Sammendrag av argumenter i høringen om innføring av datalagringsdirektivets krav i norsk rett. Gunnel Helmers, 23.04.2010 Notatet inneholder en gjennomgang av utvalgte, ulike argumenter fremkommet i høringen, men er ikke et forsøk på å lage en komplett oversikt. 1
Innholdsfortegnelse Sammendrag av argumenter i høringen om innføring av datalagringsdirektivets krav i norsk rett.... 1 Prinsipielle argumenter... 3 Rettsstatsprinsipper:... 3 Menneskerettsprinsipper:... 5 Fare for function glide:... 7 Faktarelaterte argumenter... 8 Mangelfull utredning... 8 Nytte/effekt:... 11 Misbruksfare, opplysninger på avveier... 13 Omgåelse av direktivet / konkurransehensyn... 14 Eøs-relevans?... 17 Kostnader:... 18 Lagring av dataene, utlevering av dataene... 18 2
Prinsipielle argumenter Rettsstatsprinsipper: Nei til datalagring fordi det vil føre til at normale rettstatsprinsipper forrykkes: 1. Behandler alle som (potensielle) kriminelle - Utfordrer uskyldspresumpsjonen. (EMK artikkel 6) Departementet begrunner datalagringen med at opplysningene vil kunne være nødvendige for å frikjenne noen som er utrettmessig mistenkte 2. Gjør den viktige varslerrollen vanskelig 3. Utfordrer kildevernet og pressefriheten 4. Utfordrer muligheter til reell ytringsfrihet og forsamlings-, forenings- og organisasjonsfrihet. 5. Utfordringer i forhold til politisk overvåking 6. Fører til en forrykking av balansen mellom statlig kontroll med borgerne, og grunnleggende demokratiske friheter som privatlivet fred og retten til fortrolig kommunikasjon 7. Siden man har kriminalisert vidt definerte forberedelseshandlinger (inngå avtale om terror, forberede terror) og dermed innført flere muligheter for å iverksette etterforskningsskritt tidlig/forbyggende, vil datalagringsdirektivet gi muligheter for økt politisk overvåking. 8. Direktivet innebærer en systematisk og vedvarende screening av hele befolkningens bruk av dagligdagse kommunikasjonsmidler. Inngrepet i befolkningens private forhold er betydelig, og faren for misbruk er stor. 9. Ikke enig med departementet i at dette er et mindre inngripende tiltak enn andre etterforskningsmidler man allerede kjenner. 10. Medfører omfattende lagring av overskuddsinformasjon om den enkeltes kommunikasjon. 11. Støtter Datatilsynets høringsuttalelse Datatilsynet (1, 2, 3, 4,5,6,7,8,9,10 )? Norsk pressforbund, OG Norsk redaktørforening (2,3,4,5,6,8,9,10,11) Norsk PEN (2,3,4,5,6,8,9,10,11) ICJ Norge den internasjonale juristkommisjon, norsk avdeling, (1,2,3,4,5,6,7,8). NRK (3). Norsk journalistlag (2,3,4, og de fleste andre.) NITO (1,2,3,4,5,6,8,9,10,11) IKT Norge (1,2,3,4,5,6,8,10,11) Advokatforeningen (5,8,9) Fagforbundet Lillehammer avdeling 59 (2,4,8) Forbrukerrådet (4,11) NetCom (8) Akershus Nei til EU, (1,5,6,8) Hordaland Nei til EU (1,3,4,5,6,) Hordaland senterungdom (1,6) 3
Nøytrale 1. Reell fare for kompromittering av varslere, pressens kilder, etc. Høgskolen i Gjøvik Norsk informasjonssikkerhetslab (NISlab) (1) Ja til datalagring fordi muligheten til å etterforske må veie tyngre enn personvern og andre interesser når det gjelder datalagring (som ikke anses som inngripende). 1. I en rettsstat må alle borgere, institusjoner og organer bidra idet bekjempelse av organisert kriminalitet og terror er en forutsetning for at en rettsstat skal fungere. Det lille inngrepet som lagringen innebærer, bør enhver kunne akseptere som et bidrag til en rimelig effektiv rettshåndhevelse i fellesskapets interesse. 2. Forslaget til datalagring gir klare krav til behandling, sikring, innsyn, tilsyn og sletting, og balanserer de kryssende hensyn slik at regelverket blir klart og forutsigbart mht. lagring og bruk av kommunikasjonsdataene. 3. Kan godta ytterligere rettssikkerhetsgarantier, så lenge garantiene ikke gjør den praktiske bruken av dataene unødig tungvindt. 4. Trafikkdata kan sikre at uskyldige ikke blir tatt, og er dermed viktige for rettssikkerheten. 5. Mener det ikke finnes mindre inngripende, alternative metoder enn datalagring 6. Avviser at datalagring er en nyskapning (viser til regelverk mot hvitvasking og terrorfinansiering). Mener derimot at sletteplikten i ekomloven 2-7 er en nyskapning. 7. Mener det må være viktigere å finne en lagringsløsning som minsker inngrepet i personvernet enn å gjøre datalagringsdebatten til en generell personverndebatt. 8. Mener det er tvilsomt at datalagringsdirektivet har en nedkjølende effekt på ytringsfriheten, og at, dersom man skal ta hensyn til denne effekten, må det påvises en klar effekt i evalueringen av direktivet som skal gjennomføres innen 15. september 2010. 9. Den politiske debatten har vært preget av en uriktig oppfatning av at direktivet handler om innføring av en ny politimetode, og en økende bruk av tvangsmidler i etterforskningen. Viser til banker og finansinstitusjoners krav om å utlevere opplysninger uten hindring av taushetsplikt, og at en slik mulighet ble innført av prosessøkonomiske årsaker, og ønsker liknende vurderinger for trafikkdata. Det nasjonale statsadvokatembetet (1,2,3,4,5) Riksadvokaten (4,5, Kripos (1,4,5,7,8,9) 4
Menneskerettsprinsipper: Nei til datalagring fordi det bryter med sentrale menneskerettigheter slik det er tolket av Den europeiske menneskerettsdomstol (EMD) 1. Kravene til konkret mistanke som krav for innsamling, lagring, sikring av personopplysninger i forbindelse med etterforskning frafalles, i og med at opplysninger om alle skal lagres. 2. Det holder ikke som begrunnelse for datalagringsdirektivet at opplysningene bare skal lagres, og ikke brukes til noe med mindre man senere blir satt under mistanke for noe konkret. Det må en bedre begrunnelse til for å lagre opplysninger for etterforskning. (Støtte i EMDs dom S. og Marper mot Storbritannia (2008)) 3. Datalagring bryter sannsynligvis med EMK artikkel 8. Begrunnelse: Trafikkdata omfattes av typen personopplysninger som er beskyttet av EMK artikkel 8. (EMD: Malone mot Storbritannia, samt en rekke senere avgjørelser). Selve lagringen er et inngrep i artikkel 8 når det skjer uten borgernes samtykke, uavhengig av om staten senere kan få tilgang til /bruke de lagrede opplysningene (EMD: Leander mot Sverige og Amann mot Sveits). For å kunne innføre et tiltak som datalagring, må inngrepet ikke bare ha klar hjemmel, og en klar begrunnelse som nasjonal sikkerhet og kriminalitetsforebygging, det må i tillegg være nødvendig i et demokratisk samfunn. Da må det foreligge et presserende samfunnsmessig behov for inngrepet. Inngrepet skal være nødvendig, det holder ikke at det er hensiktsmessig eller nyttig. Det skal i tillegg være proporsjonalt. 4. Datalagring vil utfordre retten til fortrolig privatkommunikasjon, ved at ens samtalepartnere og kommunikasjonsmønstre lagres for evt senere bruk. Vissheten om at infrastrukturen for å kunne blottlegge hele kontaktflater og nettverk ligger der vil kunne gi en nedkjølende effekt på ytringsfriheten. 5. I forlengelse av punkt 4: Datalagring utfordrer pressefriheten og ytringsfriheten: (EMD: Goodwin mot Storbritannia / Financial Times m fl mot Storbritannia / Weber og Saravia mot Tyskland) 6. Dommen i EMD: KU mot Finland (2872/02) kan ikke brukes som argument for at direktivet må innføres. Menneskerettsdomstolen har ikke tatt stilling til lagring, kun til utlevering. 7. Utfordrer den enkeltes rett til å kunne bevege seg fritt i samfunnet, uten å legitimere seg eller la seg identifisere. 8. Datalagringsdirektivet medfører en forholdsvis tett monitorering av hvor man befinner seg til enhver tid. Monitoreringen blir mer og mer nærgående over tid p.g.a. den teknologiske utviklingen (smart-telefoner, tingenes Internett) 9. Datalagringsdirektivet utgjør et uforholdsmessig inngrep i kildevernet (EMK art 10). Et eventuelt inngrep i ytringsfriheten må være nødvendig i et demokratisk samfunn. Konvensjonsstatene har vid skjønnsmargin, men iht EMDs Goodwinsaken (1993: avsnittene 40-46) kreves intensiv prøving av forholdsmessighet. Når domstoler avgjør om det er grunn til å oppheve hovedregeln om journalisters rett til å beskytte kilder, må retten vurdere de ulike interessene konkret (den såkalte Goodwintesten. Retten skal også legge vekt på the Chilling effect en bevissikring vil ha for informasjonsfriheten. Menneskerettsdomstolen har understreket at begrunnelsen for kildevernet også gjør seg gjeldende ved anvendelse av nye 5
etterforskningsmetoder, jf. EMD Tillacksaken (2007: avsnitt 53) og EMD Weber og Saraviasaken (2006, avsnitt 143). Dette viser at bruk av slike fremgangsmåter som rammer kommunikasjon mellom journalist og kilde slik at kilden kan asløres eller blir mer tilbakholdne, utgjør et betydelig inngrep i ytringsfriheten etter EMK artikkel 10, jf NOU 2009: 15 s 339 og Rekommandasjon (2000) 7 prinsipp 6. Datatilsynet (1, 2, 3, 4, 6, 7,8) ICJ Norge Den internasjonale juristkommisjon, norsk avdeling. (1, 2, 3, 4, 5) Advokatforeningen (1, 2, 3, 4) Fagforbundet Lillehammer avdeling 59 (3) Forbrukerrådet (7,8) IKT Norge (2,4,7,8) Norsk journalistlag (3,4,9) Nøytrale 1. Mener det bør være mulig å bruke Internett lovlig uten å bli overvåket (i betydningen uten å bli gjenkjent og logget i en sentral database) Høgskolen i Gjøvik Norsk informasjonssikkerhetslab (NISlab) (1) Ja til datalagringsdirektivet fordi: 1. Enig med departementet i at direktivet er forenlig med de krav som stilles i EMK art. 8 2. For snevert å snakke om personvernet til brukerne av elektroniske kommunikasjonstjenester. Personvernspørsmålet gjelder også kriminalitetsofrenes vern mot krenkelser av sin integritet og eiendom. 3. Myndighetene har ansvar for gjennom et balansert lovverk å sikre mulighetene for effektiv rettshåndhevelse. 4. Mener EMDs dommer K.U. mot Finland (2008), M.C. mot Bulgaria (2003), Osman mot Storbritannia (1998) må tolkes som en plikt til å tilrettelegge for tiltak som datalagring. K.U. mot Finland viser i tillegg at en kompensasjonsonsordning fra tredjemann ikke kan erstatte straffeforfølgning av den skyldige. 5. Mener datalagringsdirektivet ikke kan kalles overvåking. Underbygger med at opplysningene ikke samles hos politiet, men hos tilbyderne, og at politifolk også er gjenstand for samme datalagring. Viser i den sammenheng til EMDs dommer Klass (1978) ikke krenkelse, Weber (2006) ikke krenkelse og Liberty (2008) krenkelse, som handler om hemmelig 6
informasjonssamling basert på telefonavlytting og automatisk filtrering ut fra nøkkelord (a la svenske FRA-lagen), dommer som tar opp spørsmål om inngrepet er hemmelig, og om det oppstår informasjonsoverlegenhet på politiets hånd. Mener det ikke er tilfellet her, informasjonsoverlegenhet vil først inntre når politiet får tilgang til dataene. 6. Argumenterer ut fra en oppfattelse av at enkeltmennesket skal ha innsynsrett i opplysninger som er lagret med hjemmel i datalagringsbestemmelsene. 7. Spør om sletteplikten i ekomloven 2-7 annet ledd er forenlig med plikten til å ivareta barns personvern i forbindelse med bilder som dokumenterer seksuelle overgrep. Internasjonale forpliktelser krever effektiv straffeforfølgelse på området. Dersom dataene slettes, må en spørre om det gir mening å prioritere arbeidet mot slike overgrepsbilder. Det norske systemet er, på grunn av sletteplikten, likt det Finland ble dømt for i K.U. mot Finland. 8. Datalagringsdirektivet er nødvendig for å oppfylle krav i Barnekonvensjonen art 34 samt artikkel 8 i Menneskerettskonvensjonen. 9. Mener en avveining heller til at datalagringsdirektivet må innføres. 10. Frykter at Norge blir et attraktivt land for ulike kriminelle dersom datalagringsdirektivet ikke innføres. 11. Utenriksdepartementets høringsuttalelse oppstiller en lang rekke aktuelle dommer fra EMD, henvisninger til juridisk litteratur, og utleder fra sitt massive kildemateriale at datalagring er riktig, så sant det skjer på en minst mulig inngripende måte, samt under god nok beskyttelse. (for domsreferanser, se høringsuttalelsen). Det nasjonale statsadvokatembetet (1,2,3,4,5,6,7,9.10) Kripos (2,8,9,10) Riksadvokaten (9,10) Fare for function glide: Nei til datalagring fordi det er fare for utvidet bruk til nye formål, samt fare for misbruk: 1. I Europa ser man press mot å bruke systemer som masseinnsamler personopplysninger til automatisk screening for å finne risikoatferd. (PNR, Swift, ulike programmer for automatisk atferdsdeteksjon ved hjelp av kameraovervåking). Disse systemene ligger utenfor de rettssikkerhetsgarantiene som ligger i straffeprosessloven. 2. Dersom man aksepterer masselagring, vil man raskt kunne tenke seg andre områder der staten vil kunne ønske og kreve tilsvarende lagring, og flere etater som kunne ha nytte av opplysningene. Se for øvrig gjennomgangen av lagring/tilgang til dataene. 7
Datatilsynet, (2) ICJ Norge Den internasjonale juristkommisjon, norsk avdeling. (1, 2) Advokatforeningen (2) Fagforbundet Lillehammer avdeling 59 (2) Faktarelaterte argumenter Mangelfull utredning Nei til datalagring på grunn av mangelfull utredning 1. manglende fremlagte fakta om behov, effekt og konsekvenser Det finnes ikke objektiv statistikk over bruk eller nytte. (Flere refererer til hindringene Metodekontrollutvalget møtte under arbeidet med NOU 2009:15 Skjult informasjon åpen kontroll). 2. mangler reell gjennomgang av forholdet til sentrale menneskerettigheter (artikkel 8, 6, 10) 3. Feilaktig fremstilling av hvem som skal ha tilgang til lagrede data, og om rettskjennelse er nødvendig. Det vil ikke bare gjelde politi ved skjellig grunn til mistanke, men også i forbindelse med sivile saker (jf tvisteloven 22-3 jf 21-5), i forbindelse med undersøkelser foretatt av PST etter straffeprosessloven 216b jf politiloven 17 d (påpekes av ICJ Norge), og i forbindelse med utlevering til andre lands politi- og etterretningstjenester. 4. Datalagring mot hele befolkningen kan ikke sammenliknes med kommunikasjonskontroll. Kommunikasjonskontroll er en målrettet metode som tas i bruk overfor en begrenset krets med personer når det foreligger kvalifisert mistanke om særlig grove lovbrudd (jf straffeprosessloven kapittel 16 a.) Irrelevant sammenlikning når man påpeker at datalagring er mindre inngripende enn målrettede metoder som for eksempel telefonavlytting. 5. Mangler reell gjennomgang av alternativer til datalagring 6. Mangler perspektiver om samfunnsutviklingen for eksempel at vi snart alle har smarttelefon og kommunikasjonsboks i bilen. Telekomindustrien er en av verdens mest dynamiske bransjer. 7. Nav lurer på om deler av etatens systemer vil falle inn under direktivet, og gjør oppmerksom på at det dels er sensitiv (bildetolketjenesten for døve)og taushetsbelagte tjenester (gjeldstelefonen). De har også eget telefonnummer for personer med hemmelig adresse pga. beskyttelsesbehov (kode 6). Advarer mot tillitssvikt fra publikum, og mot å akseptere annet enn meget høy sikkerhet i lagringssystemene. 8. Redd for at publikum vil kunne vegre seg mot elektronisk kommunikasjon med for eksempel NAV pga datalagringen. 9. Savner en begrunnelse for behovet for lagring for hver datatype som ønskes lagret. 10. Teleplans kostnadsvurderinger fra 2006 og 2008 er gamle og utdaterte, og bør erstattes med nye beregninger. Spesielt er behovet for sikkerhet i lagringen er betydelig undervurdert. 8
11. Manglende klarhet i det foreslåtte regelverket, både generelt, og spesielt når det gjelder tekniske konsekvenser. Telenor nevner spesielt uklarheter i hva som rammes av lagringsplikten, og teletilbydernes reelle mulighet til å lagre dataene som kreves. (For eksempel om alle tilbydere skal pålegges å lagre A, B, og C-nummer dersom dette skal gjennomføres, må alle tjenestetilbydere ha tilgang til alle abonnementsdatabaser. I tillegg må man ha oversikt over hvem som har vært eier, bruker og betaler av abonnementet i perioden for søket. Telenor nevner også problematikk med lagring av mislykkede oppringninger (vil medføre behov for utvidelse av kapasitet i nettet) og mislykkede påkoblinger (Telenor har problemer med å se hva departementet sikter til noe som kan være nyttig til noe som helst). Telenor nevner også at tjenestetilbyderne ikke alltid selv har tilgang til de data de er tenkt å få lagringsplikt for etter de foreslåtte reglene. 12. Kritiske til datalagringsdirektivet og behovsbeskrivelsen. Gjennomgår en rekke saker (operasjon ENEA, Baneheia-saken, NOKAS) med hensyn på retorikken rundt nødvendigheten av trafikkdata. (Mer i UiO- MatNats uttalelse.) Datatilsynet, (1,2,3,4,5,6,9) IKT Norge (1,2,5,6) NetCom (1,2,4,5,6,9,10) Telenor (11) NITO (1,2,5) ICJ Norge den internasjonale juristkommisjon, norsk avdeling (1,2,3) Advokatforeningen (1) Forbrukerrådet (1,5,6) UiO- Det matematisk-naturvitenskaplige fakultet (12) LO (1,2,5) NAV (1,2,5,7,8) UiO- Det matematisk-naturvitenskaplige fakultet (12) Nøytrale: 1. Mangler risikovurderinger av lagring 2. Påstanden om at epostadresser ikke inneholder sensitiv info er ikke korrekt. Når personlige epostadresser er koblet mot adresser som contact@aids.gov, kyoung@breastcancer.org, kan den være følsom. 3. Utredningen mangler essensielle krav for å kunne ivareta god lagringsikkerhet (mht endringer, integritet) 4. Databasene som opprettes for at myndighetene skal ha tilgang, er antakelig å regne som offentlig arkiver, og vil dermed falle inn under arkivlovens krav. Dermed vil sletting ikke kunne finne sted uten tillatelse fra Riksarkivaren. 5. Brønnøysundregistrene tror Altinn vil falle inn under lagringsplikten. 9
Høgskolen i Gjøvik Norsk informasjonssikkerhetslab (NISlab) (1,2,3) Norsk Arkivråd (4) Brønnøysundregistrene (5) Ja til datalagring: 1. Men mener det er uheldig at politiet ikke skal ha tilgang til data der det ikke lar seg bevise at det foreligger skjellig grunn til mistanke som knytter seg til en bestemt person. Dette vil fjerne muligheten til generelle basestasjonsutskrifter i en innledende fase av saker. Mener dette spesielt vil gjelde alvorlig kriminalitet/terror/drap/narko. Da vil ikke forslaget oppnå sitt formål (Bekjempe alvorlig kriminalitet). Mener dette evt. må løses ved at det innføres krav om skjellig grunn til mistanke, men ikke knyttet til en bestemt person, evt. krav om at det må være av vesentlig betydning for etterforskningen. 2. Mener skjellig grunn til mistanke er for strengt krav for bruk av opplysningene, og at det mangler en konsekvensanalyse av et slikt krav. 3. Forbeholdent positive til innføring av direktivet, mener det handler om å skape et felles regelverk for å strukturere lagring av informasjon som likevel lagres i utstrakt grad. 4. Mener det er uheldig at det åpnes for å revurdere Finanstilsynets tilgang til trafikkdata. (Viser til at trafikkdata er viktig info for å avdekke bl.a. innsidehandel og markedsmisbruk, samt til EØS-forpliktelser. 5. Mener sanntidskryptering burde vært utredet i forkant av høringsrunden. En slik løsning vil minimere personvernmessige betenkeligheter 6. Mener at politiet trenger tilgang til opplysninger fra datalagring i alle saker som departementet foreslår, men mener man også bør vurdere å føye til seksuelt krenkende atferd (strl. 201, ett år strafferamme) og brudd på ånsdsverksloven 54 (tre måneder strafferamme), noe som vil ramme fildeling. 7. Vil ha presisert at det fortsatt skal være adgang til lagrede trafikkdata/ identifiserende data etter tvisteloven 22-3, slik at rettighetshavere kan forfølge sine rettskrav. Uten lagring og tilgang vil det være formålsløst for krenkede rettighetshavere å sende politianmeldelser, henvendelser til internettilbydere med anmodning om varsling til berørte sluttbrukere, og iverksette andre sivilrettslige skritt. Det nasjonale statsadvokatembetet (1,6) Norsk narkotikapolitofrening (1) Kripos (1,2,5) Akademikerne (3) Finansdepartementet (4) Finanstilsynet (4) Norsk videogramforening OG IFPI (7) 10
Nytte/effekt: Nei til datalagring fordi tilstrekkelige virkemidler allerede finnes: 1. Straffeprosessloven 215 a gir påtalemyndigheten mulighet til å pålegge sikring av elektronisk lagrede datasom antas å ha betydning som bevis. Bestemmelsen gir muligheter til en mer målrettet datalagring, og var så langt man fant det forsvarlig å gå da bestemmelsen ble politisk behandlet i 2005. Dersom datalagringsdirektivet innføres, vil det medføre en massiv utvidelse av denne muligheten. 2. Politi- og påtalemyndigheter har allerede tilgang til ønsket informasjon. Dette bør være tilstrekkelig. 3. Kritiske til at leverandørene av tele- internettjenester skal samle inn informasjon som disse leverandørene ikke trenger selv. ICJ Norge den internasjonale juristkommisjon, norsk avdeling (1) Elektronikkbransjen (2,3) Tele2 (3) Nei til datalagring fordi man vet for lite. 1. Man bør avvente EU-kommisjonens pågående evaluering av direktivet i land som allerede har implementert det. 2. Man bør i det minste avvente til forholdet til EMK (bl.a. artikke 8) er avklart Abelia (1) NetCom (1) Advokatforeningen(2) Altibox (1) Europabevegelsen (1) Nøytrale: 1. Årsaken til at politiet og påtalemyndigheter har utfordringer knyttet til å ivareta barns rettssikkerhet i straffesaker, syns ikke i første rekke å være mangelen på datalagringsdirektivet. 2. Hvilket samfunn ønsker vi å overlevere til våre barn et overvåkingssamfunn? Viktig at man beholder respekten for barns rett til privatlig og integritet. 3. E-post som kommunikasjonsmåte inneholder ikke sikringsmuligheter. Det finnes i de foreslåtte loggene verken bekreftelse av hvem som faktisk har sendt en e-post, hvem som faktisk har mottatt den, hvor den ble sendt fra opprinnelig, hvem som evt. har lest den, hvor vedkommende er, eller om den ble slettet før den ble lest. Begrenset nytteverdi. 4. Mangler gjennomgang av andre land enn nordiske naboer. Legger skjul på den omfattende debatten i andre land, eks Tyskland. 5. Savner ryddige evalueringer fra land der datalagring har vært i bruk i flere år, mener det bør være mulig å få data om bruk, sikkerhet, lagringssteder, tilgangskontroll, etc. dette vil kunne si noe om effekt 11
6. Mener politiet har nytte av trafikkdata, på grunn av gjennomgang av faktiske dispensasjoner fra taushetsplikten Barneombudet (1,2) Høgskolen i Gjøvik Norsk informasjonssikkerhetslab (NISlab) (3,4,5) Post og teletilsynet (6) Forsvarsdepartementet Ja til datalagring på grunn av nytten ved tiltaket: 1. Datalagringsdirektivet er avgjørende for fremover å kunne motvirke organisert kriminalitet og terror på en effektiv måte. Utarbeidelsen er basert på de erfaringer europeisk politi og påtalemyndighet har hatt gjennom mange år ved bruk av teledata. Kripos beskriver i tillegg trafikkdata som ett av politiets basisverktøy, som etaten har kunnet benytte til å løse de fleste pålagte oppgaver. 2. Det er forventet at teleselskapene vil slutte med frivillig lagring av teletrafikkdata i ganske nær fremtid. Uten en lov som pålegger lagring, vil politiet stå uten tilgang på trafikkdata. 3. I dag innhentes trafikkdata i ca 50 % av de alvorlige straffesakene, iflg undersøkelser gjort av Kripos. Det nasjonale statsadvokatembetet har brukt slike data i alle saker vedrørende organisert kriminalitet eller terrorbestemmelsene der trafikkdata har vært viktig. 4. Trafikkdata er objektive, og påvirkes ikke av inntrykk, hukommelse osv. 5. Trafikkdata gir en prosessøkonomisk effekt, idet tiltalte sjelden vil benekte omstendigheter som er ugjendrivelig bevist 6. Datalagring er nødvendig for å avdekke identiteten til lovbrytere på Internett. Dersom opplysninger om identiteten ikke er lagret, er det umulig å etterforske. 7. Datalagring trengs for å kunne identifisere hvem som skal avlyttes (ved hjelp av en trafikkdataanalyse). 8. Frysbestemmelsen i straffeprosessloven 215 a har kun virkning fremover i tid, og er derfor helt ubrukelig når den straffbare handlingen allerede er begått (som NOKAS, drap med ukjent gjerningsmann, terrorhandling). Bruk av bestemmelsen fordrer også at det fins data å sikre. Telenor og Netcom oppgir til Kripos at de mottar sikringspålegg ca 10-20 ganger hvert år. Muligheten brukes lite, fordi saksbehandlingen i Post- og teletilsynet er rask (sjelden mer enn to dager). 9. Bekrefter behovet for lagring av alle opplysninger som foreslås lagret. 10. Trafikkdata vil kunne bidra til å bekrefte eller avkrefte opplysninger i forklaringer. 11. Mener det bør være mulig å utlevere data ved etterforskning av heleri/hvitvasking jf strl 317 (inntil tre år strafferamme) 12. Man bør avvente EU-kommisjonens pågående evaluering av direktivet i land som allerede har implementert det. 13. Mener trafikkdata er av avgjørende viktighet i svært mange saker. Det fremkommer imidlertid ikke nødvendigvise i domsgrunnene hvorvidt trafikkdata har vært viktig for oppklaringen av saken. Trafikkdata er meget godt egnet til å belyse en sak, da telefoni/data brukes langt hyppigere enn eksempelvis kredittkort, bombrikke eller andre sporproduserende enheter. Post- og teletilsynet viser at anmodninger om fritak fra taushetsplikt for innhenting av 12
trafikkdata i perioden fra 2004-2008 ligger jevnt på ca 1800-1900 per år (hver anmodning kan gjelde flere telefonnumre) Post- og teletilsynet har ikke oversikt over hvilke straffebud politiet påberoper seg, men hovedtyngden er narkotika (strl 162) vinning (strl 147, 257-258) og vold. En undersøkelse, (selvrapportering fra etterforskningsleder) i regi av Kripos, av saker fra 2008 viser at det i underkant av halvparten av sakene ikke ble innhentet trafikkdata, i underkant av halvparten av saker ble det innhentet trafikkdata fra mobiltelefon. I tre av sakene av hele utvalget på 966 ble det innhentet ip-trafikk, i 27 saker både mobil/fasttelefonidata og ip-trafikk. (men prosentverdiene for de to siste svaralternativene blir svært lav/ift rimelige statistiske feilmargin, min kommentar) 14. Trafikkdata benyttes ofte i innledende fase av en etterforskning til å identifisere mistenkte (og dermed gi grunnlag for videre bevissikring som DNA, ransaking, avhør). Ofte vet man da ikke hvem man leter etter. 15. Trafikkdata er spesielt viktig i drapssaker og savnetsaker (både offerets bevegelser og kontakter og for å finne/utelukke mistenkte), narkotikasaker, grenseoverskridende saker, internett-kriminalitet. 16. Etterforskning er en dynamisk prosess, der behovet for trafikkdata oftest ikke er kartlagt fra første stund. Nye spor kan dukke opp, alternative teorier kan gjøre ny innhenting, eller offeret kan bruke tid på å komme med en anmeldelse. 17. Kripos får anslagsvis to henvendelser om å identifisere nettrafikk med bilder av seksuelle overgrep mot barn. 21-dagersfristen er utløpt før Kripos mottar informasjonene om IPadressene. Å ikke kunne etterforske disse sakene, strider mot Barnekonvensjonens artikkel 34. 18. Trafikkdata er viktig i internasjonalt politisamarbeid, og om Norge ikke kan tilby slike data, vil det føre til mindre iver til å hjelpe norsk politi. Det nasjonale statsadvokatembetet (1,2,3,4,6,7,8,9) Kripos (1,2,3,4,5,6,7,8,10,13,14,15,16,17,) PST (18) Riksadvokaten ( 18) Norsk narkotikapolitiforening HSH (11) Get (12) Misbruksfare, opplysninger på avveier Mot datalagringsdirektivet: 1. Lagring av store mengder personopplysninger gir fare for misbruk. Over tid vil det skje lekkasjer. 2. Opplysningene kan ha kommersiell interesse (spionasje, etc.) 3. Snokefare 13
Datatilsynet (1,3,) ICJ Norge Den internasjonale juristkommisjon, norsk avdeling. (1, 2) Advokatforeningen (2,3) ++++ Nøytrale: 1. Stor misbruksfare, særlig når lokaliseringsdata og tilfestingsdata er med. Opplysningene har verdi i forbindelse med spionasje, 2. Fare for misbruk til økonomisk kriminalitet, politisk og annen overvåking. 3. Bekymret for sikkerheten til personer i spesielle funksjoner og stillinger (ledere og sentrale saksbehandlere i departementer og direktorater, Forsvaret, de hemmelige tjenestene, politiet, sentrale beslutningstakere) Forsvarsdepartementet (1,3) Høgskolen i Gjøvik Norsk informasjonssikkerhetslab (NISlab) (1,2) For datalagringsdirektivet: 1. Få har klaget på overtrådt personvern gjennom alle de årene politiet har brukt trafikkdata (16 år). Derfor er faren for misbruk lav. Det nasjonale statsadvokatembetet (1) Omgåelse av direktivet / konkurransehensyn Nei til datalaging fordi det så lett lar seg omgå, 1. fordi det er så mange måter å omgå direktivet på, må man stille spørsmål ved nytte/effekt. 2. Kan unngå registrering ved bruk av: - internettkafeer, usikrede (eller dårlig sikrede) trådløse nettverk, - pc-er på biblioteker, NAV-kontorer - stjålne mobiltelefoner, - skype eller liknende tjenester til telefonsamtaler, - webbaserte eposttjenester utenfor Norge som for eksempel Gmail eller Hotmail. - bruke onlinespill som for eksempel World of Warcraft til telefonsamtaler - MSN, etc - VPN, tunnel sikret mot innsyn, koblet mot en annen maskin der personen får ny identitet 14
- Anonymiserende proxyservere, eller anonymiseringstjenester som Tor - Anonyme kontantkort fra andre land - norske kontantkort med en annens identitet - endre IMEI-kode på mobiltelefon - zombier og botnet, maskiner som er under reell kontroll av en annen enn sin eier - benytte andres identitet, og dermed legge igjen spor etter andre enn seg selv. 3. Man ender opp med å overvåke de lovlydige, mens de kriminelle finner måter å unngå overvåkingen på. 4. Mener direktivet vil føre til konkurransemessige ulemper for de små ekomtilbyderne. Mangler juridisk spesialkunnskap. 5. Når alle tjenester under punkt to faller utenfor direktivets virkeområde, vil det medføre en konkurransevridning, bort fra aktørene som er pålagt lagringsplikt. Markedet for applikasjonsbaserte ekomtjenester domineres av store internasjonale selskaper med base utenfor Europa. 6. Konkurransen på ekommarkedet taler klart mot implementering av direktivet. Når kostnadene ved etablering stiger, vil konkurransen svekkes. 7. Datalagringskravet legger kunstige føringer. Blant annet vil en lagringsplikt både virke konkurransevridende og hemmende på utviklingen av nye tjenester som for eksempel desentraliserte tjenester (Telenor nevner Peer to peer-tjenester som bl.a. utvikles av NRK Beta, BBC og Blizzard (World of Warcraft)). Telenor advarer mot at lagringskravet hemmer innovasjon og utviklingen av nye tjenester. ICJ Norge den internasjonale juristkommisjon, norsk avdeling (1,2) Akershus Nei til EU (1) Datatilsynet(1,2,3) Telenor (2,3,6,7) LO (2) NetCom (1,2) IKT Norge (1,2,3,45,6) Hordaland Nei til EU (1,2,3) LO (1) Nøytrale: 1. Forsvarets sikkerhetsgraderte informasjonssystemer må være unntatt lagringsplikten 2. Datalagringsdirektivet kan innebære falsk trygghet for myndighetene, fordi omgåelsesmulighetene er så mange. Forsvarsdepartementet(1) NTNU (2) 15
Ja til datalagring, men passe på å få nettet finmasket nok / sørge for like konkurransevilkår 1. Vil sørge for at flest mulig tjenester kommer inn under lagringsplikten, ved å føye til og andre elektroniske kommunikasjonstjenester i oppramsingen av tjenester bestemmelsene skal gjelde. 2. Mener lagringsplikten må gjelde alle tjenester, ellers vil de kriminelle benytte de anonyme alternativene (like regler, for eksempel for ip-telefoni/mobiltelefoni/fasttelefoni) 3. Mener lagringsplikten må gjelde likt for alle tjenester, slik at det ikke blir skjeve konkurranseforhold. 4. Mener det er uklart om lagringsplikten gjelder dataene uansett om de er generert i Norge eller i utlandet, og om besittelsesvilkåret i strpl. 210 er oppfylt uansett hvor dataene er lagret. (har møtt avvisning på utleveringsbegjæring når data har blitt generert hos underleverandør, eller lagres hos morselskap i utlandet. Politiet blir da henvist til bruk av rettsanmodning til utlandet. Mener det må fremgå klart at data som genereres ved en tjeneste fra norsk tilbyder, må lagres og utleveres etter datalagringsregelverket. 5. Vil gjerne selge tjenester til tele- og internettilbydere, og anbefaler at det gjøres attraktivt å tilby drift 6. Mener lokal lagring av data vil favorisere de store aktørene konkurransemessig og sikkerhetsmessig, mens de små vil få dårlig sikkerhet og høye kostnader. 7. Vil ha teknologinøytral lagring, lik lagringstid for alle. Det nasjonale statsadvokatembetet (1,2,4,) Kripos (2,7) Get (3) HP (5,6) HSH (3) Så å si alle høringsinstanser (både for og mot) mener: 1. Implementeringen må skje på en teknologi- og konkurransenøytral måte. Nå er det tvil om hvilke applikasjoner som faller innenfor. Det kan gi uheldig konkurransesituasjon. Nøytral til direktivet : 1. Er bekymret for hjemmelen til å pålegge andre aktører som tilbyr kommunikasjonstjenester (for eksempel hoteller og serveringssteder, selger film/tv-programmer, eller andre nye tjenester etter svært tøyelige begreper) og lagre data etter datalagringsregelverket. Uforholdsmessig store byrder. NHO Reiseliv (1) 16
Norges televisjon (1) Ja til datalagring fordi 1. Strenge kontrollrutiner og domstolsbehandling av tilgangsforespørsler er en forutsetning for at datalagring kan være akseptabelt. 2. En forutsetning for støtten til innføring av direktivet at det handler om trafikkdata, ikke innholdsdata. Når det er vanskelig å skille mellom innholdsdata og trafikkdata, må hensynet til personvern veie tyngst. 3. Ønsker kommisjoner (av liknende type som Lund-kommisjonen) som tilleggskontroll, gjennomgang hvert femte år. 4. Akademikerne (1,2,3) Eøs-relevans? Mot direktivet: 1. Siden direktivet er omstridt, kan konsekvensene av å la være å implementere det bli akseptable (kan vise til dom i den tyske forfatningsdomstolen). 2. Legitimt å avvise direktivet som EØS-relevant under henvisning til at det strider mot EMK artikkel 8, og dermed i strid med norsk rett/grunnleggende prinsipper i EU-retten. 3. Datalagringsdirektivet omhandler ikke det indre marked, derfor ikke sannsynlig med mottiltak. 4. Datalagringsdirektivet bidrar ikke til harmonisering og likehet over landegrensene. Advokatforeningen(1, 2) Akershus Nei til EU (3) NetCom (4) Hordaland Nei til EU (1) For direktivet 1. Datalagringsdirektivet bør innlemmes i EØS-avtalen, fordi det ikke vil være ønskelig at Norge stiller seg på siden av felles europeiske tiltak på området internettkriminalitet, finansiell kriminalitet, sikkerhetsangrep. 2. NHO anbefaler at direktivet tas inn i norsk rett fordi dette er et indremarkedsdirektiv etter EF-traktatens artikkel 95, der er dermed direkte EØS-relevant 17
Finansnæringens Fellesorganisasjon (1) NHO (2) Kostnader: 1. Bør dekkes av staten/politiet, den myndigheten med interesse for lagringen 2. Bør dekkes av politiet (for driftskostnader og kostnader ved uthenting av data) og tele- og internettleverandører (for tilrettelegging av lagringstjenesten). 3. Datatilsynet må dekke administrative kostnader innenfor tilsynets gjeldende budsjettrammer, og Post- og teletilsynet må dekke merkostnad gjennom kostnadsriktig justering av sine gebyrer. 4. Økt bruk av kommunikasjonsdata innebærer at rettssaksarbeid forsvarerarbeidet blir mer omfattende og ressurskrevende. Det er rettsikkerhetsmessig uheldig om etterforskerens redegjørelse ikke etterprøves. 5. Domstolene må ha en vaktordning 24/7 for å kunne håndtere utlevering av trafikkdata, dersom ikke påtalemyndighetene får hastekompetanse til å innhente trafikkdata. Stor kostnad. Mangelfullt utredet fra departementets side. 6. Datalagringsdirektivet vil medføre lagring av opplysninger som ikke lagres i dag, ikke bare litt, men i betydelige mengder. Det vil medføre økte kostnader for leverandørene. 7. Påpeker at datalagringsdirektivet vil medføre strukturelle endringer i nett, lagring av mye informasjon som ikke har vært lagret før. Kostnadsdrivende. 8. Spør om det er urealistisk at kun data som er datalagret vil bli etterspurt av politiet med de høyere tersklene som er etablert. Ser for seg etterspørsel etter normale opplysninger teleselskapene trenger for fakturering i tillegg. Økt arbeidsmengde. Altibox (1), Get (1) Abelia (1), Netcom (1), NHO (1) NHO reiseliv (1) +++ Finansdepartementet (2,3) Telenor (1,6,7) Forsvarergruppen av 1977 (4). Kripos (5) Post- og teletilsynet (2) Lagring av dataene, utlevering av dataene Nei til datalagring: 1. Det er prinsipiell forskjell på å gi politiet tilgang til opplysninger hos teleselskapene (selvforsyning), og det at politiet skal kunne få opplysninger utlevert. Det er uheldig at begrepene brukes usystematisk om hverandre i høringsnotatet. 2. Lagring må uansett være tjenestetilbydernes ansvar (2) 18
3. Data bør ikke lagres utover den tid tjenestetilbyderne selv trenger dem 4. Dersom man likevel innfører lagringsplikt, må lagringstiden være så kort som overhodet mulig 5. Reguleringen av utlevering av opplysningene bør koordineres med reguleringen i straffeprosessloven 216 b. Ulogisk å ha lempeligere strafferammekrav for å innhente data som er innhentet uten konkret mistanke, enn hva gjelder for innhenting av tilsvarende data etter strpl. 216b. Strafferammen for utlevering bør derfor være 5 år for utlevering av data lagret etter datalagringsregelverket. 6. Støtter at det må være skjellig grunn til mistanke rettet mot en konkret person før data skal kunne utleveres etter datalagringsregelverket. 7. Equality of arms: For å sikre at nødvendige data også tilflyter forsvaret (data som kan bevise uskyld), må politiet få en plikt, ved innhenting av data, omgående å spørre forsvareren om ytterligere data bør sikres for den siktedes forsvars skyld. 8. Bekymret for at de mindre leverandørene ikke besitter tilstrekkelig juridisk kompetanse, og vil ha vanskelig med å vurdere om et krav om utlevering av data skal etterkommes. 9. En sentral database over trafikkdata gir stor personvernrisiko 10. Bekymret for mengden andre aktører (NAV, Toll- og avgiftsetaten, skatteetat, etc.) som ønsker tilgang til dataene kan bli stor. (Departementet mener at direktivet neppe kan sis å være til hinder for at andre myndigheter gis tilgang.) 11. Data bør lagres sentralt 12. Bekymret over kompetansen, både hos teletilbyderne OG hos alle landets Tingretter når det gjelder innsyn. Mener post- og teletilsynet fortsatt bør ha en rolle: Eksempel fra Tele2, NAV krevde tilgang til trafikkdata, og utøvde betydelig press. Blant annet hevdet NAV at etatens kontrollhjemler var videre enn politiets, og at teletilbyders taushetsplikt ikke gjaldt overfor NAV. Post- og teletilsynet bekreftet Tele2s oppfatning (men understreker at PT kan gi samtykke til utlevering av opplysningene med hjemmel i tvisteloven 22-3). NAV gav muntlig uttrykk for at Tele2 var vanskelige, fordi de hadde fått utlevert slike data fra andre teletilbydere. Saken omtales i Tele2s høringsuttalelse m/vedlegg. 13. En sentral database vil være et fristende mål som kriminelle kan konsentrere sine angrep rundt. 14. Må bruke tilgjengelig standard (ETSI) 15. Politiet må pålegges å føre statistikk for sine utleveringskrav. 16. Registrerer at Finanstilsynet ikke trenger gå veien om domstol for å få opplysningene, og spør om det er gjennomtenkt (det ikke er foreslått endringer i verdipapirhandelloven 15-3 annet ledd nr 3, som hjemler slik utlevering). 17. Mener det er spesielt viktig at ikke kommersielle aktører får tilgang til databasen over lagrede data. Datatilsynet (1,2,9) NetCom (2,3,4,6,9,10) NITO (3,4,611) Forsvarergruppen av 1977 (2,3,4,5,6,7) IKT Norge (8) 19
Tele2 (12) Telenor (2,3,12,13,14,15,16,17) Nøytral til datalagring, argumenterer i retning av nei: 1. Stor misbruksfare, spionasjefare, gjør at dataene må være sikret tilstrekkelig. Må vurderes om opplysningene er skjermingsverdige. 2. Datasystemer som benyttes må sikre at manipulasjon i etterkant ikke er mulig, og integriteten i loggene kan ivaretas. 3. Systemet bør være lukket, atskilt fra Internett, og bare kunne åpnes når både leverandører og politi samarbeider (ingen har tilgang alene). For eksempel ved Secret Sharing System. 4. Stiller spørsmål ved om sikkerhet ved hosting av lagring i utlandet vil være reell. 5. Mener andre etater (Nav, skattemyndigheter, Havarikommisjonen for transport, Finanstilsynet, etc) kun bør få tilgang om de har eksplisitt lovhjemmel. Ellers bør disse etatene underlegges tilsvarende prosessuelle og materielle krav som politiet (sakene må være alvorlige ). Samme for tilganger etter tvisteloven 22-3. 6. Må bruke ETSI-standarder Forsvarsdepartementet(1) Høgskolen i Gjøvik Norsk informasjonssikkerhetslab (NISlab) (1,2,3,4,6) Post- og teletilsynet (5) Nøytrale og ja til datalagring: 1. Mener dataene bør lagres hos en aktør utenfor politiet, og under betryggende forhold 2. Mener dataene bør lagres hos én aktør; det frigjør ressurser hos teleleverandørene, og gjør bruk av personvernøkende teknologi mer aktuelt. Gir ett kontaktpunkt for politiet, bør sikre rask utlevering (innen et døgn). Distribuert lagring vil være forsinkende for politiet(prosessøkonomi), og ikke innebære bedre sikkerhet, kanskje tvert i mot utgjøre en risiko. 3. Mener at sikkerhetsnivået hos teleleverandørene må være godt nok dersom regelverket er godt nok. 4. Støtter at Post- og teletilsynet ikke lenger skal måtte samtykke i utlevering av lagrede data. 5. Ønsker hastekompetanse til utlevering av lagrede data, mener det blir skjevt når romavlytting og kommunikasjonskontroll kan gjennomføres ved bruk av hastekompetansen, og at domstolskontroll i etterkant er godt nok. (Anføres som spesielt aktuelt i forb. med utenlandske rettsanmodninger, og viktig for det internasjonale politi- og påtalesamarbeidet.) 6. Vil ha lagring i ett år. 7. Vil ha lagring så kort som mulig 8. Vil ha lagring i seks måneder. 9. Vil ha lagring lokalt hos tele- og internettselskapene 20