I mitt svar til høringsbrevet fra Samferdselsdepartementet om mulig implementering av EUs såkalte datalagringsdirektiv, ønsker jeg å belyse de praktiske og vesentlige forholdene som gjør at en full implementering ikke vil være hensiktsmessig for Norge.
Med bakgrunn som dataingeniør, og yrke som webutvikler, har jeg god kjennskap til den datatekniske delen av direktivet, og det er denne som er mest mangelfull og fremstår som svært utdatert. EUs direktiv ble utviklet etter terrorangrepene i Spania og London, og er til dels basert på hvordan Internett fungerte på den tiden, som ikke lenger samsvarer med dagens virkelighet.
Det er derfor min påstand at nærmest hele den delen i direktivet som har med lagring tilknyttet aktiviteter på Internett er noe tilnærmet begrepet “security theater” – altså en falsk trygghet om at tiltaket fungerer. Isteden for en målrettet og bevisst strategi for å holde seg til fellesnevnere der den kriminelle ikke kan lure seg rundt, har man for en eller annen grunn utvidet til områder som har ingen praktisk hensikt.
Andre deler av direktivet som har med mobiltelefoni å gjøre er også preget av den samme utdaterte og lite fremtidsrettede tankegangen, som kolliderer fullstendig med hvordan mobilen brukes idag, og kommer til å bli brukt fremover i tid.
Jeg vil ikke ta standpunkt eller fremheve mange av de typiske argumentene brukt imot direktivet, der disse som oftest er ulogiske, basert på økonomiske selvinteresser, eller kun fremsatt for å provosere eller undergrave meningsmotstanderen.
Lagring tilknyttet Internett
Internett er ikke et lukket system – man kan derfor ikke implementere datalagring som later som om dette er tilfellet. Fellesnevneren for bruk av Internett er en PCs IP-adresse mens den er tilknyttet Internett, tildelt av internettleverandøren i en viss tid, avhengig om det er en dynamisk eller statisk forbindelse.
Så lenge brukeren ikke benytter seg av leverandørens egne tjenester, som er belagt datalagring av EUs direktiv, har leverandøren ingen kontroll på hva brukeren foretar seg – med mindre de foretar utstrakt overvåkning av de data som sendes til og fra brukeren.
EUs datalagringsdirektiv krever ingen slik overvåkning, og godt er det – både etisk og praktisk. Førstnevnte trenger ingen forklaring; sistnevnte ville krevd omfattende ressurser fra leverandørens side, som svært få vil finne hensiktsmessig, og som vil ligne totalitære regimer som Kina.
Derfor er det meget pussig at direktivet krever følgende lagret, med referanse til deres plassering i direktivet:
- §5.1.a.2.i:
- bruker-ID benyttet til internettilgang, e-post, eller IP-telefoni
- §5.1.b.2:
- bruker-ID eller telefonnummer av mottager av IP-telefonisamtale
- navn og adresse og bruker-ID til mottager av e-post eller IP-telefonisamtale
- §5.1.c.2:
- bruker-ID av brukeren som har logget seg på Internett, e-post, eller IP-telefoni
- på- og avloggingstid for e-post eller IP-telefoni
- §5.1.d.2:
- internettjenestetypen benyttet til e-post eller IP-telefoni
Felles for disse er faktum at alle disse dataene kun skal lagres dersom operatørens egne tjenester er i bruk, altså systemer de selv har kontroll over og forvalter. Som jeg tidlig påpekte i den offentlige debatten om direktivet, og som mange andre siden har påpekt, kan hvem som helst unngå datalagringen i disse punktene ved å benytte seg av gratisalternativer ikke kontrollert av operatøren. En hver som har kjennskap til hvordan slike tjenester benyttes idag, og hvor mye de øker i bruk for hver dag som går, er det trolig flertall av nordmenn som allerede vil unngå denne lagringen – inkludert de kriminelle man ønsker å fange opp.
Hensikten med datalagring må være å gjøre det enten umulig eller svært belastende å forsøke å unngå den. En hver ungdom vet og kan unngå datalagringen i disse punktene, og gjør det allerede vha. tjenester som MSN, Facebook, Twitter, og Skype. Man må da spørre hva som er formålet med å lagre disse dataene, når det finnes en “dør” på vidt gap ved siden av den lille stengte porten denne lagringen utgjør.
Ift. §5.1.b.2 vil man, slik Internett fungerer idag, som operatør, ikke ha mulighet til å vite noe som helst om mottageren av en e-post eller IP-telefonisamtale med mindre denne også benytter tjenestene til samme operatør. Ifølge direktivets §3.1 skal operatørene kun lagre data deres systemer forvalter eller genererer, og i de fleste tilfeller, vil punkter som §5.1.b.2 måtte glemmes fordi operatøren ikke har dataene tilgjengelig.
De eneste data som har noe for seg å lagre i regi av direktivet er:
- IP-adresse benyttet på Internett
- Tidsperioder tilknyttet bruk av IP-adressen
- Datasentralen som knytter brukeren til Internett
- Eventuelt telefonnummeret benyttet til å koble seg opp
- Navn og adresse på abonnent
Disse dataene er fellesnevnerene for bruk av Internett, som er de eneste en bruker ikke kan forfalske eller unngå, hvis de skal benytte seg av Internett hos leverandøren.
IP-adresse går an å forfalske ut mot de som mottar trafikk fra brukeren mens de er logget på, men operatøren vil alltid vite hva deres IP-adresse har vært siden den er tildelt av operatøren. Det er derimot en vesentlig byrde tilknyttet å skaffe seg enten verktøyene eller kunnskapen for å gjøre dette, og det er således en vesentlig terskel for å unngå sporing.
Bare med utgangspunkt i disse problemene tilknyttet, kan jeg ikke anbefale eller støtte innføring av direktivet i nåværende form.
Lagring tilknyttet fysisk telefoni
I motsetning til Internett, er det undertegnedes forståelse at fasttelefoninettet og mobilnettet er å anse som lukkede system. Alt som skjer over disse nettverkene har operatøren kontroll over, og det ligger i systemenes natur å registrere og lagre nærmest alt som datalagringsdirektivet krever grunnet faktureringsformål.
Derfor er direktivets krav om lagring tilknyttet mobil og telefoni, med få unntak, de minst kontroversielle og mest hensiktsmessige å gjennomføre. Fra dagens praksis, vil den eneste vesentlige forskjellen være en uniform lagringsplikt og lagringstid, slik at myndighetene har mer forutsigbarhet i sitt arbeid.
Forutsigbarhet er et av de sterkeste argumentene for lagringsplikt tilknyttet mobiltelefon, men et av kravene undergraver tilliten til formålet med en slik lagring.
Fastprisabonnement
Det er med god grunn at EU vil forsikre seg om at det finnes trafikkdata med eller uten faktureringsformål – nye typer abonnement er på vei ut i markedet som fjerner grunnlaget for datalagring i faktureringsøyemed.
Abonnement hvor brukeren betaler en fast sum per termin, imot uendelig bruk av alle tjenester, betyr at operatøren i grunn ikke behøver å lagre noe som helst om denne brukerens bruksmønster. Fremtidens kriminelle vil da skaffe seg slike abonnement for å unngå datalagring, mens alle som ikke har råd til slike abonnement blir utsatt for datalagring. En slik situasjon er ikke gunstig for samfunnets voktere.
Mobilt internett
Bruk av Internett på mobilen har utviklet seg kraftig de siste årene, og bruksområdene utvider seg stadig med den nye teknologien man finner i de fleste såkalte smarttelefoner nå til dags. Dette byr på etiske og praktiske problemer i regi av datalagringsdirektivet pga. lagring tilknyttet datatrafikk.
§5.1.f av direktivet krever nemlig registrering av hvilken celle i mobilnettet man har benyttet ved starten av en kommunikasjon, og data som beskriver den geografiske plasseringen av denne cellen. Med måten mobiltelefoner brukes idag, i stadig økende grad av flere og flere nordmenn, vil dette tilsi en unøyaktig men presis loggføring av hvor brukeren befinner seg så lenge mobilen hopper av og på Internett. I praksis betyr dette en datajournal av hvor personen har befunnet seg til en hver tid på døgnet.
Det er meget mulig EU ikke forutså utviklingen på mobilmarkedet, og at deres direktiv kom til å utgjøre en omfattende lokasjonsregistrering av alle borgere, men det er situasjonen man befinner seg i ved skrivende stund, og det er denne norske myndigheter må ta stilling til.
Skal Norge føre en Big Brother-lignende loggjournal over alle borgeres plassering på alle tider av døgnet, er spørsmålet norske politikere må stille seg. Svaret bør være nei.
Et goodwill kompromiss foruten direktivet
Uhensiktsmessig lagring tilknyttet Internett, å anse som et rent personvernsovertramp, i kombinasjon med det som vil utgjøre en lokasjonsloggføring av en hver person som benytter seg av moderne mobiltelefoner, gjør at Norge bør takke nei til EUs datalagringsdirektiv i nåværende form.
I mellomtiden, bør Norge implementere deler av direktivet, samtidig som dagens uoversiktelige og til dels ukontrollerte praksis bør skjerpes og strammes inn. På så måte kan Norge demonstrere velvilje ovenfor våre samarbeidspartnere i EU, samtidig som vi ivaretar personvernet til våre borgere, og implementerer målrettede tiltak for å bekjempe kriminalitet.
Operatørene og IKT-bransjen, som Telenor og IKT-Norge, vil kunne akseptere en pålagt datalagring dersom man fjerner elementene som øker kostnadene tilknyttet lagring, og de som vil ha negativ innflytelse på konkurranse. Sammen med et felles og velregulert lovverk om hvordan, hvorfor, og når data skal utleveres, får de en mer forutsigbar hverdag å regne med.
De fleste jurister og lekmenn reagerer fordi EUs direktiv utgjør en betydelig utvidelse av datalagring grunnet kravene rundt Internett og den omtalte lokasjonsloggføringen tilknyttet bruk av datatrafikk på mobilen. Fjerner man disse kravene, vil resultatet ligne mer på dagens ikke-regulerte praksis, som vil senke motstanden mot det.
Den jevne nordmann er mest opptatt av sikring av dataene, at små og ofte useriøse aktører på mobilmarkedet ikke skal blandes for mye i dette, og at tilgang kun gis i de tilfeller det er nødvendig for bekjempelse eller oppklaring av alvorlig kriminalitet. Setter man krav til de som skal lagre dataene, begrenser hvor mange aktører som skal lagre data, og strammer inn dagens praksis på utlevering, vil disse enklere kunne akseptere en ny løsning.
Hva som bør lagres
Dataene som bør kreves lagret burde være samme sett med data som allerede lagres i dag:
- vanlige trafikkdata tilknyttet mobil og fasttelefoni
- IP-adresse og tilknyttede metadata benyttet på Internett
- lokasjonsdata for mobil kun for samtaletrafikk
I tillegg bør det fremgå av lovgivningen et direkte forbud mot å lagre IP-adresser man har vært i kontakt med, utover det som kreves av driftsmessige årsaker, for å forhindre situasjonen som har oppstått i blant annet Danmark der all kontakt med IP-adresser lagres.
Hvem burde lagre dataene
For mobil og fasttelefoni finnes det et begrenset antall lukkede nettverk som styres av få aktører; det bør være disse store, ansvarlige aktørene som står for all lagring av trafikkdata for deres egne nettverk.
For Internett er man nødt til at den enkelte aktør foretar lagringen.
En sentralisert lagringsløsning er ikke å foretrekke, da dette vil utgjøre en større trussel mot personvernet da en samkjøring av data på et sted vil konsentrere risikoen, fremfor å spre den.
Hvor dataene bør lagres
Lagring av dataene bør foregå i Norge, under norsk lov, under oppsyn og oppfølging av norske kontrollorgan som Datatilsynet. Ved lagring i andre land vil man ikke kunne gi like gode garantier.
Hvem bør betale for lagringen
Staten må ta en hver regning tilknyttet økte kostnader for datalagringen.
Krav til utlevering
En harmonisert og standardisert praksis må utarbeides slik at både myndighetene og operatørene har et felles sett med regler de skal overholde. Dagens uregulerte praksis må erstattes av en der det stilles høyere krav til utlevering.
I tilfeller der det er akutt mangel på tid for å innhente de nødvendige og vanlige rettslige kjennelsene for utlevering, bør det eksistere et system lignende FISC-domstolen i USA, om myndighetene finner at dette er nødvendig.
Det bør kun utleveres data i tilknytning alvor kriminalitet, over en viss strafferamme, og av voldelig karakter.
En person burde også kunne få utlevert alle sine egne trafikkdata, inkludert alle data operatøren sitter på om hvem som har kontaktet vedkommende.
Krav til lagring
Operatørene burde måtte forholde seg til et felles sett med retningslinjer eller krav til hvordan dataene lagres, og benyttes i deres egne systemer og av deres partnere. Det bør i alle tilfeller kun være operatøren selv som har mulighet til å fremskaffe og levere ut dataene. Partnere som leverer tjenester for operatørene bør ikke kunne få innsyn i dataene uten de nødvendige sikkerhetskontrollene.
Sagt enklere, burde en partner som leverer en tjeneste for operatør ikke kunne presentere en brukers trafikkdata med mindre operatøren har verifisert at partner har fremhentet autentisering fra brukeren selv.
All tilgang til eventuelle databaser som forvalter dataene bør loggføres, og data bør krypteres så vidt det er mulig.
Krav til innsyn
Datatilsynet bør få utvidet fullmakt og midler til å kontrollere at alle krav til sikkerhet, utlevering, og lagring foregår etter forskrift.
Lagringstid
Norge bør holde seg til 6 måneders lagringsplikt, minimumskravet til datalagringsdirektivet. På så måte vil Norge både holde seg innenfor normene blant EU-landene, men holder seg også innenfor 1-3 måneder av det som allerede er vanlig praksis.
Konklusjon
Datalagringsdirektivet i nåværende form er uansvarlig å implementere i Norge fordi det ikke tar hensyn til teknologien den forsøker å kontrollere, og fordi det vil utgjøre et ikke-proporsjonelt inngrep i hver nordmanns personvern.
Det finnes en bred forståelse og aksept for en bedre løsning enn dagens praksis, og at trafikkdata er viktig for bekjempelse og oppklaring av alvorlig kriminalitet. EUs direktiv er ikke riktig medisin for å erstatte denne praksisen, men Norge kan vise samarbeidspartnere i EU at man tar dette alvorlig, og at man er villige til å hjelpe.
Nei til datalagringsdirektivet; ja til et fornuftig alternativ.
