mest för mindre evenemang, kan man tänka. När tältfirman kom till platsen stod trots maningen att flytta alla fordon fortfarande sex stycken i vägen. Basen för monteringsgänget plockade fram sin DA (digitala assistent), lät den känna av fordonens identitet och begärde meddelanden till aktuell förare. FC (filtreringscentret) svarade, kollade, och godkände kontakt med prioritet blå. Meddelandet gick ut och pip eller surr fick sex personer att ägna sig åt sina DA. Någon väcktes i sin säng på hotellet intill, några blev avbrutna i hotellfrukosten, några i sina morgonbestyr hemma. Alla hade nära till bilarna som snart var borta. Tältbasen såg på tiden och konstaterade irriterat att laget blivit sinkat med en hel kvart. Det hade vart bättre, tänkte han, att lägga 7
parkeringsförbudet på aktiv sändning och stoppa motorn på dom som försökte köra in på torget dan innan. Om rättsfigurer En rättsfigur är ett logiskt begrepp. Enkelt kan man beskriva en rättsfigur som en klunga av begrepp, föreställningar, regler, erfarenheter. Rättsfigurerna varierar i omfattning och struktur. De har ett centrum eller fokus som håller ihop och bildar sammanhang. Exempel på sådana centra är egendom, skadestånd och rättskraft. Rättsfigurer har stor överlevnadsförmåga i förhållande till ändrade förhållanden i samhället. Den romerska privaträttens rättsfigurer har således i betydande utsträckning överlevt in i modern tid. Men överlevnaden förutsätter att rättsfigurerna kan förändras, att de lånar sig till nya tolkningar, att de kan omstruktureras och förnyas. Rättsfiguren integritetsskydd har sitt ursprung i människors krav på respekt för den egna personen. Utan att gå tillbaka till rättshistoriens detaljer kan det räcka att peka på att tyngdpunkten hos rättsfiguren har förskjutits från kroppsligt integritetsskydd till informationsrelaterat. Utvecklingen leder från t.ex. äldre tiders skydd mot godtycklig häktning ( habeas corpus ), via skyddet mot skandalpressens övergrepp till dagens EG-direktiv om skydd av persondata. Integritetsskyddets utveckling hänger självklart samman med utvecklingen i samhället på många plan: attityder, levnadsförhållanden, kommunikationer, informationsteknik. För den gren av rättsvetenskapen som rättsinformatiken utgör är det en angelägen uppgift att analysera hur det moderna informationssamhällets rättsfigurer utvecklas och hur samspelet ser ut mellan informationstekniken och rättssystemet. Man kan tala om interaktionsstudier. Mot bakgrund av de två inledande berättelserna om bilarna på Kyrkoplan följer här några synpunkter på några angelägna interaktionsstudier av rättsfiguren integritetsskydd: Integritetsskyddets fortsatta omvandling Integritetsskyddets orimlighet Säkerhetsskydd och integritetsskydd Integritetsskyddets fortsatta omvandling Den tyske polisen gav ett annat besked än den svenske. Hur rimmar detta med tanken om en enhetlig reglering i Europa av integritetsskyddet? Internationaliseringen kommer överhuvudtaget att prägla alltmer av rättsutvecklingen framöver. Integritetsskyddet kunde bara för några årtionden sedan betraktas som en i första hand nationell angelägenhet. Idag är förhållandet det omvända, vilket inte minst friktionen mellan EU och USA ger en illustration till. IT driver på internationaliseringen och försvårar och komplicerar hanteringen av integritetsskyddet. Den gör det nödvändigt att delta i ett allt intensivare samtal över gränserna. Berättelserna om bilarna på Kyrkoplan påminner inte bara om integritetsskyddets internationella dimensioner utan också, och framför allt, om hur informationsbehandlingen mer eller mindre snabbt förändras. Förändringarna är eller kan vara så grundläggande att integritetsskyddet får nya dimensioner och måste ses i helt annorlunda perspektiv. David Brin är en av dem som prövar att bryta mark i boken The Transparent Society (1998). Brins grundidé är att transparensen behöver förstärkas snarare än skyddet för privacy. Vi måste, menar Brin, lära oss att leva med större öppenhet eller i varje fall med en öppenhet som balanserar riskerna att tillgången till detaljerade uppgifter om människor monopoliseras och blir en tillgång bara för makthavare. I Sverige är Jan Freese en talesman för idén om allemansrätt till personuppgifter och Anders R Olsson har i bl.a. IT och det fria ordet (1996) skärskådat integritetsskyddets negativa konsekvenser för informationsfriheten. 8
Rättsinformatiken strävar efter att kritiskt granska integritetsskyddets gällande reglering i ljuset av hur informationssystemen förändras. En liten kommentar kan räcka för att antyda vilket slags diskussioner det blir fråga om. I En sann historia var det nödvändigt för en privatperson att få reda på namnen på bilägarna för att kunna finna dem och be dem flytta bilarna. I Tyskland såg polisen det som ett olovligt intrång att lämna ut sådana uppgifter. I Sverige gick det däremot bra. I En kanske sann historia är informationssystemet ett annat och ger andra förutsättningar för hanteringen av uppgifterna. Basen för tältresarlaget behöver inte få veta vilka bilägarna är. De förblir anonyma för honom han vet inte ens om det är ägarna eftersom meddelandena gick till dem som är aktuella förare av bilarna. Kanske är de ägare, kanske inte. Inte ens i Tyskland borde det finnas invändningar mot förfaringssättet. Å andra sidan lär vännerna av ett starkt integritetsskydd invända att det är oacceptabelt att systemet i varje läge vet vem som är förare av en viss bil och var bilen befinner sig. Integritetsskyddets försvarare kan också ha synpunkter på att meddelanden filtreras och att någon annan än adressaten själv bestämmer vilken prioritet olika meddelanden skall ha. Kort sagt diskussionerna om integritet skiljer sig en hel del i fallet idag och fallet i morgon. Att utveckla teknikscenarier, att placera dem i vardagslivet och relatera dem till rättsfiguren integritetsskydd är nödvändigt för att ge rättssystemet beredskap att hantera det slags informationstjänster som är på väg. Regeringens IT-kommission kallar dem breddtjänster och har med olika exempel klargjort vad det handlar om i en nyligen utkommen rapport (SOU 2002:51). Integritetsskyddets orimlighet Berättelsen i En kanske sann historia visar indirekt på en problematik som kan kallas integritetsskyddets orimlighet eller paradox. Den kan formulera så här: Informationstekniken gör det möjligt att allt effektivare fullfölja olika syften, t.ex. att i varje ögonblick hålla reda på vem som är förare av en visst fordon. Effektiviteten innebär skärpta hot mot individens integritet. Ju mer kvalificerade informationstjänster, desto större integritetshot och desto större behov av bromsar och lås på informationsbehandlingens effektivitet. Problemet kan formuleras på många sätt. Informationstekniken medger behandling av personuppgifter i hittills oanad omfattning och finkornighet. Därför måste det rättsliga integritetsskyddet vara starkt och finförgrenat. Men om integritetsskyddet görs starkt och finförgrenat omöjliggörs den behandling av personuppgifter som tekniken möjliggör och som efterfrågas i samhället. Att integritetsskyddet innebär avvägningar och kompromisser är ingen nyhet. Den starka motsättning som orimlighetstesen formulerar kan därför tyckas sakna praktiskt intresse. Men fullt så enkelt förhåller det sig inte. Vissa av avvägningarna och kompromisserna kan nämligen föras upp på ett mer principiellt plan. Det gäller inte minst valet mellan en s.k. hanteringsprincip och en s.k. missbruksprincip som grund för lagstiftning. Den förra principen bygger på att behandling av personuppgifter i IT-miljö i princip är integritetshotande. Därför måste varje behandling ha ett rättsligt stöd eller, med andra ord, en grund i lagstiftningen. Det kan vara de berörda personernas samtycke eller vissa i lagen medgivna ändamål. Missbruksprincipen innebär däremot att all behandling är på förhand medgiven men att sådan behandling som innebär missbruk leder till sanktioner, t.ex. förbud och skadestånd. Ett annat uttryck för integritetsskyddets orimlighet är att detta skydd, om det tillämpas strikt, innebär att yttrandefriheten äventyras. Därför måste verksamheter som har med yttrandefriheten att göra 9
generellt undantas från personuppgiftsskyddet. En praktisk illustration ger Domstolsdatautredningens nyligen framlagda förslag som avser att förhindra att det med elektroniska hjälpmedel skall gå att få fram upplysningar om domar m.m. mot enskilda personer. Från massmediehåll har omgående kommit invändningar, vilka går ut på att överheten skyddar sig själv och att undersökande journalistik försvåras. Om utredningens förslag blir lag går det inte, menar kritikerna, att få fram upplysningar om t.ex. extremhögerns kriminella belastning. IT-utvecklingen gör det nödvändigt att formulera och tydliggöra integritetsskyddets inneboende konflikter, att spetsa till dem. Abstrakta risker för intrång skall ställas mot konkreta. Själva begreppet integritetsskydd måste problematiseras. Det kan mycket väl förhålla sig så att tanken att skyddet går att upprätthålla i vissa sammanhang visar sig illusorisk. Det kan också vara så att informationssystem kan konstrueras så att konflikterna reduceras eller till och med elimineras. Den från underrättelsetjänsten välkända principen för tillgång till information, behov att veta, kan då vara en av utgångspunkterna. Räcker det för journalisten att snabbt få veta att över 70 % av de intressanta namnen på valsedlarna är brottsbelastade eller måste journalisten ha detaljuppgifter om varje enskild individ? Säkerhetsskydd och integritetsskydd Ett gott säkerhetsskydd är inte tillräckligt för att tillgodose integritetsskyddets alla behov. Men ett gott säkerhetsskydd är en nödvändig förutsättning för att integritetsskyddet skall kunna tillgodoses. För att anknyta till berättelsen En kanske sann historia ; vad har det för mening att tillämpa en prioritetsordning för meddelanden och vem som helst kan lura till sig rätten att få använda prioritet blå? Mot den bakgrunden kan man se åtminstone två grundläggande problem. Det ena är att många insiktsfulla bedömare ifrågasätter om det går att åstadkomma ens ett rimligt mått av säkerhet i dagens vittförgrenade, globala och öppna informationshantering på datanäten. Det andra är att säkerheten i teori och praktik har blivit ett alltmer komplicerat ämne, otillgängligt för andra än specialister och svårt att förklara för lekmän. Frågan är hur pass allvarliga dessa problem är för integritetsskyddets fortsatta utveckling. Det verkar under alla omständigheter angeläget att gå från en allmänt hållen diskussion till en diskussion som bygger på djupare insikter i frågorna och på specialstudier av konkreta frågor, t.ex. säkerheten vid användning av elektroniska pengar eller vid elektroniska omröstningar och val. Från juridisk synpunkt finns det bl.a. anledning att granska begreppet teknikoberoende lagstiftning. Begreppet lanseras ofta i lagstiftningssammanhang som en vägledande princip för utformningen av reglerna. I den mån principen går ut på att rättssystemet kan nöja sig med att uppfatta den informationstekniska miljön (arkitekturen) som en svart låda leder den fel. För lagstiftaren är det tvärtom ofta nödvändigt att vara väl förtrogen med teknikens hur?, varför? och vad?. Detta gäller inte minst i säkerhetssammanhang. Ett exempel hämtat från integritetsskyddet ger begreppet adekvat skyddsnivå som förekommer i regleringen av behandling i utlandet av personuppgifter. Är begreppet meningsfullt från säkerhetsteoretisk synpunkt? Går det i så fall att konkretisera till ledning för dem som i praktiken ska ta ställning till om deras hantering är legal eller ej? Dialogen mellan juristen och säkerhetsexperten behöver utvecklas. Från ömse håll behövs bättre insikt i motpartens sätt att resonera. Det behövs gemensam terminologi, det behövs en gemensam säkerhetsteoretisk ram. 10
Anders R Olsson 14 augusti 2002 Identifiering: Snart är det 2020 Ett gammalt ryskt ordspråk säger att människan består av kropp, själ och pass. (I Ryssland fordrades länge pass även för inrikes resor.) Denna visdom kan idag förkortas till kropp och själ, men endast därför att den fysiska kroppen fungerar som pass. Om medborgaren en bit in på 2000-talet fortfarande kan anmodas att visa upp en giltig identifierings-handling för att resa utomlands, rösta, köra bil, handla på kredit, lösa ut försändelser, hyra en videofilm eller utnyttja en social förmån, kommer identifiering med biometri-teknik snart att bli allt vanligare. Bilen startar först när den har identifierat sin ägare vid ratten, dörren till bostaden kan öppnas bara av dem som bor där, vi går ut från livsmedelsbutiken med varor utan någon betalningsprocedur - affärens system identifierar och godkänner oss när vi går in, registrerar vad vi bär ut och debiterar vårt konto automatiskt. (Vill vi ha ett kvitto kan vi trycka på en knapp vid utgången.) Där tillträde av något skäl beviljas oss men inte alla - det kan gälla vad som helst från arbetsplatsens lokaler till en webbplats där vi med sekretessgaranti kan kommunicera med läkare - är det med fysiska egenskaper (fingeravtryck, öga, röst, etc) vi öppnar det som är stängt för andra. Förutsatt att dessa system fungerar väl - vilken de så snart teknikens barnsjukdomar har övervunnits rimligen bör göra - blir de tidsbesparande, billiga och trygghetsskapande. Incitamenten för utvecklandet av systemen är således många och starka. Problemet är att vi saknar såväl kunskaper som forum för diskussioner - i tid! - om systemens eventuella avigsidor. Just därför att alla har så mycket att vinna på säker identifiering - snabbt och överallt - blir utvecklingen svårstoppad. Först när man tänker sig att den politiska, tekniska och massmediala utvecklingen fortsätter i tangentens riktning ytterligare ett par decennier blir problemen tydliga. Är nedanstående framtidsscenario bara en orealistisk dystopi? Jag är inte helt säker. Vid vilken punkt och med vilka medel skulle vår färd nedför det sluttande planet hejdas? Scenario 2020 är säkerhet är det allt överordnade intresset. Vägar, stadsgator, torg och köpcentra är kameraövervakade. Filmerna arkiveras för eventuellt framtida bruk, eftersom det ofta först senare visar sig vilka sekvenser som behövs. All film från en viss dag, i en viss del av staden, kan flera månader eller år senare köras genom kraftfulla datorer vars program kontrollerar om en viss individ har visat sig där. Åklagare kan med filmerna spräcka vissa misstänktas alibi, och försvarare kan ge andra misstänkta - som är oskyldiga - det alibi de behöver. Att uppträda maskerad på allmän plats kräver särskilt tillstånd. Vid kontrollbehov av platser som markbaserade kameror normalt inte täcker kan filmer tagna från satellit ofta kompensera. En motsvarande övervakning har etablerats för all tråd- och eterburen kommunikation. Även här sparas materialet för den händelse man inom rättsväsendet eller andra myndigheter behöver det längre fram. Information som är starkt krypterad sparas för sig - kryptot visar sig ofta kunna knäckas senare. Den mycket långtgående övervakningen av såväl fysiska som digitala miljöer har växt fram enligt ett enkelt mönster. Ett allvarligt/brutalt brott utförs, och sedan bilder och detaljerade skildringar av gärningen har spridits till allmänheten uppstår en stark opinion för den sorts 11
övervakningsåtgärder som (i bästa fall) förhindrar en upprepning eller (åtminstone) ökar polisens möjligheter att i efterhand finna gärningsmannen. Stora brott, som terrorattacken på Manhattan den 11 september 2001, resulterar i stärkt polisiär kontroll på många plan, medan t ex mordet på en taxichaufför på våren 2002 snabbt ledde till installerandet av övervakningskameror i taxibilar. Särskilt de uppmärksammade fall av sexuella övergrepp på barn där förövaren fick kontakt med sitt offer via Internet har ansetts motivera en skärpt kontroll av Nätet och de långtgående förbuden mot pseudonymer och annan anonym kommunikation. Andra former av kontroll utövas på Internet med kommersiella motiv. Konsumtion av upphovsrättsligt skyddat material är belagt med avgifter som normalt är låga, vilket bl a beror på att rättighetshavarna effektivt kan följa verkens spridning och alltid debitera varje ny konsument. Det utvecklade systemet för mikrobetalningar gör administrationen enkel. Överhuvudtaget kräver den omfattande e-handeln - främst för att förhindra bedrägerier och möjliggöra en effektiv skattekontroll - att uppgifter om enskildas konsumtion samlas, arkiveras och hålls tillgänglig för en rad aktörer inom såväl privat som offentlig sektor. Att materialet (enskildas konsumtionsdata) också får användas för rena marknadsföringsändamål har tidvis varit omstritt, men framförallt två faktorer har gjort det möjligt. För det första har företagen, särskilt de multinationella koncernerna, utnyttjat sin utomordentligt starka position som påtryckare till att motverka alla politiska beslut som skulle inskränka möjligheterna att bearbeta konsumtionsdata. För det andra tycks alltför många konsumenter uppskatta den intelligenta reklamen, den som bygger på en individuell analys av just deras intressen och köpbeteenden, för att opinionen mot ett ohämmat kommersiellt utnyttjande av konsumtionsdata ska få tillräcklig styrka. 12
Kristina Höök och Markus Bylund 25 juni 2002 Kan vi få titta i vagnen, tack? Kia och Markus är på Coop Forum för att göra en storinhandling. Så här veckan före midsommar ska de förstås köpa sill, något gott att grilla, och jordgubbar. De tar sin Shop ngo-vagn och börjar fylla den. Grillkolen står uppställd nära ingången så de passar på att lägga i en påse. Kia oroar sig för att de blir så många, så hon ber Markus att gå tillbaka och ta en extra påse grillkol. När de närmar sig köttdisken föreslår Shop n-go-systemet fläskkarré i storförpackning till extrapris. När de lägger i fläskkarrén i kundvagnen glömmer de att registrera köpet. Det beror egentligen på att Markus kommer med den extra grillkolspåsen precis när Kia ska lägga ned ett stort paket fläskkarré. Markus vill titta på karréns bäst-före-datum eftersom han tror att alla extrapris gäller gamla varor som affären vill bli av med. Datumet visar sig vara helt ok och Markus lägger i varan i tron att Kia redan registrerat den. Precis bredvid fläskkarrén har de ställt upp marinader och Kia och Markus får ett tips om en marinad som de väljer att köpa. Marinaden har köpts av många andra som köpt grillkol och blev därför rekommenderad. När inhandlingen är färdig och de är på väg ut blir de stoppade av Shop n-go-personalen. Dessa gör regelbundna stickprover i shoppingvagnarna. Personalen upptäcker fläskkarrén och både Markus och Kia ser helt förvirrade ut och det hela blir mycket pinsamt. Det visar sig att Shop n-go-systemet noterat att de köpt grillkol och marinad men inget kött trots rekommendationen och att Kia och Markus ofta köper kött (insamlade data från tidigare inhandlingar). Ofta försöker kunder stjäla just kött. Därav stickprovskontrollen som Kia och Markus trodde var slumpmässig, men som i själva verket skedde på ett utvalt riskbeteende. Misstaget klaras ut, men Kia och Markus känner sig oerhört pinsamt berörda och tvekar inför att åka till Coop Forum igen. Teknikinnehåll I en global informations- och tjänstevärld har vi fått allt svårare att finna exakt den information och de tjänster som skulle vara allra bäst för oss. Företagen och myndigheter har hittills löst detta genom att göra reklam för sin information och sina tjänster i tidningar, på stora annonstavlor och överallt där människor finns och möts. I framtiden kommer det att finnas många lösningar på det problemet. Vi är speciellt intresserade av lösningar som utnyttjar teknik som vet vad andra personer gjort på en viss fysisk eller virtuell plats (kontext) för att sedan kunna ge rekommendationer av information och tjänster till den individuelle användaren. Det kommer att finnas en uppsjö olika scenarios och teknik som utnyttjar olika aspekter av sådan social kontext, och scenariot ovan var ett sådant exempel. När Kia och Markus gjort sitt första inköp, grillkolen, kan systemet börja rekommendera andra varor som ofta köps samtidigt som man köper grillkol. Dessa rekommendationer baserar sig på vad andra gjort tidigare, vilka varor de köpt vid samma inhandlingstillfälle. Extra värdefulla kan dessa rekommendationer bli om man baserar dem endast på andra kunder som liknar Kia och Markus. Genom att läsa av inköpsbeteendet bakåt i tiden för många kunder kan man finna s k kluster av beteenden som liknar varandra. Utöver rekommendationerna som baseras på registrerade köp så bygger även Shop n-gosystemet på information om var i affären en viss köpare befinner sig. Det visade sig i scenariot ovan genom att Kia och Markus fick rekommendationen att köpa marinaden just när 13
de passerde hyllorna med denna. Det blir allt vanligare med system som på detta sätt intresserar sig för information om användares kontext, s.k. kontextkänsliga system. I det här sammanhanget definieras kontext mycket brett och utan tydliga gränser. Det kan t.ex. handla om användares fysiska kontext som kan sägas definieras av användarens position, användarens hastighet i rummet, temperaturen i användarens omgivning o.s.v. Det kan även handla om användarens sociala kontext som utgörs av t.ex. familj, vänner, kollegor och ibland övriga personer i användarens närhet. Personlig integritetsproblem I det scenario som beskrivs ovan återkommer en diskussion kring möjligheten att se vad andra gjort på en virtuell eller fysisk plats och att få stöd i sitt eget val utifrån deras agerande. Med lite tur ger det kunden stöd att köpa just det man behöver (och kanske lite till). Utifrån individens perspektiv (Markus och Kia) så lämnar de inte ifrån sig speciellt känslig information. De handlar viss mat och deras inköp blir registrerade. Problemet uppstår först när man ser det stora mönstret. När vi kan logga många människors beteenden så kan vi finna de mönster som gör att vi kan modellera deras behov förhållendevis väl. Även om individen inte känner sig kränkt blir i praktiken konsumentgruppen svagare i förhållandet till kommersiella intressen. Företagen kan (ännu bättre) modellera våra köpintressen och rikta sin reklam mer fokuserat på gott och på ont. Ingen kommer att företräda dessa konsumenter eftersom man tar fram dem (klustrar dem) dynamiskt och kontinuerligt. Det blir inte en homogen grupp av t ex äldre (som kan företrädas av PRO) utan gruppen formas utifrån ett tillfälligt modellerat intresse användare emellan. Det andra problemet i dessa scenarios är huruvida jag som enskild användare måste ta ansvar gentemot den (virtuella) gruppen av användare. I vanliga fall ser vi varandra och de handlingar vi gör hålls vi ansvariga för. I en virtuell värld är vi inte lika synliga för varandra det blir inte uppenbart för mig att om jag köper grillkol och fläskkarré tillsammans så kommer andra kunder blir rekommenderade samma sak som jag valt. Det blir viktigt för oss som skapar system att finna lösningar där jag ser dig, du ser mig, och jag ser att du ser mig och vi vet båda om det. Sådana lösningar gör det möjligt för mer självreglerande sociala system. Att göra det möjligt för olika slutanvändare att se varandra är ett mindre problem än att göra företagen mer synliga för oss slutanvändare? Vad är det Amazon.com modellerar av mitt beteende och på vilket sätt kan jag och Amazon komma i ett bättre maktförhållande där de inte utnyttjar den rika information de har om mina läs- och musikvanor på ett (för mig) negativt sätt? Ett tredje problem rör den grupp av användare som inte gillar att synas på det här viset. I litterature benämns de ofta som introverta. De skulle inte vilja låta någon veta vilken litteratur de läst eller vilka bookmarks de har. De skulle inte vilja låta Coop Forum-personal se vilken mat de brukar köpa och ge rekommendationer utifrån det. Dessa personer är i praktiken utestängda från alla ovanstående tjänster och inga riktigt bra alternativ gives. Även de kontextkänsliga inslagen i Shop n-go-systemet ger en köpare flera skäl att oroa sig för kränkningar av sin personliga integritet, särskilt om man i en förlängning ser en uppsjö av kontextkänsliga tjänster framför sig. Ett av de största skälen till detta är att det kan vara svårt att se kopplingen mellan kontextinformation och kränkning. Små mängder med isolerad information om individuella användares omgivning, som till synes i sig själv är helt harmlös, kan aggregeras med annan personlig information över tiden och till slut utgöra en betydande modell av individen och dess liv och leverne. Sådana modeller kan t.ex. användas för riktad marknadsföring vilket i vissa fall kan anses vara mycket kränkande. Omvänt så kan modellerna användas för att stänga ute individer från marknader (t.ex. kredit- och försäkringsmarknader) vilket ännu tydligare kan utgöra en kränkning. 14
Utöver användande av kontextinformation som sträcker sig utanför det som användarna ursprungligen tänkt sig eller varit införstådda med, så finns alltid risken att informationen missbrukas av andra än de som ursprungligen samlat in den. Ibland sker detta helt lagligt som när företag som samlat på sig stora databaser med kontextinformation om individer köps upp av eller slås ihop med andra företag, i vissa fall i helt andra branscher. I andra fall sker spridningen genom illegala intrång i databaser eller rena stölder. I åter andra fall sker spridningen genom rent slarv av de som samlar in och lagrar informationen. Slutligen så finns alltid risken, vilken erfarenheter har visat vara större än man först skulle kunna tro, att information som samlas in om användare är felaktig. Ibland har informationen aldrig varit korrekt av olika skäl. Person X har kanske aldrig varit på plats Y trots att denna information finns lagrad i en databas om X. I andra fall har informationen över tiden blivit felaktig. Individer ändrar sina vanor och intressen men det är mycket svårt att automatiskt låta dessa förändringar återspegla sig i databaser med kontextinformation, och ännu svårare i databaser som bygger på aggregerad och förfinad information. Om felaktig information av dessa slag används för att fatta beslut om användare så finns givetvis en stor risk för att användaren kränks på olika sätt. 15
Olle Olsson 28 augusti 2002 Personlig integritet och förtroende Ett fall En tidningsnotis från framtiden Kan man lita på resebyrån? Karl och Ada ville skaffa sig en extra inkomstkälla, och öppnade en webb-plats för charterresor till Svalbard, www.till-svalbard.då. Det outsagda målet var inte att sälja resor, utan att sälja kundinformation till andra researrangörer. Genom att locka till sig många besökare och samla information om vilka egenskaper deras resor bör ha, så skulle en stor databas byggas upp, och det är denna som vid ett senare tillfälle skulle säljas. De visste att det är hård priskonkurrens på nätet, och att det finns en stor tveksamhet hos tänkbara kunder till huruvida nättjänster är att lita på. Många kunder har blivit lurade, och efter några smärre folkstormar har det etablerats, hos den oberoende organisationen www.vi-som-reser.nu, en webbplats för att samla information om hur kunder blivit bemötta på olika webb-platser. På vi-som-reser kan besökare till en rese-webb-plats ge sina bedömningar om hur trovärdig denna plats är, till exempel m.a.p. konfidentialitet och hanteringen av besökarinformation. För att, som Karl och Ada uttryckte det i ett samtal med SVTs Konsumentmagasin, få en start med efterbrännkammare på sin webb-plats, så började de pumpa stora mängder positiva bedömningar om sin egen plats till-svalbard till vi-som-reser. Detta fick som effekt att Karls och Adas webbplats direkt fick ett stort antal besökare, som besvarade frågor om preferenser för olika reseformer. Den databas som byggdes upp av all denna data såldes snabbt till den stora resebyrån Far-och-Flyg, som nu kunde designa sitt reseutbud till Svalbard. Far-och-Flyg blev direkt den dominerande försäljaren av sådana resor, och är kända för att tillhandahålla perfekta turistpaket till marknaden. Integritet, risker och rykte Skydd av personlig integritet handlar bland annat om att minska riskerna för att information om en själv utnyttjas på ett icke önskvärt sätt. Problemet med att minska riskerna kan hanteras på många olika sätt. Ett sätt är att undvika att hamna i situationer som medför sådana risker. Ett exempel på sådana situationer är då man besöker en webbplats och såväl implicit som explicit ger webbplatsen tillgång till information om en själv. Har vi garantier för att sådan information skyddas mot oönskad användning? Egentligen inte. Informationen om oss flyter in i en annan domän, och vad som sker med informationen där, såväl direkt som vid senare tillfällen, är för oss helt förborgat. Borde vi undvika webbplatsen? Naturligtvis beror det på varför vi besöker den, och huruvida det finns tvingande skäl att besöka den. Som ett exempel på ett tvingande skäl kan vi se ett framtids-scenario där inkomstdeklaration sker via webben, och i sådana fall har vi inget val. Webbplatsen med sina tjänster måste besökas för att fullgöra våra samhälleliga plikter. Men det finns självklart situationer där tvingande skäl inte föreligger. Vi kan ha ett behov som möjligen kan tillfredsställas av webbplatsen, och det kan vara fördelaktigt för oss att utnyttja dess tjänster. I scenariot ovan gavs ett sådant exempel: en önskan att hitta trevliga semesterresor. 16
Av vilka skäl kan vi känna oss trygga då vi besöker en webbplats? Det egentliga skälet är att vi har förtroende för att vår interaktion med platsens tjänster inte kommer att skapa problem för oss i framtiden. Varifrån kommer då detta förtroende? Två huvudsakliga skäl kan särskiljas: (1) att webbplatsen representerar en ansvarfull organisations, t.ex. en samhällsfunktion,och därmed bör följa strikta förordningar som har skapats för att skydda medborgarna, och (2) att webbplatsen har ett gott rykte. Om något av dessa skäl föreligger, så känner vi vanligen trygghet. En outsagd förutsättning, en förutsättning som måste föreligga för att vårt förtroende skall vara välgrundat, är att webbplatsen faktiskt är det den utger sig för att vara. Webbsidan visar Riksskatteverkets logotype, och är utformat på ett sätt som ser myndighetsvärdigt ut, men är det verkligen en webbsida som myndigheten Riksskatteverket tillhandahåller? Detta problem, identitetsproblemet, är ett reellt problem, som bearbetas inom forskning, utveckling, standardisering och samhälle, men vi kommer i detta scenario att anta att det det är hanterat på ett adekvat sätt. Dvs, en användare har ingen anledning att tvivla på webbplatsens identitet. Det första skälet som som nämndes ovan, t.ex. att vi behöver interagera med en samhällsfunktion, leder typiskt till att vi inte upplever att vi löper risker då vi utnyttjar en av dess webbtjänster. Det andra skälet, att webbplatsen har ett gott rykte, är mer intressant. Varför har webbplatsen ett gott rykte? Och vad menar vi med rykte? Och varför skall ryktet ha betydelse för hur vi hanterar risker för kränkning av den personliga integriteten? Vad vi redan nu ser är att i den nätverkade IT-världen skapas vad vi bör kalla sociala sammanhang. Det vill säga, på samma sätt som vårt beteende i den fysiska världen påverkas av det sociala sammanhanget, så kommer vårt beteende i den nätverkade världen att påverkas av det sociala sammanhang som den skapar. I den fysiska världen påverkas våra beteenden av hur vi upplever att andra människor beter sig. Vi observerar deras beteenden, vi får information (t.ex. skvaller) om hur andra beter sig, vi tar aktivt reda på hur andra beter sig, och vi tar ofta reda på varför de beter sig som de gör. Ett sätt att uttrycka detta är att säga att vi lär oss av egna och andras erfarenheter och föreställningar. I den fysiska världen har vi en uppfattning om vilka situationer som kan vara riskfyllda. Detta gäller inte bara fysiskt riskfyllda, utan också riskfyllda med avseende på hur information om oss sprids. Vi lär oss att bete oss på ett sätt som minimerar riskerna. Och vi är ofta villiga att delge dessa erfarenheter till andra. Dessa andra kan vara personer i vår fysiska närhet. Till våra närstående ger vi t.ex. information om att köp inte en Samsung TV. Den jag köpte gav mig bara problem. Men vi signalerar även till andra som vi inte direkt känner, t.ex. genom en anmälan till Konsumentverket om att de garantier som Karlssons Tvätt lovar, de uppfylls inte, och på detta sätt kan personer som är långt från oss dra nytta av våra erfarenheter. Detta sätta att dra nytta av kollektiva erfarenheter är en av drivkrafterna i den fysiska värld vi lever än. Den typen av drivkraft kan vi även utnyttja i den nätverkade världen. Den signifikanta skillnaden är att i den fysiska världen har vi en praktisk uppfattning om vem vi bör dela erfarenheter med, oftast de som vi regelbundet kommer i fysisk kontakt med. Men i den nätverkade världen finns inte detta begrepp om fysisk närhet. Vad är motsvarigheten i den nätverkade världen till min granne varnade mig för att köpa en bil hos XXX? En approximation i den nätverkade världen kan vara att vi borde kunna dra nytta av de erfarenheter som andra har haft av en tjänst, om dessa andra påminner om oss på ett rimligt sätt. I den fysiska världen får vi information ryktesvägen, och agerar på denna, så att vi håller riskerna under kontroll, och rykten förmedlas oftast i situationer av fysisk närhet. Men i den nätverkade världen har vi inte den fysiska närheten som ett sammanhang vari rykten kan spridas, och riskerar därför att antingen inte få någon sådan vägledande information alls, eller 17
riskerar att dränkas i information som andra distribuerar globalt. I bägge fallen har vi ett problem att få information som är meningsfull och som vi kan agera på. Den kritiska frågan är om rykte och förtroende kan minska riskerna för kränkning av den personliga integriteten i det framtida IT-samhället. Teknik Tekniken innebär både risker och möjligheter. Ny teknik kan introducera nya risker, men ny teknik kan också möjliggöra nya motmedel mot risker. Vi har tidigare nämnt risker i samband med utnyttjande av IT-tjänster, och i detta avsnitt kommer vi att ge några indikationer om tekniska möjligheter att hantera riskerna. Rykte och förtroende har utnyttjats i vissa e-handels-sammanhang, t.ex. ebay (http://www.ebay.com), för att kunna informera potentiella köpare/säljare om om hur motparten i ett möjligt köp har betett sig tidigare. Denna information byggs upp av de som deltagit i köp, och utnyttjas av dessa inför kommande köp. Detta är ett exempel på hur skvaller och rykte kan hanteras i så kallade virtuella samfälligheter (virtual communities). Det som karaktäriserar en virtuell samfällighet är att medlemmarna i denna samfällighet inte definieras av vare sig fysiska egenskaper eller av kontraktsmässiga egenskaper. Samfälligheterna uppstår genom att det finns gemensamma behov, och personer med behov som överlappar samfällighetens aggregerade behovsbild kan därför betraktas som medlemmar i samfälligheten. Ett behov som är gemensamt för många är behovet av att skydda personlig information. Även här är e-handel en konkret domän där detta behov delas av många. Kommer en handelsplats att skydda sina kunders data mot otillbörligt användande? Vad jag som kund vill veta är om min nytta av handelsplatsen uppväger riskerna med att använda handelsplatsen. Och hur skall jag bedöma riskerna? Som i den fysiska världen skulle jag kunna basera mitt beslut på vilket rykte handelsplatsen har i samfälligheten av sina kunder. Ett sådant scenario kan realiseras genom att användare får möjlighet att utnyttja teknik för att delge sina erfarenheter till andra, och för att ta del av andras erfarenheter. Det nämnda exemplet ebay illustrerar detta, på två sätt; dels att det finns vissa tekniska möjligheter att hantera omdömen som kan utnyttjas av användare för att skydda sig, dels att sådana tekniska möjligheter i sig måste skyddas mot missbruk (av slutanvändarna). Ett annat problem är hur man skall hantera indirekta rykten, dvs sådan information som utsägs komma från någon annan än den som direkt tillhandahåller informationen. Köp inte en bil av XX. Jag har en bekant (eller bekants bekant, eller ) som hade dåliga erfarenheter av XX. Är det vettigt att lita på sådana omdömen? I vissa fall är det så. Den här informationen kommer från vanligtvis välunderrättad källa. Dvs om någon har uppvisat tillförlitlighet tidigare, vid förmedling av information, så kan det vara vettigt att betrakta informationen som relativt trovärdig. I och med att vi dels blir mer beroende av att utnyttja nätverksbaserade tjänster, och dels vill dra fördel av all den information och de tjänster som utbjuds där, så blir det alltmer viktigt att undersöka möjligheterna att utnyttja teknik för att skydda oss. En ansats är att betrakta förtroende (tillit) som en viktig komponent i detta sammanhang, och att utnyttja tekniska möjligheter att få vägledande information baserat på den förtroendebild som skapas i en virtuell samfällighet. Tekniskt sett föreligger en direkt analogi mellan det som vi intuitivt ser som förtroende och ansatser inom decentraliserade kooperativa informationssystem (t.ex. det som kallas peer-topeer, P2P). Komponenterna i sådana system skapar förtroendemodeller (trust models) av varandra, för att veta i vilken utsträckning de skall kunna lita på att andra komponenter kommer att kunna leverera de tjänster dessa andra komponenter lovar. Systemen designas för 18
att kunna leva i en ovänlig miljö, där komponenter kan tjäna på att samarbeta med andra komponenter, men där de andra komponenterna möjligen av egoistiska skäl spelar falskspel för att maximera egen nytta. I dessa sammanhang har mekaniserade förtroendemodeller specificerats och experimenterats med. Det är fullt möjligt att dessa modeler kan appliceras för att på ett mer direkt sätt minska riskerna mot individers personliga inegritet. 19
Gunnar Sjödin 26 augusti 2002 Elektronisk omröstning och digitala pengar Scenario - Nu var det 106 år senare och allt var annorlunda... Sören Knodd vaknade med ett ryck. Klockan var redan 0900 GMT. Det var hög tid att sätta igång. Det var en avgörande dag idag - digismatiska föreningen, DF, skulle ha årsmöte och ny ordförande skulle väljas. DF hade haft en trög start i början av seklet, men i och med att det globala digitala mjukvarumyntet hade uppfunnits och vunnit fotfäste för 15 år sedan, dvs 2005, så hade intresset ökat. Till att börja med var det mest datakunniga med kunskaper om algoritmerna som anslöt sig. Successivt som användningen av de digitala pengarna, deuros, började spridas över världen anslöt allt fler ekonomer, jurister och politiker till föreningen. De ville ha kontakt med experterna för att påså sätt få bättre möjligheter att styra verksamheten. Det visade sig bli precis tvärtom. Eftersom tekniken var så svårbegriplig var de alla i händerna på teknikerna. De hade desutom anammat Microsofts gamla princip. Släpp inte ut metoden till någon annan. DF kunde via s.k. nollkunskapsbevis (ett bevis för ett påstående som visar påståendets korrekthet men inte lämnar någon annan information), visa att deras pengar hade alla de egenskaper som de påstods ha, men tillverkningsprinciperna hade de lyckats hålla hemliga. DF:s ordförande var av hävd den ende som ensam satt på den nyckel som behövdes. När ordförandeklubban bytte ägare transformerades denna nyckel till en ny nyckel till den nye ordföranden. Dessutom fanns det möjlighet att, om ett antal av medlemmarna samarbetade, återskapa nyckeln ifall ordföranden skulle falla ifrån. Allt detta innebar att världens pengapolitik helt styrdes av DF:s ordförande utan möjlighet till insyn av andra. Sören myste - äntligen hade makten hamnat hos dem och inte hos alla professionella maktspelare. Den hårda kärnan av DF bestod huvudsakligen av dördar, eller datanördar som man sade förr. Dördarna var helt ointresserade av makt och rikedom utan levde helt för att imponera på varandra med nya listiga algoritmer och nollkunskapsbevis. Sören var undantaget - han ville ha makt, och den skulle han få om han blev DF:s ordförande. Det hade han arbetat för i många år nu och idag skulle han lyckas - han hade fått det avgörande vapnet i sin hand. För några veckor sedan hade han nämligen kommit över den första globala deuron. Den hade länge varit försvunnen, dvs man visste förstås hur den såg ut, men ingen hade ett bevis för ägandeskap. Sören hade spårat myntet till dess innehavare Bahari Singh och lyckats få denne att till förmånligt pris köpa diverse datorutrustning till ett förmånligt pris och därvid hade Bahari råkat använda MYNTET. Han tittade på MYNTET igen, som han hade gjort så många gånger de senaste veckorna. Var det inte vackert 010011100...0001! Han upphörde aldrig att fascineras av den fullkomliga bristen på struktur i sviten. MYNTET hade tillverkats av SICS 2005 och sedan 2013 hade det varit försvunnet - ända tills nu. Han rös av välbehag. Före omröstningen skulle han få tillfälle att visa myntet, dvs bevisa för de andra i DF att han ägde det. Han var nu den ende i hela världen som kunde genomföra ett sådant bevis - de gamla ägarna hade förlorat den möjligheten i och med att de hade använt det som 20