“Övervakning” är ett begrepp som fått negativ laddning, men som egentligen borde vara neutralt. Frågan är ju vem som övervakar vem (eller vad som övervakar vad), när, var, hur, i vilket syfte, i vilken skala. Övervakningsstaten är en otrevlig sak, inte för att övervakning är fel, utan för att det rör sig om en stat. Detsamma gäller för de företag som har gjort övervakning till sin affärsidé. Vissa av dessa företag låter övervakningen ske i kulisserna, medan andra spelar på vår vilja att övervaka oss själva.

Sedan tio år har jag t.ex. valt att låta Last.fm övervaka mitt lyssnande på mp3-musik. I gengäld får jag en del riktigt bra musiktips. Jag ger alltså bort data till mediejätten CBS och har ingen kontroll över vart dessa data hamnar eller hur de används. Men jag besväras inte över saken: detaljerad data om min musiklyssning känns inte så värst känslig, jämfört med t.ex. detaljerad data om min läsning eller mina geografiska rörelser. Framför allt inte som min användarprofil på Last.fm saknar formell koppling till mina användarprofiler på andra sajter. Jag litar också – kanske naivt – på att Last.fm inte registrerar annat än just mitt musiklyssnande.

Spotify är ett av många företag som sätter övervakning i system. Delvis fortsätter de på samma spår som Last.fm: det är ingen slump att Spotify redan i startskedet erbjöd användarna att integrera sitt användarkonto med en Last.fm-profil. Senare tillkom en djup integrering mellan Spotify och Facebook. Målet är uppenbarligen att ta reda på exakt vem som lyssnar på vad, samt när och var musiklyssnandet sker. Ur detta informationsberg kan Spotify utvinna de mest intrikata mönster, vilket är en produkt som kan säljas vidare till reklamindustrin.

Att ens musiklyssnande övervakas av Spotify är nog inget skäl för obehag bland flertalet användare. Men faktum är att företagets övervakning går längre än så. Spotify övervakar även filerna vi har på våra hårddiskar.

Jag testade att registrera en ny användare på Spotify, för att jag ville dokumentera hur de bemöter de nytillkomna. Här följer ett utdrag ur mina anteckningar från processen.

Jag registrerar ett nytt Spotifykonto och loggar in med detta på min stationära hemmadator. Det råkar vara samma dator som jag använder för att hantera mp3-filer: där finns program som Soulseek och Itunes, där finns en extern hårddisk där själva mp3-filerna ligger.

Så fort jag har loggat in som en ny användare på Spotify, möts jag av uppmaningen att koppla användarkontot till Facebook för att göra upplevelsen mer “social”. Jag avböjer.

Därefter möts jag av olika slags musikrekommendationer, särskilt i form av “appar” som ska hjälpa mig att få ihop några spellistor. Medan jag överblickar detta utbud, märker jag att Spotify har fullt upp med att kartlägga vilka musikfiler jag har sparade lokalt (på datorns externa hårddisk). Dessa filer listas sedan under “Local files” i vänsterspalten.

I mitt s.k. Itunes-bibliotek finns 23163 objekt, varav nästan alla är ljudfiler i mp3-format. Det verkar vara dessa som Spotify registrerar i en process som tar ganska lång tid. Jag ser att räkneverket tickar en bra bit över 20000, men när processen är färdig finns endast 18116 objekt listade under “Local files”. Vissa av dem är vita, vilket betyder att de finns på Spotify och att jag kan lyssna på dem i Spotify-klienten. Många av dem är dock gråtonade eftersom jag i hög grad lyssnar på musik som inte tillhandahålls av Spotify. Om jag dubbelklickar ett gråtonat objekt får jag budskapet: “This track was added as a local file. If you have the file on your computer you can import it.” Spotify skiljer alltså mellan att registrera existensen av en ljudfil och att “importera” densamma.

Jag noterar att Spotify inte har registrerat de mp3-filer som ligger i mappen “Soulseek downloads”, utan bara de som jag har valt att lägga in i Itunes. Men där finns inte bara musik, utan även en del privata inspelningar som jag har gjort “i fält”, samt ett antal inspelade föredrag som jag har laddat ner från webben.

Vidare så noterar jag att en del filer har fått annan metadata när de hamnar under “Local files” i Spotify, jämfört med den metadata som finns i filerna på min hårddisk och i mitt Itunes. Det kan vara sådant som att gästartister får plats i artistfältet i stället för i spårnamnet. Metadatan har alltså “korrigerats” för att överensstämma med den standard som tillämpas på Spotify. Detta är ett belägg för att alla de 23163 objektens metadata faktiskt har skickats till Spotifys servrar, inte bara lagts in i den lokala klientens databas.

Eftersom processen tar så lång tid, misstänker jag att det är mer än bara metadata som skickats till Spotifys servrar. Troligen skickas även s.k. akustiska fingeravtryck. Spotify övervakar alltså även innehållet i tusentals ljudfiler på min hårddisk.

Visst är det anmärkningsvärt att Spotify tar sig friheten att söka igenom ljudfilerna på min hårddisk, utan att fråga först! Fundera på om en distributör av e-böcker skulle göra samma sak, alltså söka igenom samtliga textfiler på hårddisken och registrera dessa på en central server. Skulle ljud vara mindre känsligt än text? Vem vet vilka ljudinspelningar som Spotify kan söka igenom – och vem kan veta om Spotify har en bakdörr till t.ex. NSA?

Min första tanke blir förstås att jag måste ha klickat förbi en finstilt text där jag accepterar att Spotify söker igenom min hårddisk efter ljudfiler. Därför tittar jag närmare på “Spotify Privacy Policy“. Det närmaste jag kommer är följande stycke:

2.2 Usage & log data

When you use the Service, we automatically collect certain information, including: (i) information about your type of subscription and your, interactions with the Service, including with songs, playlists, other Spotify users, Third Party Applications (as defined in the Terms and Conditions of Use) and advertising, products and services which are offered, linked to or made available on the Service; (ii) the details of the queries you make; (iii) User Content (as defined in the Terms and Conditions of Use);