Høringssvar - Endringer i ekomloven (lagring av IP-adresser mv.)
Det vises til høringsbrev av 9. oktober 2020 vedrørende endringer i ekomloven. Forslaget innebærer at tilbydere av ekomtjenester pålegges å lagre IP-adresser for at politiet skal kunne få tilgang til informasjonen for å bekjempe alvorlig kriminalitet. Telia vil benytte muligheten til å gi våre innspill til forslaget.
Etter gjeldende rett kan ekomtilbydere lagre IP-adresser i opptil 21 dager. Denne slettefristen er et resultat av Datatilsynets vurdering av hvor lang lagringstid som er nødvendig for at en tilbyder skal kunne ivareta egne formål, som å ivareta sikkerheten i nettet, gjøre feilsøking og feilretting mv. Tilbydere har i dag ikke adgang til å lagre IP-adresser for det formål å ivareta politiets eller andre myndigheters behov for informasjon.
At ekomtilbydere blir pålagt å lagre informasjon om sine kunder for å kunne bistå politiet i deres arbeid vil derfor innebære et prinsipielt veiskille. Lagring av opplysninger om privat kommunikasjon for at opplysningene skal kunne gjøres tilgjengelig for myndighetene vil kunne true den enkeltes kommunikasjonsvern og personvern. Det er derfor helt avgjørende at man ved innføring av er slikt tiltak vektlegger disse hensynene. Ved utforming av regelverket som hjemler tiltaket bør det også tas høyde for at visse typer kommunikasjon kan være underlagt et særskilt vern, som journalisters kommunikasjon med sine kilder, advokaters korrespondanse med sine klienter mv.
Telia erkjenner imidlertid at når en ikke ubetydelig del av den alvorlige kriminaliteten skjer ved hjelp av digitale hjelpemidler er digitale spor av essensiell betydning for at politiet skal kunne beskytte samfunnet og borgerne. Lagring av IP-adresser i inntil 21 dager er ikke tilstrekkelig for politi- og påtalemyndighetens behov i et digitalisert samfunn. Den enkeltes individuelle friheter og samfunnets interesse i en fri informasjonsutveksling og meningsdannelse må derfor veies opp mot behovet for å beskytte borgerne mot alvorlig kriminalitet.
Fra Telia sin side understrekes det at til taket må være velbegrunnet og treffsikkert slik at man unngår at det lagres og utleveres flere opplysninger enn nødvendig eller at opplysningene benyttes til andre formål enn å bekjempe alvorlig kriminalitet . Av den grunn en det en fordel at ekomtilbyderes lagring av informasjon og rammene for bruken av denne informasjonen blir nærmere regulert i lov. På den måten kan man sikre at tiltaket gjennomføres på en måte som er proporsjonalt og som ivaretar den enkeltes rettigheter.
Det bemerkes at forslaget som nå er på høring med fordel bør vurderes i sammenheng med den foreslåtte tilretteleggingsplikten i ny lov om Etterretningstjenesten, så vel som arbeidet som nå utføres av personvernskommisjonen nedsatt av Kommunal- og Moderniseringsdepartementet. Resultatet av Personvernskommisjonens arbeid og vurderinger, samt personvernkonsekvensene av tilretteleggingsplikten bør inngå i en vurdering av hvordan en plikt til å lagre IP-adresser vil slå ut for personvernet og kommunikasjonsvernet.
Departementene ber særlig om høringsinstansenes syn på hvilket strafferammekrav som bør oppstilles, og på hvor lang lagringstiden bør være.
Nærmere om strafferammekrav
Alle innskrenkninger i retten til konfidensiell kommunikasjon må kun skje unntaksvis, innen strengt definerte rammer. Å gjøre inngrep i denne rettigheten som ikke fremstår som strengt nødvendige i et demokratisk samfunn vil stride mot den enkeltes rettigheter etter Grunnlovens § 102 og EMK art 8 og 10. Når formålet med innskrenkningen er å bekjempe kriminalitet vil tiltaket bare kunne sies å være nødvendig i et demokratisk samfunn dersom det benyttes for å bekjempe kriminalitet av en viss alvorlighet og som også utgjør en stor trussel mot den enkelte eller samfunnet.
For å sikre at tiltaket er proporsjonalt og ikke i strid med Norges forpliktelser etter blant annet EMK bør det derfor angis en nedre strafferaffe samt en uttømmende angivelse av hvilke former for kriminalitet de lagrede opplysningene kan innhentes for å bekjempe. Telia vil imidlertid vike tilbake for å foreslå hvor den grensen bør settes. Når det åpnes for å at tilbydere skal kunne utlevere opplysninger til etterforskning, bør det etter departementenes vurdering også åpnes for at opplysningene kan utleveres når det er nødvendig for å forebygge en handling av tilsvarende alvorlighet/strafferamme. Telia er ikke uenig i den vurderingen, men understreker at politiet vil måtte ha klare holdepunkter for å tro at opplysningene er nødvendige for å forbygge handlingen, før de begjæres utlevert.
Hensikten med å pålegge tilbyderne å lagre IP-adresser er å sette politiet i bedre stand til å bekjempe alvorlig kriminalitet. Lagringstiden må derfor ikke settes så kort at tiltaket ikke vil kunne ha den effekten. På den annen side vil personvernkonsekvensene bli mer inngripende jo lenger opplysningene lagres.
Det er politiet som har det nødvendige erfaringsgrunnlaget for å vurdere hvor lenge IP-adresser bør lagres for at politiet skal kunne dra nytte av dem. Telia sitt utgangspunkt er like fullt at lagrinsplikten settes til 6 måneder, men politiets argumenter for eventuelt lenger lagringstid bør naturligvis lyttes til. Et lite personvernvennlig utfall slik Telia ser det, er innføring av en lagringsplikt som likevel ikke vil være egnet til å bekjempe kriminalitet fordi lagringstiden er for kort.
Behovet for klare regler
Som tilbyder er det særlig viktig at kravene til hvilke kategorier opplysninger som skal lagres og kunne gjøres tilgjengelig, er eksakte og entydige. Politiet bør få tilgang til de opplysninger som er nødvendig for å identifisere abonnenten bak en IP-adresse, men heller ikke noe mer. De bør også få det samme sett med data uavhengig av hvilken tilbyder de må henvende seg til i den enkelte sak. Som tilbyder ønsker man ikke å bli satt i en situasjon der man risikerer å bryte strenge konfidensialitetskrav i ekomloven og personopplysningsloven når man responderer på utleveringsbegjæringer fra politiet.
For en tilbyder er det videre avgjørende at de prosessuelle kravene for innhenting av lagrede data er entydige og ikke skaper rom for tvil om hvorvidt tilbyder har plikt og adgang til å utlevere opplysninger i det enkelte tilfellet og omfanget av utleveringsplikten. Det må etableres helt entydige krav til form og innhold i et pålegg om å utlevere opplysninger. Det er politiet som må bære det fulle ansvaret for å ikke fremme begjæringer om utlevering når vilkårene ikke er oppfylt. Det bør utredes hvordan det kan sikres at det gjøres en konkret nødvendighetsvurdering der hensynet til kommunikasjonsvernet blir hensyntatt i forkant av den enkelte begjæring. For tilbyderne er det viktig å kunne feste lit til at vurderingene som politi og påtalemyndighet gjør er grundige og at det ikke begjæres utlevering uten tilstrekkelig hjemmel. Ansvaret for at utleveringsbegjæringer har gyldig hjemmelsgrunnlag må ligge hos politi- og påtalemyndighet. Tilbyderne bør ikke settes i situasjoner der de må ta nærmere stilling til det materielle grunnlaget for en utleveringsbegjæring.
Høringsnotatet sier lite om hvilke krav som skal stilles til tilbyderne hva angår tjenestekvalitet . Dette er faktorer som har stor betydning for hvordan loggløsningen skal etableres. Det fremgår ikke om det vil bli stilt krav om tiltak for å sikre oppetid, redundans på syslog-servere, backup og gjenoppretting. Slike krav vil få stor betydning for hvor kostnadskrevende det vil være å etablere løsningen. Det understrekes fra Telias side at kravet til logging ikke må få som konsekvens at ved eventuell nedetid for løsningen som benyttes til logging, må tjenestene vi leverer til våre kunder stenges ned.
Telia vil understreke at når tilbydere av ekomtjenester blir pålagt en lagringsplikt for å ivareta fellesskapets behov bør også felleskapet dekke alle kostnadene forbundet med lagringsplikten. Dette bør omfatte både investeringskostnadene og løpende kostnader knyttet til drift, vedlikehold og administrasjon.
Det er ikke rimelig at tilbyderne skal dekke kostander for lagring av opplysninger som tilbyderne ikke vil ha anledning til å behandle for egne formål. Når det gjelder kostnader knyttet til den enkelte uthenting er det et selvstendig poeng at utgiftene dekkes av staten. Det vil kunne bidra til å moderere antall utleveringsbegjæringer og dermed styrke nødvendighetsvurderingen i den enkelte sak hvor politi/påtalemyndighet vurderer å begjære opplysninger utlevert.
At alle kostnader dekkes av staten vil videre sikre at ikke lagringsplikten får en konkurransevridende effekt, eksempelvis ved at nettverkseiere blir pålagt kostnader som andre tilbydere slipper.
Av de modellene som er skissert i høringsnotatet er det modell D som fremstår som det alternativet som sammenfaller best med Telias vurderinger.
Erfaringsmessig vil det oppstå et press i retning av å benytte opplysninger som allerede ligger lagret til andre formål enn det opprinnelige, som i denne sammenheng er å bekjempe og avdekke alvorlig kriminalitet. Selv om politiet ikke vil kunne hente ut opplysninger til andre formål må lovgiver derfor sikre at det oppstilles rettslige hindre mot at lagrede opplysninger benyttes i andre sammenhenger, for eksempel i sivile saker. Vi er særlig bekymret for en formålsutglidning i retning av å hente ut opplysningene for å forfølge rettskrav på bakgrunn av påståtte krenkelser av opphavsrettigheter.
Vi vil av den grunn oppfordre til at det lovfestes en avskjæring av muligheten til at opplysninger som stammer fra IP-lagring kan føres for retten i sivile saker.
Det vises til høringsbrev av 9. oktober 2020 vedrørende endringer i ekomloven. Forslaget innebærer at tilbydere av ekomtjenester pålegges å lagre IP-adresser for at politiet skal kunne få tilgang til informasjonen for å bekjempe alvorlig kriminalitet. Telia vil benytte muligheten til å gi våre innspill til forslaget.
Etter gjeldende rett kan ekomtilbydere lagre IP-adresser i opptil 21 dager. Denne slettefristen er et resultat av Datatilsynets vurdering av hvor lang lagringstid som er nødvendig for at en tilbyder skal kunne ivareta egne formål, som å ivareta sikkerheten i nettet, gjøre feilsøking og feilretting mv. Tilbydere har i dag ikke adgang til å lagre IP-adresser for det formål å ivareta politiets eller andre myndigheters behov for informasjon.
At ekomtilbydere blir pålagt å lagre informasjon om sine kunder for å kunne bistå politiet i deres arbeid vil derfor innebære et prinsipielt veiskille. Lagring av opplysninger om privat kommunikasjon for at opplysningene skal kunne gjøres tilgjengelig for myndighetene vil kunne true den enkeltes kommunikasjonsvern og personvern. Det er derfor helt avgjørende at man ved innføring av er slikt tiltak vektlegger disse hensynene. Ved utforming av regelverket som hjemler tiltaket bør det også tas høyde for at visse typer kommunikasjon kan være underlagt et særskilt vern, som journalisters kommunikasjon med sine kilder, advokaters korrespondanse med sine klienter mv.
Telia erkjenner imidlertid at når en ikke ubetydelig del av den alvorlige kriminaliteten skjer ved hjelp av digitale hjelpemidler er digitale spor av essensiell betydning for at politiet skal kunne beskytte samfunnet og borgerne. Lagring av IP-adresser i inntil 21 dager er ikke tilstrekkelig for politi- og påtalemyndighetens behov i et digitalisert samfunn. Den enkeltes individuelle friheter og samfunnets interesse i en fri informasjonsutveksling og meningsdannelse må derfor veies opp mot behovet for å beskytte borgerne mot alvorlig kriminalitet.
Fra Telia sin side understrekes det at til taket må være velbegrunnet og treffsikkert slik at man unngår at det lagres og utleveres flere opplysninger enn nødvendig eller at opplysningene benyttes til andre formål enn å bekjempe alvorlig kriminalitet . Av den grunn en det en fordel at ekomtilbyderes lagring av informasjon og rammene for bruken av denne informasjonen blir nærmere regulert i lov. På den måten kan man sikre at tiltaket gjennomføres på en måte som er proporsjonalt og som ivaretar den enkeltes rettigheter.
Det bemerkes at forslaget som nå er på høring med fordel bør vurderes i sammenheng med den foreslåtte tilretteleggingsplikten i ny lov om Etterretningstjenesten, så vel som arbeidet som nå utføres av personvernskommisjonen nedsatt av Kommunal- og Moderniseringsdepartementet. Resultatet av Personvernskommisjonens arbeid og vurderinger, samt personvernkonsekvensene av tilretteleggingsplikten bør inngå i en vurdering av hvordan en plikt til å lagre IP-adresser vil slå ut for personvernet og kommunikasjonsvernet.
Departementene ber særlig om høringsinstansenes syn på hvilket strafferammekrav som bør oppstilles, og på hvor lang lagringstiden bør være.
Nærmere om strafferammekrav
Alle innskrenkninger i retten til konfidensiell kommunikasjon må kun skje unntaksvis, innen strengt definerte rammer. Å gjøre inngrep i denne rettigheten som ikke fremstår som strengt nødvendige i et demokratisk samfunn vil stride mot den enkeltes rettigheter etter Grunnlovens § 102 og EMK art 8 og 10. Når formålet med innskrenkningen er å bekjempe kriminalitet vil tiltaket bare kunne sies å være nødvendig i et demokratisk samfunn dersom det benyttes for å bekjempe kriminalitet av en viss alvorlighet og som også utgjør en stor trussel mot den enkelte eller samfunnet.
For å sikre at tiltaket er proporsjonalt og ikke i strid med Norges forpliktelser etter blant annet EMK bør det derfor angis en nedre strafferaffe samt en uttømmende angivelse av hvilke former for kriminalitet de lagrede opplysningene kan innhentes for å bekjempe. Telia vil imidlertid vike tilbake for å foreslå hvor den grensen bør settes. Når det åpnes for å at tilbydere skal kunne utlevere opplysninger til etterforskning, bør det etter departementenes vurdering også åpnes for at opplysningene kan utleveres når det er nødvendig for å forebygge en handling av tilsvarende alvorlighet/strafferamme. Telia er ikke uenig i den vurderingen, men understreker at politiet vil måtte ha klare holdepunkter for å tro at opplysningene er nødvendige for å forbygge handlingen, før de begjæres utlevert.
Hensikten med å pålegge tilbyderne å lagre IP-adresser er å sette politiet i bedre stand til å bekjempe alvorlig kriminalitet. Lagringstiden må derfor ikke settes så kort at tiltaket ikke vil kunne ha den effekten. På den annen side vil personvernkonsekvensene bli mer inngripende jo lenger opplysningene lagres.
Det er politiet som har det nødvendige erfaringsgrunnlaget for å vurdere hvor lenge IP-adresser bør lagres for at politiet skal kunne dra nytte av dem. Telia sitt utgangspunkt er like fullt at lagrinsplikten settes til 6 måneder, men politiets argumenter for eventuelt lenger lagringstid bør naturligvis lyttes til. Et lite personvernvennlig utfall slik Telia ser det, er innføring av en lagringsplikt som likevel ikke vil være egnet til å bekjempe kriminalitet fordi lagringstiden er for kort.
Behovet for klare regler
Som tilbyder er det særlig viktig at kravene til hvilke kategorier opplysninger som skal lagres og kunne gjøres tilgjengelig, er eksakte og entydige. Politiet bør få tilgang til de opplysninger som er nødvendig for å identifisere abonnenten bak en IP-adresse, men heller ikke noe mer. De bør også få det samme sett med data uavhengig av hvilken tilbyder de må henvende seg til i den enkelte sak. Som tilbyder ønsker man ikke å bli satt i en situasjon der man risikerer å bryte strenge konfidensialitetskrav i ekomloven og personopplysningsloven når man responderer på utleveringsbegjæringer fra politiet.
For en tilbyder er det videre avgjørende at de prosessuelle kravene for innhenting av lagrede data er entydige og ikke skaper rom for tvil om hvorvidt tilbyder har plikt og adgang til å utlevere opplysninger i det enkelte tilfellet og omfanget av utleveringsplikten. Det må etableres helt entydige krav til form og innhold i et pålegg om å utlevere opplysninger. Det er politiet som må bære det fulle ansvaret for å ikke fremme begjæringer om utlevering når vilkårene ikke er oppfylt. Det bør utredes hvordan det kan sikres at det gjøres en konkret nødvendighetsvurdering der hensynet til kommunikasjonsvernet blir hensyntatt i forkant av den enkelte begjæring. For tilbyderne er det viktig å kunne feste lit til at vurderingene som politi og påtalemyndighet gjør er grundige og at det ikke begjæres utlevering uten tilstrekkelig hjemmel. Ansvaret for at utleveringsbegjæringer har gyldig hjemmelsgrunnlag må ligge hos politi- og påtalemyndighet. Tilbyderne bør ikke settes i situasjoner der de må ta nærmere stilling til det materielle grunnlaget for en utleveringsbegjæring.
Høringsnotatet sier lite om hvilke krav som skal stilles til tilbyderne hva angår tjenestekvalitet . Dette er faktorer som har stor betydning for hvordan loggløsningen skal etableres. Det fremgår ikke om det vil bli stilt krav om tiltak for å sikre oppetid, redundans på syslog-servere, backup og gjenoppretting. Slike krav vil få stor betydning for hvor kostnadskrevende det vil være å etablere løsningen. Det understrekes fra Telias side at kravet til logging ikke må få som konsekvens at ved eventuell nedetid for løsningen som benyttes til logging, må tjenestene vi leverer til våre kunder stenges ned.
Telia vil understreke at når tilbydere av ekomtjenester blir pålagt en lagringsplikt for å ivareta fellesskapets behov bør også felleskapet dekke alle kostnadene forbundet med lagringsplikten. Dette bør omfatte både investeringskostnadene og løpende kostnader knyttet til drift, vedlikehold og administrasjon.
Det er ikke rimelig at tilbyderne skal dekke kostander for lagring av opplysninger som tilbyderne ikke vil ha anledning til å behandle for egne formål. Når det gjelder kostnader knyttet til den enkelte uthenting er det et selvstendig poeng at utgiftene dekkes av staten. Det vil kunne bidra til å moderere antall utleveringsbegjæringer og dermed styrke nødvendighetsvurderingen i den enkelte sak hvor politi/påtalemyndighet vurderer å begjære opplysninger utlevert.
At alle kostnader dekkes av staten vil videre sikre at ikke lagringsplikten får en konkurransevridende effekt, eksempelvis ved at nettverkseiere blir pålagt kostnader som andre tilbydere slipper.
Av de modellene som er skissert i høringsnotatet er det modell D som fremstår som det alternativet som sammenfaller best med Telias vurderinger.
Erfaringsmessig vil det oppstå et press i retning av å benytte opplysninger som allerede ligger lagret til andre formål enn det opprinnelige, som i denne sammenheng er å bekjempe og avdekke alvorlig kriminalitet. Selv om politiet ikke vil kunne hente ut opplysninger til andre formål må lovgiver derfor sikre at det oppstilles rettslige hindre mot at lagrede opplysninger benyttes i andre sammenhenger, for eksempel i sivile saker. Vi er særlig bekymret for en formålsutglidning i retning av å hente ut opplysningene for å forfølge rettskrav på bakgrunn av påståtte krenkelser av opphavsrettigheter.
Vi vil av den grunn oppfordre til at det lovfestes en avskjæring av muligheten til at opplysninger som stammer fra IP-lagring kan føres for retten i sivile saker.