PRIVACY DAILY 100/2023

Il Governo britannico ha effettuato un test inviando un messaggio di allerta di emergenza ai cittadini. Già dall’annuncio del testo, però, le speculazioni hanno invaso i social media e in diversi hanno condiviso informazioni non veritiere e affermazioni stravaganti, tra cui quella secondo cui l’allerta sarebbe stata programmata per rubare i dati personali. L’allarme sperimentale è stato inviato nel tentativo di imitare i programmi esistenti negli Stati Uniti e in Giappone, che allertano le persone in situazioni di pericolo di vita come inondazioni e incendi. L’allarme è stato ricevuto dai telefoni cellulari 4G e 5G ed è consistito in un messaggio inviato insieme a suoni e vibrazioni per un massimo di 10 secondi. Le teorie complottiste emerse negli angoli bui del web sono state sfatate da Full Fact, un’associazione di beneficenza composta da verificatori di fatti e attivisti che mirano a fermare la diffusione di disinformazione dannosa. Sul sito web del governo sono disponibili numerose informazioni che spiegano lo scopo dell’allarme e il suo funzionamento. Il Cabinet Office ha dichiarato che l’allarme non raccoglie dati personali e non permette al Governo di sapere se i telefoni sono attivi o di fornire la loro posizione. Il sito web del governo spiega che l’allarme non richiede numeri di telefono individuali per essere attivato, descrivendo il sistema come “unidirezionale”. Nell’informativa privacy del servizio Emergency Alerts si legge che: “Gli avvisi di emergenza vengono trasmessi dalle antenne di telefonia mobile a tutti i telefoni e tablet compatibili nel raggio d’azione. Il mittente non ha bisogno di conoscere il vostro numero di cellulare o altri dati personali per inviare un avviso. Nessuno raccoglierà o condividerà dati su di voi, sul vostro telefono o sulla vostra posizione quando riceverete un avviso di emergenza”.

Il governo del Lussemburgo è stato criticato per le modalità di conservazione dei dati nel campo delle comunicazioni elettroniche. In particolare, l’associazione di hacking Chaos Computer Club ha biasimato il nuovo disegno di legge presentato dal ministro della Giustizia Sam Tanson, tacciandolo di non essere abbastanza. La sezione lussemburghese dell’associazione di hacking esamina regolarmente la protezione dei dati e le questioni correlate. L’anno scorso, ad esempio, ha lanciato un allarme sui piani dell’UE per il monitoraggio dei messaggi privati. In base alla nuova legge lussemburghese, i dati dei cittadini continueranno a essere raccolti e conservati per sei mesi. Secondo il club, le condizioni in cui il governo può conservare questi dati non sono state sufficientemente definite. Il Chaos Computer Club ritiene che il governo abbia semplicemente copiato una legge belga in materia. Anche il fatto che il contenuto delle conversazioni non verrà conservato, salvando invece metadati come l’ora o l’interlocutore, non rassicura l’associazione. Il Chaos Computer Club ha affermato che queste informazioni potrebbero comunque aiutare a trarre conclusioni sul contenuto della conversazione, citando l’esempio di una persona che telefona a un avvocato divorzista. L’associazione ha anche criticato il meccanismo di controllo previsto. Il disegno di legge prevede una relazione della Camera ogni tre anni, mentre non è prevista alcuna data per nominare una commissione dedicata. Il Club spera in un parere negativo da parte del Consiglio di Stato, anche se ritiene più probabile che il Ministero della Giustizia ascolti fonti come la polizia, i servizi segreti e le autorità giudiziarie piuttosto che organizzazioni e associazioni per i diritti civili.

Il Governo delle Filippine smentisce di essere stato oggetto di un massiccio data breach. L’Ufficio nazionale di investigazione (NBI) ha negato il coinvolgimento dei suoi sistemi nella presunta violazione di dati che avrebbe riguardato più di un milione di persone. L’NBI ha indagato sul presunto data breach non appena  la società di ricerca sulla sicurezza informatica VPNMentor ha segnalato la questione il 18 aprile 2023. “Dai risultati della nostra valutazione delle vulnerabilità, siamo ragionevolmente certi che la presunta violazione non coinvolga nessuno dei sistemi dell’NBI”, ha dichiarato in un comunicato. La falla avrebbe esposto 1.279.437 schede personali per un totale di 817,54 gigabyte di dati relativi a dipendenti di agenzie statali, tra cui l’NBI stessa, la Polizia nazionale filippina (PNP), L’Agenzia delle Entrate (BIR) e la Special Action Force. Il ricercatore di cybersicurezza Jeremiah Fowler ha dichiarato che i record esposti includono certificati di nascita, scansioni di impronte digitali, numeri di identificazione fiscale (TIN), dichiarazioni dei redditi presentate, trascrizioni di certificazioni accademiche e copie del passaporto. Il Segretario per le Tecnologie dell’Informazione e delle Comunicazioni Ivan Uy ritiene che i sistemi dell’NBI e della BIR non siano stati violati. L’NBI ha dichiarato che continuerà a monitorare e indagare sulla presunta violazione dei dati. “Desideriamo rassicurare il pubblico sul fatto che l’NBI, in quanto centro di smistamento nazionale dei casellari giudiziari e di altre informazioni correlate, attribuisce la massima importanza alla privacy dei dati”. Anche il Dipartimento per le tecnologie dell’informazione e delle comunicazioni (DICT), in una dichiarazione ufficiale, ha reso noto di aver iniziato a indagare sulla presunta violazione dopo aver ricevuto da un ricercatore di sicurezza un link al blob storage di Azure.

English version

The British government carried out a test by sending an emergency alert message to citizens. As soon as the text was announced, however, speculation flooded social media and several people shared untrue information and outlandish claims, including that the alert was programmed to steal personal data. The experimental alert was sent in an attempt to imitate existing programmes in the US and Japan, which alert people in life-threatening situations such as floods and fires. The alarm was received by 4G and 5G mobile phones and consisted of a message sent along with sound and vibration for up to 10 seconds. Conspiracy theories that have emerged in dark corners of the web have been debunked by Full Fact, a charity made up of fact-checkers and activists who aim to stop the spread of damaging disinformation. A wealth of information is available on the government website explaining the purpose of the alert and how it works. The Cabinet Office stated that the alert does not collect personal data and does not allow the government to know whether phones are active or provide their location. The government website explains that the alarm does not require individual phone numbers to be activated, describing the system as ‘one-way’. The privacy policy of the Emergency Alerts service states that: “Emergency alerts are transmitted from mobile phone masts to all compatible phones and tablets within range. The sender does not need to know your mobile phone number or other personal data to send an alert. No one will collect or share data about you, your phone or your location when you receive an emergency alert’.

The Luxembourg government has been criticised for the way in which data is stored in the field of electronic communications. In particular, the hacking association Chaos Computer Club blamed the new bill presented by Justice Minister Sam Tanson, accusing it of not going far enough. The Luxembourg branch of the hacking association regularly examines data protection and related issues. Last year, for instance, it raised an alarm about the EU’s plans to monitor private messages. According to the new Luxembourg law, citizens’ data will continue to be collected and stored for six months. According to the club, the conditions under which the government can store this data have not been sufficiently defined. The Chaos Computer Club believes that the government has simply copied a Belgian law on the subject. The fact that the content of the conversations will not be stored, instead saving metadata such as the time or the caller, also does not reassure the association. The Chaos Computer Club stated that this information could still help to draw conclusions about the content of the conversation, citing the example of a person phoning a divorce lawyer. The association also criticised the planned control mechanism. The bill provides for a House report every three years, while no date is set for appointing a dedicated committee. It hopes for a negative opinion from the Council of State, although it considers it more likely that the Ministry of Justice will listen to sources such as the police, intelligence services and judicial authorities rather than civil rights organisations and associations.

The Philippine government denies it was the subject of a massive data breach. The National Bureau of Investigation (NBI) denied the involvement of its systems in the alleged data breach that allegedly affected more than one million people. The NBI investigated the alleged data breach as soon as cyber security research firm VPNMentor reported the matter on 18 April 2023. “From the results of our vulnerability assessment, we are reasonably confident that the alleged breach does not involve any of the NBI’s systems,” it said in a statement. The breach would have exposed 1,279,437 personnel files totalling 817.54 gigabytes of data related to employees of state agencies, including the NBI itself, the Philippine National Police (PNP), The Bureau of Internal Revenue (BIR) and the Special Action Force. Cybersecurity researcher Jeremiah Fowler said the exposed records include birth certificates, fingerprint scans, tax identification numbers (TINs), tax returns filed, transcripts of academic certifications and passport copies. Information and Communications Technology Secretary Ivan Uy believes the NBI and BIR systems were not hacked. The NBI said it will continue to monitor and investigate the alleged data breach. “We wish to reassure the public that the NBI, as the national clearing house for criminal records and other related information, attaches the utmost importance to data privacy.” The Department of Information and Communications Technology (DICT), in an official statement, also disclosed that it had begun investigating the alleged breach after receiving a link to Azure blob storage from a security researcher.

PRIVACY DAILY 82/2023

Dopo sette anni di ambiguità sulla legge tedesca sulla conservazione dei dati, la Corte costituzionale federale tedesca l’ha dichiarata inapplicabile e incompatibile con il diritto dell’UE. La Corte non ha accettato le disposizioni della legge tedesca sulle telecomunicazioni e del codice di procedura penale che prevedevano la conservazione dei dati relativi al traffico e all’ubicazione senza un motivo specifico. La sentenza conferma la posizione della Corte di giustizia dell’UE del 20 settembre 2022, secondo cui la legge tedesca sulla conservazione dei dati non ha più alcun effetto legale e non può più essere applicata. La norma invalidata prevedeva la conservazione di tutti i dati delle chiamate, dei messaggi di testo e degli indirizzi IP, comprese le informazioni sulla posizione dell’intera popolazione. Negli ultimi anni, in tutta Europa ci sono stati diversi tentativi di implementare regimi di sorveglianza per conservare tali dati per le indagini delle forze dell’ordine o per motivi di sicurezza interna. Questi tentativi sono stati regolarmente respinti dai tribunali europei, in quanto, alla luce della Carta dei diritti fondamentali dell’UE, la pratica colpisce in modo sproporzionato il diritto alla privacy delle persone estranee alle indagini. “Con la sua sentenza, la Corte Costituzionale Federale conferma e ribadisce la giurisprudenza della Corte di Giustizia Europea in materia di conservazione dei dati e chiarisce che la legge tedesca non prevede alcun margine di manovra per continuare ad applicare la conservazione dei dati senza alcuna ragione”, ha dichiarato Konstantin Macher di Digitalcourage, un’organizzazione che si occupa della questione dal 2002. “Chiediamo ai politici di accettare finalmente la fine della conservazione dei dati”, ha aggiunto Macher. Con la sentenza del 2022, la CGUE ha chiarito che la conservazione generalizzata dei dati di connessione costituisce sempre una grave violazione dei diritti fondamentali delle persone interessate. Pertanto, la conservazione dei dati senza un motivo specifico è incompatibile con i diritti fondamentali dell’Europa.

La maggior parte dei lavoratori in smartworking potrebbe non avere così tanta privacy come si potrebbe pensare. All’inizio della pandemia, quando praticamente tutti i dipendenti sono stati mandati a casa dagli uffici, molti datori di lavoro hanno investito in software di monitoraggio per tenere traccia di ogni loro spostamento, per evitare che si dedicassero ad attività personali mentre erano in servizio. Tre anni dopo, secondo un’indagine condotta da ResumeBuilder.com su 1.000 aziende, il monitoraggio dei dipendenti attraverso strumenti come i feed video e il software di monitoraggio dei tasti è di fatto la norma, mentre prima della pandemia esso interessava solo il 10% delle aziende. La forma più invasiva di monitoraggio è rappresentata da una trasmissione video in diretta, sempre attiva, alla quale ricorre più di un datore di lavoro su tre (37%), anche se solo pochi datori di lavoro – poco più del 5% – tengono d’occhio questi feed video per tutto il giorno. Sono però più comuni altre forme di controllo, come il tracciamento dell’attività di navigazione sul web e dell’uso delle app da parte dei lavoratori (62%) o la limitazione dell’accesso dei lavoratori a determinati siti web o applicazioni come le piattaforme di streaming video (49%). Inoltre, le aziende tengono traccia dell’attenzione dei lavoratori utilizzando la biometria, catturando schermate casuali e registrando i tasti premuti, che in teoria possono rivelare se i lavoratori sono impegnati in attività lavorative o personali. Secondo ResumeBuilder.com, quasi il 70% delle aziende ha dichiarato di aver avuto dipendenti che si sono licenziati per problemi di monitoraggio. Di questo gruppo, il 35% afferma che l’azienda ha perso da sei a dieci dipendenti a causa della sorveglianza indesiderata. Oltre il 70% delle aziende, inoltre, ha anche utilizzato i dati raccolti attraverso il monitoraggio per licenziare i lavoratori ritenuti improduttivi.

L’Information Commissioner’s Office (ICO) ha ammonito l’NHS Highland per aver violato i dati di alcuni pazienti che usufruiscono di servizi HIV. Il consiglio sanitario aveva inserito in chiaro le mail di 37 persone, così da rendere visibile a tutti i destinatari gli indirizzi personali degli altri che le ricevevano. L’ICO ha dichiarato che il mancato utilizzo di CCN nelle mail è una delle forme di data breach più comuni, con quasi 1.000 incidenti segnalati dal 2019 e ha pertanto chiesto di apportare miglioramenti alle misure tecniche e organizzative di protezione dei dati. Stephen Bonner, vicecommissario per la supervisione normativa, ha dichiarato: “Quello che abbiamo visto al NHS Highland è stata una grave violazione della riservatezza e fiducia di coloro che accedono a servizi vitali come quello per l’HIV”. Le raccomandazioni dell’ICO sono state incluse nel piano d’azione per la governance delle informazioni dell’NHS Highland, che entro giugno dovrà adeguare le proprie misure di sicurezza. Secondo le leggi sulla protezione dei dati, le organizzazioni devono infatti disporre di sistemi in grado di garantire che i dati personali, tanto più quelli appartenenti alle categorie particolari (art.9 Gdpr) siano al sicuro.

English version

After seven years of ambiguity surrounding the German Data Retention Act, the German Federal Constitutional Court declared it inapplicable and incompatible with EU law. The Court did not accept the provisions of the German Telecommunications Act and the Code of Criminal Procedure that provided for the retention of traffic and location data without a specific reason. The ruling confirms the EU Court of Justice’s position of 20 September 2022 that the German Data Retention Act no longer has any legal effect and can no longer be applied. The invalidated rule provided for the retention of all call data, text messages and IP addresses, including the location information of the entire population. In recent years, there have been several attempts across Europe to implement surveillance schemes to retain such data for law enforcement investigations or internal security purposes. These attempts have been routinely rejected by the European courts on the grounds that, in light of the EU Charter of Fundamental Rights, the practice disproportionately affects the right to privacy of persons unconnected with investigations. “With its ruling, the Federal Constitutional Court confirms and reaffirms the jurisprudence of the European Court of Justice on data retention and makes it clear that German law does not provide any leeway to continue to apply data retention for no reason,” said Konstantin Macher of Digitalcourage, an organisation that has been working on the issue since 2002. ‘We call on politicians to finally accept the end of data retention,’ Macher added. In its 2022 judgment, the CJEU made it clear that the generalised retention of connection data always constitutes a serious violation of the fundamental rights of the persons concerned. Therefore, the retention of data without a specific reason is incompatible with Europe’s fundamental rights.

Most smartworking employees may not have as much privacy as one might think. At the beginning of the pandemic, when virtually all employees were sent home from their offices, many employers invested in monitoring software to keep track of their every move, to prevent them from engaging in personal activities while on the job. Three years later, according to a survey of 1,000 companies conducted by ResumeBuilder.com, employee monitoring through tools such as video feeds and keystroke monitoring software is in fact the norm, whereas before the pandemic it affected only 10% of companies. The most invasive form of monitoring is a live, always-on video feed, which is used by more than one in three employers (37%), although only a few employers – just over 5% – keep an eye on these video feeds throughout the day. However, other forms of monitoring are more common, such as tracking workers’ web browsing activity and app usage (62%) or restricting workers’ access to certain websites or apps such as video streaming platforms (49%). In addition, companies track workers’ attention using biometrics, capturing random screenshots and recording keystrokes, which in theory can reveal whether workers are engaged in work or personal activities. According to ResumeBuilder.com, nearly 70 per cent of companies said they had employees who quit because of monitoring problems. Of this group, 35% stated that the company lost six to ten employees due to unwanted surveillance. In addition, more than 70% of the companies also used the data collected through monitoring to dismiss workers deemed unproductive.

The Information Commissioner’s Office (ICO) has admonished NHS Highland for hacking into the data of some patients using HIV services. The health board had unencrypted the emails of 37 people, making the personal addresses of others who received them visible to all recipients. The ICO said that failure to use CCN in emails is one of the most common forms of data breach, with almost 1,000 incidents reported since 2019, and therefore called for improvements to technical and organisational data protection measures. Stephen Bonner, deputy commissioner for regulatory oversight, said: ‘What we saw at NHS Highland was a serious breach of the confidentiality and trust of those accessing vital services such as HIV services. The ICO’s recommendations have been included in NHS Highland’s information governance action plan, which will have to adapt its security measures by June. According to data protection laws, organisations must in fact have systems in place to ensure that personal data, especially those in special categories (Art. 9 GDPR), are secure.

PRIVACY DAILY 77/2023

Trump e Putin arrestati? Una serie di immagini generate da un’AI si è presa gioco di questi potenti personaggi. Le immagini altamente dettagliate e sensazionali hanno inondato Twitter e altre piattaforme negli ultimi giorni, accompagnando la notizia che Trump deve affrontare possibili accuse penali e che la Corte penale internazionale ha emesso un mandato di arresto per Putin. Ma nessuna ddi esse è reale. Le immagini – e le decine di varianti che disseminano i social media – sono state, infatti, prodotte utilizzando generatori sempre più sofisticati – e ampiamente accessibili – alimentati dall’intelligenza artificiale. Gli esperti avvertono che le immagini sono foriere di una nuova realtà: una marea di foto e video falsi che inonda i social media dopo i principali eventi di cronaca, confondendo ulteriormente fatti e finzioni in momenti cruciali per la società. Sebbene la capacità di manipolare le foto e creare immagini false non sia nuova, gli strumenti di generazione di immagini AI di Midjourney, DALL-E e altri sono più facili da usare. Possono generare rapidamente immagini realistiche – complete di sfondi dettagliati – con poco più di una semplice richiesta di testo da parte degli utenti. Alcune delle immagini più recenti sono state determinate dal rilascio, questo mese, di una nuova versione del modello di sintesi testo-immagine di Midjourney, in grado, tra l’altro, di produrre immagini convincenti che imitano lo stile delle foto delle agenzie di stampa. La pratica è peraltro osteggiata dalle piattaforme di social media. Twitter ha una politica che vieta “media sintetici, manipolati o fuori contesto” con il potenziale di ingannare o danneggiare. Le annotazioni di Community Notes, il progetto di fact checking di Twitter, sono state allegate ad alcuni tweet per includere il contesto in cui le immagini di Trump sono state generate dall’intelligenza artificiale. Meta ha rifiutato di commentare. Alcune delle immagini inventate di Trump sono state etichettate come “false” o “mancanti di contesto” attraverso il programma di fact-checking di terze parti.

La data retention è una questione di vecchia data in Europa. Da sempre i governi hanno cercato di dare alle forze dell’ordine la possibilità di conservare i dati  che potrebbero essere rilevanti per le indagini. Allo stesse tempo, i tribunali nazionali e dell’UE hanno ripetutamente condannato le pratiche sproporzionate di raccolta dei dati. La capacità delle forze di polizia di ottenere e conservare i dati delle comunicazioni elettroniche ha causato lo stallo del Regolamento ePrivacy, una proposta legislativa che un numero crescente di Paesi ritiene non vedrà mai la fine dell’iter legislativo. In questo contesto, i governi europei stanno discutendo l’istituzione di un gruppo di esperti per discutere la conservazione e l’accesso ai dati delle forze dell’ordine. Secondo alcuni documenti trapelati, la data retention avrà un ruolo fondamentale. “Il tema dei dati deve essere affrontato in modo globale e coerente e non deve limitarsi alle questioni di accesso, ma anche di conservazione e sfruttamento”, si legge nel commento della Francia. L’Estonia la mette giù più diretta, affermando che “la conservazione dei dati è alla base dell’intero argomento. In poche parole: se non ci sono dati conservati, non ha senso parlare di accesso ai dati”. Sia la Lituania che la Polonia hanno ribadito questo punto, chiedendo che il gruppo sia copresieduto dalla Commissione e dalla presidenza di turno del Consiglio dei ministri dell’UE. La Francia aggiunge che dovrebbe esserci un monitoraggio regolare da parte del Comitato permanente per la cooperazione operativa in materia di sicurezza interna (COSI), che assicura la cooperazione sulle questioni di sicurezza interna dell’UE, “in collaborazione con il settore della giustizia”. Inoltre, Varsavia vuole anche dei sottogruppi dedicati alla crittografia e alla localizzazione dei dati. In effetti, Parigi ritiene che entrambe le questioni svolgano un ruolo centrale nella lotta alle organizzazioni criminali e alle reti terroristiche. Oltre alla conservazione dei dati, l’altro aspetto più sottolineato dai Paesi dell’UE è la crittografia end-to-end.

La Cina tenta di domare gli algoritmi. L’autorità di regolamentazione del mercato cinese ha pubblicato un aggiornamento delle norme sulla pubblicità online, compresa la supervisione degli algoritmi di raccomandazione utilizzati da app come Douyin (versione cinese di TikTok) che vengono utilizzati per inviare pubblicità a individui mirati. Le misure modificate di gestione della pubblicità su Internet entreranno in vigore il 1° maggio di quest’anno e avranno un impatto su un mercato altamente competitivo e in evoluzione che vale oltre 70 miliardi di dollari. Se da un lato le norme aggiornate si concentrano ancora sulla limitazione degli annunci online a comparsa, dall’altro gettano le basi per il controllo da parte dello Stato dei potenti algoritmi push. Secondo l’aggiornamento, chiunque utilizzi algoritmi di raccomandazione nella pubblicità online “deve registrare le regole per gli algoritmi e i registri pubblicitari”. Gli algoritmi sono l’elemento chiave del successo delle app di social media. Tuttavia, il potenziale abuso del potere degli algoritmi quando si tratta di bambini e adolescenti è fonte di preoccupazione per le autorità cinesi ed è stato invocato anche dai legislatori statunitensi per limitare l’uso o vietare TikTok. Secondo il rapporto, l’anno scorso il fatturato totale del mercato pubblicitario online cinese è sceso del 6,4% a 508,8 miliardi di yuan (74 miliardi di dollari). Con l’intensificarsi della concorrenza, la pubblicità online in Cina è diventata sempre più invasiva e alcune delle nuove disposizioni contenute nella normativa sono dirette a ridurla. La normativa prevede che gli operatori e gli influencer del live-streaming “si assumano le responsabilità e gli obblighi previsti dalla legge” quando si tratta di pubblicità. Le regole impediscono, inoltre, di inserire annunci pubblicitari nei veicoli, nei dispositivi di navigazione e negli elettrodomestici intelligenti senza il consenso dell’utente. Inoltre, si stabilisce che gli editor di annunci “non devono allegare annunci aggiuntivi o link commerciali quando gli utenti inviano e-mail o messaggi istantanei”.

English version

Trump and Putin arrested? A series of AI-generated images mocked these powerful figures. The highly detailed and sensational images have flooded Twitter and other platforms in recent days, accompanying the news that Trump faces possible criminal charges and that the International Criminal Court has issued an arrest warrant for Putin. But none of them are real. The images – and the dozens of variants that litter social media – have, in fact, been produced using increasingly sophisticated – and widely accessible – generators powered by artificial intelligence. Experts warn that the images are harbingers of a new reality: a flood of fake photos and videos flooding social media after major news events, further confusing fact and fiction at crucial moments in society. Although the ability to manipulate photos and create fake images is not new, AI image generation tools from Midjourney, DALL-E and others are easier to use. They can quickly generate realistic images – complete with detailed backgrounds – with little more than a simple text request from users. Some of the most recent images were brought about by the release this month of a new version of Midjourney’s text-image synthesis model, which can, among other things, produce convincing images that mimic the style of news agency photos. The practice is, however, opposed by social media platforms. Twitter has a policy prohibiting ‘synthetic, manipulated or out-of-context media’ with the potential to mislead or harm. Notes from Community Notes, Twitter’s fact-checking project, were attached to some tweets to include the context in which Trump’s images were generated by artificial intelligence. Meta declined to comment. Some of Trump’s fabricated images have been labelled as ‘fake’ or ‘lacking context’ through the third-party fact-checking programme.

Data retention is a long-standing issue in Europe. Governments have always tried to give law enforcement agencies the possibility to retain data that might be relevant for investigations. At the same time, national and EU courts have repeatedly condemned disproportionate data collection practices. The ability of police forces to obtain and retain electronic communication data has caused the stalling of the ePrivacy Regulation, a legislative proposal that an increasing number of countries believe will never see the end of the legislative process. In this context, European governments are discussing the establishment of an expert group to discuss the retention of and access to law enforcement data. According to leaked documents, data retention will play a key role. “The issue of data must be addressed in a comprehensive and coherent manner and must not be limited to issues of access, but also of retention and exploitation,” reads the commentary from France. Estonia puts it more bluntly, stating that ‘data retention underpins the whole topic. Simply put: if there is no data preserved, there is no point in talking about access to data’. Both Lithuania and Poland reiterated this point, calling for the group to be co-chaired by the Commission and the rotating presidency of the EU Council of Ministers. France adds that there should be regular monitoring by the Standing Committee on Operational Cooperation on Internal Security (COSI), which ensures cooperation on EU internal security matters, ‘in cooperation with the justice sector’. In addition, Warsaw also wants subgroups dedicated to encryption and data localisation. Indeed, Paris considers both issues to play a central role in the fight against criminal organisations and terrorist networks. Besides data retention, the other issue most emphasised by EU countries is end-to-end encryption.

China attempts to tame algorithms. China’s market regulator has published an update to the rules on online advertising, including the supervision of recommendation algorithms used by apps such as Douyin (Chinese version of TikTok) that are used to send advertisements to targeted individuals. The revised Internet advertising management measures will take effect on 1 May this year and will impact a highly competitive and evolving market worth more than USD 70 billion. While the updated rules still focus on limiting online pop-up ads, they also lay the groundwork for state control of powerful push algorithms. According to the update, anyone using recommendation algorithms in online advertising ‘must register rules for algorithms and advertising registries’. Algorithms are key to the success of social media apps. However, the potential abuse of the algorithms’ power when it comes to children and teenagers is a source of concern for Chinese authorities and has also been invoked by US lawmakers to restrict their use or ban TikTok. According to the report, last year the total turnover of the Chinese online advertising market fell by 6.4% to 508.8 billion yuan ($74 billion). As competition has intensified, online advertising in China has become increasingly intrusive and some of the new regulations are aimed at reducing it. The regulations require live-streaming operators and influencers to ‘assume the responsibilities and obligations prescribed by law’ when it comes to advertising. The rules also prevent advertisements from being placed in vehicles, navigation devices and smart appliances without the user’s consent. Furthermore, it is stipulated that ad editors ‘must not attach additional ads or commercial links when users send e-mails or instant messages’.