Forsiden

Høringssvar fra Telenor Norge AS

Dato: 01.11.2022

Telenor viser til høring fra Kommunal- og distriktsdepartementet 12. september 2022 vedr. forslag til endringer i ekomforskriften – IP-adresser. Vi viser til vårt opprinnelige høringssvar vedr. endringer i ekomloven omhandlende lagring av IP-adresser, jf. høringssvar 22. januar 2021, hvor vi også berører flere elementer med relevans for de foreslåtte endringene i ekomforskriften. I det følgende vil vi knytte noen ytterligere kommentarer til de aktuelle forslagene til forskriftsendringer.

Generelle kommentarer

Telenor er enig i at det er behov for utfyllende bestemmelser i forskrift blant annet for å operasjonalisere lagringsplikten nærmere og fastsette regler for hvordan informasjonen skal utleveres. Vi deler imidlertid også oppfatningen av at en omfattende og detaljert kravsetting i forskrifts form p.t. er lite hensiktsmessig, all den tid det ikke finnes ferdige løsninger for å oppfylle lovens krav hos verken tilbyderne eller politiet, og at man derfor er avhengig av en viss fleksibilitet ift. myndighetspålegg. Gitt det erfaringsgrunnlaget man har p.t. fremstår det prematurt med en detaljert forskrift.

Standardisering av datautveksling

Telenor avventer arbeidet som er igangsatt for å utvikle en automatisert løsning for datautveksling mellom operatørene og politiet, jf. omtale i høringsnotatet. Etter Telenors oppfatning er det myndighetssiden som må sikre fremdriften i den videre prosessen. På generelt grunnlag vil Telenor understreke at et slikt system p.t. ikke foreligger fra Telenors side, og at man prioriterer å få den lovpålagte løsningen i drift i henhold til frist. Vi imøteser videre oppfølging fra myndighetenes side vedrørende en automatisert løsning.

Ved selve overføringen av anmodninger og svar legges det fra myndighetenes side opp til å utvikle to alternative overføringsmåter med utgangspunkt i Digitaliseringsdirektoratet sine nasjonale fellesløsninger; Maskinporten og ID-porten. Det anføres i høringsnotatet at «[b]egge løsninger vil ivareta hensynet til «sikker overføring», gjennom kryptering, autentisering og autorisasjon.» Telenor etterspør en tydeligere dokumentasjon om dette, og mener at for eksempel Datatilsynet og Nkom også bør forespørres særskilt om hva som skal legges til grunn for sikker overføring.

Telenor merker seg at det i høringsnotatet fremkommer at det legges opp til «… [a]t de individuelle anmodningene som sendes tilbyder fra politiets sentraliserte løsning skal inneholde informasjon om at anmodningen er en «Ekomloven § 2-8 b-sak»». Telenor har tidligere, bl.a. i vårt høringsinnspill 22. januar 2021, fremholdt at det er viktig at ISPene ikke skal måtte bruke betydelige saksbehandlingsressurser på å vurdere hver enkelt anmodning; samtidig er det avgjørende for oss med tilfredsstillende notoritet og transparens for å ivareta våre kunders person- og kommunikasjonsvern i tråd med Telenors standarder.

Vi minner om at ekoml. § 2-8 b. er tydelig på at «Anmodninger om utlevering etter første ledd skal fremsettes skriftlig og skal så vidt mulig opplyse om hva saken gjelder, formålet med anmodningen og hva den omfatter. Det skal fremgå at kravet om nødvendighet etter første ledd er vurdert.» Slik teksten i høringsnotatet er formulert – at anmodningen kun evt. påføres «Ekomloven § 2-8 b-sak» som begrunnelse for utleveringen – kan vi ikke se at det konkrete forslaget til forskriftendring reflekterer angitt bestemmelse i selve loven. Selv om det fremgår av forarbeidene til bestemmelsen at tilbyder ikke skal foreta noen selvstendig vurdering av vilkårene i bestemmelsen, jf. Prop. 167 L (2020–2021), mener vi likevel at det bør fremgå av henvendelsen fra politiet til tilbyder at lovens vilkår er oppfylt. Dette er også mer i samsvar med kommentarene i forarbeidene til lovens §2-8b annet ledd.

Etter Telenors vurdering vil det å kun begrunne henvendelsene som “Ekomloven §2-8 b-sak" trekke tolkningsrommet som følger av forarbeidene vel langt. Vi vil påpeke at det er ekomtilbyderen som er underlagt taushetsplikt etter ekomloven, og for å skape tillit for at henvendelsen er innenfor utleveringsplikten bør begrunnelsen fremgå for ekomtilbyderne på en klarere måte enn en «merkelapp» med «ekomloven §2-8b-sak». Vi ber om at forskriften presiseres på dette punktet, og at man sikrer samsvar mellom lov og forskrift.

Telenor merker seg videre at «standardiserte løsninger for datautveksling skal benyttes så langt mulig». Telenor har ikke innvendinger mot at det forskriftsfestes at standardiserte løsninger «så langt mulig» benyttes, men vil understreke viktigheten av ende-til-ende kryptering i datautvekslingen – jf. også ovenstående kommentar vedr. sikker overføring.

Driftskrav knyttet til lagring og utlevering

Lagring

Telenor merker seg at forskriften legger opp til kvalitative krav knyttet til logging og lagring, og deler det overordnede målet om «tilstrekkelig kvalitet». Det er imidlertid fortsatt uklart for Telenor hva forskriften evt. anfører for oppetid og geo-redundans, men vi legger til grunn at dette vil defineres av beste praksis oppnåelig gitt systemkonfigurasjon mv. Etter Telenors oppfatning bør forskriften videre utformes slik at bransjen, politiet og myndighetene gjennom en prosess kommer frem til en utvalgt standard for tidsangivelse (dvs. tidsformat og tidssone) innen rimelig tid.

Telenor etterspør på generelt grunnlag standardisering/spesifisering omkring hvordan ISPene skal tolke de tekniske utfordringene som kan inntreffe i forbindelse med oppstart og avslutning av en IP-sesjon. Et eksempel kan illustrere dette: Dersom politiet ber om hvilken IP-adresse en spesifikk bruker (navn) har benyttet over en gitt tidsperiode, så kan en IP-sesjon for nevnte bruker både starte og slutte utenfor den perioden politiet ber om opplysninger om. Videre kan det være flere forskjellige kombinasjoner av hvordan man logger/registrerer en IP-sesjon. Det er i så tilfelle uklart hvilken lagret informasjon som skal utleveres. Telenor ønsker derfor en mer presis angivelse av hvordan operatørene skal forholde seg til utlevering av denne type data, og imøtekommer dialog med myndighetene om dette.

Telenor vil ellers bemerke viktigheten av at dataintegritet sikres etter at data er utlevert fra operatørene, dvs. på politiets side, og ber om at dette på egnet måte presiseres.

Utlevering

Det fremkommer av høringsnotatet at anmodninger fra politi- og påtalemyndighet skal besvares «uten ugrunnet opphold». Telenor vil understreke, slik også høringsnotatet tar høyde for, at responstid mv. avhenger av en rekke parameter, og at det følgelig er fornuftig at regulatoriske krav om responstid utformes med tilstrekkelig fleksibilitet. Vi understreker også generelt at ønsket om lavest mulig responstid i ulike situasjoner/kategorier vil innebære økte utleveringskostnader som må dekkes av bestillersiden.

I likhet med problemstillingen knyttet til hvordan man definerer oppstart og avslutning av IP-sesjoner omtalt over, ser Telenor også noen utfordringer vedrørende IP-søk på navn. Det er f.eks. uklart hvorvidt man i tilfeller ved søk på et konkret navn (pluss fødselsdato) kun skal søke på og oppgi informasjon om «juridisk eier» eller også på rollene som «betaler» eller «registrert bruker». Også for søk motsatt vei – dvs. søk på en gitt IP-adresse (evt også port) – hvilke roller skal oppgis fra operatørenes side? Når det gjelder søk på navn/organisasjons-nummer for bedrifter, så vil dette – avhengig av antallet ansatte – potensielt kunne resultere i utlevering av store mengder informasjon fra operatørenes side, noe vi stiller oss spørrende til er intensjonen med bestemmelsen.

Ruting av anmodninger

Telenor merker seg at det foreslås å forskriftsfeste en oppdateringsplikt av RIPE for tilbyderne som er tildelt IP-adresserom, og evt. videre tilordning av IP-adresserom til grossistkunder eller partnere. Det er uklart for Telenor hva som ligger i dette, all den tid vi jevnlig vedlikeholder og oppdaterer dataene som oversendes. Vi legger til grunn at det ikke tilkommer noen administrativ byrde på Telenor ut over allerede etablert praksis.

Økonomi mv.

Telenor gjentar oppfordringen fra tidligere om behovet for en mer prinsipiell avklaring av hvordan kostnadsfordelingen skal være i forbindelse med myndighetspålegg i den digitale infrastrukturen, jf. bl.a. høringssvar 22. januar 2021 vedr. endringer i ekomloven. Prinsipielt mener Telenor at det i tilfeller hvor staten pålegger private aktører utvidede oppgaver av ulik art, så bør også staten ta kostnadene både for investering og drift i tilknytning til disse.

Vi noterer at modellen som er valgt med tanke på utvidet IP-lagring ikke reflekterer ovenstående prinsipp, men merker oss at høringsnotatet korrekt anfører at «krav til et høyt servicenivå vil gjenspeiles i prisene for uthenting av lagringspliktig informasjon». Eksempelvis legger vi til grunn at merkostnader forbundet med f.eks. krav om spesifikk responstid, besvarelse utenfor normarbeidstid, samt en fremtidig API-løsning, vurderes som personell- og administrasjons-kostnader som påløper i forbindelse med utlevering av informasjon.