Forslag om “digitalt grenseforsvar” får tommel ned, både juridisk og teknologisk

by Jon W-A | January 6, 2017 4:44 PM

[En tidligere versjon av dette innlegget er også publisert på NRK.no[1]]

 

 

[2]

Fra Datatilsynets høringsuttalelse av 18. januar 2017 om forslag til “Digitalt grenseforsvar”

På bakgrunn av ønsker særlig fra Etterretningstjenesten (E-tjenesten) selv, oppnevnte Forsvarsdepartementet i februar  2016 et utvalg med mandat å utrede sentrale problemstillinger knyttet til E-tjenestens mulige tilgang til elektronisk informasjon som kommuniseres i fiberoptiske kabler inn og ut av Norge (det vil si all vår elektroniske kommunikasjon som passerer Norges grenser). Det anførte formålet er å bedre sikre Norges og norske interesser mot blant annet såkalte cyber-angrep og terrorisme. E-tjenesten utgjorde selv sekretariatet for utvalget. Utvalget – som er blitt hetende Lysne II-utvalget – avga sin rapport “Digitalt grenseforsvar”[3] (DGF) 26. august 2016. Senere samme høst, 4. oktober 2016, ble rapporten lagt ut til offentlig høring[4], med høringsfrist satt til i dag, 6. januar 2017.

Rapporten, som jeg har lenket til i avsnittet ovenfor, er omfattende, og dens innhold reiser alvorlige samfunnsmessige spørsmål, ikke minst av juridisk og teknologisk art.

Et grunnleggende utgangspunkt er at det foreslåtte tiltaket, DGF, vil innebære filtrering og lagring av vesentlige deler av hele den norske befolkningens elektroniske kommunikasjon, herunder kommunikasjon som foregår mellom norske borgere i Norge. Det er – særlig med hensyn til kommunikasjon via Internett, men også med hensyn til telekommunikasjon – langt på vei tilfeldig om innenlandsk kommunikasjon passerer Norges geografiske grenser. Store deler av befolkningens bruk av Internett (herunder vanlig ”surfing”, bruk av kommunikasjonstjenester som Skype, sosiale medier og lagring i skytjenester) innebærer kommunikasjon med servere som ligger utenfor Norge. Eventuelle forestillinger om at DGF bare omfatter ”utenlandsk” kommunikasjon er derfor feilslåtte. DGF vil nødvendigvis hovedsakelig omfatte norske borgeres daglige bruk av digitale kommunikasjonstjenester.

Av de høringsuttalelsene[5] som hittil har blitt offentliggjort, har forslaget også blitt møtt med til dels sterkt kritikk fra høringsinstanser som representerer uavhengig fagekspertise, så vel juridisk som teknologisk.

Som representative høringsuttalelser for den nevnte kritikken kan høringsuttalelsene fra følgende organisasjoner fremheves:

Juridisk dreier kritikken seg blant annet om at forslaget bryter med de grunnleggende krav til person- og kommunikasjonsvern som alle borgere har etter Grunnloven, Den europeiske menneskerettskonvensjon og EU-/EØS-retten. Domstolene som håndhever person- og kommunikasjonsvernet på øverste nivå i Europa, Den europeiske menneskerettsdomstol og EU-domstolen har i en rekke avgjørelser slått fast at tvungen, statlig masselagring av personopplysninger er uforenlig med borgernes grunnleggende friheter.

Noen vil huske diskusjonen om og skjebnen til EUs datalagringsdirektiv, som av EU-domstolen i dom avsagt i storkammer i 2014[13] ble erklært ugyldig, som stridende mot EUs charter om grunnleggende rettigheter. Til tross for at den avgjørelsen, som formelt bare angikk selve EU-direktivet, åpenbart innebar[14] at de enkelte statene heller ikke i nasjonal lovgivning kunne drive med tilsvarende masselagring av borgernes kommunikasjonsdata, mente noen at dette fortsatt var en mulighet. Det slo EU-domstolen helt nylig – i en dom av 21. Desember 2016[15], om lovgivning i henholdsvis Sverige og Storbritannia om masselagring av borgernes kommunikasjonsdata – at man ikke kan. Det er i strid med grunnleggende krav til person- og kommunikasjonsvern i Europa. I dommen fremgår blant annet følgende generelle uttalelser:

106    En sådan lovgivning kræver ikke nogen sammenhæng mellem de data, som foreskrives lagret, og en trussel mod den offentlige sikkerhed. Den er navnlig ikke begrænset til en lagring, som er rettet mod data vedrørende et tidsrum og/eller et geografisk område og/eller en personkreds, der på den ene eller anden måde vil kunne være indblandet i alvorlige lovovertrædelser, eller mod personer, der af andre grunde gennem lagring af deres data ville kunne bidrage til bekæmpelse af kriminalitet (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 59).

107    En national lovgivning som den i hovedsagen omhandlede overskrider derfor det strengt nødvendige og kan i et demokratisk samfund ikke anses for at være begrundet, således som det er påkrævet i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1.

108    Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for, at en medlemsstat vedtager en lovgivning, der som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet, forudsat at lagringen af disse data begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen.

DGF – der det nettopp legges opp til slik vilkårlig masselagring, ikke bare av kommunikasjonsdata, men dels også om kommunikasjonsinnhold – vil rammes direkte av det som uttales i denne dommen. Lysne II-utvalget synes å ha vært blant dem som feilaktig har trodd at dommen fra 2014 om datalagringsdirektivet, ikke innebar noe hinder for slik nasjonal lovgivning. Denne nye dommen, som kom etter at utvalgets avga sin rapport, viser at utvalget har tatt feil. Forslaget faller alene på dette punktet, som stridende mot grunnleggende friheter etter både europeisk rett og Grunnloven.

Teknologisk dreier kritikken seg dels om forslagets manglende effekt overfor DGFs anførte formål, kombinert med dets inngripende effekt på kommunikasjonsvernet samt potensielt skadelige effekt på samfunnets IKT-infrastruktur, dels om manglende utredning av de relevante teknologiske problemstillingene. Tekna peker i sin høringsuttalelse på at selve rapportens tittel (”Digitalt grenseforsvar) gir misvisende assosiasjoner, og skriver i forbindelse følgende:

Rapportens tittel gir inntrykk av at Norge kan etablere et digitalt forsvar hvor uønskede elementer kan stoppes ved grensen. Tekna mener et riktigere språklig bilde vil være digital grenseovervåking.

Basert alene på innholdet i disse høringsuttalelsene, vil det være overraskende om Regjeringen fremmer noe lovforslag basert på det systemet som foreslås i Lysne II-utvalgets rapport. Både juridiske og teknologiske forhold tilsier at de formål som forslaget skulle ivareta, må søkes ivaretatt på helt andre måter, og at det i eventuelle videre utredninger må gjøres langt grundigere arbeid, der blant annet uavhengig juridisk og teknologisk fagkyndighet involveres i langt større grad. E-tjenesten bør ikke – som tilfellet var med Lysne II-utvalget – selv være sekretariat for et eventuelt nytt utvalg. Det er uvanlig og uheldig. Behovet for etterretningsfaglig kompetanse bør søkes ivaretatt ved at slik kompetanse – på linje med annen fagkompetanse – enten er representert i utvalget og/eller at faglige innspill fra det etterretningsfaglige miljøet blir hentet inn på annen måte under utredningsarbeidets gang.

Når det gjelder E-tjenesten selv – som altså selv var sekretariat for utvalget, som allerede nevnt – går det tydelig frem av dens egen høringsuttalelse[16] at den har forutsett deler av den kritikken som jeg har vist til ovenfor, ettersom den finner det nødvendig i innta følgende (ganske tendensiøse) avsnitt i avslutningen av sin uttalelse:

Et enstemmig og menneskeretts- og personverntungt utvalg har foretatt grundige avveininger av nødvendighet og forholdsmessighet, og finner det klart at innføring av DGF er forsvarlig og påkrevet. Til tross for dette er det grunn til å anta at det primært er de høringsinstanser som er negative til ethvert nytt overvåkingstiltak, og som ikke er opptatt av å måtte finne en rimelig balanse mellom statens sikkerhet og personvern, som vil fremme uttalelse og søke å dominere den offentlige debatt. Vi vil derfor anbefale at departementet vurderer ytterligere informasjonstiltak for å unngå misforståelser i det offentlige rom om hva DGF egentlig innebærer, samt ser dette i sammenheng med behovet for et oppdatert lovgrunnlag ikke bare for DGF, men for enkelte andre generelle aspekter ved E-tjenestens virksomhet.

Hvilke høringsinstanser E-tjenesten sikter til, når den refererer til dem som er ”negative til ethvert nytt overvåkningstiltak”, er jeg usikker på. En slik karakteristikk rammer i alle fall beviselig ikke de høringsinstansene som jeg har referert ovenfor. Når E-tjenesten først tar opp utvalgets sammensetning, kan det dessuten nevnes at av utvalgets fem medlemmer, var tre av dem statsansatte (henholdsvis i Forsvaret, Nasjonal kommunikasjonsmyndighet og Regjeringsadvokatembetet.) Også slike skjevheter bør unngås i eventuelle fremtidige utredningsutvalg om tematikken.

Når det gjelder E-tjenestens uttrykte bekymring for konsekvensene av høringsrunden for den offentlige debatt, og dens oppfordring til Forsvarsdepartementet om å iverksette ”informasjonstiltak”, minner det om hvordan Regjeringen håndterte høringen[17] om datalagringsdirektivet i 2011. Det førte som kjent til at Stortinget – i strid med klare råd fra nettopp uavhengige, juridiske instanser – vedtok lovgivning som domstolene i ettertid har slått ned på, jf ovenfor.

Den feilen kan unngås denne gangen, om politikerne faktisk tar innspillene fra de uavhengige fagmiljøene på alvor.

Noter - lenker i teksten
  1. NRK.no: https://nrkbeta.no/2017/01/08/advokat-jon-wessel-aas-digital-grenseovervakning-utenfor-lovlige-grenser/
  2. [Image]: http://www.uhuru.biz/?attachment_id=1762
  3. “Digitalt grenseforsvar”: https://www.regjeringen.no/contentassets/ca1f705dbebd48cb9a61889d4cfee6bf/digitalt-grenseforsvar-lysne-ii-utvalget.pdf
  4. offentlig høring: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/
  5. høringsuttalelsene: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/
  6. Den norske dommerforening: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/?uid=bca230ec-8b37-4661-8138-f12b02980889
  7. Norges juristforbund: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/?uid=02538273-9d7c-46d0-8c8b-f58123b0aa30
  8. Norges nasjonale institusjon for menneskerettigheter: https://www.regjeringen.no/contentassets/84a90462cf9b4aebb310d97052083d26/norges-nasjonale-institusjon-for-menneskerettigheter_dgf.pdf
  9. Den internasjonale juristkommisjon – norsk avdeling: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/?uid=d497baf3-8b01-4278-b2ce-65de9f1bc45e
  10. Datatilsynet: https://www.datatilsynet.no/globalassets/global/05_hoeringer/2017/horingsuttalelse-dgf-2017.pdf
  11. Tekna – Teknisk-naturvitenskaplig forening: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/?uid=b26f13de-2230-4d1e-8a43-3940972c9a74
  12. Sintef: https://www.regjeringen.no/contentassets/84a90462cf9b4aebb310d97052083d26/horingssvar-med-med-merknader-sintef-digitalt-grenseforsvar.pdf
  13. dom avsagt i storkammer i 2014: http://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:62012CJ0293
  14. åpenbart innebar: http://www.uhuru.biz/?p=1466
  15. dom av 21. Desember 2016: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d6e39e9dfd6bb943debcaccb05df2e96be.e34KaxiLc3eQc40LaxqMbN4PaheQe0?text=&docid=186492&pageIndex=0&doclang=DA&mode=req&dir=&occ=first&part=1&cid=29868
  16. høringsuttalelse: https://www.regjeringen.no/contentassets/84a90462cf9b4aebb310d97052083d26/horingssvar-med-merknader-etterretningstjenesten-digitalt-grenseforsvar.pdf
  17. Regjeringen håndterte høringen: http://www.uhuru.biz/?p=319

Source URL: http://www.uhuru.biz/?p=1746