onsdag 8. desember 2010

Ny konklusjon

Innledning


Jeg har i dette kapittelet gått gjennom en rekke faktorer som tradisjonelt har blitt vektlagt av EMD. I dette avsluttende punktet skal jeg prøve å veie disse opp mot hverandre, sammenfatte og forsøksvis konkludere rundt proposjonalitet og nødvendighet. Jeg vil flere steder påpeke at manglende informasjon gjør det vanskelig å konkludere og at videre forskning er viktig for å belyse problemstillingene. Som det fremgår av skjønnsromvurderingene over, vil jeg anlegge en streng prøving av proposjonalitet og nødvendighet.


Vurdering


Jeg vil i første rekke gå gjennom de tradisjonelle vurderingstema: konsekvenser, nytte/behov, alternative handlemåter, sikkerhetsmekanismer. Sekundært vil jeg kome inn på forholdet til IKT-Norges uttalelser om fortsatt lagring av trafikkdata uavhengig av direktivet og hvilke konsekvenser dette kan ha. Samt forholdet til et evt. forbud fra EMD mot allmenne overvåkningstiltak uten noen form for individuell kontroll.


Det synes å være utvilsomt at trafikkdata er et nyttig etterforskningsverktøy. Ser man på statistikken jeg har vist til, blir de ofte brukt og resulterer i ca halvparten av tilfellene i en nytteeffekt. I brorparten av tilfellene brukes trafikkdata til å plassere mistenkte på et gitt sted til et gitt tidspunkt via mobiltelefondata. Dette kan selvsagt også brukes i motsatt henseende: man kan klargjøre at noen ikke var på et gitt sted til et gitt tidspunkt fordi deres mobiltelefon ble brukt et helt annet sted. Heri ligger dog en svakhet med trafikkdata, man har ingen garanti for at det var mistenkte som brukte mobiltelefonen, datamaskinen eller en annen enhet som produserer trafikkdata. Dette kan redusere nytten av trafikkdata. Likevel er det som sagt forholdsvis klart at bruken av trafikkdata utgjør en nytte for politiet. Det som er vanskelig er å avgjøre om denne nytten utgjør noe mer enn dette. Som tidligere nevnt fremgår det i Handyside-dommen\footnote{Handyside v. Uk, 1976

} at en nytteeffekt alene ikke er tilstrekkelig for å tilfredsstille de kravene EMD har bygget inn i “nødvendighetskravet”. Noe mer må til. Jeg siterte Kripos tidligere i oppgaven, der det fremgår at trafikkdata har hatt “stor betydning” for etterforskningen i over 80 prosent av sakene som defineres som “grov kriminalitet”. Dette må sies å tilfredsstille de krav EMD stiller til nyttegrad. Det fremgår også av Handyside-dommen at man ikke kan kreve at inngrep er uunværlige, og det er naturlig å anta at “stor betydning” ligger i rommet mellom “nyttig” og “uunværlig”. Noen skarpere avgrensning synes ikke å være naturlig her. Inngrepet isolert sett synes dermed å tilfredsstille kravet om “nytte”.


Nytten man opplever ved et inngrep kan dog ikke vurderes isolert i et vakuum. Den må holdes opp mot konsekvensene av inngrepet for å se om det er forholdsmessighet mellom ulemper og fordeler. Her er det flere vurderingstema som er verdt å peke på.


Det første jeg vil peke på er den manglende måloppnåelsen når det gjelder harmonisering av trafikkdatalagringsutgifter. Dette var opprinnelig et av de uttalte formål med direktivet, men den ferdige direktivteksten regulerte ikke finansieringsmodeller. Dette førte til at de land som har innført direktivet har finansieringsløsninger som spenner fra delvis eller full statlig finansiering til ingen statlig finansiering. Dette fører til at konkurransesituasjonen for leverandører ikke har bedret seg som følge av direktivet, dette er et poeng som vanskeliggjør en harmonisering av direktivet og emk art. 8.


Videre må man se nytten av direktivet opp mot potensielle og faktiske negative konsekvenser. Som tidligere nevnt er det få undersøkelser som kartlegger borgernes kommunikajsonsvaner i etterkant av direktivet, men den ene undersøkelsen jeg har sett nærmere på, indikerer at borgerne vil legge om vanene sine og dokumenterer at noen allerede har gjort det. Uavhengig av endrede kommunikasjonsvaner er dog en almenn lagring av alle borgernes trafikkdata ent altomfattende inngrep. Det at man i realiteten vil påby kartlegging av alle borgeres geografiske plassering og kommunikasjonsvaner er i seg selv en alvorlig konsekvens. Videre har jeg beskrevet EMDs syn på inngrep som utsetter pressens kildevern for fare. Her har domstolen lagt til grunn at selv bekjempelse av grov kriminalitet kan ikke rettferdiggjøre inngrep som setter pressens kildevern i fare. Hvis et av direktivets konsekvenser er at pressens kilder kan komme i fare for å bli avslørt enten via lekkasjer eller uthenting av data i andre saker, så er dette et problem som nok vil veie tungt i disfavør av en harmonisering. Når det gjelder ulempenes forhold til fordelene, er det vanskeligere å komme med en klar konklusjon. Det er flere problematiske forhold med en innføring som krever mer forskning for å belyse tilstrekkelig.


IKT-Norges kommer i sitt høringsbrev med en uttalelse om at leverandører nok vil fortsette å lagre trafikkdata, sågar med økt detaljnivå, uavhengig av datalagringsdirektivet. Hvis dette viser seg å medføre riktighet, vil direktivet miste hovedvekten av sin nytte og dermed fremstå som langt mindre proposjonalt. Det er vanskelig å se hvordan direktivet i en slik situasjon kan tilfredsstille de krav EMD stiller til nytteverdi i rettspraksis. Også her er det et behov for ytterligere informasjon. Konklusjonen på dette punktet må være at hvis leverandørene uavhengig av direktivet vil lagre trafikkdata i fremtiden, så vil det være et særs sterkt argument mot en eventuell harmonisering av direktivet og EMK art. 8 %(Send epost til telenor?).


Videre vil jeg også se nærmere på de argumenter Wessel-Aas fremmer om almenn lagring. Både Weber-dommen og Liberty-dommen og de uttalelser som kommer i S and Marper-dommen underbygger hans teori. Spesielt denne uttalelsen fra dommen sett i lys av de to øvrige dommene er illustrerende:



“the Court is struck by the blanket and indiscriminate nature of the power of retention”



Denne uttalelsen sammenholdt med uttalelsene i Weber and Saravia v. Germany(ikkepublisert) og Liberty and others v. UK(CASE OF LIBERTY AND OTHERS v. THE UNITED KINGDOM (Application no. 58243/00))-dommene indikerer at all overvåkning av allmenn art, uten at man får en individuell utsiling eller behandling, ikke vil godtas av EMD. Legger man denne tolkningen til grunn vil en harmonisering av direktivet slik det fremstår i dag og EMK art. 8 være vanskelig.


Også eventuelle alternative handlemåter utenfor de rammer direktivet setter, bør vurderes. Her har jeg drøftet både hvilke data som skal lagres, hvor lenge og forholdet til rettslige skranker. Tidsmessig kan man innenfor direktivets påbud legge seg på seks måneder, dette er en lagringsperiode som i forhold til statsitikken for utlevering må sies å være innenfor rimelighetens grenser når det gjelder alternative handlemåter. Her er det altså få problemer med å harmonisere direktivet og EMK art. 8. Når det gjelder kategorier av lagrede data er situasjonen en annen. Her er det ikke åpent for å redusere kategoriene av lagrede data i henhold til direktivet. Samtidig viser statistikken at en type data (trafikkdata fra mobiltelefoner) fullstendig dominerer bildet. Dette er sådan en faktor som trekker i negativ retning når det gjelder harmonisering. Det er ikke jf. direktivet rom for å begrense kategoriene lagrede data.


Avslutningsvis vil jeg peke på det faktum at statene har bevisbyrden når det gjelder behovet for inngrep. Statene må tilse at behovet for inngrep er “convincingly established.” (CASE OF FUNKE v. FRANCE (Application no. 10828/84)). Dette innebærer bl.a at det er statenes plikt å belyse forhold som f.eks IKT-Norges påstand om lagringspraksis. Denne plikten har statene til gode å i tilstrekkelig grad utføre. Det bør, slik jeg ser det, gjennomføres ytterligere forskning og ytterligere undersøkelser rundt både praksisen hos leverandører, konsekvensene for pressen, konsekvensene for kommunikasjonsmønstre for øvrig og mer presise studier på bruken og nytten av trafikkdata. Den manglende forskningen på dette området, vanskeliggjør en harmonisering.


Det er sådan flere argumenter for og mot at en harmonisering kan gjennomføres. To av disse er av en slik natur at hvis man anser dem for korrekte (IKT-norges uttalelser og Wessel-Aas’ tolkning av rettspraksis), så umuligjør de i praksis en harmonisering. Ser man bort fra disse to, blir situasjonen mer kompleks. Det er utvilsomt slik at trafikkdata tilsvarer en stor nytteeffekt for politiet. Samtidig er det tildels lite presis forskning som beskriver denne nytteeffekten. Det samme kan sies om konsekvensene av direktivet når det gjelder borgernes kommunikasjonsmønstre og pressens kildevern i likhet med en rekke andre faktorer. Hvis jeg skal tillate meg å konkludere, ville jeg lene meg mot å anta at direktivet vanskelig kan harmoniseres med de forpliktelsene Norge har etter EMK art. 8. Dette selv om jeg ser bort fra muligheten om fremtidig lagring uavhengig av direktivet og et syn på reettspraksis som tilsier at almenn lagring ikke aksepteres av EMD.






Avsluttende observasjoner


Avslutningsvis vil jeg komme med noen observasjoner rundt noen problemstillinger knyttet til datalagringsdirektivet. Disse er av en uformell art, men egner seg likevel til å belyse deler av diskursen rundt direktivet.


Det første jeg vil se på, er de typer kommunikasjon som ikke vil falle inn under lagringsplikten i direktivet. Her er det flere former for kommunikasjon som er verdt å nevne. Facebook, Twitter, Gmail, Mycspace, Hotmail, Skype, MSN, Linkedin, Flickr og en hel rekke andre forskjellige nettsamfunn er alle utenfor den lagringsplikten direktivet påbyr. Disse var i langt mindre grad utbredt da direktivet ble planlagt, så det er naturlig at slike sosiale medier og kommunikasjonsplatformer ikke ble inkludert. Videre er det vanskelig både teknisk og jurisdiksjonsmessig å inkludere disse, da da serverne ansvarlig for kommunikasjonen ofte er plassert langt utenfor Norges og EUs grenser. Dette gjør at en veldig stor andel av borgernes kommunikasjon ikke kan knyttes opp mot annet enn oppkoblingstidspunkt og tidvis geografisk plassering. Man kan sådan ikke se hvem forskjellige borgere som blir etterforsket for grov kriminalitet har sendt eposter til via Gmail, man kan ikke se hvem de har ringt via Skype og man kan ikke se hvem de har som venner på Facebook. Jeg har ikke tall på hvor mye av trafikken som relateres til denne typen nettsamfunn og sosiale /medier, men tall fra USA kan være illustrerende. Tall fra comscore viser at 7% av amerikaneres tidsbruk på nettet knyttes til Facebook(http://blog.comscore.com/2010/01/strong_year_for_facebook.html}. Som tall fra 2010 viser, så ligger google.com like bak (http://techcrunch.com/2010/03/15/hitwise-says-facebook-most-popular-u-s-site/}. Dette indikerer at bare to av aktørene som nevnt over har nesten en sjettedel av all tidsbruk på nettet. Hadde man lagt sammen alle sider av denne typen som ikke vil falle inn under lagringsplikten, kan det være nærliggende å anta at en stor del av nettrafikken vil stamme fra denne gruppen. Dette er et viktig poeng fordi det for det første illustrerer problemet med lovgivning på overvåkningsområdet. Det viser hvor radikalt landskapet kan forandre seg slik at de kart man har designet ikke engang minner om terrenget. I tillegg kan denne tendensen drastisk redusere nytten av trafikkdata som etterforskningsverktøy. Hvis store deler av befolkningens kommunikasjon ikke får frem annen informasjon enn "Person A koblet 18:30 seg opp mot Facebook fra sin hjemmemaskin" er min hypotese at dette vil redusere nytten av trafikkdata.


Det andre poenget jeg vil belyse står tildels i et motsetningsforhold til det første. Der det første poenget belyser hvordan en stor del av trafikken på internett ikke vil bli lagret, vil jeg her peke på det motsatte problemet, at en hel mengde data som ikke nødvendigvis lå i lovgivernes tanker da direktivet ble forfattet, vil bli lagret. Per i dag har vi allerede en rekke trådløse enheter som er med oss rundt i hverdagen. Tanken bak direktivet var nok i stor grad å lagre lokasjonsdata og øvrig informasjon knyttet til samtaler og tekstmeldinger fra slike. Slik jeg tolker direktivets ordlyd er en slik konklusjon nærliggende. Slik teknologien har utviklet seg, har dette dog forandret seg radikalt. Jeg har en smarttelefon, denne kommuniserer med omverden flere ganger i timen, og hver gang jeg gjør det, vil med direktivet min geografiske plassering lagres. Tilsvarende har mange simkortløsninger i alarmer, biler, hytter og i så enkle ting som klokker o.l. Denne tendensen gjør at vi ikke bare vil få lagret plasseringen vår når vi ringer eller sender tekstmeldinger, men at våre bevegelser kontinuerlig blir plottet og kan hentes ut i ettertid. Dette utgjør et svært finmasket nett og utgjør på mange måter en særs påtrengende form for overvåkning. Av de forarbeidene jeg har lest fremgår det ikke at de som har forfattet direktivet i utgangspunktet har vært inneforstått med potensialet for en slik utvikling. Det samme kan sies om det ordskiftet som har foregått i Norge forut for en eventuell innføring av direktivet. Det synes ikke som at norske politikere i tilstrekkelig grad har forståelse for hva som vil lagres og i hvor stor utstrekning.


Mitt syn er at begge disse problemstillingene tyder på et behov for mer forskning. Dette bør nok være en del av et bredere lovforarbeid før man eventuelt innfører direktivet. Dette i tillegg til faktorer jeg allerede har nevnt: mer forskning på nytten av trafikkdata og innvirkningen på borgernes kommunikasjonsmønster.







måndag 6. desember 2010

Avsluttende konklusjon

Det hovedinntrykket jeg sitter med etter et år med skriving, er at behovet for direktivet ikke i tilstrekkelig grad er dokumentert. Det foreligger lite forskning på nytten av trafikkdata. Det foreligger lite forskning på hvorvidt tilbyderne de facto vil slette trafikkdata i større grad i fremtiden. Det foreligger lite forskning på konsekvensene av allmenn lagring av trafikkdata. Det foreligger lite forskning på hvor utstrakt lagringen faktisk vil bli med nye enheter og kommunikasjonsformer. Kort fortalt: ingen av statene jeg har sett på eller statene i fellesskap gjennom EU, har i tilstrekkelig grad dokumentert et behov for direktivet. Ei heller har det blitt dokumentert i tilstrekkelig grad at dette inngrepet er proposjonalt. Dette betyr at selv om man ser bort fra rettspraksis fra EMD som indikerer at almenn lagring av trafikkdata uten individuell behandling ikke kan godtas, så er direktivet på tynn is. Dette er dog også en problemstilling som kan medføre vansker for harmoniseringen. Dette kan også alene ødelegge for en harmonisering. Ser man helt bort fra dette, må det uansett mer forskning til. EMD har understreket at det er statenes plikt å dokumentere behov og nødvendighet. Dette gjør at forskningssituasjonen slik den fremstår nå, alene et argument som kan vanskeliggjøre en mulig harmonisering mellom direktivet og EMK art. 8. Grunnet denne forskningssituasjonen kan jeg vanskelig konkludere rundt proposjonalitet og nødvendighet for øvrig. Gitt tilstrekkelig forskning, kan resultatet bli at man anser direktivet i sin nåværende for å kunne harmoniseres med EMK art. 8.





måndag 18. oktober 2010

Konsekvenser av datalagringsdirektivet


Et sentralt moment når man skal vurdere proposjonaliteten i inngrepet, er hvilke konsekvenser det har for borgernes kommunikasjonsmønstre. Jo større ringvirkninger direktivet har, jo større er sjansene for at EMD vil anse direktivet som ikke-proposjonalt. Dette er en av drøftelsene i dette kapittelet jeg må ta størst forbehold om, da det til nå foreligger få undersøkelser i de land som har innført direktivet. Jeg vil først se nærmere på en undersøkelse om nettbruk i forbindelse med direktivet gjort i Tyskland, videre vil jeg drøfte mulige nedkjølende virkninger for den frie presse. Avslutningsvis skal jeg se på noen enkeltmomenter rundt såkalt “mission creep”. Før jeg går inn på de enkelte momentene vil jeg bare gjenta EMDs syn på personlige data. Det kommer kanskje spesielt klart frem i Monory-dommen (CASE OF MONORY v. ROMANIA AND HUNGARY

(Application no. 71099/01)), der domstolen understreker at personlige data/info er av fundamental viktighet. Dette kan være greit å ha i bakhodet når man vurderer konsekvensene av inngrep i retten til respekt for privatliv.



Det første momentet jeg vil se nærmere på, er Forsa-undersøkelsen fra Tyskland.(Meinungen der Bundesbürger zur Vorratsdatenspeicherung - Gesekkschaft für Sozialforschung und statistische Analysen mbH)

De tallene man bør merke seg er at det i den korte perioden datalagringsdirektivet var gjeldende i Tyskland, var det 11% som allerede hadde endret sine kommunikasjonsmønster som en reaksjon på direktivet. I tillegg svarte 55% at de nok ville unnlate å foreta sensitiv kommunikasjon ved hjelp av elektroniske kommunikasjonsmidler i fremtiden. Som tidligere nevnt, er elektronisk kommunikasjon en sentral del av det moderne demokratiet. Et godt eksempel på dette er det pågående prosjektet “The Internet and Democracy Project” fra Harvard, der man kartlegger og søker å styrke fokus på internett og andre kommunikasjonsformer som viktige demokratiske verktøy. Tilsvarende kan man finne flere forskere som peker på at internett bidrar til økt politisk og demokratisk deltagelse samt økt sosial mobilitet (Virtual Culture: Identity and Communication in Cybersociety - Steve Jones)

. Datagrunnlaget jeg sitter på er forholdsvis smalt, likevel vil min hypotese være at direktivet generelt sett vil medføre en endret kommunikativ adferd, spesielt gjelder dette omstridte politiske grupperinger og sensitiv kommunikasjon. Det har formodningen for seg at grupperinger som blir ansett som uønsket (ekstreme rasister, autonome grupperinger, fundamentalistiske religiøse grupperinger) vil endre kommunikasjonsmønster, men det synes også å være naturlig å dra den slutning at befolkningen for øvrig vil begrense sine ytringer på internett og sin endre sin kommunikasjon i sensitive forhold. Det er vanskelig å kvantifisere betydningen av dette, spesielt da det empiriske grunnlaget er begrenset. Likevel kan det være verdt å peke på at EMD tradisjonelt sett har ansett fri meningsdannelse og uhindret politisk virksomhet som kjerneverdier, og at disse, om enn vage, verdiene vil veie tungt i en eventuell vurdering fra domstolens side.



Det andre momentet, som er enklere å drøfte i en rettskildekontekst, er forholdet til pressens kildevern. EMD har ofte vært kritisk til inngrep som kan føre til en nedkjøling av pressens rolle som samfunnsaktør. I Uitgevers-saken, som nylig var oppe for EMD(CASE OF SANOMA UITGEVERS B.V. v. THE NETHERLANDS

(Application no. 38224/03)), understreker EMD ytterligere hvor viktig pressens kildevern er for en kritisk og informert presse. Saken gjaldt politiets ønske om å få utlevert kildeinformasjon, ikke for å straffeforfølge eller identifisere kildene, men for å få ut informasjon i forbindelse med en annen sak. Denne andre saken blir beskrevet som grov. Likefullt anså EMD inngrepet for å være for alvorlig i lys av hvor sentralt pressens kildevern er. Uten tillit til at pressens kildevern er absolutt, vil varslere og anonyme kilder i langt større grad vegre seg for å gi ut viktig informasjon til pressen. Dette er i all hovedsak et moment under artikkel 10, men jeg vil likevel drøfte det i denne konteksten da dette er en sentral problemstilling ved direktivet. Hovedproblemstillingen i relasjon til pressens kildevern, er at ingen av landene jeg til nå har undersøkt, har lovfestet unntaksbestemmelser for journalister/pressen. Dette medfører at politiet kan få tilgang til informasjon om kilder, eller informasjon om at personer innhentet i en annen kontekst, også har vært kilde for pressen i en annen sammenheng. Dette er, slik jeg tolker rettspraksis nevnt over, et av de mer problematiske momentene. Fremtidige implementeringslovverk bør ta høyde for dette enten ved innføringe, eller ved prosessuelle steg. Lignende problemstillinger oppstår i forbindelse med kommunikasjon mellom jurister og deres klienter. Som det fremgår i Iordachi-saken (CASE OF IORDACHI AND OTHERS v. MOLDOVA

(Application no. 25198/02) - §§48-50) er det ikke tilstrekkelig at man har en lovregel som garanterer at det skal foreligge full konfidensialitet rundt denne typen kommunikasjon, man må også presisere prosesuelle regler som garanterer dette. Domstolen sier det så klart som dette:

The Court is struck by the absence of clear rules defining what should happen when, for example, a phone call made by a client to his lawyer is intercepted.”

Dette indikerer at en forutsetning for et implementasjonslovverk, bør være at forhold til jurist-klient-kommunikasjon, pressens kilder o.l. må reguleres presist for å unngå at denne tilliten blir brutt.



Det siste momentet jeg vil drøfte under dette punktet, er såkalt “mission creep”. Dette er forhold der opprinnelig strenge rammer blir utvidet forløpende og glidende, uten at dette blir tatt opp på et korrekt plan. Et eksempel her kan være Storbritannia, der trafikkdata allerede har blitt brukt i sivile søksmål om åndsverk.(Evaluation of directive 2006/24/EC and of national measures to combat criminal misuse and anonymous use of electronic communication)

Det kan virke som at en av konsekvensene av direktivet, om dette ikke reguleres mer strikt i de nasjonale innføringslover, er at man får applikasjoner utenfor den opprinnelige målsetningen om å bekjempe “grov kriminalitet”. Dette er problematisk på flere plan. For det første er det stor forskjell på de hensyn som ligger til grunn for å godta inngrep i den private sfære i forbindelse med bekjempelse av grov kriminalitet og det å gjøre de samme inngrep i forbindelse med private søksmål av kommersiell art. For det andre er det problematisk at det så tidlig i direktivets liv allerede finner sted utvidelser av direktivet i forhold til det omfang som medlemsstatene har blitt enige om og vedtatt. Det kan virke som det er manglende presisjon i nasjonalt lovverk som har ført til disse utglidningene. Der preeksisterende prosessloverk gir en rett til å innhente alle relevante bevis, kan det vise seg å være nødvendig at direktivimplementeringen eksplisitt gjør unntak fra slike bestemmelser når det gjelder trafikkdata, for å sikre at formålet om kun bruk for grov kriminalitet, kan garanteres.

torsdag 24. juni 2010

Lagring av søkeinfo.

Europaparlamentet vedtok 23. Juni at EU skal jobbe mot å utvide datalagringsdirektivet til også å gjelde søk man gjør på de forskjellige søkemotorer på nett. Dette blir tildels på siden av min oppgave, men jeg vil likefullt kommentere raskt hva dette vil innebære.
Allerede med trafikkdata kan man tegne relativt detaljerte bilder av folks vaner. Man vet hvor folk befinner seg, til en hvis grad hvilke nettsider de besøker, når det gjør alt dette og hvem de kommuniserer med, både når det gjelder epost, telefon og andre kommunikasjonstjenester av lignende art. Her har man i utgangspunktet allerede laget et bilde av hver borger som da skal lagres fra seks til tjuefire måneder, litt avhengig av hvor i EU/EØS man er.
Denne nye utviklingen medfører at alle søkeord man bruker skal kunne kobles til bruker. Det vil si at hvis du søker på ”gnagsårplaster”, ”billige billetter til alaska” og ”gode tursekker”, så har man kun etter disse tre søk et visst inntrykk av dine interesser og fremtidige planer. Mange søker daglig flere ganger på google, og hvis man legger sammen disse data med de trafikkdata man allerede har, vil bildet bli veldig nært komplett. Det har ikke kommet noen gode indikasjoner på hvordan disse data skal lagres, hvilke tilfeller som skal gjøre at de skal kunne uthentes, men jeg vil anta at hvis vedtatt, så vil disse reglene bli parallelle med det som allerede gjelder for datalagringsdirektivet.
Dette er en relativt radikal utvidelse av direktivet og indikerer sterk politisk vilje til å vektlegge kampen mot kriminalitet på bekostning av respekt for privatliv. Det kan bli interessant å følge denne utviklingen videre.

tysdag 22. juni 2010

Forfatningsdom i Romenia



Datalagringsdirektivet ble innført ved lov no.298/2008 i Romenia. Implemenetasjonen er i stor grad i tråd med ordlyden i direktivteksten med få unntak. Romenia er et av få land (av de jeg har undersøkt), som faktisk har eksplisitte regler om datasikkerhet i sitt implementasjonslovverk, det er dog ganske marginalt og vagt. Romania er også ganske alene i gå langt i å iverksette spesifikke evalueringsretningslinjer i lovs form, der de nedsetter regler om statistikk over uthenting av data o.l. Jeg kan helt kort nevne at lagringstid i denne innføringsmodellen var seks måneder, slik lå Romania i den perioden lovverket var aktivt med en kortere lagringsperiode enn de fleste landene jeg har undersøkt. Jeg vil ikke gå nærmere inn på den gjennomføringsmodellen Romania har valgt da lite skiller seg fra en ren oversettelse av direktivet. Jeg vil derimot bruke litt tid på forfatningsdommen som veltet innføringsloven.

Datalagringsdirektivets implementasjon i Romenia ble avvist i dom no.1258 i den Rumenske forfatningsdomstol den 8. Oktober 2009. Det er i hovedsak to hovedmomenter den rumenske forfatningsdomstolen legger avgjørende vekt på når de vurderer implementasjonsmodellen av datalagringsdirektivet. Det første er sammenfallende med et av momentene i den tyske dommen, nemlig presisjon. Det andre momentet er at domstolen anser at generell datalagring som konsept undergraver prinsippet om at borgerne kun unntaksvis skal overvåkes. Jeg vil gå nærmere inn på disse argumentene og komme med en egen analyse i det følgende.

Det første problemet med innføringsmodellen, slik forfatningsdomstolen ser det, er av veldig praktisk art, nemlig: presisjon. Presisjon i implementasjonen er altså et problem både den tyske og rumenske forfatningsdomstolen har satt fingeren på. Det kan synes som dette er et gjennomgående problem etter mitt syn, spesielt etter å ha sett flere av implementasjonslovene i EU. Det er flere lover der vage termer blir brukt og hvor presisjon ofres for dynamikk. Domstolen legger vekt på at både selve definisjonen av hvilke data som skal lagres og hvordan de skal brukes er dårlig definert. I artikkel 1, paragraf 2 av loven, blir hvilke data som skal lagres definert. Her fremgår også frasen "the related data necessary" (i den uoffisielle engelske oversettelsen av dommen). Slik den rumenske domstolen ser det er ikke dette tilstrekkelig presist med tanke på at denne loven skal regulere et særs sensitivt og sentralt område som nyter godt av sterk nasjonal og internasjonal beskyttelse. Inngrep i kommunikasjonsfriheten bør, slik domstolen ser saken, gjøres på mest mulig presis måte og kommuniseres på en slik måte at borgerne skal ha mulighet til å vite nettopp hva som lagres og i hvilke tilfeller. Nettopp her blir ”the related data necessary” ikke tilstrekkelig etter domstolens syn. Jeg er tilbøyelig til å si meg enig i dette. Man gir i realiteten myndighetene skjønnskompetanse til å utvide området for data som skal omfattes av lagringsplikten, og dermed blir muligheten for forutberegnelighet liten. En lignende kritikk blir reist mot uttrykket "threats to national security" i artikkel 20 av loven. Her kan data hentes ut ved hendelser/tilfeller som utgjør en trussel mot den nasjonale sikkerhet, uten at dette defineres nærmere eller at det settes krav til alvorlighetsgrav. Domstolens syn er at dette er et kriterium som på ingen måte er presist nok for borgerne, og at de dermed ikke kan justere oppførselen sin i henhold til lovverket. Jeg er også her enig med domstolens vurdering. Uttrykket ”threats to national security” er åpent for ganske utstrakt tolkning, hva som utgjør en trussel har et stort spenn fra mindre og mer perifere hendelser til større og mer avgjørende trusler.

Dette første ankepunktet , av praktisk art, belyser i likhet med dommen fra Tyskland behovet for en så presis og konkret lovgivning som mulig på dette området. Den må også skape forutberegnelighet og klare grenser på et lovgivningspolitisk betent område. Et stort problem i så måte er om man praktisk kan konstruere lover på et så teknologisk dynamisk område, som er presise nok uten at de må oppdateres veldig jevnlig for å ha den funksjonen de er tilsiktet. Spesielt når det gjelder kommunikasjonsteknologi er denne faren påtagelig. Man kan her bruke internett som et godt eksempel. Vil vi ha en lignende struktur, både rent fysisk, men også kommunikasjonsprogramvare-messig, om fem, ti eller femten år? Man kan nok trygt besvare dette spørsmålet med et relativt ubetinget: nei. Dette gjør at uttalelsene i de rumenske og tyske dommene settes i et annet lys. Er kravet til spesifikk lovgivning så strengt at det i prasis blir nærmest umulig å implementere direktivet på en fungerende måte? Det blir her vanskelig å finne balansen mellom kravet til forutberegnelighet og klarhet og en rent praktisk mulighet for å kunne forfatte regler som fungerer over lengre tid.

Det andre og mer prinsipielle problemet med implementeringen, er at retten anser den nye lovgivningen for å undergrave hele hovedregelen om respekt for privat kommunikasjon. Hovedregelen både nasjonalt i Romenia og i de europeiske menneskerettighetene er at respekt for privatliv og kommunikasjon skal foreligge, og at unntak kun skal skje jf. de unntak man bl.a. finner i EMK 8 (som domstolen henviser til). Domstolen peker på at innføringsmodellen gjennom sin natur, lagringslengden og nedslagsfelt i stor grad tømmer prinsippet om respekt for kommunikasjon og privatliv for innhold. Retten peker på at rettigheten på denne måten mister sin positivt avgrensede natur, og ender opp med å være en underordnet unntaksregel. Slik jeg tolker denne delen av dommen, indikerer dette at domstolen nok ikke vil akseptere noen form for innføring av direktivet som åpner for full generell lagring. Dette er hvis jeg tolker det riktig, et moment som går veldig langt i å diskvalifisere direktivet i sin nåværende form. Det kan bli interessant å følge utviklingen i Romenia når direktivet skal gjeninnføres etter en ny modell. Hvis min mistanke er korrekt vil enhver modell som innebærer full generell lagring møte problemer i forfatningsdomstolen.

Man kan stille seg spørsmålet: I hvor stor grad kan man si at et prinsipp om ikke-overvåkning er en reell hovedregel og at privatlivet blir beskyttet når utgangspunktet er generell overvåkning? Her setter den rumenske domstolen søkelyset på noe som på mange måter kan anses å være et paradigmeskifte i den europeiske rettstenkningen. Der man nå i flere tiår har hatt et veldig stort fokus på personvern og menneskerettigheter som beskytter korrespondanse og privatliv, ser det nå ut som man går mot et system der det i større grad er aksept for å gripe inn i disse rettighetene for å bekjempe forskjellige former for kriminalitet. Datalagringsdirektivet er bare ett eksempel på dette, også ACTA (ACTA Anti-Counterfeiting Trade Agreement, et foreslått avtaleverk som i stor grad ), som er et verdensomspennende traktatverk, viser at de krefter som ønsker større grad av overvåkning har fått større gjennomslagskraft. Slik jeg tolker domstolen prøver den her å si at en hovedregel som beskytter korrespondanse mot overvåkning er meningsløs om realiteten er at all kommunikasjon overvåkes. Hvis jeg tolker den rumenske domstolen riktig, så er dommen en utfordring til de nasjonale lovgiverne, der de må gå veien om å endre kommunikasjonsbeskyttelsen i grunnloven hvis de ønsker å gjennomføre en så kraftig uthuling av beskyttelsen slik den fremstår i dag.






Som en avsluttende kommentar kan jeg peke på at presisjon kan synes å være direktivimplementeringens akilleshæl. Jeg har gjennomgått dommer fra Romenia og Tyskland, og hovedproblemstillinger i begge dommer er presisjon og forutberegnelighet. Som jeg har vært innepå over, så er det vanskelig å forfatte et lovverk som er tilstrekkelig presist samtidig som det er immunt i forhold til teknologiske utviklinger, selv for utvikling på kort sikt, så er det nødvendig med rom for dynamisk tolkning. Borgernes nettvaner utvikler seg i et eksplosivt tempo, og da arbeidet direktivet ble påbegynt var f.eks tjenester som gmail, twitter og facebook ikke like aktuelle, og de er dermed ikke omfattet av lagringsplikten. I dag kan man anta at en relativt stor andel av nettrafikk på internett nettopp går gjennom disse tjenestene og man kan på denne måten anse direktivet som tildels utdatert allerede.

tysdag 1. juni 2010

Tysk forfatningsdomstol om datalagringsdirektivet.



Tyskland innførte i 2007 datalagringsdirektivet. Det ble (både før implementasjonen, men desto mer etter dette tidspunktet) utstarkt motstand mot innføringen og en sak ble etterhvert reist for en nasjonal forfatningsdomstol.

Tyskland valgte de en gjennomføringsmodell med 6 måneders lagring, rettskjennelser for direkte uthenting av data, ingen rettskjennelse for indirekte uthenting og bruk av data (der politiet sitter med en ip-adresse og vil ha ut kundeinformasjon, ikke uthenting av datamengde fra en gitt celle til et gitt tidspunkt). Når det gjelder hva som skulle lagres, la den tyske loven seg i all hovedsak på en nærmest ordrett oversettelse av direktivteksten. En forskjell som kan være verdt å nevne er at Tyskland eksplisitt tok med lagring av trafikkdata i forbindelse med kommunikasjon med utenlandske sentraler. Jeg vil i det videre gå direkte inn på dommen fra den tyske, føderale forfatningsdomstolen.

I sin dom fremholder den tyske forfatningsdomstolen først at ubetinget lagring av all data ikke nødvendigvis i seg selv er ikke-konstitusjonell, men at det er nærmere vilkår for at en slik praksis skal kunne møte de proposjonalitetskrav som reises i den tyske grunnloven. Retten kommer i sitt infoskriv om dommen først med endel generelle kommentarer til generell lagring av data og det overgrep det er i forhold til fri kommunikasjon og retten til fritt å utvikle personlighet. Retten går også lengre enn både EU og andre, nasjonale politiske instanser i å beskrive lagringen av trafikkdate i presise termer. Domstolen sier i sitt presseskriv f.eks:
”Even though the storage does not extend to the contents of the communications, these data may be used to draw content-related conclusions that extend into the users’ private sphere. In combination, the recipients, dates, time and place of telephone conversations, if they are observed over a long period of time, permit detailed information to be obtained on social or political affiliations and on personal preferences, inclinations and weaknesses. Depending on the use of the elecommunication, such storage can make it possible to create meaningful personality profiles of virtually all citizens and track their movements. It also increases the risk of citizens to be exposed to further investigations without themselves having given occasion for this. In addition, the possibilities of abuse that are associated with such a collection of data aggravate its burdensome effect. In particular since the storage and use of data are not noticed, the storage of telecommunications traffic data without occasion is capable of creating a diffusely threatening feeling of being watched which can impair a free exercise of fundamental rights in many areas.”

Her går den tyske domstolen langt i å skissere generell lagring av data i mer dystopiske og historisk sett dystre ordelag, spesielt sammenlignet med endel av debattene innad i EU før vedtagelsen av direktivet, der trafikkdata ble omtalt som noe upersonlig og som data hvis lagring ikke ville utgjøre noe særlig inngrep i den personlige sfære. Slik jeg ser det legger den tyske forfatningsdomstolen seg her på en linje som er langt mer realistisk og som også er i tråd med nasjonal forskning i tyskland, som viser at (husk referanse) borgernes kommunikasjonsmønstre endres som følge av potensiell overvåkning.

Etter en generell innføring i ulemper ved og muligheter med direktivet, går retten videre med en mer spesifikk analyse av hvor problemene med den nåværende tyske implementering foreligger. Det er fire hovedområder hvor forfatningsdomstolen mener at lovgivningen svikter. Datasikkerhet, gjennomsiktighet rundt datalagring, rettssikkerhet rundt lagring/uthenting og graden av presisjon i lovverk rundt hvilke forbrytelser som hjemler uthenting av data. Det virker på meg som om retten argumenterer for alle diesse momentene under en paraply av proposjonalitet.

Jeg vil først se på problemstillinger rundt datasikkerhet. Så langt i mine undersøkelser av implementasjon av datalagringsdirektivet i forskjellige medlemsland, har jeg ikke funnet noen gjennomføringsmodeller som tar god høyde for datasikkerhetsproblematikk. Mange gjør som den tyske loven, legger en slags standarisert ”dette skal være sikkert”-løsning til grunn, uten å videreføre dette særlig. Forfatningsdomstolen anser ikke dette til å være tilstrekkelig for å sikre mot misbruk av data. Den påpeker at man bør innføre spesifikke og strenge krav til datasikkerhet i forbindelse med lagring av trafikkdata. Slik retten ser det kan man godt delegere ansvaret for detaljgjennomføring og tekniske løsninger til en komitè eller en undergruppe under statlig kontroll, det viktigste synes å være at det er klare og strenge krav til datasikkerhet. Min mening er at dette er et sentralt moment. Misbruk av data er for mange det mest åpenbare problemet med direktivet, og den totale mangelen på gode og godt utarbeidede sikkerhetsløsninger er en akilleshæl for direktivet etter min mening. Dette må, slik jeg ser det, omhandle både teknisk infrastruktur, uthentingsrutiner, programvareløsninger og rent fysisk bygningskontroll/tilgangskontroll. På denne måten kan man eliminere misbruk fra ansatte hos telekomtilbydere, fra politiets side og fra eksterne kriminelle elementer som vil bruke lagrede data med kriminelle hensikter.

Det neste hovedpunktet fra forfatningsdomstolen er at det ikke var tilstrekkelig gjennomsiktighet rundt uthenting av data. Her fremgår det at domstolen vil avvise et prinsipp der uthenting av data skal hemmeligholdes og fremholder at de det gjelder må informeres om datauthenting såfremt ”otherwise the porpose of the investigation served by the retrieval of data would be frustrated”. Den løsningen domstolen skisserer her vil i praksis snu bevisbyrden i slike tilfeller og pålegge politiet en plikt til å vise at det er nødvendig med hemmelighold med hensyn til etterforskningen. Etter mitt syn er også dette et viktig sikkerhetsnett. Ei heller her har jeg sett tilsvarende regler i de gjennomføringsreglene jeg har vurdert så langt. Slik domstolen også fremholder, mener jeg at et slikt tiltak vil medføre en mindre utbredt endring av kommunikasjonsvaner som en følge av frykt for overvåkning. Dermed vil et slikt tiltak i stor grad gjøre den generelle lagringen mer spiselig i en proposjonalitetsvurdering.

Rettens tredje hovedmoment er at det er en mangel på presisjon når det gjelder hvilke lovbrudd som kan hjemle uthenting av data. For det første synes det å være relativt brede og vage forhold som kan hjemle uthenting av data i utgangspunktet, i tillegg kan alle lovbrudd relatert til telekommunikasjonsutstyr hjemle uthenting av data, en slik definisjon av de lovbrudd som hjemler uthenting av data vil i stor grad undergrave poenget med direktivets formål om å bekjempe ”serious crime”. Domstolen sier selv:

”Here, the legislature no longer confines itself to the use of data to prosecute serious criminal offences, but goes far beyond this, and thus far beyond the objective of data storage specified by EU law”

Det fremgår av kapittelet om mangel på presisjon at domstolen ønsker lovgivning der det fremgår på en presis og forståelig måte hva som kan hjemle uthenting av trafikkdata i forbindelse med etterforskning av kriminelle handlinger, samt uthenting i forbindelse med avverging av fare og bruk innad i etteretningstjenestene. Jeg vil først se på rettens syn på rettssikkerhet, slik at borgerne i større grad kan forutset uthenting av nettopp sine trafikkdata. Jeg vil først se på hva forfatningsdomstolen sier om regelverket i forbindelse med ordinær kriminalitet. Selv om domstolen i noen grad også her argumenterer under en proposjonalitetsparaply, vil jeg si at det er mer nærliggende å dra inn krav om kvalitet på nasjonale lover i forhold til EMK i dette tilfellet. Også jf EMK stilles det krav om presisjon og forutberegnelighet, noe også den tyske forfatningsdomstolen altså her legger vekt på. Min vurdering av dette forholdet er at presise og forutberegnelige lover er en av flere forutsetninger for at en nasjonal gjennomføringsmodell skal komme klar av EMK 8. Er det nærmest umulig å vite hvor politiet og retten vil legge listen utfra den nasjonale lovteksten, vil det etter min mening være nærliggende å anta at man bryter med EMK 8. Avslutningsvis i denne delen av drøftelsen fremholder også retten at det er en hel rekke grupperinger som må falle helt utenfor uthentingsmuligheter. Det være seg kommunikasjon med psykolog, helsetjenester o.l over telefon/epost. Domstolen fremhever at slike tjenester må unndras uthenting hvis loven skal kunne anses for å være proposjonal. Dette er også et moment som komparativt sett er sentralt. Jeg har også til gode å se at dette er noe nasjonale innføringsregimer tar høyde for. Å kunne ivareta kildevern, legers taushetsplikt o.l. vil man måtte ta hensyn her for å unngå fare for å komme i konflikt med bl.a. EMK 8. At ingen land jeg har undersøkt har spesifisert dette konkret i sin gjennomføring er en stor svakhet med gjennomføringen etter mitt syn. Når det gjelder uthenting av data for avverging av fare og til bruk i etteretningstjenesten, konkluderer retten forholdsvis raskt med at de vide fullmakter som her gis på ingen måte er tilstrekkelig. De vide fullmaktene gjør det nærmest mulig for politi og etteretningsvesen å hente ut data for all sin virksomhet. Dette aviser forfatningsdomstolen som grunnlovsstridig uten å gå særlig dypt inn i materien. Her fremgår det igjen at et begrenset, spesifikt og smalt spekter av forbrytelser må ligge til grunn for uthenting av data, uansett formål, hvis man skal falle innenfor den tyske grunnlovens proposjonalitetsregelverk.

Det fjerde momentet omhandler rettssikkerhet i forbindelse med uthenting av data. Her peker spesielt retten på at uthenting kun må skje etter rettslig kjennelse og at det må foreligge klare og kraftige sanksjoner når det foreligger misbruk av retten til uthenting. Det førstnevnte må få utløp i en mulighet til å få en rettslig kjennelse der man selv også blir involvert, før data kan hentes ut. Her er det jo i det øvrige europa varierte implementasjonsteknikker. Der de fleste statene har innført en eller annen form for rettslig kontroll, er det også andre stater der data utleveres direkte til politiet etter forespørsel. Etter mitt syn er rettslig kontroll med uthenting en grunnleggende forutsetning for at generell lagring av trafikkdata. Uten en slik kontroll er faren for misbruk overhengende og mulighetene for å selv være med i prosessen fraværende. Dette henger også sammen med en eventuell manglende gjennomsiktighet i prosessen. Uten rettslig kontroll og varsel til borgerne om at overvåkning skjer, vil, slik også den tyske forfatningsdomstolen kommer inn på, trusselen om overvåkning ligge som et teppe over all kommunikasjon.

Mitt syn på dommen fra den tyske forfatningsdomstolen er at den tar opp flere sentrale momenter ved den tyske implementasjonen av direktivet, som også kan finnes i flere andre europeiske land. Den argumentasjonen domstolen fører ligger også tett opp til de vurderinger EMK tradisjonelt har tatt, og vil sådan være en god indikator på hvor listen vil ligge for krav til nasjonale gjennomføringsmodeller.

onsdag 28. april 2010

Datalagringsdirektivet

Datalagringsdirektivet - DIRECTIVE 2006/24/EC

Etter flere års drakamp ble det såkalte datalagringsdirektivet vedtatt 15. Mars 2006. Da hadde EU gått hele veien fra ganske klare og sterke personvernorienterte og databeskyttende direktiver på 90-tallet, til det mer overvåkningsvennlige og lagringsmotiverte som fikk uttrykk i dette direktivet. Den offisielle hensikten med datalagringsdirektivet var todelt, for det første så EU at flere av medlemsstatene i stor grad benyttet seg av unntaksreglene i 2002/58/EC , og ville med datalagringsdirektivet harmonere forholdene for tele- og datakommunikasjonstilbydere, det hadde oppstått en situasjon der forskjell i datalagringsregler utgjorde en konkurransevridning for tilbydere av elektronisk kommunikasjon. Tilbydere i land der det ikke var utstrakt bruk av datalagring hadde merkbare økonomiske fordeler i forhold til tilbydere i medlemsland med videre bruk av datalagring. Denne årsaken til harmoniseringen av regelverket fremstår mer eller mindre som en skinnbegrunnelse i den grad det ikke er fastslått i direktivet om tilbyderne selv eller statene skal stå for merutgiuftene, og at det allerede har blitt særs sprikende praksis i de forskjellige medlemslandene.

For det andre ville EU også søke å gi medlemsstatene mer konsistente verktøy i kampen mot grov kriminalitet, organisert kriminalitet, mafiavirksomhet og terrorisme. På slutten av 90-tallet var det i hovedsak stor motstand mot dette direktivet grunnet personvernhensyn. Mange organisasjoner og medlemsland stilte seg kritisk til gjennomføring av så utstrakt lagring. Etter 9. September 2001 ble påtrykket fra USA større, det etterhvert så berømte brevet fra Bush til kommisjonen (16. Oktober 2001) er i så måte betegnende på situasjonen. Støtten til datalagringsdirektivet fra politisk hold innad i EU ble enda sterkere både som følge av bombingen i Madrid i 2004 og bombingen av T-banen i London i 2005. England satt med presidentskapet høsten 2005. De jobbet også aktivt med å skape støtte og legge veien klar for direktivet i dene perioden. Utover høsten 2005 ble det etterhvert klart at datalagringsdirektivet mest sannsynlig ville gå gjennom og i Mars 2006 ble det vedtatt. Hva er så dette datalagringsdirektivet, hvilke konsekvenser vil det få? Hva innebærer det egentlig? Jeg vil i det følgende gå gjennom hvilke data som skal lagres, hva disse data kan brukes til, hve som kan hente ut data, hvilke kontrollmekanismer som skal etableres, hvor lenge data skal lagres osv. Jeg vil også kort informere om de forskjellige gjennomføringsmodellene som har blitt inført i forskjellige medlemsland på forskjellige områder av direktivet. Kjernen i direktivet er at statene må iverksette tvungen lagring av det som kalles trafikkdata. Disse data skal på sin side lette etterforskning av grovere kriminalitet og hjelpe myndighetene til å motvirke terrorisme.

Hvilke nettbrukeres data skal lagres?
Dette fremgår av direktivets art. 1 andre ledd. Alle data fra både fysiske og juridiske personer skal lagres, det er sådan ingen unntak for bedrifter eller andre juridiske personer. Såfremt du har elektronisk kommunikasjonsutstyr, skal dine trafikkdata lagres.


Hvilke data skal lagres?
Det er såkalte trafikkdata som skal lagres, det inkluderer informasjon om identifiserbare kommunikasjonsdeltagere på telekomtilbyderes nett. Det fremgår av art. 5 hva som faktisk skal lagres. I direktivet har man delt inn i data nødvendig for å identifisere utgangspunktet for en kommunikasjonssesjon, mottager for en kommunikasjonssesjon, nødvendige data for å identifisere tid, dato og varighet, nødvendige data for å identifisere typen kommunikasjon, data for å identifisere brukers kommunikasjonsutstyr (eller pretendert utstyr), lokasjonsdata for mobiltelefoner.
Hva ligger så i alle disse kategoriene? Jeg vil gå gjennom hvert enkelt underpunkt fra direktivet og klagjøre hvordan jeg tolker det og hvilke data som i dagens kommunikasjonsnett vil bli lagret.


Når det gjelder telefonkommunikasjon, både fastlinje og mobil, vil følgende data være nødvendige: originerende telefonnummer, navn og adresse registrert på til dette nummer. Nummer (hvis flere: alle) som blir oppringt, viderekoblingsinfo om alle nummer samtalen eventuelt blir rutet til, navn og adresse registrert på alle involverte nummer. Samtalens varighet vil bli lagret. Type telekommunikasjon, hvilken service som har blitt brukt. For mobiltelefoni skal IMSI og IMEInummer til begge samtaleparter (eller flere) lagres, samt for kontantkort skal i tillegg lokasjonsdata for opprinnelig aktivering samt tidspunkt for denne lagres. For mobiltelefonsamtaler skal celleinfo med lokasjonsdata lagres både ved starten av samtalen og i løpet av lagringsperioden lagres for begge parter. En typisk samtale mellom en Netcom-bruker og en Telenor-bruker der brukeren som ringer ringer fra fasttelefon og mottageren har mobiltelefon vil føre til at følgendedata lagres: Hos fasttelefonbrukeren vil navn og adresse, telefonnummer, ringt fra og til, varighet på samtale og type abonnementsservice lagres, hos mobiltelefonbrukeren vil navn og adresse, nummer oppringt fra og til, IMSI og IMEI-nummer og lokasjonsdata for hele samtaleperioden lagres.
Når det gjelder internettbruk vil jeg dele inn i tre forskjellige kategorier: Internettelefoni, epost og ordinær bruk av internett.

Når det gjelder internettelefoni skal følgende data lagres om avsender av kommunikasjon: tildelt brukerID, brukerID som tilhører enhet ved oppkobling mot det ordinære telefonnettet, navn og adresse til abonnent eller bruker av en tildelt IPadresse, brukernavn eller telefonnummer ved tilkoblingstidspunkt. På mottagersiden skal brukernavn, telefonnummer, navn og adresse på abonnent eller bruker av telefontjenesten. I tillegg skal tjenestetype lagres, slik jeg tolker dette utsagnet skal f.eks ”telenor bedrift bredbåndstelefoni” lagres som tjenestenavn hvis det er denne tjenestetilbyderen og dette abonnementet som er gjeldende. Tid og sted for av- og pålogging skal også lagres, samt oppkoblingsinformasjon relatert til analoglinje (telefonnummer) eller dsl-linje (oppkoblingspunkt).

For Internettepost vil reglene ligne mye på de som gjelder for internettelefoni. Følgende data skal lagres om avsender av kommunikasjon: tildelt brukerID og navn og adresse til abonnent eller bruker av en tildelt IPadresse. På mottagersiden skal brukernavn, navn og adresse på abonnent eller bruker av eposttjenesten lagres. For øvrig skal også tidsinformasjon for på- og avloggingsinformasjon lagres, ipadresse, uavhengig om den er statisk eller dynamisk. Også ved bruk av internetteposttjenester skal tjenestenavn lagres, slik jeg tolker direktivet vil det også her være tilbyder og abonnementsinfo som skal lagres, f.eks ”Telenor privat epost” eller ”Canal Digital bredbånd, tilhørende epost”. Avslutningsvis skal det også her logges oppkoblingsinformasjon. For analoge linjer skal telefonnummer lagres, for dsl-linjer skal oppkoblingspunkt lagres.

Når det gjelder ordinær bruk av internett er det mindre utstrakt lagring. For avsender skal de samme data som ved internettepost og internettelefoni lagres: tildelt brukerID, navn og adresse til abonnent eller bruker av en tildelt IPadresse. Slik jeg tolker direktivet skal ikke data lagres om mottager. I kapittelet om avsender er overskriften følgende: ”concerning Internet access, Internet e-mail and Internet telephony:”, når det gjelder mottager av datatrafikk er derimot overskriften denne: ”concerning Internet e-mail and Internet telephony:”. Slik jeg tolker direktivteksten, og da spesifikt utelatelsen av ”Internet access” i den sistnevnte overskriften, skal det ikke forekomme lagring av ip-adresser eller annen info for mottager hos avsenders ISP. Det som derimot skal lagres er tidspunkt for på- og avlogging med kompensering for tidssone og informasjon om den analoge eller digitale oppkoblingen (telefonnummer og oppkoblingspunkt.

Det er altså en hel rekke data som lagres, både om type tjenester vi bruker, hvem vi kommuniserer med, når vi bruker dem, hvor vi bruker dem og hvor lenge vi bruker dem. Hva er det så som faller utenfor direktivets rekkevidde? Det er flere tjenester som vil falle utenfor direktivets rekkevidde, i en særstilling står såkalte webløsninger. Tjenester som skype, gmail, hotmail, facebook og lignende, vil ikke medføre lagringsplikt slik jeg tolker direktivets art. 3. Ordlyden i art. 3 samt realitetene rundt internettkommunikasjon tilsier at det kun er lokale leverandører av tjenester som skal lagre data. De aller fleste internasjonale tilbydere av epost og internettelefoni har tjenere utenfor EUs grenser, noe som vil medføre store praktiske problemer med jurisdiksjon i forhold til slik lagring. Det innebærer at telenors epost-tjeneste til sine kunder vil måtte medføre lagring, samtidig som de selvsamme brukernes parallelle bruk av gmail ikke vil medføre lagring utover lagring av ipadresse lokalt. Det samme gjelder for bredbåndstelefoni, der brukere av telenors bredbåndstelefoni vil få lagret abonnementsinfo, telefonnummer, varighet av samtaler etc (som nevnt over), vil den selvsamme brukerens bruk av skype ikke generere data utover abonnementsinfo, ipadresser o.l for brukeren selv. Det eneste man kan hente ut av informasjon etter bruk av gmail er dermed at brukeren har logget på internett på et gitt tidspunkt fra en gitt node. Store deler av befolkningens bruk av sosiale tjenester, eposttjenester og internettelefoni vil dermed ikke lagres som følge av dette.
Et annet moment er såkalte bedriftsinterne nett. Det fremgår av art. 3 at det kun er offentlig tilgjengelige nett som har lagringsplikt. Konsekvensen av dette er at nett som Uninett og andre større, lukkede nett, ikke omfattes av lagringsplikten. Som et godt eksempel kan man da peke på de forskjellige studentbyer som har studentby-internett. Disse vil ikke omfattes av lagringsplikten da de faller inn under Uninett og dette, slik jeg har tolket direktivet, vil defineres som et bedriftsinternt nett. I tillegg vil en hel rekke større bedrifts- og organisasjonsnett falle utenfor, i tillegg til de store universitetsnettene har man store bedrifter og store organisasjoner som sykehus o.l om vil falle utenfor lagringsplikten. Også her vil det dermed være store deler av internettrafikken som ikke vil bli lagret.
Hva ligger så av informasjon i disse trafikkdata? De data som lagres vil skape et relativt detaljert bilde av hvor vi ferdes, hvor ofte vi kommuniseres, hvem vi kommuniserer med og hvordan. En gjengs borger i Norge bruker mobiltelefon og internett relativt aktivt. Dette vil føre til at man i stor grad kan kartlegge hvor borgerne beveger seg til enhver tid. En ting er at det ved mobilbruk eksplisitt skal lagres bevegelsesdata, en annen ting er at ip-adresser til brukere, uavhengig om de er dynamiske eller statiske, vil kunne avsløre hvor også vanlig internettrafikk kommer fra rent geografisk. En slik peiling vil ikke være fullt så presis som de data man får fra mobilbruk, men man får et relativt nøyaktig geografisk treff også med denne teknologien.
Som en avslutning kan jeg raskt sammenfatte grovt hvilke data som skal lagres:
- Adresse, navn og kontaktinformasjon for øvrig på abbonnenter som bruker tjenester.
- Tjenestetype/ip-adresser for internettelefoni og eposttjenester.
- Lokasjon- og tid/dato-info om all aktivitet. (Pålogging, avlogging, samtalevarighet etc).
- IMEI/IMSI-nummer for mobiltelefonbrukere
Dette kan kun regnes som en rask oppsummering, for mer presis info les avsnittene over.

Hva kan data som lagres brukes til?
Det fremgår av formålsordlyden i art. 1 at lagrede data skal brukes for å oppdage, etterforske og reise tiltale for ”serious crime”, slik alvorlig/seriøs kriminalitet blir definert i de forskjellige medlemslandene. Videre fremgår det av art. 4 at medlemslandene selv har ansvaret for at regelverk opprettes og at det kun blir mulig å få tilgang på data i konkrete tilfeller og i henhold til de retningslinjer og føringer EMK art. 8 innebærer. Dette legger hovedvekten av ansvaret for å definere regler for uttak av data på statene selv. De politiske signaler som de forskjellige medlemslandene har sendt varierer sterkt. Hovedlinjen synes å være at grov kriminalitet og terrorisme er det lagrede data skal brukes til.

Jeg vil nå se litt på noen av de europeiske lands løsninger rundt bruk av trafikkdata. Den danske løsningen ved implementering av datalagringsdirektivet, er sammensatt. Det er flere krav som må møtes før politiet kan hente ut data jf den danske retsplejeloven §§781-782. For det første må det være bestemte grunner til å anta at det kommuniseres til eller fra en mistenkt, for det andre må bevisene antas å ha avgjørende betydning for etterforskningen, etterforskningen må gjelde en lovovertredelse med en strafferamme på 6 år eller mer, eventuelt gjelde en liste over spesifikke lovbrudd. Videre må man uansett foreta en forholdsmessighetsvurdering slik at de tiltak man gjør og de ulemper og krenkelser det innebærer ikke utveier fordelene ved inngrepet. I Finland har de en lignende ordning, men der er kravet til strafferamme på 4 år. Det kan synes å være en gjeldende norm blant medlemsstatene at en strafferamme på 3-6 år samt noen spesifikke lovbrudd som blir nærmere spesifisert i nasjonal lovgivning er den valgte løsning. Dette er også den norske foreslåtte løsningen i høringsnotatet fra departementet, der legges grensen på 3 år, i tillegg nevnes en rekke spesifikke lovbrudd som også vil omfattes av muligheten til å hente ut lagrede trafikkdata. Dette gjelder spionasje, terrorvirksomhet, datakriminalitet og endel former for organisert vinningskriminalitet og barneporno samt lignende lovbrudd. Det er altså ganske varierende hva de forskjellige land legger i ”seriøs kriminalitet” og ikke minst i hvor mye skjønnsrom de anser seg selv for å ha.

Hvor lenge kan data lagres?
EU har valgt å gi statene en ramme på 6-24 måneders lagringstid, det er dermed opp til de forskjellige medlemsstatene å avgjøre hvor lenge data skal lagres. De aller fleste medlemsnasjoner har valgt å lagre data i 12 måneder. Sveits, Liechtenstein, Romania, Luxembourg og Kypros har valgt 6 måneder. Slovakia og Latvia lagrer i 18 måneder og Irland i 36 måneder (12 måneder lengre enn direktivet åpner for). Det er kun Sverige, Irland, Hellas og Østerrike som ikke har innført datalagringsdirektivet av EUs medlemsstater. Et mindretall har dermed valgt å legge seg på en lagringstid på minimumsnivået, den store majoriteten har valgt å legge seg midt på. Jeg vil komme nærmere inn på viktigheten av lagringstid i forbindelse med min proposjonalitetsdrøftelse senere i oppgaven.

Hvordan kan data hentes ut og av hvem?
Det ligger ingen krav til rettslig kontroll eller demokratisk kontroll med praksisen som vil oppstå. Art. 9 krever dog at statene må ha et uavhengig kontrollorgan som skal overse implementasjonen og bruken av datalagringsdirektivet i de særskilte statene, slik jeg tolker ordlyden i art. 9 er det her ikke snakk om et organ som skal kontrollere konkrete saker, men derimot et organ som skal overse statistikk og gjøre kontroller av hvorfor, hvordan og når trafikkdata blir brukt. Dermed blir det helt opp til statene å etablere løsninger for konkret uthenging av data. Man kan jo bruke henvisningen til EMK som en tolkningsnøkkel for ordlyden i art 4, da kan man innfortolke alle de krav EMK art. 8 stiller til denne typen inngrep, da være seg både klarhetskravet til loven, legitime sikkerhetsforanstaltninger, men også de andre vilkår i art. 8.
I Danmark har de valgt en løsning der det i de aller fleste tilfeller kreves en kjennelse fra retten for å hente ut trafikkdata. Det samme har det store flertall av EU-stater valgt. En forklaring på denne praksisen kan være at dette ser så langt ut til å være den eneste muligheten mange medlemsstater anser mulig for å kunne falle innenfor de prosesuelle og materielle krav art. 8 stiller til denne formen for overvåkning. Det norske forslaget er også at kun retten kan pålegge uthenting av data, og at politiet ikke kan kontakte telekomleverandører direkte.
Prosessen synes dermed i de fleste tilfeller å være en forespørsel fra politiet til en nasjonal domstol, som så behandler forespørselen i tråd med nasjonal rett, for så å tillate eller forby utlevering av trafikkdata.