8 Hva skal lagres
Det fremgår av datalagringsdirektivets artikkel 5 hvilke kategorier av data som skal lagres. Departementets forslag til lovendring vil medføre innføring av lagringsplikt for trafikkdata, lokaliseringsdata og abonnements-/brukerdata som fremkommer ved bruk av elektronisk kommunikasjon som fasttelefoni, mobiltelefoni, internettaksess, e-post og bredbåndstelefoni.
8.1 Gjeldende rett
I dag lagres trafikkdata, lokaliseringsdata og abonnements-/brukerdata med hjemmel i personopplysningsloven § 31, fjerde ledd jf. personopplysningsforskriften § 71. Det er Datatilsynet som gir tilbyderne konsesjon til å behandle personopplysninger om abonnenters bruk av ekomtjenester. Formålet med behandlingen er kundeadministrasjon, opplysningstjeneste, fakturering og gjennomføring av tjenester i forbindelse med abonnentens bruk av elektroniske kommunikasjonsnett, inklusive samtrafikkavregning. Generelt gjelder et krav om at den behandlingsansvarlige skal slette eller anonymisere opplysninger som ikke har betydning for formålet. Opplysninger som brukes til fakturering skal slettes når faktura er gjort opp, eventuelt når klagefristen er utgått. Maksimal lagringstid etter konsesjonens punkt 8 er fem måneder etter at opplysningene ble registrert ved kvartalsvis fakturering, og tre måneder etter at de ble registrert ved månedlig fakturering. Dersom en faktura ikke er betalt, eller det er oppstått rettslig tvist om betalingsplikten, kan opplysningene likevel oppbevares inntil kravet er gjort opp eller er rettslig avgjort.
Datatilsynet uttalte våren 2009 at lagring av opplysninger om kundenes internettrafikk, dvs. kobling mellom IP-adresse og abonnement, ikke kan overstige tre uker. Denne type data lagres for å sikre forsvarlig drift, og ikke for faktureringsformål. Datatilsynet har lagt til grunn at tilbyderne har et saklig behov for å oppbevare disse dataene i en kortere periode enn det som gjelder for trafikkdata som benyttes til fakturering. Lagringstiden for denne type trafikkdata er altså vesentlig kortere i dag enn den korteste lagringstid som foreskrives i direktivet.
Ekomloven § 2-8 pålegger tilbyderne en tilretteleggingsplikt for å sikre politiets lovbestemte tilgang til informasjon om sluttbruker og elektronisk kommunikasjon. En lagringsplikt kan imidlertid ikke innfortolkes i tilretteleggingsplikten i § 2-8. Det er presisert i ekomloven § 2-8, tredje ledd at myndigheten kan gi forskrift om lagring av trafikkdata for en viss periode. Denne forskriftshjemmelen er per i dag ikke benyttet.
8.2 Høringsnotatets forslag
I høringsnotatet ble det foreslått å stille krav om lagring av trafikkdata, lokaliseringsdata og abonnements-/brukerdata som fremkommer ved bruk av elektronisk kommunikasjon som fasttelefon, mobiltelefon, internettaksess, e-post og bredbåndstelefoni. Innhold eller noe som avslører innholdet i kommunikasjonen skal i henhold til direktivet ikke lagres. Med begrepet «avslører innholdet» mener departementet at det ikke skal lagres data som viser eller tilkjennegir kommunikasjonens innhold. Eksempler på dette er om en bruker surfer på en gitt webside, innholdet i en mulitimediamelding eller tekstmelding, eller innholdet i en e-post. Tilgangen til en brukers IP-adresse gir i dag ikke automatisk oversikt over hvor det har vært surfet, altså innholdet på web-sidene som har blitt besøkt. Dersom politiet skal finne ut av dette må de ha tilgang til brukers datamaskin, eller det må gjøres mer etterforskningsarbeid med tanke på å kontrollere hvem som eide en gitt IP-adresse på et angitt klokkeslett.
Ved benyttelse av applikasjoner som ikke er definert som offentlige ekomtjenester, det vil si tjenester som tilbys av andre enn tilbydere definert i ekomloven, vil data i tilknytning til kommunikasjonen ikke blir lagret. Et eksempel på en slik tjeneste er Skype, som i utgangspunktet er en taletjeneste, men som det også er mulig å sende mulitimediameldinger og tekstmeldinger fra. Et annet eksempel er MSN som er en chattetjeneste som omfatter tale, video og oversendelse av filer. Ved bruk av denne type tjenester vil internettilbyderne (Internet Service Provider (ISP)) som kobler opp tjenesten lagre data om at brukeren er på nett, men ISPen har ingen mulighet til å identifisere hvilke tjenester som benyttes og hvem som kommuniserer med hvem.
8.3 Høringsinstansenes syn
Post- og teletilsynet, Politidirektoratet, Kripos, Datatilsynet, Det nasjonale statsadvokatembetet, Telenor, TDC, Tele2, NetCom, IKT-Norge, Norges Juristforbund-privat, Norsk Videogramforening, Politijuristene og Høgskolen i Gjøvik har problematisert spørsmålet om hva som skal lagres.
Svært mange av høringsinstansene mener opplistingen i høringsnotatet med forslag til hva som skal lagres er i tråd med hva som fremgår av artikkel 5 i EUs direktiv. Noen høringsinstanser som for eksempel IKT-Norge mener høringsnotatet i liten grad var oppklarende for hva som skal lagres. IKT-Norge sier:
«Denne uklarheten kan ha stor betydning for hvilke omfang lagringsplikten vil gi. IKT-Norge mener denne uklarheten må presiseres langt bedre før saken legges fram til politisk behandling. I følge direktivet pålegges ekomtilbyderne å lagre data som framkommer når de utfører sin tjeneste, dvs bare de data de har tilgang til jamfør direktivets punkt 13»
Datatilsynet stiller spørsmål ved om det faktisk er mulig å lagre trafikkdata om e-post som sendes og mottas via internettbasert e-postjeneste (type g-mail), uten at det er å anse som lagring av innhold. Datatilsynet sier:
«Dersom departementene er av den oppfatning at også slike e-poster uansett skal registreres, må det nødvendigvis åpnes for registrering av innholdsdata. Kommer departementene til at denne type e-post likevel må forbli uregistrert, så etableres det en enkel og stor mulighet for å omgå datalagring. Dette undergraver nødvendigheten av lagringen som sådan. Datatilsynet savner en klargjøring på dette punktet.»
Også Kripos nevner denne problemstillingen:
«Kripos mener at skillet mellom bredbåndstilbyderne som leverandør av e-posttjenester på den ene siden, og de web-baserte e-posttilbyderne som ikke er i kategorien bredbåndstilbydere på den andre siden er uhensiktsmessig. Et slikt skille er delvis basert på valg av teknologi, og kan ikke sies å være i tråd med direktivets intensjoner.»
Flere av høringsinstansene peker på det faktum at det finnes elektroniske kommunikasjonsformer som ikke omfattes av artikkel 5, jf. diskusjonen om at lagring er lett å omgå. Dette må ses i sammenheng med hvem som skal lagre og konsekvenser for konkurransen i ekommarkedet.
Politidirektoratet og Kripos peker på uklarheter i opplistingen av hva som skal lagres, og da særlig knyttet til IP-telefoni. Kripos sier:
«En presisering av lagringsplikten knyttet til de ulike kategorier av IP-telefoni vil være nødvendig blant annet for å klargjøre hvem som skal lagre hvilke opplysninger.»
Høringsinstanser som Telenor og Tele2 mener det knytter seg betydelig usikkerhet til hvordan en rekke krav skal forstås, og departementene oppfordres til å klargjøre og spesifisere blant annet i forskrift. Telenor sier:
«Høringsnotatet opplister på overordnet nivå hvilke data som skal lagres, men det knytter seg betydelig usikkerhet til hvordan en rekke enkeltpunkter er å forstå i praksis. Telenor vil oppfordre til forutsigbarhet for tilbyderne gjennom nærmere spesifisering av kravene i forskriftsform, alternativt at det i forbindelse med Stortingets behandling av saken gis klare konkrete føringer for lagring.»
Tele2 sier:
«I punkt 4.4.1 og punkt 4.4.2 fremgår det at A, B og C nummer skal lagres. Tele2 lagrer i dag kun trafikkdata knyttet til utgående trafikk, fordi det er dette Tele2 behøver å fakturere våre kunder. For Tele2 er det uklart om forslaget til departementet innebærer at teletilbyderne nå blir pålagt også å lagre innkommende trafikk. I så fall innebærer forslaget en vesentlig økning av informasjon som skal lagres, sammenlignet med praksis i dag.»
Videre peker enkelte tilbydere på at ikke alt som er foreslått lagret vil være enkelt tilgjengelig for tilbyder til å kunne lagre. Telenor sier:
«Ikke alt som er foreslått lagret er enkelt tilgjengelig for en tjenestetilbyder selv om dataene skulle finnes tilgjengelig i begrensede tidsrom i tilbyderens tekniske systemer. Dette kan være data som kun behandles for operative formål og dermed på et annet nivå enn det tilbydernes egne støttesystemer normalt behandler. I tillegg er det på flere områder uklart hva som omfattes av lagringsplikten, og dette gjør det vanskelig å forutsi om det er mulig og økonomisk forsvarlig å fremskaffe og lagre dataene.»
Tilbyderne mener myndighetene må avgrense lagringsplikten til data som er lett tilgjengelige for tilbyder. De forutsetter videre at direktivkrav som fremstår som uforholdsmessige og ubegrunnet i forhold til formålet ikke implementeres, for eksempel data om mislykkede oppringninger.
Flere høringsinstanser, som for eksempel IKT-Norge og TDC, gjør oppmerksom på at kvaliteten på data er varierende, og forutsetter at det ikke må iverksettes tiltak for å endre dette. TDC skriver:
«TDC anbefaler videre at det klargjøres hvilket ansvar teleoperatørene har for kvaliteten på lagrede data. Hvem som kan stilles til ansvar for eksempelvis falske, manipulerte eller feil data.»
8.4 Departementets vurdering
Den prinsipielle nyskapningen med direktivet er at det innføres en plikt til å lagre data og at dette skjer for å imøtekomme myndighetenes behov. I praksis er det også en betydelig utvidelse av mengde og typer data som vil bli lagret. Opplistingen nedenfor, som med mindre endringer tilsvarer den som ble sendt på høring, gjenspeiler direktivet, og det er disse dataene som i henhold til forslaget skal lagres. Opplistingen er, som blant annet Telenor peker på, overordnet, og departementet vil derfor etterkomme ønsket fra høringsinstanser som har gitt uttrykk for behovet for en forskrift som presiserer og utdyper hva som skal lagres. En forskrift vil også kunne gi regler om leveringstid og kvalitet.
Departementet er kjent med at det finnes flere muligheter for å unngå lagring av data ved bruk av elektronisk kommunikasjon. Ved benyttelse av applikasjoner som ikke er definert som offentlige ekomtjenester vil data i tilknytning til kommunikasjonen ikke bli lagret. Eksempler på dette er sosiale nettverk og bruk av web-baserte e-posttjenester (for mer om web-basert e-posttjeneste, se kapittel 10 om konkurransen innenfor elektronisk kommunikasjon). Det finnes også ulike anonymiseringstjenester. Motstandere av datalagringsdirektivet har gjerne pekt på at innføring av en lagringsplikt er uforholdsmessig fordi det rammer alle brukere av tradisjonell elektronisk kommunikasjon, mens de som virkelig har noe å skjule kan benytte tjenester som blant annet sosiale nettverk tilbyr, og unngå lagring. Departementet er av den oppfatning at selv om det er fullt mulig å benytte elektronisk kommunikasjon som ikke lagres, kan ikke det være et tungtveiende argument for å la være å innføre en lagringsplikt på offentlig elektronisk kommunikasjonstjeneste. Det vises til kapitel 5.3.5 om behovet for nye virkemidler for oppklaring av kriminalitet.
På bakgrunn av innspill fra høringsrunden mener departementet det er nødvendig med enkelte utdypninger og presiseringer av hva som skal lagres. Dette gjelder særlig spørsmålet om lagring knyttet til bruk av IP-telefoni eller bredbåndstelefoni (ekommyndigheten benytter sistnevnte begrep).
8.4.1 Om lagring og bredbåndstelefoni
For avklaring av hva som skal lagres når det gjelder bredbåndstelefoni vises det til rapporten «Regulering av bredbåndstelefoni etter lov om elektronisk kommunikasjon» av 14. juni 2006, utarbeidet av Post- og teletilsynet. I rapporten oppstilles tre hovedkategorier av bredbåndstelefoni. Kategori 1 er bredbåndstelefoniløsninger som ikke er tilrettelagt for alle-til-alle kommunikasjon. Det vil si at det ikke er mulig å anrope en bruker av tradisjonelle telefontjenester via slike løsninger, men kun å kontakte et begrenset antall brukere av tilsvarende bredbåndstelefoniløsninger. Ett eksempel på bredbåndstelefoni av kategori 1 er basisversjonen av Skype. Kategori 2 er bredbåndstelefoniløsninger som delvis er tilrettelagt for alle-til-alle kommunikasjon. Dette innebærer at det er mulig enten å motta samtaler fra brukere av tradisjonelle telefontjenester, eller å anrope slike brukere. Det er imidlertid ikke mulig både å anrope og å motta anrop fra brukere av slike tjenester. Ett eksempel på bredbåndstelefoniløsninger av kategori 2 er SkypeOut, som gjør det mulig å anrope brukere av tradisjonelle telefontjenester, men ikke å motta samtaler fra slike. Kategori 3 er bredbåndstelefoniløsninger som er tilrettelagt for alle-til-alle kommunikasjon. Det vil si at det er mulig både å motta samtaler og anrope brukere av tradisjonelle telefontjenester.
Post- og teletilsynet konkluderer i sin rapport med at når det gjelder kategori 1 må det vurderes konkret i forhold til den enkelte tjeneste om det er en elektronisk kommunikasjonstjeneste eller ikke. Når det gjelder kategori 2 er denne type tjeneste å anse som en elektronisk kommunikasjonstjeneste, og forutsatt at de er tilgjengelige for allmennheten eller beregnet til bruk for allmennheten, anses de for offentlig elektronisk kommunikasjonstjeneste. Ekomregelverkets bestemmelser om elektronisk kommunikasjonstjeneste og offentlig elektronisk kommunikasjonstjeneste får anvendelse. Når det gjelder kategori 3 er denne type tjeneste en elektronisk kommunikasjonstjeneste som anses som offentlig elektronisk kommunikasjonstjeneste, og en tjeneste som anses som en telefontjeneste i henhold til ekomloven. Dersom tjenesten er tilgjengelig for allmennheten eller beregnet til bruk for allmennheten, er den å anse som en offentlig telefontjeneste. Samtlige av ekomlovens og tilhørende forskrifters bestemmelser som relaterer seg til henholdsvis elektronisk kommunikasjonstjeneste, offentlige elektroniske kommunikasjonstjenester og offentlig telefontjeneste får anvendelse.
I henhold til datalagringsdirektivet er det tilbyder av offentlig elektronisk kommunikasjonstjeneste og offentlig elektronisk kommunikasjonsnett som skal lagre data. Dette innebærer at dersom man skal følge dagens regulatoriske praksis i Norge, er det innenfor området bredbåndstelefoni tilbydere av bredbåndstelefoniløsninger av kategori 2, dersom det tilbys en tjeneste for allmennheten, og tilbydere av bredbåndstelefoniløsninger av kategori 3 som omfattes av lagringsplikten. Tilbydere av bredbåndstelefoniløsninger av kategori 1 vil kunne omfattes på bakgrunn av en konkret vurdering av Post- og teletilsynet. For mer om hvem som skal lagre og tilbyderbegrepet vises det til kapittel 7.
8.4.2 Om tilgjengelighet til data i nett og systemer
Departementet er av den oppfatning at direktivet ikke åpner for noen gradering når det gjelder hvor lett tilgjengelige dataene skal være for tilbyderne for at de skal lagres. Strengt tatt kan man si at enten fremkommer data når tjenesten produseres, eller så gjør de det ikke, og at data som fremkommer i nett og systemer skal lagres dersom det følger av direktivet. Dette er en forenkling som ikke kan gjøres ved innføring av regler om datalagring. Det vil alltid være mulig å hente frem data, spørsmålet er hvor langt tilbyderne skal strekke seg for å få det til. Dette vil være et ressursspørsmål. Å skulle etablere systemer for å hente ut absolutt alle data som er vanskelig tilgjengelig, vil kunne være kapasitetskrevende og ha en høy kostnad, og det må stilles spørsmål ved forholdsmessigheten i påleggene om lagring av de ulike typer data. En type data som flere høringsinstanser har reagert på at det i høringen ble fremmet forslag om lagring av, er data knyttet til mislykkede oppringninger.
8.4.3 Om mislykkede oppringninger og tapte anrop
I høringsnotatet ble det fremmet forslag om krav til å lagre data knyttet til mislykkede oppringninger og oppkoblinger. Med mislykket oppringning menes forsøk på oppringning uten at det oppnås oppkobling. Tilbyderne anser det for å være et uforholdsmessig krav å skulle lagre denne type data og mener kravet bør vurderes mer inngående. Datalagringsdirektivet er uklart når det gjelder «unsuccessful call attempts». Det fremgår av direktivet at data skal lagres dersom data genereres, eller prosesseres, lagres og logges i nettene, noe som kan tolkes som at dersom denne type data allerede lagres og logges av tilbyder, så inngår dataene i lagringsplikten. EUs ekspertgruppe har sett nærmere på dette og anbefaler følgende:
i et nett er det bare i noen tilfeller at nettelementer konfigureres slik at de vil generere trafikkdata
dersom slike trafikkdata genereres, vil de bli behandlet og samlet av tilbydernes systemer for oppbevaring av trafikkdata (business support systems)
dersom denne kombinasjonen av generering og behandling skjer, vil dataene være omfattet av lagringsplikten
Departementet vurderer det som hensiktsmessig å legge ekspertgruppens veiledning til grunn, og er av den oppfatning at med mindre data knyttet til mislykkede oppringninger allerede i dag blir behandlet, lagret og logget, omfattes denne type data ikke av lagringsplikten.
Når det gjelder tapte anrop er departementets oppfatning at dersom de ovennevnte tre kriteriene er oppfylt, det vil si at dersom data om tapte anrop genereres og behandles vil dataene være omfattet av lagringsplikten. Kravet i datalagringsdirektivet retter seg mot oppringningsforsøk knyttet til bruk av telefonitjenester. Det presiseres i denne sammenhengen at det her er snakk om mislykkede oppringninger knyttet til taletelefoni og ikke internettaksess og e-post.
8.4.4 Om kvaliteten på de lagrede data
Datalagringsdirektivet sier ikke annet om kvaliteten på dataene enn at de skal være av samme kvalitet som de har i nettet. Departementet mener følgelig at tilbyderne ikke kan pålegges å skulle utføre kvalitetshevende tiltak på de data som de skal lagre. Et krav om økt kvalitet vil kunne føre til økte kostnader, og departementet finner ikke grunnlag for å skulle påføre tilbyderne denne type ekstrakostnader.
8.5 Nærmere om lovforslaget
Det foreslås at ekomloven § 2-7 a fastsetter hvilke kategorier av data som skal lagres, mens detaljene foreslås fremmet i en forskrift. Forskrift vil utarbeides på bakgrunn av et samarbeid mellom representanter fra politimyndigheter, representanter fra tilbydere av ekomnett og -tjenester og Post- og teletilsynet. Uklarheter i direktivet og hvordan implementering rent teknisk skal kunne skje vil kunne avklares i forskriften.
Departementet foreslår at følgende data skal lagres og at disse kan utdypes nærmere i forskrift:
Ved fasttelefoni
A-nummer: oppringers telefonnummer
B-nummer: telefonnummer til den som blir oppringt
C-nummer: telefonnummer til videresendt abonnement
abonnent-/brukerdata og registrert bruker/identitet for eier av A-, B- og C-nummer
dato og tidspunkt ved start og avslutning av kommunikasjon
Ved mobiltelefoni
A-nummer: oppringers telefonnummer
B-nummer: telefonnummer til den som blir oppringt
C-nummer: telefonnummer til videresendt abonnement
de internasjonale IMEI/IMSI identiteter for A-, B- og C- nummer
abonnent-/brukerdata og registrert bruker/identitet for eier av A-, B- og C-nummer
dato og tidspunkt ved start og avslutning av kommunikasjon
informasjon om hvilken kommunikasjonstjeneste som er benyttet
lokaliseringsinformasjon ved start og avslutning av kommunikasjon
Ved bredbåndstelefoni
IP-adresser som identifiserer oppringer og den som blir oppringt
tildelt brukeridentitet
navn og adresse til abonnent eller registrert bruker som IP-adresse eller/og telefonnummer ved oppringt tjeneste
brukeridentitet eller telefonnummer som tildeles den eller de som er mottaker av en bredbåndstelefonisamtale
informasjon som identifiserer brukers kommunikasjonsutstyr eller kommunikasjonsanlegg
Ved internettaksess
brukers IP-adresse
abonnentinformasjon, registrert brukerinformasjon
dato og tidspunkt for pålogging og avlogging av internettjenesten
type internettoppkobling
informasjon som identifiserer brukers kommunikasjonsutstyr eller kommunikasjonsanlegg
Ved e-post
avsender og mottakers e-postadresse og IP-adresser
abonnentinformasjon og registrert brukerinformasjon
dato og tidspunkt for pålogging og avlogging til e-posttjenesten
Samlet vil lovendringen representere en utvidelse av hvilke opplysninger som skal lagres sett i forhold til hva som faktisk lagres i dag. Dette skyldes først og fremst at det skal lagres opplysninger som vil kunne være tilgjengelig i dag, men som bare i begrenset grad blir lagret, så som bruk av e-post og internettilgang. Dertil kommer at kretsen av de som skal lagre opplysninger utvides når lagringspliktige opplysningstyper utvides, for eksempel ved at tilbydere av internettilgang underlegges lagringsplikt ut over den faktiske lagringen disse foretar i dag. Det er viktig å presisere at innhold ikke skal lagres. Flere detaljer om hva som inngår i de ulike momentene listet ovenfor vil fremgå i forskrift.
På bakgrunn av innspill i høringsrunden ser departementet det som viktig å presisere at alle tilbydere ikke skal lagre alt som fremgår av opplistingen. For eksempel skal den enkelte tilbyder ikke lagre alle abonnementsopplysninger knyttet til en samtale. Den enkelte tilbyder skal kun lagre data om sine egne abonnenter og forutsette at data om andre tilbyderes abonnenter blir lagret av de tilbyderne der hvor abonnenter hører hjemme. Dette vil etter departementets syn være i tråd med datalagringsdirektivets fortale punkt 13, som sier at data skal lagres på en slik måte at man unngår at de blir lagret mer enn én gang. Lagringsplikten knyttet til abonnementsdata vil gjelde for tilbyders egne kunder. Det kan i praksis være vanskelig å unngå dobbeltlagring av data all den tid verdikjeden for produksjon av ekomtjenester er kompleks. Man vil kunne oppleve at enkelte data vil være tilgjengelig flere steder hos en tilbyder i visse perioder og hos flere tilbydere samtidig. Dette vil avhenge av hvordan tilbyder finner det mest hensiktsmessig å etablere lagrings- og uthentingssystemene sine.
Som det fremgår av kapittel 11 foreslår departementet at det skal være opp til den enkelte tilbyder å avgjøre hvor og hvordan lagring og uthenting skal utføres. Figur 8.1 og 8.2 viser to eksempler på hvordan informasjonsflyten kan foregå hos en tilbyder ved gjennomføring av datalagringsdirektivet. Med det høye antall tilbydere som er i markedet for elektronisk kommunikasjon, vil man kunne forvente ulike og tilpassede løsninger for lagring og uthenting.
Figur 8.1
Illustrasjonen viser et eksempel på hvordan informasjonsflyten hos tilbyder kan bli dersom tilbyder velger å etablere et nytt system for innsamling, lagring og uthenting av data lagret i henhold til datalagringsdirektivet. Illustrasjonen er utarbeidet av Telenor.
Figur 8.2
Illustrasjonen viser et eksempel på hvordan informasjonsflyten hos tilbyder kan bli dersom tilbyder velger å tilpasse eksisterende systemer for å oppfylle kravene i henhold til gjennomføringen av datalagringsdirektivet. Illustrasjonen er utarbeidet av Telenor.