Litteratur
- Berg, J P: “Overvåking av kryptert datakommunikasjon på
internettet”, i R Punsvik (red),
Elektronisk handel – rettslige aspekter (Tano Aschehoug,
1997), s 76–87.
- Bhatnagar, A; Misra, S og Raghav Rao, H: “On Risk, Convenience,
and Internet Shopping Behavior”,
Communications of the ACM, november 2000, bind 43, nr 11,
s 98–105.
- Commission of the European Communities:
Towards a European Framework for Digital Signatures and
Encryption (COM(97) 503 final, Brussels, 10.10.1997).
- Commission of the European Communities:
Creating a Safer Information Society by Improving the Security
of Information Infrastructures and Combating Computer-Related
Crime (COM(2000) 890 final, Brussels, 26.1.2001).
- Diffie, W og Landau, S:
Privacy on the Line. The Politics of Wiretapping and
Encryption (MIT Press, 1998).
- Dokument nr 15 (1995–96),
Rapport til Stortinget fra kommisjonen som ble nedsatt av
Stortinget for å granske påstander om ulovlig overvåking av norske
borgere (Lund-rapporten).
- European Union:
Action Plan to Combat Organised Crime (Official Journal C
251, 15.08.1997, s 1–16).
- European Parliament, Scientific and Technological Options
Assessment (STOA):
Development of Surveillance Technology and Risk of Abuse of
Economic Information, desember 1999 (PE 168.184/Vol
1/5/EN).
- Froomkin, A M: “The Metaphor is the Key: Cryptography, The
Clipper Chip, and the Constitution”,
University of Pennsylvania Law Review, 1995, bind 143, s
709–897.
- Koops, B-J:
Crypto Law Survey, versjon 18.4, januar 2001, <
http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm>.
- NOU 2001:10,
Uten penn og blekk – Bruk av digitale signaturer i elektronisk
samhandling med og i forvaltningen.
- OECD:
Guidelines for Cryptography Policy (OECD, 1997); samt
norsk oversettelse av retningslinjene – jf Nærings- og
handelsdepartementet:
Kryptopolitikk. Retningslinjer og problemstillinger (NHD,
1998), <
http://odin.dep.no/nhd/norsk/regelverk/prinsipputtaleser/024005-990135/index-dok000-b-n-a.html>.
- OECD:
Revised Inventory of Controls on Cryptography Techniques,
8.2.2001 (DSTI/ICCP/REG(2000)5REV1).
- Riisnæs, R:
Skisse til retningslinjer for bruk av digital signatur og
kryptering i offentlig forvaltning, Notat til PKI-utvalget,
27.11.2000, tilgjengelig ved <
http://www.statskonsult.no/prosjekt/pki/index.htm>.
- Rådet for IT-sikkerhet:
Sluttrapport fra utvalg for vurdering av behov for
kryptopolitikk, 10.11.1997.
- Spiegel Online: “Unknackbare Verschlüsselung: Wirbel um die
Krypto-Revolution”, mars 2001, <
http://www.spiegel.de/netzwelt/technologie/0,1518,120312,00.html>.
- St meld nr 41 (1998–99),
Om elektronisk handel og forretningsdrift.
- Storbritannia, Department of Trade and Industry:
Consultation on EC Directive 1999/93/EC of the European
Parliament and Council on a Community Framework for Electronic
Signatures, March 2001.
- Sverige: Regeringens skrivelse 1998/99:116 om kryptografi.
- ØKOKRIM:
Økt innsats for bekjempelse av datakriminalitet. Forslag om
etablering av Politiets datakrimsenter, ØKOKRIM,
18.12.2000.
Vedlegg 1: OECDs retningslinjer for kryptopolitikk
OECD vedtok 27.3.1997
retningslinjer for kryptopolitikk (
Guidelines for Cryptography Policy). Retningslinjene
nedfeller følgende generelle prinsipper for OECD medlemslandenes
utvikling av nasjonal kryptopolitikk [utdrag]:
“1.
Tillit til kryptometoder
Kryptometoder bør være pålitelige
for å skape tillit til bruk av informasjons- og
kommunikasjonssystemer. […]
2.
Valg av kryptometoder
Brukerne bør ha rett til å kunne
velge hvilken som helst kryptometode, innen rammen av gjeldende
rett. […]
3.
Markedsdrevet utvikling av kryptometoder
Kryptometoder bør utvikles for å
dekke personers, næringslivets og offentlige myndigheters behov,
etterspørsel og ansvar.
Utviklingen og tilveiebringelsen av
kryptometoder bør bestemmes av markedet i et åpent og konkurrerende
miljø. […] Utviklingen av internasjonale tekniske standarder,
kriterier og protokoller knyttet til kryptometoder bør også drives
fram av markedet. […]
4.
Standarder for kryptometoder
Tekniske standarder, kriterier og
protokoller for kryptometoder bør utvikles og gjøres kjent på
nasjonalt og internasjonalt plan.
[…] Eventuelle nasjonale standarder
for kryptometoder bør være i samsvar med internasjonale standarder
for å lette global interoperabilitet, flyttbarhet og mobilitet.
[…]
5.
Sikring av personvern og persondata
Enkeltpersoners grunnleggende rett
til beskyttelse mot inngrep i personvernet, herunder
hemmeligholdelse av kommunikasjonsinnhold og sikring av persondata,
bør respekteres i nasjonal kryptopolitikk og ved iverksetting og
bruk av kryptometoder. […]
6.
Rettshjemlet adgang
Nasjonal kryptopolitikk kan tillate
rettshjemlet adgang til klartekst eller kryptonøkler for krypterte
data. Slik politikk må i størst mulig grad respektere de øvrige
prinsippene som inngår i Retningslinjene.
[…] Prosessen som fører til at
rettshjemlet adgang oppnås, bør registreres slik at avdekkingen av
kryptonøkler eller data kan revideres eller gjennomgås i samsvar
med nasjonal lovgivning. […] Prosesser for rettshjemlet adgang til
kryptonøkler må anerkjenne skillet mellom nøkler som brukes til å
sikre konfidensialitet, og nøkler som bare brukes til andre formål.
En kryptonøkkel som bare
sørger for identitet eller integritet (til forskjell fra
en nøkkel som bare
verifiserer identitet eller integritet) bør ikke gjøres
tilgjengelig uten samtykke fra den personen eller virksomheten som
er i lovlig besittelse av nøkkelen.
7.
Ansvar
Uansett om det er fastslått ved
avtale eller lovgivning, bør ansvaret som påhviler personer eller
virksomheter som tilbyr kryptotjenester eller innehar eller har
adgang til kryptonøkler, være angitt på en klar måte. […]
8.
Internasjonalt samarbeid
Regjeringene bør samarbeide for å
samordne kryptopolitikker. Som et ledd i slike bestrebelser bør
regjeringer fjerne utilbørlige handelshindringer eller unngå at
kryptopolitikk i seg selv skaper slike hindringer.
[…] For dette formålet bør
Retningslinjene anvendes ved utforming av nasjonal politikk. Dersom
det er utviklet nasjonale nøkkelforvaltningssystemer, må disse,
dersom det er formålstjenlig, muliggjør internasjonal bruk av
krypto. […] Ingen regjering bør hindre den frie flyten av krypterte
data som strømmer gjennom dens jurisdikjson utelukkende med
begrunnelse i kryptopolitikk. For å fremme internasjonal handel bør
regjeringene unngå å utvikle kryptopolitikk og –rutiner som skaper
utilbørlige hindringer for global elektronisk handel. Regjeringene
bør unngå å skape utilbørlige hindringer for kryptometoders
internasjonale tilgjengelighet.”
Retningslinjene kap IV påpeker at
prinsippene “er innbyrdes avhengige av hverandre og bør iverksettes
som en helhet …” Videre bør “[i]ngen av prinsippene iverksettes
isolert fra de øvrige”.
Vedlegg 2: Hovedtrekk i Sveriges kryptopolitikk
Overordnet kryptopolitikk
Sverige har utarbeidet en
overordnet nasjonal kryptopolitikk som i hovedsak er formalisert i
Regeringens skrivelse 1998/99:116 om kryptografi. Politikken
sammenfattes på følgende vis:
- “För närvarande föreligger det inte skäl att begränsa
användningen av kryptoteknik i Sverige. Alla skall ha rätt att
själva välja sådan teknik.
- Import av kryptoteknik skall förbli fri.
- Det finns fortsatta säkerhetspolitiska skäl att förhindra
spridning av kryptoteknik till olämpliga mottagare i vissa andra
länder.
- Skulle utvecklingen motivera skärpta regler kommer regeringen
att överväga lämpliga åtgärder för att skapa möjligheter till
laglig åtkomst i klartext av krypterad information för
brottsbekämpande och kontrollerande myndigheter.
- Sveriges politik bör präglas av flexibilitet och lyhördhet i
syfte att kunna möta en ökad efterfrågan på säker kryptoteknik,
förändringar i andra länders politik och den fortsatta tekniska
utvecklingen på området.
Tilblivelsen og oppfølgingen av den
svenske regjeringens skriv om kryptografi er i Sverige i stor grad
ansett å være en suksess.
59<span style='mso-tab-count:1'> </span>Ifølge muntlige opplysninger gitt den 15.2.2001 av Anne-Marie Eklund Löwinder (IT-kommissionen) og Göran Axelsson (Utrikesdepartementet) til Lee A Bygrave.
Alle departementer deltok i utarbeidelsesprosessen og har sluttet
seg til politikken. Skrivet har skapt lite debatt i etterkant av
utferdigelsen.
Skrivet sier lite om
rollefordelingen mellom privat og offentlig sektor. Dette er fordi
et utgangspunkt for svensk politikk de siste 20 årene har vært at
hovedansvar for å utvikle og ta i bruk sikkerhetssystemer ligger
hos den enkelte.
Hovedlinjene i skrivet er
videreført i Regeringens proposition 1999/2000:86,
Et informationssamhälle för alla. Propositionen uttrykker
den svenske regjeringens generelle informasjonspolitikk for
perioden 2000–2004. Kryptobruk omtales i svært positive
ordelag:
- “Regeringen välkomnar en bred användning av kryptografi. Det
ökar tilliten till kommunikationssystemen och stärker
informationsfriheten. Det är därför också viktigt att användarna
får god tillgång till säkra kryptosystem, svenske eller
importerade, så att de själva kan välja teknik” (avsnitt 5.3.4, s
49).
- “Betryggande säkerhetsfunktioner baserade på krypteringsteknik
och elektroniska signaturer måste uvecklas och göra allmänt
tillgängliga i sammhället så att förutsättningar skapas för ökad
elektronisk kommunikasjon och elektronisk handel” (avsnitt 5.3.3, s
47).
Eksportkontroll
Svensk regelverk om eksportkontroll
av kryptoprodukter følger Rådets forordning (EF) nr 1334/2000.
Ansvaret for anvendelsen av regelverket ligger hos Inspektionen för
strategiska produkter.
I Regeringens skrivelse
1999/2000:110 bekreftes holdningen om eksportkontroll av krypto som
er nedfelt i skrivelse 1998/99:116. Regjeringen erkjenner et
sikkerhetspolitisk behov for å begrense eksport til visse land, men
uttaler bl a også at Sverige “verkar … för en friare handel med
kryptoprodukter med beaktande av de säkerhetspolitiska hänsynen.”
Regjeringen uttrykker som målsetting “att den begränsade
exportkontroll av kryptoteknik som är motiverad skall upprätthållas
på ett så snabbt och smidigt sätt att den i jämförelse med andra
länders kontrollprocedurer inte skall medföra en konkurransenackdel
för svensk industri, utan helst ge en konkurransefördel.” Samtidig
erkjenner regjeringen at en “internationell samsyn måste dock
uppnås vad gäller bl a. EU-ländernas kontroll mot tredje land”.
Elektroniske signaturer
Direktivet om elektroniske
signaturer er implementert i svensk rett ved lag (2000:862) om
kvalificerade elektroniska signaturer, i kraft 1.1.2001.
Nøkkeldeponering
Det har vært forholdsvis lite
debatt om spørsmål vedrørende obligatorisk nøkkeldeponering.
Innføring av et system for obligatorisk nøkkeldeponering synes å
være utelukket – i hvertfall i nær fremtid.
Andre relevante initiativer
Det svenske försvarsdepartementet
har opprettet en arbeidsgruppe “för skydd mot
informationsoperationer” (tidligere “arbetsgruppen för skydd mot
informationskrigföring”). Arbeidsgruppen skal utrede trusler og
risiki knyttet til såkalte “informationsoperationer” (dvs “samlade
och samordnade åtgärder i fred, kris och krig till stöd för
politiska eller militära mål genom att påverka eller utnyttja
motståndares eller annan utländsk aktörs information och
informationssystem”, jf Regeringens protokoll av 21.6.2000).
Arbeidsgruppen skal avslutte sin virksomhet 31.12.2001.
I tillegg er en offisiell utredning
om visse sårbarhetsspørsmål under ferdigstillelse. Utredningen, som
skrives av Åke Pettersson, skal foreslå prinsipper for å få til en
mer helhetlig planleggingsstrategi “för civilt försvar och
beredskapen mot svåra påfrestningar på samhället i fred” (jf
Direktiv 1999:63). Det forventes at utredningen vil berøre
kryptospørsmål.
Vedlegg 3 – Hovedtrekk i Danmarks kryptopolitikk
Overordnet kryptopolitikk
Den danske regjeringens holdning
til kryptospørsmål er sammenfattet i et brev av 7.4.2000 fra
Erhvervsministeren, Forsvarsministeren, Justitsministeren og
Forskningsministeren til det danske IT-sikkerhedsrådet. I følge
brevet skal Danmarks fremtidige kryptopolitikk basere seg på
følgende hovedlinjer:
- “Den nuværende danske krypteringspolitik, som baserer sig på
fri anvendelse og fri import af kryptering, skal fastholdes, og
Danmark vil aktivt fremme brug af stærk kryptering til støtte for
sikker elektronisk kommunikation og handel.
- Med henblik på at fremme IT-udviklingen, skal der iværksættes
initiativer til udbredelsen af stærk kryptering i Danmark. Dette
bør ske gennem initiativer, der sigter på at skabe øget
opmærksomhed i befolkningen omkring nødvendigheden af at sikre
kommunikationen ved hjælp af kryptering og på, at det offentlige
gennem sin efterspørgsel fremmer opbygningen af den nødvendige
infrastruktur og udbredelsen af standardiserede
krypteringsprodukter.
- Danmark bør ikke gennemføre reguleringer med nøgledeponering.
Vi bør dog fortsat følge den internationale udvikling på området og
samtidig være opmærksom på behovet for, at politiet i
overensstemmelse med retsplejelovens retssikkerhedsgarantier
fortsat kan gøre brug af eksisterende efterforskningsmidler til
forebyggelse og opklaring af kriminalitet.
- Der arbejdes for størst mulig liberalisering af
eksportkontrollen med varer og teknologi med dobbelt anvendelse
(dual-use goods), i EU og Wassenaar, dog med behørig hensyntagen
til behovet for fortsat at kunne kontrollere spredningen af meget
sensitive produkter til sensitive slutbrugere.
- Det er hensigten med de ovenstående hovedlinier at præcisere,
at regeringen ønsker at fremme IT-udviklingen mest muligt, og at
det er en væsentlig forudsætning, at der er tillid til sikkerheden
i anvendelsen af elektronisk kommunikation. Regeringen vil fortsat
nøje følge den internationale udvikling på
krypteringsområdet.”
Som brevet antyder er både
anvendelse og
import av kryptoprodukter i Danmark ikke blitt underkastet
særskilt lovregulering.
Eksportkontroll
Det danske regelverket for
eksportkontroll av kryptoprodukter følger EU Rådets forordning (EF)
nr 1334/2000. Hovedansvaret for implementering av regelverket
ligger hos Erhvervsfremmestyrelsen under Erhvervsministeriet.
Elektroniske signaturer
Direktivet om elektroniske
signaturer er implementert i dansk rett ved lov nr 417 av 31.5.2000
om elektroniske signaturer, i kraft 1.10.2000.
Nøkkeldeponering
Innføring av et system for
obligatorisk nøkkeldeponering synes å være utelukket – i hvertfall
i nær fremtid.
Andre relevante initiativer
Regjeringen har opprettet en
interdepartemental “Følgegruppe om Kryptering”. Gruppen skal sørge
for statlig implementering og koordinering av dansk kryptopolitikk,
samt holde øye med den internasjonale utviklingen.
Problemstillinger knyttet hovedsakelig kun til bruk av elektroniske
signaturer faller utenfor gruppens arbeidsområde. En tett kobling
av politikk om kryptobruk til konfidensialitetssikringsformål med
politikk vedrørende bruk av elektroniske signaturer er hittil blitt
ansett av regjeringen som uhensiktsmessig.
Vedlegg 4 – Hovedtrekk i Storbritannias
kryptopolitikk
Overordnet kryptopolitikk
Det finnes ingen overordnet
nasjonal kryptopolitikk for Storbritannia som tilsvarer den svenske
regjeringens skrivelse 1998/99:116 om kryptografi.
Eksportkontroll
Hovedansvaret for eksport kontroll
ligger hos Export Control and Non-Proliferation Directorate innen
Department of Trade and Industry. Det relevante regelverket finnes
i The Dual-Use Items (Export Control) Regulations 2000.
Forskriftene følger Rådets forordning (EF) nr 1334/2000.
Eksportbegrepet defineres i forskriftene til å omfatte elektronisk
overføring av programvarer mv i tillegg til overføring av fysiske
produkter.
Importkontroll
Import av kryptoprodukter er ikke
regulert.
Elektroniske signaturer
Deler av direktivet om elektroniske
signaturer er implementert ved The Electronic Communications Act
2000, Del II. Et forslag til implementering av direktivets øvrige
deler ble sendt ut på høring i mars 2001 med frist for
tilbakemeldinger medio juni 2001.
60<span style='mso-tab-count:1'> </span>Jf Department of Trade and Industry, Consultation on EC Directive 1999/93/EC of the European Parliament and Council on a Community Framework for Electronic Signatures, March 2001.
Nøkkeldeponering
Et eksplisitt forbud mot innføring
av systemer for obligatorisk nøkkeldeponering er nedfelt i The
Electronic Communications Act 2000 § 14(1). Men § 14(2) av loven
åpner for at en regjeringsbeslutning kan kreve nøkkeldeponering i
visse tilfeller:
“(a) a requirement to deposit a key
for electronic data with the intended recipient of electronic
communications comprising the data; or
(b) a requirement for arrangements
to be made, in cases where a key for data is not deposited with
another person, which otherwise secure that the loss of a key, or
its becoming unusable, does not have the effect that the
information contained in a record kept in pursuance of any
provision made by or under any enactment or subordinate legislation
becomes inaccessible or incapable of being put into an intelligible
form”.
En slik beslutning er ennå ikke
truffet.
Andre relevante initiativer
Selvregulering
Del I av The Electronic
Communications Act 2000 fastsetter opprettelsen av et register over
godkjente tilbydere av kryptotjenester (for
konfidensialitetssikring og/eller sikring av autentisitet mv).
Regjeringen har imidlertid valgt ikke å implementere dette
registreringssystemet. Den håper i stedet at industrien skal
etablere selv-regulatoriske registreringssystemer. Det er allerede
etablert et slikt system, det såkalte “tScheme”.
61<span style='mso-tab-count:1'> </span>Jf <www.tscheme.org>.
Dersom regjeringen ikke implementerer registreringssystemet som er
hjemlet i loven innen en fem-års periode, vil de angjeldende
bestemmelsene i loven bli opphevet (§ 16(4)).
Etterforskning av kriminalitet
Del III av Regulation of
Investigatory Powers Act 2000 gir politiet hjemmel til å innhente
informasjon som kan inneholde (de)krypteringsnøkler. Bestemmelsene
angår kryptert informasjon som på lovlig vis har kommet i politiets
besittelse etter ransaking. Personer som politiet tror er i
besittelse av dekrypteringsnøkkelen for denne informasjonen, vil
som utgangspunkt kunne pålegges å oppgi informasjonen i klartekst,
men ikke nøkkelen. Loven åpner imidlertid muligheten for at
nøkkelen også vil måtte frigis under spesielle forhold:
“(a) that there are special
circumstances of the case which mean that the purposes for which it
was believed necessary to impose the requirement in question would
be defeated, in whole or in part, if the direction were not given;
and
(b) that the giving of the
direction is proportionate to what is sought to be achieved by
prohibiting any compliance with the requirement in question
otherwise than by disclosure of the key itself” (§ 51(4)).
Bestemmelsen gjelder ikke for
krypteringsnøkler som kun skal brukes for generering av
elektroniske signaturer og kun er blitt brukt til dette formålet (§
49(9)).
Under forberedelsene til loven ble
det uttrykt bekymring for at en person kunne bli tiltalt for ikke å
gi fra seg en nøkkel selv når vedkommende ikke lenger hadde
nøkkelen eller hadde glemt den. En slik tiltale ble ansett som i
strid med EMK artikkel 6 (retten til “fair hearing”). På grunn av
bekymringen stipulerer loven at
“a person shall be taken to have
shown that he was not in possession of a key to protected
information at a particular time if sufficient evidence of that
fact is adduced to raise an issue with respect to it, and
the contrary is not proved beyond a
reasonable doubt.” (§ 53(3)).
Dessuten stipuleres det at enhver
anvendelse eller lagring av nøkkelen må være nødvendig og
proporsjonal i forhold til anvendelses-/lagringsformålet (§ 55).
Disse bestemmelsene i loven er ennå ikke trådt i kraft da
regjeringen ønsker å foreta en videre høringsrunde om visse
aspekter ved dem.
Vedlegg 5 – Oversikt over norske regler som har betydning
for etterforskning av kriminalitet
Her gis en kort gjennomgang av
norske regler vedrørende politiets evne til å etterforske
kriminalitet, med henblikk på tilfeller der kommunikasjon og
lagrede data i det kriminelle miljøet er kryptert. Fokus rettes mot
reglenes begrensninger.
Mistenkte/siktede har i
straffesaker ingen plikt til å samarbeide med politiet eller retten
(jf bl a straffeprosessloven §§ 90 og 92 annet ledd
62<span style='mso-tab-count:1'> </span>Lov om rettergangsmåten i straffesaker 22. mai 1981 nr 25 – heretter “strpl”.).
Dette betyr at mistenkte/siktede i forhold til
politiet/påtalemyndighet ikke er forpliktet til å dekryptere data
eller oppgi en krypteringsalgoritme/-nøkkel. Dersom
krypteringsalgoritmen/-nøkkelen er kjent av en annen person, kan
retten pålegge vedkommende å utlevere den etter strpl § 210
(såframt personen plikter å vitne i saken). Algoritmen/nøkkelen
eller klartekst vil muligens også kunne fremskaffes gjennom
avlytting av telekommunikasjon, og ellers ved bruk av
ekstraordinære etterforskningsmetoder som f eks bruk av informanter
som befinner seg i mistenktes miljø, infiltrasjon i miljøet mv.
Bruk av ekstraordinære
etterforskningsmetoder er i hovedsak ikke direkte lovregulert.
Dette kan skape vanskeligheter i vurdering av hvorvidt visse
metoder er lovlige. Et eksempel her gjelder hemmelig online
“ransaking” som i visse tilfeller kunne gi politiet tilgang til
informasjon før den blir kryptert. Det er usikkert om slik
ransaking har tilstrekkelig hjemmel i henhold til
straffeprosessloven (jf § 192).
Avlytting av telekommunikasjon er
derimot direkte lovregulert. Avlytting er tillatt i forbindelse med
etterforskning av grov kriminalitet og i saker vedrørende rikets
sikkerhet (jf strpl § 216 a). I begge tilfeller kreves det rettslig
kjennelse før avlyttingen kan finne sted. Verdien av avlyttingen
vil selvfølgelig forringes når innholdet i kommunikasjonen er
kryptert og politiet ikke har tilgang til
krypteringsalgoritmen/-nøkkel.
Dette problemet vil kunne oppveies
i noen grad ved at politiet får tilgang til opplysninger om hvem
som kommuniserer, samt sted, tidspunkt og varighet for
kommunikasjonen. Slike opplysninger er vanligvis registrert og
lagret hos teleoperatører. Opplysningene er i utgangspunktet
underlagt taushetsplikt etter telekommunikasjonsloven (jf § 9-3
første ledd), men taushetsplikten “er ikke til hinder for at det
gis opplysninger til påtalemyndigheten eller politiet om en
abonnents navn, adresse, telefonnummer eller
datakommunikasjonsadresse” (jf § 9-3 tredje ledd). Anmodning om
slike opplysninger skal etterkommes “med mindre særlige forhold
gjør det utilrådelig” (jf § 9-3 fjerde ledd).
Høyesterett har i en kjennelse av
20.12.1999 (jf Rt 1999 s 1944) under dissens (4–1) fastslått at
utlevering av slike opplysninger i utgangspunktet verken er i strid
med EMK artikkel 8 eller andre personvernregler. Rettens flertall
uttalte dog at personvernhensyn tilsier en innskrenkende tolkning
av § 9-3 tredje ledd slik at det må stilles krav til hvilke
opplysninger politiet må gi teleoperatørene for å få de
opplysningene bestemmelsen nevner. Bestemmelsen kan mao ikke brukes
av politiet til å få tak i opplysninger (f eks trafikkdata) som
ellers er taushetsbelagte etter
§ 9-3 første ledd. I den aktuelle
sak fastslo rettens flertall at teleoperatøren måtte oppgi
abonnentens navn når politiet oppga et dynamisk IP-nummer som
abonnenten angivelig brukte samt tidspunkt for abonnentens
nett-tilkobling.
Etter anmodning fra politiet,
påtalemyndigheten eller retten kan Post- og Teletilsynet (PT) også
oppheve taushetsplikten for andre opplysninger som er
taushetsbelagte etter § 9-3 første ledd (jf strpl § 118 første
ledd). Teleoperatørene kan til tross for PTs fritak nekte å gi fra
seg opplysningene til politiet. Alternativt kan PT nekte å oppheve
taushetsplikten. Da kan politiet kreve en rettslig kjennelse. Når
kjennelsen foreligger, er operatøren pliktig til å utlevere
opplysningene som politiet ber om.
En del problemer knytter seg til
teleoperatørenes registrering av abonnent- og trafikkdata.
Problemene kan vanskeliggjøre politiets evne til å oppspore
identiteten til gjerningspersonen. Enkelte av disse problemene er
snarere av praktisk enn rettslig art (f eks dårlige rutiner for å
kontrollere at oppgitte abonnentopplysninger er korrekte). Når det
gjelder rettslige problemer, er følgende av særlig interesse:
- Hjemmelen som PT har til å pålegge registrering av abonnentdata
synes å være uklar og muligens utilstrekkelig hvis
registreringspålegg skjer av hensyn til etterforskning av
kriminelle handlinger (jf teleforskriften § 2-7; jf
telekommunikasjonsloven § 4-6 andre avsnitt). Problemet har dukket
opp spesielt i forbindelse med at tilbydere av
mobiltelefontjenester selger forhåndsbetalte SIM-kort med
uregistrert abonnement. PT har bedt Samferdselsdepartementet om en
avklaring av rettstilstanden på dette punktet (jf brev av
28.5.1999; ref 98/15302 411.2).
- Det er usikkert om telekommunikasjonsloven omfatter tilbydere
av teletjenester (f eks universiteter og skoler) som ikke tilbyr
tjenestene “i næringsøyemed” (jf § 1-6 (d)).
- Det er videre usikkert hvorvidt telekommunikasjonsloven
omfatter visse andre typer tjenesteleverandører, f eks innehaveren
av en såkalt Internett-café eller et web-hotell.
- Hvor lenge teletjenesteleverandører bør oppbevare logger med
trafikkdata, er omstridt. Datatilsynet har fastsatt tre måneder som
maksimum lagringstid i henhold til sine konsesjonsvilkår for
behandling av personopplysninger i telesektoren (jf
personopplysningsforskriften § 7-1). ØKOKRIM mener at dette ikke er
tilstrekkelig for etterforskningsformål, og vil ha ett års
lagringstid.
