Uppkopplingens begynnelse: nya utmaningar för integritetsskyddet

I föregående del av bloggserien beskrevs hur storleken och prislappen på de tidiga generationernas datorer innebar att det endast var aktuellt för företag och myndigheter att investera i dem. I denna avslutande del ska vi se hur den fortsatta utvecklingen på området gett upphov till helt nya dimensioner av integritetsinkräktande företeelser och hand i hand med detta även motiverat uppkomsten av det regelverk som dagens dataskyddsjurister tillämpar idag.

Redan under 1970-talet gjorde de första hemmadatorerna entré och parallellt med hårdvarans utveckling gjordes konstanta framsteg inom framtagandet av en nätverksarkitektur för digital kommunikation. Det som började som ett militärt forskningsprojekt under 1960-talet i syfte att kunna upprätthålla kommunikation vid händelse av en kärnvapenattack (”ARPANET”) utvecklade sig under 1980-talet till ett alltmer lättillgängligt forum för delar av allmänheten att använda. Men det var inte förrän 1990-talet, då det abstrakta kommunikationsnätverket hade fått konturer i form av ett standardiserat kommunikationsprotokoll (TCP/IP), sammanlänkning av webbsidor med hjälp av hypertext/länkar (”World Wide Web”) samt webbsidorna fått ett ”minne” av användarens aktivitet med hjälp av så kallade webbkakor som fenomenet utvecklades till ett allmängods med potential att stöpa om samhället i grunden. Och precis som i tidigare skeden av historien så fanns det även här en direkt relation mellan teknisk innovation och inverkan på individers integritet.

De tidiga juridiska frågeställningarna kring användandet av internet centrerades kring upphovsrätt och frågan om ansvarsfördelningen mellan avsändare och webbsideägare då något olagligt eller kränkande hade skrivits i ett forum eller kommentarsfält. Även behovet av uppdaterat dataskydd uppmärksammades, vilket inom EU gav resultat i Dataskyddsdirektivet år 1995, med svensk implementation i form av Personuppgiftslagen (PuL) 1998. Med tydliga ramar om hur insamling och fortsatt behandling av personuppgifter fick gå till var tanken att den fortsatta utvecklingen av det uppkopplade samhället skulle göras med individens fri-och rättigheter i centrum.

Den digitala övervakningen

I backspegeln kan man idag se att det under åren efter millennieskiftet inträffade en perfekt storm av världshändelser, teknisk utveckling och juridiska ställningstaganden som sammantaget malde ner det skyddsnät som tidigare byggts upp för att värna om individers personuppgifter. Kriget mot terrorn som följde på attackerna den 11 september 2001 möjliggjorde en opinion i USA och övriga västvärlden för att tillåta helt nya nivåer av statlig övervakning av medborgare i syfte att garantera trygghet och säkerhet. Samtidigt som underrättelsetjänster fick friare tillgång till individers digitala fotspår ökade uppkopplingen i enorm fart. Nätforum, chattgrupper och sociala medier lade grunden för den moderna människans utflyttning till den digitala sfären, och när den smarta mobiltelefonen lanserades under mitten av 00-talet suddades gränsen mellan online och ”IRL” mer eller mindre ut. Med stöd i de lagar som stiftats i syfte att spåra potentiella terrorister kunde de amerikanska underrättelsetjänsterna i detalj kartlägga i stort sett varenda individ som kommunicerade genom landets nätverk eller genom USA-utvecklade digitala tjänster.

Den oro för allt för långtgående statlig övervakning som av och till debatterades bemöttes med lugnande besked om kontrollmekanismer och rättsstatsprinciper som garant för att tillgången till information inte skulle missbrukas. Inom EU ansågs USA:s övervakningsreglering vara godtagbar och överföringar av personuppgifter mellan regionerna var därmed tillåten så länge det gjordes i överenstämmelse med den så kallade Safe Harbour-certifieringen. Förtroendet för den amerikanska statens förhållningssätt till sina övervakningsförfaranden kraschade hårt i väggen 2013 när visselblåsaren Edward Snowden avslöjade den gränslösa och massiva övervakning och lagring av personuppgifter som faktiskt pågått. Dokumenten han läckte visade hur underrättelsetjänsterna mer eller mindre hade fri tillgång till att inhämta data både direkt från kommunikationsnäten och från tech- och telekombolagens egna servrar. Den politiska dimensionen av avslöjandet blev explosiv, inte minst på grund av påståenden om att övervakning av andra länders statsöverhuvuden var en del av materialet. Som en konsekvens av detta så står vi än idag, två så kallade Schrems-domar senare, utan ett konkret facit på hur överföring av personuppgifter från EU till USA ska kunna legitimeras.

Personuppgifter som valuta

Vid sidan av frågan om statlig övervakning har det senaste decenniets stora integritetsmässiga frågeställning handlat om hur personuppgifter omvandlats från en biprodukt som insamlats av bara farten i samband med användning av digitala tjänster till att bli själva hårdvalutan som affärsmodeller bygger på för att maximera, bearbeta och analysera. Detta för att i slutändan ge ekonomisk vinning baserat på den träffsäkra och personifierade marknadsföring uppgifterna kan omsättas till. Harvardprofessorn och författaren Shoshana Zuboff myntade det beskrivande begreppet övervakningskapitalism (”surveillence capitalism”), vilket hon kraftfullt kritiserar då hon anser att datadriven profilering fråntar individer sin autonomi och manipulerar den fria viljan. Zuboff är inte ensam om denna uppfattning, då kärnan i kritiken och oron som framförs mot utvecklingen återkommande belyser hur kartläggningen av personlighet, preferenser, umgängen och konsumtionsvanor i förlängningen innebär ett hot mot grundläggande demokratiska värden.

Det ska tilläggas att Zuboff och hennes meningsfränder fått kritik av de som anser att hon för fram en alldeles för pessimistisk och teknikfientlig syn på utvecklingen. Motargumenten kretsar kring att belysa de möjligheter som öppnas genom att kunna rikta relevant information till rätt personer, att individer får möjlighet att godkänna villkoren om hur deras uppgifter behandlas frivilligt i relation till användning av tjänsterna och att många av problemen hon beskriver går att bemöta med en balanserad lagstiftning.

Om vi här återkopplar till den dataskyddslagstiftning som formades inom EU på 90-talet kan vi med facit i hand konstatera att EU:s Dataskyddsdirektiv och den svenska Personuppgiftslagen inte hade den nödvändiga kraften att forma utvecklingen i den tänkta riktningen. Detta faktum gick inte lagstiftarna förbi och ganska snart började planer smidas för en uppdatering av dataskyddsregleringen med större fokus på teknikneutralitet och ansvarsskyldigheter för verksamheter. Resultatet, som stod färdigt 2016 och trädde i kraft med full styrka 25 maj 2018 är bekant för alla läsare av den här bloggen, då det självfallet handlar om dataskyddsförordningen GDPR. Detta regelverk har sedan dess fått status som en förebild för andra länder och jurisdiktioner runt om i världen som har identifierat liknande behov och utmaningar i den pågående utvecklingen. Bland annat har nya och uppdaterade lagstiftningar i länder som Brasilien, Indien, Australien och Sydafrika nämnts som exempel på den europeiska modellens direkta inflytande.

Det kan vara intressant att även blicka över Atlanten och se hur utvecklingen har gått i USA, landet som i lika stor del står bakom utvecklingen av såväl den integritetsskyddande juridiken som tekniken som anses göra den nödvändig. Vi kan konstatera att nationen, trots sin historia av återkommande och kraftfulla integritetsdebatter fortfarande har en splittrad privacy-lagstiftning där man på federal nivå valt att reglera personuppgiftsbehandlingar inom specifika sektorer. Dessa övergripande regleringar kompletteras sedan på delstatlig nivå, där det mellan olika delstater kan variera stort vad gäller nivån på dataskyddslagstiftning. Som exempel kan nämnas kontrasten mellan delstaterna Kalifornien och Alabama, där den förstnämnde har implementerat lagar starkt influerade av GDPR medan den sistnämnde är en av en handfull delstater utan ett omfattande regelverk som syftar till att skydda medborgarnas personuppgifter. Dessa omständigheter innebär stora utmaningar att hålla tungan rätt i mun vid tillämpning och analys av landets lagstiftning. Som vi sett i samband med Snowdens avslöjanden och Schrems-målen har USA även en historik av tillåtande statlig övervakning som kan anses undergräva det skydd som borde garanteras individer med stöd av dataskyddslagstiftningarna.

Hur står sig dataskyddet idag?

Det är svårt att med ett fast finger peka ut integritetsskyddets exakta status idag. Å ena sidan kan vi konstatera att risker för den personliga integriteten blir belysta, debatterade och leder till kraftfulla lagstiftningar runt om i världen. Å andra sidan befinner vi oss mitt i en brant teknisk utvecklingskurva där innovation driven av allt kraftfullare artificiell intelligens ständigt tar oss på sängen med sin disruptiva potential. Debatten rör sig mellan vitt skilda områden som teknikens påverkan på arbetsmarknad, immaterialrätt och utbildningsväsende då de grundläggande förutsättningarna för ”business as usual” till synes är på väg att omformas.

Ur ett dataskyddsperspektiv innebär den pågående utvecklingen utmaningar på flera plan, då det kommer behöva bevisas om de nuvarande rättsliga ramarna är tillräckligt robusta för att styra framstegen i en riktning som garanterar individer sina grundläggande fri- och rättigheter. Av de konkreta hoten att navigera bland finns exempelvis utvecklingen av ”deep fake”-teknik, som med sin förmåga att manipulera verkligheten kan åsamka både samhälle och individ stor skada. En annan aspekt som debatteras handlar om hur algoritmiskt beslutsfattande inom brottsbekämpning och annan myndighetsutövning riskerar att cementera fördomar och leda till orättvisa resultat då all artificiell intelligens i grunden tränas utifrån mänskliga val, uttryck och erfarenheter. Ur ett dataskyddsrättsligt perspektiv finns det även en mer fundamental invändning som handlar om varje AI:s möjlighet att existera, det vill säga dess användning av data, inklusive personuppgifter, för att träna upp sina förmågor. Frågan är då hur en utvecklare ska säkerställa att varje personuppgift som ingår i träningen behandlas med stöd av en rättslig grund samt hur alla involverade individer ska kunna tillvara sina rättigheter.

För att återknyta till inledningen av första delen av bloggserien finns det mitt i detta framåtskridande ett värde i att påminna sig om de ursprungliga tankarna som formade dataskyddsjuridiken. Redan 1890 kom Warren och Brandeis till slutsatsen att rätten till privatliv var inneboende i den amerikanska rättsordningen och att detta bör åtfölja samhällets utveckling så att rättigheterna inte blir urgröpta. För oavsett om den senaste innovationen har varit en kamera, en telefon, en dator eller en självlärande algoritm är kärnan i dataskyddets existensberättigande detsamma. Eller för att citera Louis Brandeis i ett senare skede av hans liv, då han uttalade sig i egenskap av ledamot av den amerikanska Högsta domstolen:

”Rätten till privatliv är den mest omfattande av rättigheter och den rätt som värderas mest av civiliserade människor.”

Med de orden avslutas denna bloggserie som haft ambitionen att ge en övergripande förståelse för vilka tankar och händelser som format den dataskyddsjuridik som vi tillämpar än idag.

Läs de tidigare delarna av bloggserien: 
Del 1: Dataskyddets historia: Lagstiftningen tar form
Del 2: ”The Right to Privacy” och integritetsskyddsjuridikens födelse