8 Nærmere om lagringsplikten
8.1 Hvem lagringsplikten skal gjelde for
8.1.1 Gjeldende rett
Etter gjeldende rett har ikke tilbyder plikt til å lagre opplysninger om hvilke IP-adresser abonnentene har disponert. Tilbydere av ekomtjenester kan imidlertid lagre opplysninger om IP-adresser for eget formål etter ekomloven § 2-7 femte ledd, vanligvis i inntil tre uker. Det vises til redegjørelsen under kapittel 7.1.
8.1.2 Forslaget i høringsnotatet
I dag dekker seks store tilbydere av internetttjenester over 95 prosent av markedet i Norge. I tillegg finnes det ca. 300 tilbydere som er registrerte som tilbydere av internettaksess som tjeneste. De fleste av disse leverer sine tjenester over de store infrastruktureiernes nett. I utgangspunktet vil politiet ha behov for tilgang til IP-adresser på generelt grunnlag, uavhengig av hvilken tilbyder som benyttes. Videre finnes det et ukjent antall organisatoriske og tekniske løsninger blant internettilbydere, som gjør det komplisert å avgrense til spesifikke typer tilbydere.
I høringsnotatet ble det redegjort for at det er tekniske og merkantile forhold som vil være avgjørende for hvordan en lagringsplikt vil påvirke tilbydere av internettjenester, og ikke nødvendigvis størrelsen på virksomheten. I hovedsak er det tre faktorer som er avgjørende for kompleksiteten og merkostnaden ved lagring av IP-adresser. For det første har det betydning om tilbyder drifter en egen løsning for IP-allokering. Med IP-allokering menes prosessen med å knytte et endepunkt i et nettverk, for eksempel en husstand, til en IP-adresse. Blant tilbydere som ikke eier egen infrastruktur, er det stor variasjon i hvor mye av dette tilbyderen selv løser, og hvor mye som er satt bort til en underleverandør. Ved en forespørsel om utlevering av abonnementsopplysninger må IP-adresser fra underleverandør knyttes opp mot abonnentinformasjon hos tilbyder (eller motsatt). Dette kan kreve endringer i eksisterende løsninger.
For det andre er det avgjørende om tilbyder har et tilstrekkelig antall IP-adresser, eller om det brukes en NAT-løsning som kan medføre at mer data må lagres, og at det dermed blir en større kostnad knyttet til utstyr som støtter loggingen. I enkelte NAT-løsninger vil også behovet for å logge hyppigere øke betraktelig, ettersom knytningen mellom adresse og bruker varer i kortere tid før adressen allokeres til noen andre.
For det tredje må det også vurderes i hvilken grad det er lagt til rette for logging i tilbyders nåværende system. Avhengig av den tekniske løsningen den enkelte tilbyder anvender, kan loggefunksjonalitet være noe som allerede eksisterer. Det kan også være tilfellet at store deler av det tekniske systemet må byttes ut, dersom det ikke er lagt til rette for logging.
Det må legges til grunn at næringen selv vil være i stand til å finne hensiktsmessige løsninger for lagring og utlevering gjennom avtaler. For eksempel kan enkelte tilbydere være registrert som tilbydere og tilby tilgang til internett, mens det er en annen tilbyder som drifter tjenesten og tildeler IP-adresse. Den første tilbyderen vil da ikke ha oversikt over hvilke IP-adresser som er tildelt en abonnent. I slike tilfeller kan informasjonen være lokalisert på flere steder, og den må sammenstilles, for eksempel ved at den ene tilbyderen har oversikt over hvilken IP-adresse som er tildelt, mens navn, adresse mv. er lagret i databasen til den andre tilbyderen. Det er mulig å legge lagringsplikten til ett av disse leddene og derigjennom regulere forholdet mellom tilbyderne når det gjelder lagringsplikten. Det kan imidlertid være mer hensiktsmessig at det blir opp til tilbyderne å løse dette seg imellom i det enkelte tilfellet, for eksempel gjennom avtaler. Slik unngår man en regulering som potensielt vanskeliggjør ulike former for organisering, samtidig som regelverket gir fleksibilitet til for næringen når det gjelder hvordan de ønsker å løse dette.
I lys av dette mente departementene at det ikke var hensiktsmessig å skille mellom tilbydere ut fra størrelse og markedsandel, og foreslo at plikten til å lagre IP-adresser bør rette seg mot samtlige tilbydere av internettaksess. En lagringsplikt for alle ville også hindre faren for at noen små tilbydere uten lagringsplikt, av den grunn ville være attraktive for kriminelle. Lagringsplikten ble foreslått å være avgrenset til tilbydere som tilbyr tjenester hvor sluttbruker gis tilgang til internett. Departementene foreslo at pliktsubjektene ble angitt som «tilbyder av elektronisk kommunikasjonsnett som anvendes til offentlig elektronisk kommunikasjonstjeneste og tilbyder av slik tjeneste». Dette tilsvarer formuleringen i ekomloven § 2-8 første ledd om plikten til å tilrettelegge for lovbestemt tilgang til informasjon, og den vil omfatte alle aktører i markedet som tilbyr internettilgang til allmennheten, jf. ekomloven § 1-5 nr. 4. Lagringsplikten ble foreslått å gjelde alle tilbydere uavhengig av teknologisk plattform. Departementene foreslo samtidig at det gis en forskriftshjemmel som gir Nasjonal kommunikasjonsmyndighet anledning til å fastsette unntak for tilbydere. Det vil eksempelvis kunne være aktuelt å fastsette unntak dersom det skulle vise seg at den tekniske utviklingen går i en slik retning at det ikke lenger vil være hensiktsmessig å pålegge alle tilbydere en lagringsplikt, eller dersom det skulle vise seg å finnes tilbydere som opererer i et så spesialisert marked at lagringsplikt ikke gir mening.
8.1.3 Høringsinstansenes syn
Ingen høringsinstanser har gitt uttrykk for at de er uenige i forslaget om at lagringsplikten skal gjelde for alle tilbydere som tilbyr tjenester hvor sluttbruker gis tilgang til internett.
Telenor støtter forslaget om at lagringsplikten skal gjelde for alle internettilbydere, fordi den enkelte har en relasjon til egne abonnenter. Prinsippet må gjelde uavhengig av driftsløsninger og modeller i grossistmarkedet. Politiet bør først innhente informasjon fra internettilbyderen som «eier» relevant IP-adresse, og deretter få opplyst hvilken tjenestetilbyder som innehar abonnenten. Politiet bør så fremme en anmodning til riktig tjenestetilbyder for å få utlevert abonnementsopplysninger.
Altibox viser til store variasjoner i teknisk innretning hos aktørene. Noen har selv informasjonen, andre har utkontraktert tjenesten med å tildele IP-adresser. Lovforslaget må ikke legge begrensinger på forretningsmodellene til aktørene. Lagring og utlevering må kunne håndteres i samarbeidskonstellasjoner, partnerskap eller overlates til en samarbeidspartner, så lenge dataene er tilgjengelige for politiet, og håndteres forsvarlig og sikkert.
IKT-Norge mener at lovforslaget forutsetter at de enkelte tilbyderne har all informasjon om abonnent, IP-adresse (eventuelt portnummer) og tidspunkt for kommunikasjon for bruk ved utleveringsbegjæringer, og mener det er uavklart hvordan lagringsplikten kan oppfylles av tilbydere som ikke har all denne informasjonen. Tilbydere som kjøper tilgang til infrastruktur fra en annen som konfigurerer og administrerer nettverket, konkurrerer om de samme sluttbrukerne, noe som også gjør det problematisk å dele all informasjon. Det er for eksempel av forretningsmessig betydning å hemmeligholde abonnentlister. IKT-Norge mener videre at forholdet til plattformtjenester (OTT) fremstår som lite utredet, og viser til at regelverksutvikling i EU går i retning av større grad av teknologinøytrale forpliktelser.
Politidirektoratet viser til at Kripos i sitt innspill mener at en lagringsplikt også bør gjelde for tilbydere av private nett som skoler, kommuner, hoteller, flyplasser og lignende, for at hensynet til kriminalitetsbekjempelsen og formålet med lagringsplikten skal oppfylles. Politidirektoratet tiltrer innspillet fra Kripos.
8.1.4 Departementets vurdering
Departementet viser til at forslaget i høringsnotatet om at lagringsplikten skal omfatte alle tilbydere som tilbyr tjenester hvor sluttbruker gis tilgang til internett, har fått støtte i høringsrunden. Departementet opprettholder derfor forslaget.
Forslaget om lagringsplikt for IP-adresser vil ikke omfatte eksempelvis Facebook, Messenger og Skype. Slike tjenester er ikke omfattet av tilbyderbegrepet i gjeldende ekomlov.
Bestemmelsene i EUs ekomdirektiv (Europaparlaments- og rådsdirektiv (EU) 2018/1972 av 11. desember 2018) fastsetter reviderte rammer for ekomlovgivningen, herunder endres tilbyderbegrepet til også å omfatte nummeruavhengige person-til-person-kommunikasjonstjenester i enkelte sammenhenger. Direktivet er EØS-relevant, men ennå ikke innlemmet i EØS-avtalen. Departementet vurderer om en eventuell gjennomføring av ekomdirektivet skal foreslås i en ny ekomlov, og vil i den forbindelse også vurdere spørsmål som gjelder regulering av nummeruavhengige person-til-person-kommunikasjonstjenester.
Departementet ser det heller ikke som aktuelt å pålegge eiere av private nett en plikt til å lagre IP-adresser, slik Politidirektoratet og Kripos foreslår. Eiere av private nett vil normalt ikke være tilbydere av internettjenester. Det vil være andre tilbydere som leverer ekomtjenester/internett, også i private nett, og det vil da eventuelt være disse tilbyderne IP-adressene vil måtte hentes fra.
8.2 Hvilke opplysninger skal lagres?
8.2.1 Gjeldende rett
Etter gjeldende rett har ikke tilbyder plikt til å lagre opplysninger om hvilke IP-adresser abonnentene har disponert. Det er tvert imot en sletteplikt etter ekomloven § 2-7 femte ledd, som sier at trafikkdata, lokaliseringsdata eller andre data som er nødvendige for å identifisere abonnenten, skal slettes eller anonymiseres så snart de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål eller for å oppfylle krav fastsatt i medhold av lov, med mindre brukeren har samtykket til videre lagring. Lignende krav til dataminimering og rett til sletting følger av personopplysningsloven, jf. personvernforordningen artikkel 5 og 17. Det vises også til redegjørelsen i kapittel 7.1.
8.2.2 Forslaget i høringsnotatet
I høringsnotatet vurderte departementene flere forslag til måter en lagringsplikt kan utformes på.
Formålet med lagringen er å gjøre det mulig å koble IP-adresser til abonnenter. Dette innebærer at lagringsplikten må omfatte opplysninger om hvilke IP-adresser abonnentene er tildelt, og på hvilke tidspunkter. Dersom samme IP-adresse tildeles flere abonnenter samtidig, vil det i tillegg være nødvendig med informasjon om portnumre.
Reglene må sikre at lagringsplikten omfatter alle de opplysningene som er nødvendige for å nå formålet, samtidig som den ikke må omfatte flere opplysninger enn nødvendig, slik at personvernet ivaretas. Videre må reglene fungere på tvers av tilbydernes ulike systemer og være teknologinøytrale.
Departementene la frem to ulike tilnærminger ved utformingen av reglene. Én tilnærming var å angi i lov eller forskrift hvilke typer opplysninger som skal lagres. Dette vil ha den fordel at det blir klargjort nøyaktig hvilke opplysninger som skal lagres, for eksempel tildelt IP-adresse, tidsrom for dette, portnumre osv. Ulempen med denne løsningen er imidlertid at det vil være utfordrende å utforme en uttømmende liste over opplysninger som både er dekkende og treffende på tvers av ulike systemer.
En annen tilnærming vil være at det i stedet for å angi nøyaktig hvilke opplysninger som skal lagres, fastsettes en plikt til å lagre de opplysninger som er nødvendige for formålet – å kunne identifisere abonnenter. Fordelen med denne tilnærmingen er at den er teknologinøytral, og at en slik bestemmelse vil sikre at bare de nødvendige opplysningene lagres.
Departementene viste til at en ulempe med en helt generell og teknologinøytral bestemmelse som pålegger lagring av «de opplysninger som er nødvendige for å identifisere abonnenten» eller lignende, er at det ikke vil fremgå uttrykkelig hva abonnenten skal kunne identifiseres med utgangspunkt i. Hva som er nødvendig å lagre for å kunne identifisere en abonnent i et konkret tilfelle, kommer an på hva abonnenten skal kunne identifiseres ut ifra, med andre ord hva slags informasjon tilbyderen får fra politi eller påtalemyndighet for å foreta identifiseringen. Dette kan illustreres med et eksempel: Dersom en tilbyder bes om å identifisere en abonnent som har delt overgrepsmateriale, og politiet opplyser om både tidspunktet for dette og IP-adressen som ble benyttet, vil tilbyderen kunne foreta identifiseringen ut ifra en logg over hvilke IP-adresser abonnentene har vært tildelt og på hvilke tidspunkter, forutsatt at IP-adressene ikke har vært delt mellom flere abonnenter. Da vil ikke tilbyderen ha behov for å lagre mer enn dette. Dersom politiet derimot bare skulle ha kjennskap til IP-adressen, og ikke tidspunktet for delingen, vil tilbyder ikke kunne identifisere abonnenten uten å lagre andre typer data, for eksempel ved å logge hvilke nettsteder abonnentene har besøkt. Det er ikke meningen at lagringsplikten skal omfatte slike data. Hvis reglene bare fastsetter en generell plikt til å lagre de opplysninger som er nødvendige for å identifisere abonnenten, vil det ikke fremgå uttrykkelig av ordlyden at slike data ikke omfattes.
Tilsvarende problemstillinger vil oppstå for tilbydere som tildeler samme IP-adresser til flere abonnenter på samme tidspunkt. I slike tilfeller vil det ikke være mulig å identifisere en enkelt abonnent kun med utgangspunkt i en IP-adresse og et tidspunkt for kommunikasjonen. Det vil etter omstendighetene være mulig å identifisere en enkelt abonnent dersom politiet har kjennskap til et portnummer. Uten informasjon om portnummer, vil identifisering etter omstendighetene bare være mulig dersom tilbyderen har lagret data om hvilke nettsteder abonnentene har besøkt eller lignende. Etter departementenes vurdering burde lagringsplikten omfatte portnumre tildelt abonnenten, men ikke mer enn dette. Denne begrensningen vil imidlertid ikke fremgå uttrykkelig av en generell bestemmelse, som pålegger lagring av de opplysninger som er nødvendige for å identifisere abonnenten.
Departementene foreslo derfor en mellomløsning ved utformingen av bestemmelsen, der lagringsplikten begrenses til det som er nødvendig, samtidig som det presiseres hva abonnenten skal kunne identifiseres med utgangspunkt i. Lagringsplikten kan da presiseres slik at det skal lagres de opplysninger som er nødvendige for å identifisere abonnenten ut ifra:
a) en IP-adresse og et tidspunkt for kommunikasjon, eller
b) en offentlig IP-adresse, et tidspunkt for kommunikasjon og portnummer benyttet ved kommunikasjonen, dersom samme offentlige IP-adresse tildeles flere abonnenter samtidig.
Departementene etterspurte særskilt høringsinstansenes innspill på om det i dag brukes løsninger hvor det er behov for å lagre ytterligere informasjon for å kunne identifisere en abonnent (for eksempel portnummer på destinasjonssiden).
8.2.3 Høringsinstansenes syn
Telenor mener det er viktig at ISP-ene (internettilgangstilbyderne) selv gis rom til å definere hva som er nødvendige dataelementer å lagre for å identifisere en abonnent, og at det ikke er behov for å regulere dette ytterligere fra myndighetenes side. Avhengig av systemkonfigurasjon og nettverksmodell vil det også være ulikt behov for informasjon om en abonnents trafikk for å kunne identifisere vedkommende. Til spørsmålet i høringsnotatet om det i dag brukes løsninger hvor det er behov for å lagre ytterligere informasjon for å kunne identifisere en abonnent, er det opplyst at selskapet ikke har nettverksmodeller i bruk som krever lagring av data om destinasjonssiden for dette formålet. Telenor understreker på generelt grunnlag at hvis en ISP må lagre offentlig IP-adresse/offentlig port/starttidspunkt/sluttidspunkt, så vil en forespørsel fra politiet på offentlig IP-adresse/offentlig port/tidspunkt alltid gi et unikt svar. Hvor mange abonnenter som deler på offentlige IP-adresser til enhver tid, kommer an på hvor mange offentlige adresser ISP-en eier og bruker på CGNAT-løsningen. Dette er konfigurerbart hos den enkelte ISP.
Telia mener at høringsnotatet sier lite om hvilke krav som stilles til tilbyderne hva angår tjenestekvalitet. Dette er faktorer som har stor betydning for hvordan loggløsningen skal etableres. Det fremgår ikke om det vil bli stilt krav om tiltak for å sikre oppetid, redundans på syslogservere, backup og gjenoppretting. Slike krav vil få stor betydning for hvor kostnadskrevende det vil være å etablere løsningen. Det understrekes at kravet til logging ikke må få som konsekvens at ved eventuell nedetid for løsningen som benyttes til logging, må tjenestene de leverer til sine kunder stenges ned.
IKT-Norge understreker at det eksisterer et mangfold av nettverkskonfigurasjoner, og at disse endres over tid med teknologisk og markedsmessig utvikling. En lagringsplikt må ikke legge begrensninger på konfigurasjon og drift av nettverk. Tilbyderne må selv få vurdere hvordan de skal oppfylle plikten etter forslaget. Det er samtidig viktig å unngå at regelverket fører til at det må produseres/lagres flere opplysninger enn nødvendig for å oppfylle formålet med plikten.
GlobalConnect støtter at departementene i lovforslaget begrenser lagringsplikten til det som er nødvendig for å kunne identifisere abonnenten, og samtidig presiserer hva abonnenten skal kunne identifiseres med utgangspunkt i. GlobalConnect mener at dette gjør det mulig for tilbyderne å fastslå hvilke konkrete opplysninger de som minimum skal lagre.
Altibox mener at plikten til å lagre ikke må innebære at det skal lagres mer enn det som er strengt nødvendig for å tilfredsstille lovens formål. Det er viktig at en lagringsplikt er knyttet til å identifisere abonnenten på internettilknytningen, og ikke den reelle bruker. Dette må også reflekteres i påtalemyndighetens tilnærming til de lagrede dataene. De peker også på at det er avgjørende å trekke opp grensegangen mellom personvern og politiets interesse.
Det nasjonale statsadvokatembetet støtter at lagringsplikten bør omfatte informasjon som er nødvendig for å identifisere abonnenten ved deling av IP-adresser og at lagringsplikten må omfatte alle opplysninger som er nødvendige for å nå formålet.
Politidirektoratet viser til at det vesentlige er at de opplysningene som lagres muliggjør identifisering av sluttbruker. Videre støttes tilnærmingen om at det fastsettes en plikt til å lagre de opplysninger som er nødvendig for formålet, som er å identifisere abonnenter som gis internettilgang. Direktoratet tiltrer for øvrig innspillet fra Kripos om at lagringsplikten bør knyttes opp mot et teknologinøytralt begrep og at en nærmere presisering av hvilke typer data som til enhver tid skal lagres, kan bestemmes i forskrift. Tildelingstidspunktet for IP-adressen må omfattes av lagringsplikten.
Kripos er enig i at lagringsplikten må omfatte data som gjør at identifisering er mulig også hvor NAT-teknologi benyttes. Kripos er ikke kjent med om det i dag benyttes teknologi hvor det ville være nødvendig å lagre eksempelvis IP-adresse og portnummer på destinasjonssiden for å kunne identifisere en bruker. Den teknologiske utviklingen går imidlertid nå så fort at behovet for lagring av destinasjonsdata kan bli aktuelt i nær fremtid. I denne omgang bør det således ikke utelukkes at lagringsplikten i fremtiden skal kunne utvides til å omfatte data på destinasjonssiden.
ØKOKRIM mener at en lovbestemmelse må sørge for å sikre at lagringsplikten blir tilstrekkelig teknologinøytral, slik at formålet om en identifisering av abonnenten blir ivaretatt til tross for fremtidige teknologiske endringer og nye løsninger, som strekker seg utover IP-adresser og portnummer.
Elektronisk Forpost Norge mener høringsnotatet er diffust når det gjelder hva som foreslås lagret. Elektronisk Forpost Norge mener videre at det ikke er riktig at koblingen mellom en IP-adresse og abonnent i seg selv sjelden vil muliggjøre en entydig identifikasjon av en konkret bruker. For et mobilabonnement er det høyst sannsynlig at abonnementets enhet kan knyttes til en konkret bruker. Elektronisk forpost viser også til at departementene skriver at «IP-adresser har tradisjonelt vært ansett som mindre beskyttelsesverdige» og viser til at dette kommer i konflikt med blant annet personverndirektivet 95/46/EC, GDPR og Data Protecting Working Party hvor IP-adresse er ansett som «personal data».
KS skriver at det er av betydning for kommunikasjonsvernet at informasjon om hvilke IP-adresser ulike abonnenter er tildelt, ikke i seg selv avslører noe om innholdet i abonnentens internettkommunikasjon eller om hvem abonnenten har kommunisert med. KS mener at det i lovforslaget er lagt opp til en plikt om lagring av IP-adresser som synes å balansere hensynene til kriminalitetsbekjempelse og person- og kommunikasjonsvern på en god måte.
Norsk Journalistlag skriver at et system som inkluderer destinasjonsinformasjon vil kunne fange opp anonyme kilder direkte. Det vil dermed være klart i strid med EMK artikkel 10. Dette vil utvilsomt kunne gi journalister vanskeligere arbeidsvilkår og være et brudd på våre internasjonale forpliktelser om kildevern.
Norsk Presseforbund og Norsk Redaktørforening viser til departementets forslag om en «mellomløsning» ved utformingen av bestemmelsen, og peker på at et krav om å lagre det som er «nødvendig» og angivelsen om hva som skal være utgangspunktet, er for generell. En risikerer at tilbydere heller lagrer litt for mye enn litt for lite. En eventuell bestemmelse bør derfor formuleres mer spesifikt og uttømmende. Presseforbundet og Norsk Redaktørforening viser også til EU-domstolen i La Quadrature du Net-avgjørelsen og mener at departementenes forslag innebærer noe annet enn det EU-domstolen har forutsatt, som er tradisjonell lagring av IP-adresser. De er derfor ikke enige i departementenes vurdering av at forslaget som foreligger, er i tråd med EU-domstolens føringer. Presseforbundet og Norsk Redaktørforening mener at forslaget går lengre, ved at det pålegges lagring som helt presist vil kunne fastslå tidspunktet hvor identifiserte enkeltpersoner kommuniserer med andre. Nøyaktige tidspunkter, samt portnummerinformasjonen, vil gjøre det vesentlig lettere for eksempel å avsløre kommunikasjon mellom en journalist og en kilde.
Også NRK er bekymret for forslagets konsekvenser for kildevernet. De viser til at lovforslaget ikke kan åpne for lagring/utlevering av metadata som mottaker og kommunikasjonstidspunkter, da dette vil være klart lovstridig.
8.2.4 Departementets vurdering
Departementet opprettholder forslaget i høringsnotatet der det velges en mellomløsning som angir at tilbyder skal lagre de opplysninger som er nødvendige for å identifisere abonnenten, og som også angir et utgangspunkt for hva som skal lagres. Dette ivaretar nødvendig smidighet for teknisk løsning hos tilbyderne, samtidig som det setter tydelige rammer for lagringen og derved ivaretar kommunikasjonsvernet. Departementet foreslår også at formålet med lagringen settes inn i bestemmelsen. Da synliggjøres formålet med lagringen bedre, som en ramme rundt hva som kan og skal lagres. Departementet foreslår også at det klargjøres at destinasjonsdata ikke skal lagres.
Forslaget innebærer at tilbyder skal lagre IP-adresser og tidspunkt for kommunikasjon og eventuelt portnummer der det er nødvendig for å kunne identifisere abonnenten.
I høringsinnspillene kom det frem bekymring blant annet for om lagring av disse opplysningene innebærer at personers bevegelser kan følges fysisk, og om lagrede data kan benyttes til å lage en form for profil av enkeltpersoner. Til dette vil departementet bemerke at forslaget ikke i seg selv innebærer lagring av informasjon om innholdet i abonnentens internettkommunikasjon, hvem abonnenten har vært i kontakt med eller hvor abonnenten befinner seg.
Når det gjelder hvilken mulighet for geografisk posisjonering som følger av forslaget til lagringsplikt, viser departementet til Telenors kommentar i høringen, der det er uttalt: «Vi vil i denne forbindelse gjøre oppmerksom på at dersom IP-adressen er tilknyttet et fastnett-abonnement (dvs. en fysisk linje – for eksempel kobber eller fiber), vil informasjonen vedrørende IP-adresse og bruker i tillegg også (i de fleste tilfeller) kunne gi informasjon direkte/indirekte om fysisk lokasjon/plassering for terminerende ende av den fysiske linjen (dvs. installasjonsadresse for kundens abonnement) via kundedata. Det vil med andre ord avsløre hvor abonnenten har befunnet seg når vedkommende benyttet den etterspurte IP-adresse.» Informasjonen som lagres angående et fastnett-abonnement vil med andre ord kunne kobles med annen informasjon og derigjennom kunne gi kunnskap om brukerens geografiske plassering, forutsatt at brukeren er identisk med abonnenten. Dette vil være en personvernulempe, men departementet vurderer personvernulempen ved dette til å være liten.
Departementet oppfatter imidlertid at Datatilsynet og andre høringsinstanser primært problematiserer muligheten for geografisk «sporing» av enkeltindividers forflytning med fokus på «sporing» av en bruker som kommuniserer via mobilnettene eller WiFi-løsninger, ikke via en fastnettaksess.
En IP-adresse tilordnes abonnenten og ikke brukeren. Dette medfører at alle brukere som kobler seg til åpne WiFi-løsninger på eksempelvis serveringsteder, flytoget mv. vil ha samme felles IP-adresse i nettet. Dette er IP-adressen knyttet til abonnenten, som i eksemplene her vil være henholdsvis serveringsstedet eller Flytoget AS. Tilbyderne som leverer internett til serveringsstedet og i togsettene til Flytoget AS vil altså kun ha mulighet til å vite hvilke IP-adresser som er anvendt av serveringsstedet og Flytoget AS, men ikke hvilken bruker som har kommunisert via denne adressen. Det er her viktig å skille mellom abonnent og bruker. Abonnenten Flytoget AS er ikke den samme som alle brukerne som har anvendt togets WiFi-nett.
Ved kommunikasjon i mobilnettene vil knytningen mellom abonnent og bruker være sterkere. Knytningen mellom IP-adresse og geografisk posisjon vil derimot være upresis. I utgangspunktet er det ingen knytning mellom geografisk lokasjon og en IP-adresse, da IP-adressen kun angir lokasjon i en nettverkstopologi. Det er imidlertid mulig å utlede en knytning mellom nettverkstopologi og geografiske områder gjennom sammenstilling av offentlig tilgjengelig informasjon som for eksempel adresserom tildelt en tilbyder, hvilket geografisk område denne tilbyderen opererer i og hvilke tjenestetyper som tilbys av tilbyderen. Graden av nøyaktighet og sannsynlighet i en slik eventuell utledet knytning mellom IP-adresse og geografi vil være så lav at det ikke kan hevdes å si noe kvalifisert om konkret geografisk posisjon for abonnenten.
Det vil også være mulig å utlede en knytning mellom nettverkstopologi og geografiske områder basert på beskyttet informasjon hos mobiltilbyderen om teknisk implementering i nettet og geografisk bruksområde for en IP-adresse på et gitt tidspunkt. En mobiltilbyder vil eksempelvis kunne avgrense/allokere en rekke med IP-adresser for anvendelse innenfor et nærmere geografisk område innenfor et gitt tidsrom. Detaljert informasjon om tilbyderens tekniske implementering og konfigurasjon av nettet er imidlertid ikke omfattet av lagringsplikten i lovforslaget. For øvrig vil eventuell kunnskap om slik beskyttet informasjon sammenholdt med IP-adresse, kun avgrense den geografiske posisjonen for en IP-tilordning til større geografiske områder, som for eksempel bydel, by, fylke eller landsdel.
Departementet understreker for øvrig at mulighet for geografisk lokalisering vil være lik med IPv6 som for IPv4. Når det gjelder mulighet til å se en abonnents bruksmønster vil den med IPv6 bli mindre, da problemstillingen med NAT-teknologi, behov for portnummer på abonnentssiden og derigjennom informasjon om en abonnents bruksmønster, vil kunne falle bort/bli mindre. Departementet kjenner heller ikke til andre potensielt negative personvernkonsekvenser ved overgang til IPv6.
Etter departementets mening innebærer derfor den foreslåtte lagringsplikten i seg selv ikke lagring om en gitt brukers geografiske posisjon til enhver tid. Lagring av IP-adresse knyttet til et fastnettabonnement vil, sammenholdt med installasjonsadresse for kundens abonnement, gi opplysninger om geografisk lokasjon av abonnent. Det vil innebære en personvernulempe, men departementet mener at ulempen ikke er større enn ved å få kjennskap til en abonnents adresse via et fasttelefonnummer, og ulempen anses dermed for å være liten. Geografisk lokalisering på grunnlag av IP-adresse i mobilnettene kan til en viss grad utledes med bakgrunn i beskyttet og ikke lagringspliktig informasjon om teknisk implementering og konfigurasjon av tilbyderens nett. En eventuell sammenstilling av konfigurasjonsinformasjon og IP-adresse vil imidlertid bare gi en svært upresis informasjon om geografisk posisjon, og uansett aldri på basestasjonsnivå som er hevdet i enkelte høringsuttalelser. Departementets vurdering er derfor at den foreslåtte lagringen ikke vil synliggjøre geografisk plassering, selv ved kobling av dataene mot annen informasjon, på en måte som vil ha store personvernmessige ulemper sett i forhold til det formålet lagringen har.
Det er videre et spørsmål om hva som kan utledes av en abonnents bruk av ekomtjenester. En statisk eller dynamisk IP-adresse samt tidspunkt, sier i utgangspunktet ikke noe om en abonnents bruk, men kun hvilke IP-adresser som har vært tilordnet abonnenten (og ikke nødvendigvis brukt) på et gitt tidspunkt. Problemstillingen om informasjon om bruk er knyttet til NAT-teknologi og deling av IP-adresser. Lagring av portnumre er ikke fullt ut sammenlignbart med lagring av tildelt IP-adresse. Mens informasjonen om tildelte IP-adresser i seg selv bare avslører at en abonnent har hatt internettilgang på et gitt tidspunkt, vil portinformasjonen også kunne si noe om tidspunktet abonnenten har kommunisert på.
Portnummeret logges altså først ved faktisk bruk, og den lagrede informasjonen kan derfor si noe om bruksmønster, herunder oppkoblingshyppighet og vaner knyttet til tid for aktivitet og avvik fra dette. En hyppig oppkoblingsfrekvens kan blant annet gi indikasjoner indirekte på innholdet i kommunikasjonen, eksempelvis bruk av fildeling/BitTorrent-teknologi.
Det kan heller ikke utelukkes at mønster i hvilke porter som benyttes kan avdekke hvilket operativsystem som er benyttet. Dette kan da også muligens si noe om antall unike enheter som er knyttet til et abonnement. Det er imidlertid usikkert i hvilken grad dette er mulig for moderne operativsystem. Det er krevende med sikkerhet å si alt som potensielt kan leses ut av en analyse av bruksmønster. Det er pågående og kontinuerlig forskning og utvikling på området, og dermed ikke mulig å si hva fremtidige analysemetoder potensielt kan avdekke.
Lagring av portinformasjon vil etter departementets vurdering ikke gjøre lagringsplikten vesentlig mer inngripende. For at en plikt til lagring av IP-adresser skal imøtekomme politiets behov også ved deling av IP-adresser, bør lagringsplikten etter departementets syn også omfatte informasjon som er nødvendig for å identifisere abonnenten ved deling av IP-adresser. Muligheten til å identifisere abonnenten bør ikke bero på tilbydernes tekniske løsninger. Departementet vurderer at lagring av portinformasjon er nødvendig for å oppnå formålet med lagringen, og vurderer at de personvernmessige ulempene ved at noe informasjon kan ledes ut av lagring av portinformasjon, er små sett i forhold til de fordeler lagringen gir for kriminalitetsbekjempelse.
8.3 Hvor og hvordan skal IP-opplysninger lagres?
8.3.1 Gjeldende rett
Etter gjeldende rett har ikke tilbyder plikt til å lagre opplysninger om hvilke IP-adresser abonnentene har disponert, og det finnes derfor ingen regler som direkte gjelder slik lagring. Ekomtilbyderne håndterer imidlertid store mengder sensitiv informasjon, og ekomloven setter derfor strenge krav til taushetsplikt og vern av kommunikasjon og data i tilbydernes ekomnett og -tjenester, jf. §§ 2-7 og 2-9. Dette inkluderer også sikker lagring så lenge dataene lagres til tilbyders nødvendige bruk, og vil også omfatte lagring som gjøres på bakgrunn av en eventuell lagringsplikt. Videre vil regler om informasjonssikkerhet i personvernforordningen sette rammer for lagringen, særlig artikkel 32 om sikkerhet ved behandlingen, men også andre regler i forordningen vil komme til anvendelse.
8.3.2 Forslaget i høringsnotatet
I høringsnotatet foreslo departementene ikke nye krav til hvor og hvordan opplysninger lagres. Departementene viste til at gjeldende regelverk allerede inneholder krav for å sikre kommunikasjonsvernet. Det er derfor ikke behov for ekstra regulering av hvordan lagringsplikten gjennomføres.
Når det gjelder hvor data skal lagres, viste departementene til at det kan tenkes flere mulige løsninger. Det kan stilles krav om at dataene skal lagres (på servere) i Norge, at de skal lagres i egne databaser og at lagring ikke kan settes ut til andre, men må skje i tilbyderens infrastruktur.
Departementene viste også til at da lovendringene knyttet til datalagringsdirektivet ble vedtatt, ble det ikke foreslått å stille krav til hvor dataene skulle lagres. Departementene mente at muligheten for å føre tilsyn og kontroll med overholdelse av vilkårene for lagring og bruk er avgjørende, uavhengig av hvor lagringen skjer. I forbindelse med gjennomføringen av datalagringsdirektivet ble det senere sendt på høring et forslag til lovendringer som blant annet omhandlet kostnadsfordeling, hvor det var ønskelig å legge til rette for en ordning der tilbyderne skulle stimuleres til å velge en felles lagringsløsning.
På bakgrunn av dette vurderte departementene i høringsnotatet om lagring av IP-adresser at det ikke var ønskelig å stille krav til hvor dataene lagres. For det første er det et mindre omfang av data som lagres, og dataene er å anse som mindre sensitive enn dataene som var foreslått omfattet av datalagringsdirektivet. For det andre kunne departementene ikke se at det har vært en teknologisk utvikling som skulle tilsi en annen løsning.
Videre mente departementene at det heller ikke burde settes begrensninger på at dataene skulle lagres i tilbyderens egne systemer/infrastruktur. Det forutsettes at tilbyderne kan inngå avtale for eksempel med andre tilbydere for å sikre at lagringsplikten oppfylles. I tillegg er driftsutsetting relativt vanlig, og departementene kunne ikke se at det er hensiktsmessig å begrense dette gjennom lovverket. Det bør fortsatt kunne inngås databehandleravtaler som i dag.
Departementene vurderte også behovet for å stille krav til hvordan dataene lagres. Ekomloven oppstiller allerede krav til tilbyderne, både når det gjelder kommunikasjonsvern og sikkerhet. Etter ekomloven § 2-7 første ledd skal tilbyder gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne elektroniske kommunikasjonsnett- og tjenester. Ekomloven § 2-9 fastslår at tilbydere plikter å bevare taushet om innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon.
Gjeldende regelverk inneholder altså allerede krav for å sikre at kommunikasjonsvernet, taushetsplikten og sikkerhet overholdes. På bakgrunn av dette mente departementene at det ikke var behov for ekstra regulering knyttet til lagringsplikten.
8.3.3 Høringsinstansenes syn
Telenor er enig i at videreføring av dagens krav til sikkerhet er et godt alternativ ved innføring av lagringsplikt. Telenor er i dag underlagt krav som følger av ekomloven, sikkerhetsloven og GDPR. Det er den enkelte ISP som vil måtte være ansvarlig for denne sikkerheten, uavhengig av om dette gjøres internt i bedriften eller ved hjelp av underleverandører. Det bør ikke komme noen myndighetspålegg ut over dette, inkludert eventuelle pålegg om felles lagringsløsning.
GlobalConnect støtter departementenes forslag om at det ikke er nødvendig å stille krav om særskilte, kostnadsdrivende sikkerhetstiltak utover de kravene som allerede følger av ekomloven. Selskapet ser det også som positivt at lovforslaget ikke stiller krav om lagring på norsk jord, og at det også åpner for at tilbyderne kan samarbeide med hverandre og andre tredjeparter om å finne gode og kostnadseffektive løsninger.
Altibox fremhever at det bør være et premiss for et slikt lovforslag at det ikke legger begrensinger for forretningsmodellen til de enkelte aktørene. Det som er avgjørende er at dataene skal være tilgjengelige for politiet og at det gjøres på en forsvarlig og sikker måte, og ikke hvordan modellen til en aktør er, og hvordan lagringen skjer. Lagring og utlevering må kunne håndteres i samarbeidskonstellasjoner, partnerskap og lignende. Dette må videre kunne avtalemessig overlates til en samarbeidspartner i et partnerskap.
Advokatforeningen mener at det er særdeles sentralt at hjemmelen som pålegger tilbydere å lagre disse opplysningene samtidig, som et minimum, gir føringer på hvor det ikke er tillatt å lagre disse opplysningene. Foreningen peker i den forbindelse på kravene i personvernforordningen samt Schrems 2-dommen, og mener at det er sentralt å klargjøre at det ikke er akseptabelt å lagre denne informasjonen i for eksempel en skytjeneste i et ikke-godkjent tredjeland.
Det nasjonale statsadvokatembetet er enig i at det ikke skal stilles krav til hvor og hvordan dataene skal lagres og viser til at ekomloven allerede stiller krav til tilbyderne.
ØKOKRIM skriver at det ved innføring av lagringsplikt må stilles krav til sikker lagring og øvrig behandling av personopplysningene på lik linje med de krav og den praksis som fremgår i for eksempel ekomloven og datalagringsforskriften.
Elektronisk Forpost Norge viser til at det ikke stilles spesielle krav til lagring eller geografisk sted for lagring av datamengden ut over hva som antas ivaretatt allerede fra nett- og tjenestetilbyder. De mener det er gjennomgående i forslaget at departementene ikke vurderer vernet om personlig kommunikasjon høyt, og de stiller seg skeptisk til alle sider av departementenes vurdering på dette punktet.
Norges institusjon for menneskerettigheter bemerker at gode og tydelige regler for lagring, herunder sikkerhet i systemene og mulighetene for innsyn og sletting, vil være sentrale i vurderingen av hvorvidt prosessuelle krav etter EMK artikkel 8 anses oppfylt.
NRK påpeker faren for at IP-data kommer på avveie, og viser til at det ikke er lagt opp til noen særskilte sikkerhetsmekanismer når det gjelder lagring av disse dataene. NRK viser til at man stadig ser nye eksempler på at data kommer på avveie. Dette gjelder også sensitive data som krever særlig beskyttelse, eksempelvis data fra Stortinget.
8.3.4 Departementets vurdering
Departementet opprettholder vurderingen av at det ikke er behov for særlige regler for hvordan og hvor de lagringspliktige dataene skal lagres.
Det stilles allerede i dag krav til tilbyder om å gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne elektroniske kommunikasjonsnett og -tjenester. I tillegg skal tilbyder uten ugrunnet opphold varsle abonnenten dersom det foreligger særlig risiko for brudd på sikkerheten.
De største internettilbyderne har i dag egne politisvarfunksjoner som håndterer henvendelser fra politiet, og egne sikrede systemer for å håndtere henvendelsene og prosessering av data for utlevering. For ansatte som håndterer slike saker, kan det innhentes uttømmende og utvidet politiattest. I den grad saker omfatter informasjon som er sikkerhetsgradert, må saken håndteres av personer som er sikkerhetsklarert. I tillegg bruker politiet og de største tilbyderne kryptering der dette er nødvendig for å sikre kommunikasjonen og datautlevering.
Etter ekomloven § 2-7 første ledd skal tilbyder gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne elektroniske kommunikasjonsnett og -tjenester. Ved vurderingen av hva som er «nødvendig» skal det sees hen til hva som er den beste løsningen på markedet til enhver tid. I henhold til Ot.prp. nr. 58 (2002–2003) side 93 gjelder prinsippet om forholdsmessighet mellom kostnadene og sikkerheten som oppnås, og tilbyder skal yte en sikkerhet som er tilpasset risikoen. Tilsvarende vil gjelde for lagringspliktige etter de foreslåtte bestemmelsene. Ekomloven § 2-9 fastslår at tilbydere plikter å bevare taushet om innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon, herunder opplysninger om tekniske innretninger og fremgangsmåter. Tilbydere plikter også å gjennomføre tiltak for å hindre at andre enn de som opplysningene gjelder, får anledning til å skaffe seg kjennskap til slike opplysninger. Til det siste fastslår ekomloven § 2-10 at tilbyder skal tilby elektronisk kommunikasjonsnett og -tjeneste med forsvarlig sikkerhet for brukerne i fred, krise og krig. I Prop. 69 L (2012–2013) Endringer i ekomloven kapittel 4.2 på side 26 defineres begrepet «sikkerhet»:
«Sikkerhet innenfor elektronisk kommunikasjon defineres gjerne som sikring av tilgjengeligheten til ekomnett og -tjenester, sikring av nettets og kommunikasjonens integritet og sikring av kommunikasjonens konfidensialitet. Det vil si at nett og tjenester skal være sikret mot brudd og ha riktig kvalitet, og at nett, systemer og innhold skal være sikret mot manipulasjon og innsyn.»
Videre vil de lagringspliktige dataene omfattes av reglene i personvernforordningen. Her kan særlig nevnes reglene i kapittel IV avsnitt 2 om personopplysningssikkerhet. I artikkel 32 fastsettes at den behandlingsansvarlige og databehandleren skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Videre oppstilles i artikkel 33 og 34 plikt til å melde til henholdsvis tilsynsmyndigheten og den registrerte ved brudd på personopplysningssikkerheten.
Også de andre reglene i personvernforordningen kan få særlig betydning. Advokatforeningen viser i sin høringsuttalelse til reglene om lagring i tredjeland, som får betydning ved skylagring. Personvernforordningen gir i kapittel V særlige regler om overføring av personopplysninger til tredjeland. Reglene innebærer at data ikke kan overføres (og av dette følger at de heller ikke kan lagres) til tredjeland, dvs. land utenfor EØS, uten at det sikres at opplysningene gis en tilsvarende personvernbeskyttelse som de har i EØS-landene. Bestemmelsene skal sikre at det ikke er mulig å omgå den beskyttelse som ligger i personvernforordningen ved å overføre data til land utenfor EØS. Som Advokatforeningen peker på, innebærer regelen i praksis en bestemmelse om hvor det ikke er tillatt å lagre data. Dette vil også gjelde for de lagringspliktige tilbyderne. Departementet mener at dette er dekket av reglene i personvernforordningen, og at det ikke er behov for ytterligere regulering.
Det bør etter departementets syn heller ikke settes begrensninger på at dataene skal lagres i tilbyderens egne systemer/infrastruktur. Det forutsettes at tilbyderne kan inngå avtale, for eksempel med andre tilbydere, for å sikre at lagringsplikten oppfylles. Dette kan også være viktig for å redusere kostnadene ved lagringen. I tillegg er driftsutsetting relativt vanlig, og departementet kan ikke se at det er hensiktsmessig å begrense dette gjennom lovverket. Det bør fortsatt kunne inngås databehandleravtaler som i dag. Avgjørende er at sikkerheten ikke reduseres ved slike avtaler, men opprettholdes på et tilfredsstillende nivå, sett i forhold til de lagrede dataenes sensitivitet.
På bakgrunn av dette anser departementet at de regler som allerede finnes til sikring av kommunikasjonsdata, er tilstrekkelige og egnede til å ivareta kommunikasjonsvernet ved den foreslåtte lagringsplikten. Departementet mener derfor at det ikke er behov for ytterligere regulering av hvordan og hvor dataene skal lagres.
8.4 Lagringstid
8.4.1 Gjeldende rett
Etter gjeldende rett har ikke tilbyder plikt til å lagre opplysninger om hvilke IP-adresser abonnentene har disponert. Det følger av ekomloven § 2-7 femte ledd at data som er nødvendige for å identifisere abonnenten, skal slettes eller anonymiseres så snart de ikke er nødvendige for kommunikasjons- eller faktureringsformål eller for å oppfylle krav fastsatt i medhold av lov, med mindre brukeren samtykker til videre lagring.
Tilsvarende krav til sletting følger av personopplysningsloven, jf. personvernforordningen artikkel 17. Datatilsynet la i sin praksis etter den tidligere personopplysningsloven, da lagringen krevde konsesjon av Datatilsynet, til grunn at tilbydere kunne lagre informasjon om hvilke IP-adresser abonnentene har disponert i inntil tre uker, dersom det var nødvendig for driftsrelaterte formål. Da konsesjonsplikten ble opphevet i nåværende personopplysningslov, ble vurderingen av hva som er nødvendig lagringstid, lagt til ekomtilbyderne selv. Etter det departementet kjenner til, har bransjen ved tolkningen av den nye personopplysningslovens regler fortsatt å benytte samme lagringstid som tidligere var satt av Datatilsynet. Det varierer imidlertid mellom tilbyderne, og mellom tilbydernes ulike tjenester for nettilgang, om opplysningene lagres i tre uker eller kortere, og om det lagres slike opplysninger overhodet.
8.4.2 Forslaget i høringsnotatet
I høringsnotatet ble det lagt til grunn at det ved vurderingen av hvor lenge IP-adresser skal lagres, vil måtte foretas en avveining mellom politiets og påtalemyndighetens behov for opplysningene og hensynet til kommunikasjonsvernet. Det ble særskilt vist til EU-domstolens avgjørelse La Quadrature du Net, der det blant annet er fastslått at lagringstiden må begrenses til det strengt nødvendige.
Når det gjaldt vurderingen av hvor lang lagringstid for IP-adresser som er nødvendig for å kunne ivareta formålet, pekte departementene på at det må tas høyde for at det ofte vil gå tid fra en straffbar handling begås, til den oppdages. Etterforskingen kan altså knytte seg til et straffbart forhold som ligger langt tilbake i tid, samt til nettaktivitet som ligger enda lengre tilbake i tid. En annen vesentlig faktor, er at det i etterforskningen vil kunne ta tid å avdekke IP-adressene. Selv når en straffbar handling oppdages umiddelbart, vil det således kunne være tidkrevende å finne frem til en IP-adresse som kan knyttes til den straffbare handlingen. Dette kan for eksempel skyldes at IP-adressene må fremskaffes gjennom undersøkelse av beslaglagte enheter som er beskyttet med passord eller kryptering, som det kan være tidkrevende å forsere. IP-adresser kan videre måtte innhentes fra utenlandske nettsteder, for eksempel sosiale medier. For at lagringen skal ha tilstrekkelig nytteverdi i kriminalitetsbekjempelsen, er det derfor viktig at lagringstiden ikke er for kort. Det ble også vist til praksis fra andre nordisk land der lagringstiden er henholdsvis seks, ni, ti og tolv måneder. Departementene mente lagringstiden burde ligge innenfor dette spennet og foreslo en lagringstid på seks, ni eller tolv måneder. Høringsinstansene ble særskilt bedt om å uttale seg om hvor lang lagringstiden burde være.
8.4.3 Høringsinstansenes syn
Høringsinnspill fra tilbydersiden, herunder Altibox, GlobalConnect og Telenor, samt IKT-Norge og Tekna, mener at lagringstiden bør være kortest mulig for å minimere risikoen for negative konsekvenser. Det er også vist til at jo lengre lagringstiden er, jo mer inngripende er tiltaket. Enkelte av høringsinstansene peker på at det ikke er dokumentert at det er nødvendig med en lengre lagringstid enn seks måneder. Dette støttes av Advokatforeningen, som også peker på at myndigheten må begrunne at lagringstiden er strengt nødvendig.
Altibox mener i utgangspunktet at det minst inngripende alternativet for lagringstid for dataene bør velges.
GlobalConnect viser til at jo lengre dataene lagres, jo mer inngripende vil tiltaket være. Det foreligger ikke konkret erfaringsmateriale som tilsier at etterforsking av alvorlig kriminalitet vil ta skade dersom lagringstiden settes til seks måneder. Hensynet til forholdsmessighet taler derfor med styrke for at lovgiver velger det korteste alternativet.
IKT-Norge viser også til at for å begrense de negative konsekvensene av ordningen, bør lagringstiden begrenses til seks måneder.
Telia mener som utgangspunkt at lagringsplikten bør settes til seks måneder, men at det må lyttes til politiet, som har det nødvendige erfaringsgrunnlaget for å vurdere hvor lenge IP-adresser bør lagres for at de skal kunne dra nytte av dem. Det vil være et lite personvernvennlig utfall å innføre en lagringsplikt som likevel ikke vil være egnet til å bekjempe kriminalitet fordi lagringstiden er for kort. På den andre siden vil personvernkonsekvensene bli mer inngripende jo lenger opplysningene lagres.
Tekna ønsker en kort lagringstid, maksimum seks måneder. Slik lagring innebærer alltid en fare for misbruk av personopplysninger, og for å begrense risikoen, ønsker Tekna en konservativ tilnærming til hvor lenge slike opplysninger kan lagres.
Telenor mener at det er tungtveiende grunner for at man bør velge det minst inngripende alternativet med hensyn til person- og kommunikasjonsvern, dersom forslaget fremmes. Ut fra høringsnotatets drøftinger vil dette innebære seks måneders lagringstid.
Advokatforeningen viser til at alminnelige personvernsprinsipper tilsier at lagringsplikten ikke går lengre enn hva som er strengt nødvendig for formålet. Det er myndighetene som må begrunne nødvendigheten. Advokatforeningen kan ikke se at departementene i høringsnotatet har begrunnet at det er strengt nødvendig å pålegge lagring lenger enn seks måneder.
Høringsinstansene som primært har fokus på kriminalitetsbekjempelse, er på den andre siden relativt samstemte i at for kort lagringstid vil innebære at formålet med lovendringen ikke oppnås. Disse mener derfor at lagringstiden bør settes til minst tolv måneder. Det er i denne sammenheng vist til at opplysningene i seg selv ikke er særskilt sensitive, noe som kan tale for at man kan akseptere en lengre lagringstid.
Riksadvokaten ønsker at opplysningene lagres i tolv måneder. Da er potensialet størst for at opplysningene kan bidra til effektiv bekjempelse av kriminalitet. Ved vurderingen av lagringstid må det også ses hen til at inngrepet gjelder opplysninger som i seg selv ikke er særskilt sensitive.
Det nasjonale statsadvokatembetet mener også at en lagringstid på ett år fra avslutningen av kommunikasjonen må være et absolutt minimum. Dette harmonerer best med de fleste land i Europa og ivaretar hensyn til internasjonalt samarbeid.
Oslo statsadvokatembeter anfører at opplysningene ideelt sett ikke burde slettes før foreldelsesfristen for aktuelle straffebud er utløpt. Oppklarings- og etterforskingshensyn tilsier at lagringsperioden er lengst mulig.
Politidirektoratet viser til at en lagringstid på tolv måneder i størst grad ivaretar politiets behov. En lagringstid på tolv måneder er også det gjennomgående forslaget i høringsinnspillene fra politietaten. Politidirektoratet viser særskilt til Kripos som underbygger behovet for en lagringstid på tolv måneder. Dette begrunnes blant annet med at det ofte vil kreve omfattende etterforsking å skaffe til veie informasjon om nettaktivitet, og avanserte tilgangsløsninger og kryptering gjør at det kan ta lang tid før politiet kan gjennomgå datamateriale. Som regel vil det også være behov for rettsanmodninger om utlevering av informasjon fra utenlandske nettsteder. En rettsanmodning til USA om innhenting av data fra en tilbyder av innholdstjenester, vil kunne ta opptil tolv måneder.
ØKOKRIM peker også på behovet for bistand over landegrensene når det anføres at det vil være strengt nødvendig at lagringstiden settes til tolv måneder. Saksbehandlingen fra saksinntak til påtalevedtak i ØKOKRIMs saker har de siste seks årene variert fra 216 til 560 dager, i tillegg til eventuell saksbehandlingstid i ulike kontrollinstanser før sakene anmeldes.
PST peker på at sannsynligheten for å oppklare, avverge og forebygge straffbare handlinger er større jo lengre lagringstiden er, og mener lagringstiden bør være ett år. De sakene PST etterforsker har ofte internasjonale forgreininger. Internasjonalt samarbeid er tidkrevende, og PST har i flere saker mistet tilgang til verdifull informasjon på grunn av for kort lagringstid.
Forsvarsdepartementet (FD) peker på at lagringstiden vil ha betydning for om lagringen har tilstrekkelig nytteverdi i kriminalitetsbekjempelsen. I alvorlige straffesaker, eksempelvis i saker som innebærer trusler mot norske sikkerhetsinteresser, vil ofte etterforskingen være langvarig og krevende. Hensynet til muligheten for å forhindre skadevirkninger mot nasjonale sikkerhetsinteresser må her veie tyngre enn hensynet til kommunikasjonsvernet. FD anser derfor en lagringstid på tolv måneder som en hensiktsmessig avveining mellom de hensynene som gjør seg gjeldende.
Politiets Fellesforbund peker også på at det i mange tilfeller tar lang tid før man er i stand til å innhente en aktuell IP-adresse fra nettsted, sosialt medium eller lignende. Lagringstiden må minimum være seks måneder, og det er ønskelig med lagring på inntil tolv måneder.
Statens sivilrettsforvaltning peker på at lagringstiden – for å oppnå formålet om styrket kriminalitetsbekjempelse – bør være så lang som mulig, og mener lagringstiden bør settes til tolv måneder. Når det særskilt gjelder nettovergrepssaker, vises det til at det er svært få av de fornærmede som anmelder slike forhold. Det kan derfor være noe tilfeldig når en straffesak rulles opp, og det kan medgå en del tid før slike forhold blir oppdaget.
Stine Sofies Stiftelse peker på at nettovergrepssaker krever omfattende ressurser og er tidkrevende. Lagringstiden bør derfor settes til tolv måneder.
Rettighetsalliansen mener at oppbevaringsperioden for abonnementsopplysninger bør settes til tolv måneder. De viser til at åndsverkloven § 87 inneholder omfattende prosedyrekrav som nødvendigvis vil ta en del tid.
8.4.4 Departementets vurdering
Departementet foreslår en lagringstid på tolv måneder.
En plikt til å lagre IP-adresser vil innebære et inngrep i den enkeltes person- og kommunikasjonsvern, jf. EMK artikkel 8 og kommunikasjonsverndirektivet artikkel 5. Lagring vil dermed bare være lovlig så fremt inngrepet er «i samsvar med loven og er nødvendig i et demokratisk samfunn» av hensyn til ivaretakelse av nærmere angitte formål, jf. EMK artikkel 8 nr. 2. Tilsvarende følger av kommunikasjonsverndirektivet artikkel 15 første ledd, der det fremgår at en innskrenkning i vernet må være «nødvendig, egnet og rimelig i et demokratisk samfunn» sett hen til de formål som begrunner innskrenkningen.
For vurderingen av om lagring skal anses som et proporsjonalt inngrep etter EMK artikkel 8, vises det blant annet til EMDs avgjørelse i saken Breyer mot Tyskland, avsnitt 91 følgende, der det ble lagt til grunn at proporsjonalitetsvurderingen må ta utgangspunkt i hvor inngripende tiltaket er. EMD legger videre til grunn at proporsjonalitetsvurderingen ikke bare kan knytte seg til en vurdering av de lagrede dataene, men også må ses i forhold til reglene om tilgang til og bruk av disse, jf. avsnitt 97. At det er relevant å se hen til inngrepets alvor også når det gjelder tolkningen av kommunikasjonsverndirektivet, følger av La Quadrature du Net avsnitt 131.
Ved vurderingen av lagringstidens lengde, har departementet videre lagt til grunn rammene trukket opp i La Quadrature du Net avsnitt 156, der det klart fremgår at lagringstiden for IP-adresser ikke kan overstige hva som er «strengt nødvendig» for å oppnå det angitte formålet; i dette tilfellet bekjempelse av alvorlig kriminalitet. Det må derfor legges til grunn en streng nødvendighetsvurdering når man avgjør hvor lang lagringstiden skal være.
Departementet har merket seg at flere av høringsinstansene argumenterer for at lagringstiden, av hensyn til kommunikasjonsvernet, bør være kortest mulig. De begrunner dette med at lagringen er et stort inngrep i kommunikasjonsvernet og at risikoen for misbruk av informasjonen, blir mindre jo kortere lagringstiden er. Videre er det fra enkelte av høringsinstansene pekt på at det ikke er dokumentert eller begrunnet godt nok hvorfor det er behov for en lagringstid utover seks måneder.
Til dette vil departementet for det første peke på omtalen i kapittel 8.2.4 ovenfor av hvilke opplysninger som skal lagres, og hvor sensitive disse opplysningene isolert sett er. Informasjon om hvilken IP-adresse en abonnent er blitt tildelt, gir ikke i seg selv informasjon om innholdet i abonnentens internettkommunikasjon eller om hvem abonnenten har vært i kontakt med. Tiltaket er således langt mindre inngripende enn lagring av andre typer data, herunder lokasjonsdata. Dersom informasjonen mot formodning skulle komme på avveie, vil den med andre ord ikke uten videre avsløre abonnentens nettaktivitet. Det er dessuten forutsatt at tilbyderne skal ivareta sikkerheten rundt informasjonen på en betryggende måte, se ovenfor under kapittel 8.3.
For det andre fremgår det etter departementets vurdering klart av høringsinnspillene fra politi og påtalemyndighet at det er behov for en lagringstid ut over seks måneder for å oppnå formålet med forslaget; å styrke politiets mulighet til å bekjempe alvorlig kriminalitet. Departementet har lagt betydelig vekt på disse innspillene.
Det er flere grunner til at en kortere lagringstid ikke vil ivareta behovet. Etterforsking av saker med forgreininger til utlandet vil ofte innebære at det kan ta inntil ett år før politiet kommer i posisjon til å etterspørre informasjon knyttet til en IP-adresse, eksempelvis når det er nødvendig å sende en rettsanmodning til USA for å få utlevert IP-adressen fra en tilbyder av innholdstjenester, slik blant annet Kripos har påpekt i sin høringsuttalelse. Etterforsking av datamateriell kan også av andre grunner være tidkrevende. Særskilt gjelder dette de store og komplekse sakene som behandles av ØKOKRIM og PST, der bevisbildet ofte er svært omfattende. ØKOKRIM har i sin høringsuttalelse vist til at gjennomsnittlig saksbehandlingstid ligger på 216 til 560 dager, samtidig som det gjerne også har gått noe tid fra forholdet ble begått til saken ble oversendt politiet. Når det gjelder overgrepssaker på nett, er det ytterligere et moment at sakene ofte ikke anmeldes av ofrene, men kommer til politiets kunnskap på andre måter, lenge etter at forholdet er begått. En for kort lagringstid vil i slike tilfeller kunne innebære at informasjonen er slettet når politiet etterspør den, med den konsekvens at saken ikke kan oppklares.
Departementet er også enige i innspillene i høringsuttalelsen fra Telia om at det vil være et lite personvernvennlig utfall å innføre en lagringsplikt som likevel ikke vil være egnet til å bekjempe kriminalitet fordi lagringstiden er for kort.
I avveiningen av de rettigheter og interesser som gjør seg gjeldende ved spørsmål om hvilken lagringstid som kan tillates innenfor kommunikasjonsverndirektivet, må det også ses hen til at informasjon om IP-adresser i enkelte saker kan utgjøre det eneste tilgjengelige beviset som kan gjøre det mulig å avsløre et lovbrudd, jf. La Quadrature du Net avsnitt 154. Etter departementets syn bør dette også spille inn ved fastsettelse av hvor lang lagringstid som skal anses nødvendig for å oppnå formålet med inngrepet, jf. avsnitt 156. For at tiltaket skal ha tilstrekkelig effekt for slike tilfeller, kan lagringstiden ikke settes så kort at IP-adressen ikke vil være tilgjengelig i for mange saker der dette vil utgjøre det eneste beviset som kan avsløre lovbruddet.
Videre mener departementet at det ved vurderingen av lagringstidens lengde også må ses hen til statenes positive plikt til å beskytte personvernet etter EMK artikkel 8, slik dette er forstått i EMDs avgjørelse i saken K.U. mot Finland avsnitt 42–43. EMD la i avgjørelsen til grunn at en tilfredsstillende beskyttelse av klageren innebar at det ble tatt effektive grep for å identifisere og rettsforfølge gjerningspersonen. Manglende tilgang til IP-adresser på grunn av taushetsplikt hos internettilbyderen, ble i dommen ansett som en krenkelse av EMK artikkel 8. Konsekvensen kan bli den samme dersom lagringstiden settes for kort til å utgjøre et tilstrekkelig effektivt middel til bekjempelse av alvorlig kriminalitet. At statens positive forpliktelse til å beskytte privatlivet skal vektlegges ved tolkingen av kommunikasjonsverndirektivet artikkel 15, følger også av La Quadrature du Net avsnitt 126. Det vises i denne sammenheng også til forpliktelser under Barnekonvensjonen artikkel 19, som er nærmere omtalt nedenfor under kapittel 8.5.4.
Departementet vil etter dette gå inn for en lagringstid på tolv måneder. Dette er i samsvar med det behov politi og påtalemyndighet nærmest samstemt har gitt uttrykk for at foreligger, og det vil være strengt nødvendig for å oppnå formålet med lagringsplikten, herunder å ivareta hensynet til tilstrekkelig effektive virkemidler for etterforsking av overgrep mot barn.
Departementet har hensyntatt at lagringstiden settes til tolv måneder i den videre vurderingen av materielle og prosessuelle vilkår for utlevering i kapitlene 8.5 og 8.6 nedenfor.
8.5 Materielle vilkår for utlevering av opplysninger
8.5.1 Gjeldende rett
Kommunikasjonsverndirektivet er gjennomført i norsk rett gjennom ekomloven med forskrifter. Det følger av ekomloven § 2-9 første ledd første punktum at tilbydere plikter å bevare taushet om innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon. Dette omfatter i utgangspunktet også abonnentinformasjon, herunder opplysninger om abonnenters disponering av IP-adresser.
Ekomloven § 2-9 tredje ledd oppstiller et unntak fra dette utgangspunktet for utlevering av opplysninger til blant annet politi og påtalemyndighet om avtalebasert hemmelig telefonnummer eller andre abonnementsopplysninger, samt elektronisk kommunikasjonsadresse. Bestemmelsen omfatter også opplysninger om hvem som er tildelt en dynamisk IP-adresse, forutsatt at begjæringen knytter seg til et bestemt oppkoblingstidspunkt, jf. Ot.prp. nr. 58 (2002–2003) kapittel 16 side 93. Unntaket fra taushetsplikten i ekomloven § 2-9 tredje ledd gjelder for alle oppgavene politiet utfører, og er ikke begrenset til å gjelde i forbindelse med etterforsking av en straffesak. Utlevering til bruk i etterforskingsøyemed krever heller ikke at den straffbare handlingen er av en viss alvorlighet.
Etter fjerde ledd skal anmodning fra påtalemyndigheten eller politiet om opplysninger som omhandlet i tredje ledd, etterkommes med mindre særlige forhold gjør det utilrådelig. «Særlige forhold» kan tenkes å foreligge ved politiets behandling av saker som ikke gjelder etterforsking, for eksempel i tilknytning til forvaltningssaker og namssaker jf. Ot.prp. nr. 31 (1997–1998) Om lov om endringer i lov 23. juni 1995 nr 39 om telekommunikasjon, kapittel 6 side 16, om den tilsvarende bestemmelsen i teleloven § 9-3 som videreføres i ekomloven § 2-9 fjerde ledd. Etter gjeldende rett er det med andre ord vid adgang til å utlevere opplysninger om tildelte IP-adresser til politi og påtalemyndighet.
8.5.2 Forslaget i høringsnotatet
I høringsnotatet la departementene til grunn at vilkårene for utlevering av opplysningene som skal lagres etter forslaget, burde strammes inn sammenlignet med bestemmelsene i ekomloven § 2-9 tredje og fjerde ledd. Dette vil være nødvendig for å ivareta kravet om proporsjonalitet etter Grunnloven, EMK og kommunikasjonsverndirektivet.
Departementene understreket at den lagrede informasjonen om IP-adresser kunne ha betydning for etterforsking av straffbare handlinger på mange andre måter enn gjennom å identifisere ukjente gjerningspersoner. Som eksempler ble det vist til identifisering av eventuelle fornærmede og vitner, analyse og annen bearbeiding av innhentede kommunikasjonsdata, eller for å muliggjøre innhenting av ytterligere bevis gjennom beslag og utleveringspålegg. Departementene mente derfor at reglene om utlevering ikke burde utformes slik at det ble oppstilt spesifikke begrensninger for hvilke måter IP-informasjon kunne benyttes, men slik at informasjonen ville kunne innhentes når det var nødvendig for enkelte nærmere angitte formål.
Ved vurderingen av hvilke formål politi og påtalemyndighet skulle kunne innhente opplysningene til, pekte man i høringsnotatet på at det måtte foretas en avveining mellom behovet for informasjonen og hensynet til kommunikasjonsvernet. Det ble lagt til grunn at kriminaliteten som kunne begrunne innhenting av informasjon måtte være av en viss alvorlighet, særlig på bakgrunn av EU-dommen La Quadrature du Net. Departementene la i høringsnotatet til grunn at reglene om utlevering måtte utformes i samsvar med disse føringene.
Det ble videre pekt på at praksis fra EU-domstolen ga liten veiledning med hensyn til hva som regnes som «alvorlig kriminalitet» («serious crime») i EØS-rettens forstand, eller hvilke kriterier som skal tas i betraktning ved vurderingen av et lovbrudds alvorlighet. Departementene viste til at EU-domstolen i blant annet Tele 2, Ministerio Fiscal og La Quadrature du Net, hadde understreket at kravet om at «alvorlige inngrep» i grunnleggende rettigheter bare kan rettferdiggjøres dersom formålet er å bekjempe «alvorlig kriminalitet», er et utslag av det generelle kravet om proporsjonalitet. Det er dermed usikkert om det finnes en enhetlig terskel for hva som skal utgjøre alvorlig kriminalitet, uavhengig av hva slags lagring det er tale om.
Departementene la til grunn at adgangen til utlevering ville kunne begrenses enten ved å sette et krav til strafferamme, eller ved å begrense utleveringen til forebygging og etterforsking av bestemte straffebud, eventuelt gjennom en kombinasjon av disse. Det ble vist til at behovet for IP-informasjon ikke knytter seg til bekjempelse av spesifikke former for kriminalitet. Det er heller ikke slik at informasjonen bare har betydning for straffbare handlinger som begås over internett, selv om behovet er særlig tydelig i slike saker, der det ofte ikke finnes andre opplysninger som kan bidra til å identifisere gjerningspersonen.
Departementene vurderte det som mest formålstjenlig at reglene om utlevering som utgangspunkt ble knyttet opp mot et generelt strafferammekrav, eventuelt i kombinasjon med nærmere bestemte straffebud. Det ble vist til en rekke straffebud med strafferammer på henholdsvis ett, to og tre år, der informasjon om IP-adresser ville kunne være av betydning. Et strafferammekrav burde således etter departementenes vurdering, settes til minimum ett eller to års fengsel, eventuelt i kombinasjon med unntak for spesifikke straffebud der IP-informasjon er av særlig stor betydning. Høringsinstansenes ble særskilt bedt om å uttale seg om dette.
Departementene pekte videre på at dersom en handling kan forebygges før den inntreffer ved hjelp av informasjon om hvem en IP-adresse tilhører, burde politiet kunne innhente denne informasjonen i samme omfang som den kan innhentes til etterforsking. Høringsinstansene ble også bedt om å uttale seg om dette spørsmålet.
Departementene foreslo også at det ble presisert i bestemmelsen at opplysninger bare skulle kunne utleveres når dette var nødvendig for etterforsking og forebygging av de angitte straffbare forholdene. Det ble presisert at dette kravet ikke skulle tolkes så strengt at utleveringen måtte være den eneste mulige løsningen. På den andre siden ville det heller ikke være tilstrekkelig at innhenting av slike opplysninger bare ville lette arbeidet. Kravet om nødvendighet ville også innebære en presisering av at det ikke skulle kunne innhentes flere opplysninger enn det i det enkelte tilfellet er behov for til formålet.
8.5.3 Høringsinstansenes syn
Flere av høringsinstansene støtter forslaget om at kravet til utlevering bør strammes inn ved at det settes et krav til strafferamme for utleveringen. Det er ulike syn på hvor strengt kravet bør settes.
Høringsuttalelsene på tilbydersiden peker først og fremst på behovet for klare rammer for hva som kan utleveres. Det vises videre til at det er viktig at tilbyderne ikke pålegges ansvar for å vurdere hva som skal kunne utleveres og ikke. Enkelte av disse høringsinstansene viser også til at kravet om alvorlig kriminalitet tilsier at strafferammen settes høyt.
Abelia støtter vurderingen om at adgangen til utlevering bør begrenses, enten ved å sette et krav til strafferamme, eller å begrense utleveringen til forebygging og etterforsking av bestemte straffebud. De tar imidlertid ikke stilling til konkrete endringer i disse kravene.
Telia viser til at tiltaket bare vil kunne sies å være nødvendig i et demokratisk samfunn dersom det benyttes for å bekjempe kriminalitet av en viss alvorlighet og som også utgjør en stor trussel mot den enkelte eller samfunnet. Telia vil ikke foreslå hvor grensen bør settes. Når det gjelder forebygging, understreker Telia at politiet vil måtte ha klare holdepunkter for å tro at opplysningene er nødvendige for å forebygge handlingen, før IP-opplysningene kan begjæres utlevert.
Telenor mener mye taler for at adgangen til utlevering av opplysninger bør begrenses enten ved en minimumsterskel for strafferamme og/eller ved å begrense utleveringen til forebygging og etterforsking av bestemte straffebud. Telenor understreker samtidig at de ikke tar stilling til hva som bør være det materielle innholdet i disse kravene. Telenor er enig med departementene i at vilkårene for utlevering av opplysningene som skal lagres etter forslaget, bør strammes inn, sammenlignet med gjeldende rett, for å ivareta kravet om proporsjonalitet etter Grunnloven, EMK, kommunikasjonsverndirektivet og EØS-retten.
Tekna er skeptiske til at det ikke legges opp til høyere strafferammekrav for at politiet skal kunne få ut opplysninger om IP-adresser og person-ID fra tilbydere av ekomtjenester, men har ikke bestemte meninger om hva slags type kriminalitet som skal ligge til grunn for utleveringen.
Enkelte andre høringsinstanser så som Datatilsynet, Advokatforeningen, NIM m.fl., legger stor vekt på henvisningen til kravet om alvorlig kriminalitet i La Quadrature du Net-dommen. Disse peker på at strafferammen må speile dette kravet bedre enn det departementene har lagt opp til i høringsnotatet.
Advokatforeningen viser til at en strafferamme på fengsel i ett eller to år er forholdsvis beskjedent, og ikke gir inntrykk av et reelt ønske om å begrense innsyn til mer alvorlige forhold. Advokatforeningen er også kritisk til å åpne for utlevering i forebyggingsøyemed, fordi det i slike tilfeller er vanskelig å kontrollere det reelle behovet. Nødvendighetskravet bør også klargjøres.
Datatilsynet mener at der IP-adressen er knyttet til både et navn og tidspunkt, vil alle rettsikkerhetsmekanismer som er knyttet til praksis fra EU-domstolen, måtte gjøres gjeldende. Datatilsynet viser i den sammenheng til Tele2/Watson-dommen, der det stilles krav om at det må fastlegges objektive kriterier for når myndighetene kan få adgang til opplysningene, og at tilgang prinsipielt kun kan gis hvor en person er mistenkt for å planlegge, ville begå eller har begått en alvorlig kriminell handling. Dette innebærer at høringsnotatets forslag om krav om «nødvendighet» i liten grad gir tilstrekkelig veiledning for hva som skal utleveres, og at «forebygging» blir et for vidt begrep for når det er legitimt å innhente opplysningene. I den sammenheng peker Datatilsynet på at forslaget åpner for at politi eller PST i saker hvor det er «nødvendig» vil kunne innhente alle IP-adresser knyttet til en person i et gitt tidsrom. Dette åpner for en kontinuerlig overvåkning unntatt kontroll, ved at politiet kan be om ukentlige eller daglige oppdatering av benyttede IP-adresser, og dermed lage seg et bilde av personens bevegelser.
Den internasjonale juristkommisjon (ICJ) stiller spørsmål om hvorfor den samme EU-rettslige terskel om alvorlig kriminalitet skal vurderes annerledes nå enn ved Stortingets vedtak om innføring av datalagringsdirektivet. Dette bør kommenteres nærmere. Personopplysninger som for eksempel IP-adresser, skal ikke lagres uten et spesifikt formål. Det er derfor viktig at det er klart definert hva som menes med «alvorlig kriminalitet».
Norges institusjon for menneskerettigheter (NIM) viser til at det ikke er helt god sammenheng mellom det foreslåtte strafferammekravet og hva departementene ellers skriver i høringsnotatet om politiets behov, som oppgis å være å bekjempe alvorlig kriminalitet. Departementenes forslag vil gå vesentlig lenger enn føringene som kan utledes av EU-domstolens storkammerdom i La Quadrature du Net-saken. NIM bemerker videre at i EMDs dom i K.U. v. Finland ble finske myndigheter dømt for å ikke ha på plass effektive etterforskningsmidler når det gjaldt å beskytte barns privatliv på internett i en sak hvor en person hadde stjålet et barns identitet og laget en kontaktannonse i barnets navn, dvs. i et alvorlig tilfelle. En lav strafferamme vil kunne utgjøre et uforholdsmessig inngrep sett hen til formålet om å bekjempe «alvorlig kriminalitet».
Elektronisk Forpost Norge peker på at med den lave strafferammen som er foreslått i høringsnotatet, vil uthenting av IP-adresser bli aktuell for en stor andel lovbrudd.
Norsk Presseforbund og Norsk Redaktørforening peker på at selv om alvorlig kriminalitet ikke er definert i loven, ble det i NOU 2009: 15 (s. 75) lagt til grunn at begrepet omfatter de formene for kriminalitet som politiet i dag vil kunne bruke skjulte tvangsmidler i etterforskingen av, det vil si handlinger som kan medføre straff i henholdsvis minst ti år eller fem år. Når forslaget legger opp til å inkludere handlinger med en strafferamme på ett til to år, vil det inkludere langt mer enn det som objektivt sett må kunne regnes som «serious crime».
NRK viser til at i praksis vil en strafferamme på enten ett eller to år innebære at de fleste straffbare forhold vil falle inn under bestemmelsene. Det framgår av La Quadrature du Net at en generell og ikke-målrettet lagring av IP-informasjon kun vil være tillatt for å beskytte nasjonal sikkerhet, forhindre alvorlige trusler mot befolkningens sikkerhet eller for å bekjempe alvorlig kriminalitet. Straffebud med en strafferamme opp mot ett eller to år vil ikke oppfylle dette kravet. NRK mener forslaget går svært langt, og det er etter deres vurdering ikke forenlig med rettspraksis på området.
Rettighetsalliansen mener at strafferammekravet for utlevering av abonnentopplysninger etter straffeprosessuelle regler bør settes til ett års fengsel.
Høringsinstansene fra politi og påtalemyndighet er relativt samstemt i at de materielle vilkårene for utlevering ikke må være for strenge. Dersom strafferammen settes for høyt, vil en rekke straffebestemmelser der informasjon knyttet til IP-adresser er særskilt viktig for å oppklare forholdet, i tilfelle måtte inkluderes særskilt i bestemmelsen. Det er særskilt vist til bestemmelser som gjelder overgrep mot barn over nett.
Riksadvokaten støtter forslaget om at utleveringsplikten bør knyttes til strafferamme, men mener strafferammen ikke bør settes høyere enn ett år. Dersom kravet skal settes høyere, må en rekke bestemmelser med lavere strafferamme inkluderes særskilt.
Det nasjonale statsadvokatembetet mener den svenske lovgivningen, der det er plikt til å utlevere opplysninger til politi og påtalemyndighet ved mistanke om et straffbart forhold, kan være retningsgivende. I lys av kravet om at lagring bare kan rettferdiggjøres dersom formålet er å bekjempe alvorlig kriminalitet, vil et strafferammekrav på ett år, i kombinasjon med unntak for spesifikke straffebud der lagring av IP-adresser er av særskilt betydning, kunne tilrådes.
Oslo statsadvokatembeter viser til vilkårene for kontroll av kommunikasjonsanlegg i straffeprosessloven § 216 b og anfører at hensynet til konsekvens i lovverket tilsier at adgangen til å innhente informasjon om IP-adresser under åpen etterforsking minst bør tilsvare hva politiet vil kunne få gjennom bruk av denne bestemmelsen. Strafferammen er der fem år, men det er åpnet for unntak for straffbare forhold der slik etterforsking vil være særskilt egnet. Det kan imidlertid være gode grunner til også å vurdere en lavere strafferamme. Erfaring fra store nettovergrepsaker tilsier at de fornærmede i stor grad underrapporterer hva de har blitt utsatt for, slik at omfang og overgrepets alvor først har blitt klart på et senere tidspunkt i etterforskingen.
Politidirektoratet påpeker at terskelen departementet har foreslått synes høy i forhold til graden av inngrep og mener strafferammekravet bør ligge lavere enn det som er foreslått. Dersom man skulle komme fram til at det er behov for et strafferammekrav, mener direktoratet at kravet bør settes likt med kravet til å foreta en pågripelse, dvs. at siktede mistenkes for en handling som kan medføre fengsel i minst seks måneder. Dette støttes av Politihøgskolen og Kripos. Videre vises det til Kripos’ innspill om at utlevering ved behov innenfor redningsarbeid eller søk etter savnede personer også bør omfattes.
Politidirektoratet støtter at opplysninger bør kunne utleveres når det er nødvendig for å forebygge en handling av tilsvarende alvorlighet.
ØKOKRIM viser til at de sakene de behandler oftest vil ha en strafferamme på tre år og oppover, men er likevel av den oppfatning at strafferammekravet bør ligge på mistanke om lovbrudd som kan medføre frihetsstraff. ØKOKRIM peker videre på at Norge har internasjonale forpliktelser knyttet til forebygging av hvitvasking og terrorfinansiering, noe som tilsier at det bør åpnes for utlevering til forebygging av saker med samme alvorlighetsgrad som angitt for etterforsking.
PST peker også på at deres oppgaveportefølje stort sett omfatter saker med en strafferamme som ligger over fengsel i 1 år. PST tiltrer forslaget om utlevering også til forebygging av handlinger av tilsvarende alvorlighet og viser til at PST også har metodetilgang i sin forebyggende virksomhet.
Politiets Fellesforbund mener vilkåret for utlevering bør være at forholdet kan føre til fengselsstraff. Dersom man skal sette en strafferamme, kan man eventuelt se hen til kravet om en strafferamme på to år som Nasjonal kommunikasjonsmyndighet har satt for å gi fritak fra taushetsplikten for å innhente trafikkdata på en mistenkt/siktet.
Statens sivilrettsforvaltning har ikke sterke formeninger om strafferammekravet bør settes til fengsel i inntil ett eller to år, men anser i alle tilfeller at det ikke bør kreves en strengere strafferamme enn to år.
Redd Barna er enige med departementene i at kriminaliteten må være av en viss alvorlighet, men at strafferammen i seg selv ikke nødvendigvis er noe godt mål på om kriminaliteten skal ansees alvorlig nok til å begrunne utlevering. Redd Barna slutter seg derfor til departementenes forslag om å kombinere et krav til strafferamme med henvisninger til spesifikke straffebud, eventuelt at strafferammen settes lavt nok til å omfatte blant annet straffebud som omhandler utnyttelse av barn.
Stine Sofies Stiftelse mener at et strafferammekrav på ett års fengsel er tilstrekkelig. Det vises til at flere bestemmelser som gjelder vold og seksuelle overgrep mot barn har en strafferamme på ett års fengsel.
8.5.4 Departementets vurdering
8.5.4.1 Krav om alvorlig kriminalitet
Det følger av kommunikasjonsverndirektivet artikkel 15 at medlemsstatene kan gjøre inngrep i kommunikasjonsvernet når dette er «nødvendig, egnet og rimelig i et demokratisk samfunn av hensyn til nasjonal sikkerhet (…), forsvar, offentlig sikkerhet og forebygging, etterforsking, avsløring og rettslig forfølging av straffbare handlinger (…)».
Rekkevidden av unntaket i artikkel 15 er tolket i flere avgjørelser fra EU-domstolen, se ovenfor under kapittel 5. I La Quadrature du Net ble det presisert at generell og udifferensiert lagring av IP-adresser, kun vil være tillatt når dette er begrunnet i bekjempelse av alvorlig kriminalitet, i tillegg til beskyttelse av nasjonal sikkerhet og alvorlige trusler mot den offentlige sikkerhet. Departementet legger til grunn at ekomlovens regler om lagring og utlevering skal utformes i samsvar med dette, slik at lagring og utlevering av informasjon om IP-adresser til politiet og påtalemyndigheten i forbindelse med kriminalitetsbekjempelse bare kan rettferdiggjøres dersom formålet er å bekjempe alvorlig kriminalitet.
Selv om EU-domstolen i flere avgjørelser om ulike former for datalagring har lagt til grunn at lagringen må begrunnes i hensynet til alvorlig kriminalitet, gir domstolens praksis liten veiledning med hensyn til hva som regnes som «alvorlig kriminalitet» i EØS-rettens forstand eller hvilke kriterier som skal tas i betraktning ved vurderingen av et lovbrudds alvorlighet. EU-domstolen har imidlertid flere ganger uttalt at kravet om at alvorlig inngrep i grunnleggende rettigheter bare kan rettferdiggjøres dersom formålet er å bekjempe «alvorlig kriminalitet», er et utslag av det generelle kravet om proporsjonalitet, se bl.a. La Quadrature du Net avsnitt 131 med videre henvisninger til Ministerio Fiscal avsnitt 55 følgende. Etter departementets vurdering er det derfor noe usikkert om det finnes én enhetlig terskel for alvorlig kriminalitet som må legges til grunn uavhengig av hva slags inngrep det er snakk om.
Det finnes heller ingen entydig definisjon av hva som skal betegnes som «alvorlig kriminalitet» i norsk rett eller i annen internasjonal sammenheng. Spørsmålet ble imidlertid vurdert i Prop. 49 L (2010–2011) Endringer i ekomloven og straffeprosessloven mv. (gjennomføring av EUs datalagringsdirektiv i norsk rett) kapittel 12.6 side 103 følgende. Vurderingen av hva som skulle defineres som alvorlig kriminalitet ble i proposisjonen ikke ansett relevant for abonnementsopplysninger, herunder elektronisk kommunikasjonsadresse, ettersom slike opplysninger gjennomgående ville være å anse som mindre beskyttelsesverdige opplysninger enn andre trafikkdata og lokaliseringsdata. For abonnementsopplysninger ble det heller ikke foreslått materielle vilkår for utlevering. For utlevering av historiske, personspesifikke trafikkdata ble det imidlertid foreslått at kun straffebestemmelser med en strafferamme på fengsel i fire år eller mer, kunne begrunne utlevering av data. Det ble foreslått nærmere bestemte unntak fra strafferammekravet for sakstyper det ville være særlig vanskelig å etterforske uten tilgang til disse dataene.
Lagringsplikten som nå er foreslått er mindre inngripende enn forslaget om gjennomføring av datalagringsdirektivet i norsk rett, noe som kan tale for at lagring kan tillates også for straffbare forhold med en lavere strafferamme.
I høringsnotatet ble det foreslått en strafferamme på ett eller to års fengsel, eventuelt i kombinasjon med unntak for spesifikke straffebud. På bakgrunn av innspill i høringsrunden og av hensyn til kommunikasjonsvernet har departementet kommet til at bestemmelsen bør ta utgangspunkt i en høyere strafferamme enn foreslått i høringsnotatet. Denne vurderingen er også basert på at departementet nå går inn for en lagringstid på 12 måneder, som var det lengste av de alternativene som var foreslått i høringsnotatet.
Ved ikrafttredelsen av den nye straffeloven ble antallet strafferammer redusert sammenlignet med straffeloven 1902. Straffeloven 2005 inneholder ikke straffebud med strafferamme på fire år, slik at terskelen for utlevering for alvorlig kriminalitet bør settes til enten fengsel i inntil tre år eller fengsel i inntil seks år. Dersom det stilles krav om at lovbruddet kan straffes med fengsel i inntil seks år for at opplysningene kan utleveres, vil svært mange straffebud der utlevering av IP-adresser er av betydning, falle utenfor, og det ville være behov for en rekke unntak for å sikre at tiltaket oppnår hensikten. Et krav om seks års strafferamme ville etter departementets vurdering også være for høyt i lys av at inngrepets alvor, jf. kapittel 8.2.4.
Departementet har derfor falt ned på at vilkåret for utlevering bør ta utgangspunkt i handlinger som etter loven kan medføre straff av fengsel i tre år eller mer. Strafferammekravet innebærer at saken må inkludere minst én handling som alene kan straffes med fengsel i tre år eller mer, og at bestemmelsen også omfatter straffebud som åpner for fengsel i «inntil» tre år. En slik strafferamme vil etter departementets mening tydeligere markere at lagring og utlevering av IP-adresser skal begrenses til bekjempelse av alvorlig kriminalitet.
Med en strafferamme på tre år vil det i noe større utstrekning enn foreslått i høringsnotatet, være nødvendig at det også åpnes for utlevering av IP-adresser i saker som gjelder straffebud med lavere strafferamme. Selv om strafferammen gir et godt utgangspunkt for vurderingen av hvor alvorlig myndighetene anser et lovbrudd for å være, kan enkelte handlinger som ikke medfører lange fengselsstraffer, like fullt være svært alvorlige for de som rammes av dem. Særskilt gjelder dette seksuelle overgrep mot barn, der flere straffebud har en lavere strafferamme enn fengsel i inntil tre år. Det vises her til at formålet med forslaget var å gi politiet tilstrekkelige virkemidler i kriminalitetsbekjempelsen, særskilt når det gjelder overgrep mot barn.
Videre viser departementet til den positive forpliktelsen til å sikre respekt for privatlivet, jf. EMK artikkel 8, slik denne er forstått av EMD i dommen K.U. mot Finland, der finske myndigheter ble dømt for ikke å ha effektive etterforskingsmidler når det gjaldt å beskytte barns privatliv på internett i en sak hvor en person hadde stjålet et barns identitet og laget en kontaktannonse i barnets navn. Da saken ble anmeldt, anmodet politiet om å få utlevert den dynamiske IP-adressen som var benyttet, noe som ikke lot seg gjøre på grunn av lovbestemt taushetsplikt. Forpliktelsen skjerpes når det er barn involvert. Tilsvarende forpliktelse til effektiv bekjempelse av straffbare handlinger kan utledes av La Quadrature du Net avsnitt 126, som særskilt viser til bekjempelse av straffbare handlinger som gjelder mindreårige og andre sårbare personer. Endelig vises det til Barnekonvensjonen artikkel 19, der det heter at myndighetene skal treffe «alle egnede lovgivningsmessige, administrative, sosiale og opplæringsmessige tiltak for å beskytte barnet mot alle former for (…) vold (…) herunder seksuelt misbruk (…)».
At det er rom for å legge vekt på at IP-adressen kan være det eneste bevismiddel som kan gjøre det mulig å identifisere gjerningspersonen, støttes av La Quadrature du Net-dommen avsnitt 154, der det fremgår at det i avveiningen av de rettigheter og interesser som gjør seg gjeldende, også skal tas hensyn til slike omstendigheter. Saker om overgrep mot barn på nettet er her særskilt nevnt.
Etter departementets syn er det grunn til å inkludere andre straffebud med strafferamme under tre år, når tilgang til IP-adresser kan være av avgjørende betydning for etterforskingen av kriminalitet som gjelder seksuelt misbruk av barn. Departementet mener også at det bør kunne gjøres unntak for straffebud der IP-adressen er av helt avgjørende betydning for muligheten til å oppklare lovbruddet. Når det gjelder andre forhold med en lavere strafferamme enn tre år, viser departementet til at bestemmelser om grov kriminalitet i straffeloven gjennomgående har en strafferamme på over tre år. Grovt heleri, grovt bedrageri og grov hvitvasking straffes for eksempel med fengsel i inntil seks år, slik at denne typen lovbrudd vil omfattes dersom de kvalifiserer til å anses som grove overtredelser.
Departementet foreslår etter dette at følgende bestemmelser i føyes til i angivelsen av hvilke straffbare forhold som anses som alvorlig kriminalitet, og som skal omfattes av utleveringsplikten:
Straffeloven § 125 (Uaktsom avsløring av statshemmeligheter), § 168 (Brudd på oppholds- og kontaktforbud eller beslutning om båndlegging), § 184 (Krenkelse av representasjonen til en fremmed stat eller mellomstatlig organisasjon), § 201 (Uberettiget befatning med tilgangsdata, dataprogram mv.), § 202 (Identitetskrenkelse), § 204 (Innbrudd i datasystem), § 205 (Krenkelse av retten til privat kommunikasjon), § 251 (Tvang), § 263 (Trusler), § 266 (Hensynsløs atferd), § 297 (Seksuell handling uten samtykke), § 298 (Seksuelt krenkende atferd offentlig eller uten samtykke), § 305 (Seksuelt krenkende atferd mv. overfor barn under 16 år), § 306 (Avtale om møte for å begå seksuelt overgrep) og § 309 (Kjøp av seksuelle tjenester fra mindreårige), samt åndsverkloven § 104, jf. § 79 (Retten til eget bilde).
8.5.4.2 Forebygging og andre deler av politiets virksomhet
Som nevnt ovenfor legger kommunikasjonsverndirektivet artikkel 15 til grunn at inngrep i kommunikasjonsvernet begrunnet i kriminalitetsbekjempelse også kan omfatte forebygging av kriminalitet. I høringsnotatet ble det vist til at dersom en handling kan forebygges før den inntreffer ved hjelp av informasjon om hvem en IP-adresse tilhører, bør politiet kunne innhente denne informasjonen i samme omfang som opplysningene kan innhentes til etterforsking. Det ble vist til andre bestemmelser som åpner for utlevering av opplysninger til politiet, der forebygging og etterforsking er sidestilt. Departementene ba om høringsinstansenes syn på om det burde åpnes for utlevering til forebygging. Høringsinnspillene fra politiet, herunder særskilt fra PST og ØKOKRIM, peker på at det er et behov for opplysninger som lagres etter den nye bestemmelsen også i forebyggingsøyemed. ØKOKRIM har vist til internasjonale forpliktelser om forebygging av hvitvasking og terrorfinansiering, mens PST blant annet har vist til at de har metodetilgang i sin forebyggende virksomhet og at tilgang til IP-data i forebyggende øyemed derfor vil gi best sammenheng i regelverket.
Enkelte av høringsinstansene, særlig Advokatforeningen og Datatilsynet, er kritiske til å åpne for utlevering i forebyggingsøyemed, blant annet fordi det i slike tilfeller vil være vanskeligere å kontrollere det reelle behovet. Det anføres at det må oppstilles et krav om at politiet må ha klare holdepunkter for å tro at opplysningene er nødvendige for å forbygge handlingen, før de kan begjæres utlevert. Endelig er det pekt på at det er vanskelig å definere hva som ligger i begrepet forebygging, og at dette derfor er lite egnet som et vilkår for utlevering.
Departementet har vurdert de ulike hensynene som gjør seg gjeldende.
Når det gjelder forebygging, er det mer uklart om det bør være adgang til utlevering av IP-data enn ved etterforsking, blant annet fordi forebygging er et vidt begrep som omfatter en rekke ulike situasjoner og virkemidler. Utlevering av IP-data til forebygging kan medføre særlige utfordringer for person- og kommunikasjonsvernet, fordi det ved utlevering til forebyggingsformål vil være mer uklart hva som skal til for at politiet kan anmode om utlevering av opplysninger. Skadepotensialet kan likevel være så stort at det i noen tilfeller, av hensyn til samfunnet, må anses som proporsjonalt å gi tilgang til slike data for å forebygge alvorlige hendelser. Departementet understreker viktigheten av å kunne forebygge kriminalitet der det er mulig, med de fordeler det har både for fornærmede og samfunnet for øvrig.
Departementet mener likevel, i lys av høringsinnspillene, at tilgang til IP-data i forebyggingsøyemed bør utredes nærmere før det eventuelt åpnes for dette, og eventuelt vurderes tilgang for enkelte typer saker, f.eks. for PST. Åpning for tilgang i forebyggingsøyemed forutsetter også at det utredes tydelige og gode rammer, sett hen til det inngrepet tiltaket har for person- og kommunikasjonsvernet, slik at person- og kommunikasjonsvernet ivaretas. Departementet vil derfor komme tilbake til spørsmålet på et senere tidspunkt.
Det foreslås etter dette ikke å åpne for utlevering av opplysninger lagret i medhold av § 2-8 a til forebyggingsøyemed på det nåværende tidspunkt. Det understrekes imidlertid at lovforslaget ikke begrenser mulighetene til å innhente informasjon i forebyggende øyemed på annet grunnlag. Dette inkluderer utlevering av opplysninger som tilbyderne har lagret til egne formål, jf. ekomloven § 2-9.
Departementet har videre merket seg innspillene om at opplysningene også bør kunne utleveres ved behov innenfor redningsarbeid eller søk etter savnede personer, men foreslår ikke å ta dette inn i bestemmelsen. Det vises imidlertid til at opplysningene etter omstendighetene vil kunne utleveres til politiet med hjemmel i nødrett, eller etter § 2-9.
8.5.4.3 Nødvendighetskravet
Inngrep i kommunikasjonsvernet må være nødvendig for at inngrepet skal være lovlig. Dette kan utledes direkte av kommunikasjonsverndirektivet artikkel 15, samt av proporsjonalitetskravet som må være oppfylt for at et inngrep i privatlivet skal være lovlig etter EMK artikkel 8 nr. 2. Departementet foreslår at bestemmelsene om utlevering utformes slik at det er et krav at utlevering av informasjon må være nødvendig for etterforsking av nærmere angitte former for kriminalitet, jf. forslaget til endringer i § 2-8 b.
Enkelte av høringsinstansene har pekt på at nødvendighetskravet gir liten veiledning for hva som skal kunne utleveres.
Departementet viser til at det i høringsnotatet ble presisert at nødvendighetskravet innebærer at det må foretas en konkret vurdering av behovet for opplysningene, som må veies mot hensynet til kommunikasjonsvernet. Kravet innebærer at det ikke skal innhentes flere opplysninger enn det som er nødvendig for formålet. Vilkåret skal ikke tolkes så strengt at utlevering av opplysningene må være den eneste løsningen. På den andre siden vil det ikke være tilstrekkelig at opplysningene bare vil kunne lette arbeidet. Av proporsjonalitetskravet følger også at inngrepet i kommunikasjonsvernet må tas med i vurderingen. Dette kan innebære at vurderingen kan falle forskjellig ut avhengig av inngrepet i kommunikasjonsvernet i den enkelte sak.
Vurderingen av om nødvendighetsvilkåret er oppfylt gjøres av politiet og påtalemyndigheten, slik at ekomtilbyderne ikke må ta stilling til om vilkårene er oppfylt.
Departementet finner ikke grunn til å presisere nødvendighetskravet ytterligere i bestemmelsen, men viser til forslag til krav til utforming av anmodninger om utlevering nedenfor under kapittel 8.6.4.
8.5.4.4 Utlevering med bakgrunn i opplysninger om abonnent
I høringsnotatet ble det lagt til grunn at de foreslåtte bestemmelsene i første omgang vil være praktiske i situasjoner der politiet, med utgangspunkt i en gitt IP-adresse, ønsker å finne frem til en abonnent. Det kan imidlertid tenkes tilfeller der politiet med utgangspunkt i en gitt abonnent, har behov for informasjon om hvilke IP-adresser vedkommende er tildelt på et gitt tidspunkt eller i et gitt tidsrom.
Dette gjelder særlig der politiet har fått informasjon om en IP-adresse ved undersøkelse av datamateriale i en etterforsking rettet mot en bestemt mistenkt. Ved å innhente en oversikt over hvilke IP-adresser den mistenkte er tildelt i et aktuelt tidsrom, vil det kunne avdekkes om og i hvilken utstrekning de tildelte IP-adressene kan gjenfinnes i det materialet politiet allerede har tilgang til. Dette vil kunne være mer effektivt og ressursbesparende, samtidig som det også kan være viktig for å avkrefte mistanke som det viser seg ikke å være grunnlag for. Det understrekes at også slik innhenting må være nødvendig, og at det må foretas en konkret vurdering av behovet for opplysningene, jf. punktet ovenfor.
Enkelte høringsinstanser er skeptiske til innhenting av informasjon med utgangspunkt i abonnenten, da de mener forslaget åpner for at politiet ved å innhente alle IP-adresser knyttet til en person i et gitt tidsrom, kan få full oversikt over benyttede IP-adresser og dermed lage seg et bilde av personens bevegelser.
Til dette vil departementet påpeke at innhenting av informasjon med utgangspunkt i en abonnent ikke i seg selv vil gi politiet informasjon om hvem vedkommende har kommunisert med eller vedkommendes bevegelsesmønster i den gitte tidsperioden. Det vises her til redegjørelsen ovenfor i kapittel 8.2 om hva man kan utlede om enkeltpersoners bevegelsesmønster basert på informasjon om tildelte IP-adresser.
Uten ytterligere informasjon om nettaktivitet, som politiet må skaffe på annet vis, eksempelvis gjennom databeslag eller andre tvangsmidler, vil utlevering bare kunne gi informasjon om hvilke IP-adresser vedkommende er tildelt i perioden, og tidspunkt for bruken når det gis ut port-informasjon, jf. kapittel 8.2.
Sett hen til dette, samt at innhenting med utgangspunkt i en konkret abonnent vil kunne begrense mengden av opplysninger politiet har behov for å innhente for å bekrefte eller avkrefte en konkret mistanke i en sak, fastholder departementet at bestemmelsen også bør åpne for utlevering av IP-adresser med utgangspunkt i en gitt abonnent, på samme vilkår som for utlevering med utgangspunkt i en IP-adresse.
8.6 Prosessuelle krav og kontroll med utlevering av opplysninger
8.6.1 Gjeldende rett
Utlevering av informasjon om IP-adresser til politiet eller påtalemyndigheten er i dag regulert i ekomloven § 2-9 tredje og fjerde ledd, som det er redegjort for ovenfor i kapittel 8.5.1.
Utlevering av abonnementsopplysninger til påtalemyndigheten eller politiet etter denne bestemmelsen krever ikke at Nasjonal kommunikasjonsmyndighet fritar tilbyder fra taushetsplikten eller kjennelse fra retten, slik tilfellet er for andre trafikkdata.
8.6.2 Forslaget i høringsnotatet
I høringsnotatet foreslo departementene at gjeldende rett burde videreføres hva gjaldt krav til forhåndskontroll ved utlevering.
Departementene viste til at EMD i saken Breyer mot Tyskland la til grunn at det ved vurderingen av behovet for prosessuelle garantier, må sees hen til i hvilken grad lagringen av opplysninger griper inn i personvernet. Dersom lagringen er mindre inngripende, kan mer generelle regler om politiets og påtalemyndighetens innhenting og behandling av personopplysninger mv. utgjøre tilstrekkelige garantier, uten at det er behov for forutgående vurdering av en domstol eller et annet uavhengig organ i hvert enkelt tilfelle, jf. dommens avsnitt 105–107. Departementene mente den foreslåtte lagringsplikten var av en slik art at det ikke ville være påkrevd med en uavhengig forhåndskontroll av hver enkelt utlevering. Departementene kunne heller ikke se at dette er et krav etter kommunikasjonsverndirektivet. Når det gjaldt de forholdsvis detaljerte kravene med hensyn til prosessuelle vilkår for utlevering som EU-domstolen oppstilte i Tele 2-avgjørelsen, pekte departementene på at disse ikke uten videre kunne overføres til lovgivning om lagring av IP-adresser. Sentralt i Tele 2-avgjørelsen var at lagringen gjorde det mulig å trekke svært presise slutninger om privatlivet til de det ble lagret informasjon om. Informasjonen som blir tilgjengelig ved lagring av IP-adresser, kunne etter departementenes syn ikke betraktes som informasjon som ville gjøre det mulig å trekke presise slutninger om privatlivet til de det lagres informasjon om.
Høringsnotatet la til grunn at heller ikke La Quadrature du Net-avgjørelsen kunne forstås slik at det gjelder et krav om forhåndskontroll for utlevering av IP-adresser. Selv om domstolen uttalte at det må gjelde strenge vilkår og garantier vedrørende bruk av IP-adresser, jf. avsnitt 156, ble det ikke slått fast at det var påkrevd med uavhengig forhåndsgodkjenning av den enkelte utlevering.
Departementene pekte i høringsnotatet videre på at politiets og påtalemyndighetens behandling av opplysninger til politimessige formål er regulert av politiregisterloven med tilhørende forskrift. Regelverket gjennomfører direktiv (EU) 2016/680 om fysiske personers vern i forbindelse med kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner og om fri utveksling av slike opplysninger […]. Direktivet bygger på de samme grunnleggende prinsipper som personvernforordningen, men med nødvendige tilpasninger som følge av den kriminalitetsbekjempende virksomhetens særpreg. Regelverket stiller blant annet krav om at behandling av opplysninger skal være formålsbestemt, nødvendig og relevant, at opplysninger ikke skal lagres lenger enn det som er nødvendig for formålet med behandlingen, samt at det oppstilles krav til informasjonssikkerhet og internkontroll. Regelverket etablerer på samme måte som personvernforordningen, flere mekanismer som ivaretar den registrertes rettigheter, herunder mulighet til å be om innsyn, klageadgang og uavhengig tilsyn fra EOS-utvalget og Datatilsynet for henholdsvis PST og politiet og påtalemyndigheten for øvrig.
Etter departementenes vurdering var det ikke behov for særskilte regler om behandling av innhentede opplysninger etter den nye bestemmelsen, eller etablering av ytterligere mekanismer for å ivareta den registrertes rettigheter hva gjelder behandlingen. De alminnelige reglene i politiregisterloven og forskriften ble ansett dekkende. Det ble vist til at opplysninger etter politiregisterloven § 50 ikke skal lagres lenger enn det som er nødvendig for formålet med behandlingen. Opplysninger som er innhentet utenfor straffesak, vil ofte kunne slettes etter relativt kort tid. Opplysninger som innhentes som ledd i en straffesak, og som for eksempel er brukt som bevis i saken, vil inngå som en del av straffesakens dokumenter og følge de alminnelige reglene for behandling av disse.
8.6.3 Høringsinstansenes syn
Også når det gjelder behovet for prosessuelle garantier og kontrollmekanismer, er høringsinstansene delt i hvordan de ulike hensyn som gjør seg gjeldende, bør vektlegges.
For ekombransjens del fremgår det samlet sett av høringsuttalelsene at det er et sentralt poeng at vurderinger av om vilkårene for utlevering er oppfylt i minst mulig grad overlates til dem. I den forbindelse er det fremhevet at prosedyren for å fremsette anmodninger i større grad bør være standardisert, slik at det bl.a. fremgår hva som er hjemmelsgrunnlaget for anmodningen.
Altibox viser til at bransjen ønsker å hjelpe politiet, men at det er viktig å sikre at sentrale elementer, som sørger for at kundenes personvern og interesser ivaretas på en sikker måte, er på plass. Det bør fastsettes materielle og prosessuelle vilkår som rammer inn vilkårene for utlevering. For å gjøre det enkelt for tilbyderne å etterleve plikten til å utlevere opplysninger, bør det foreligge klare, systematiske krav til utleverings-begjæringene. Tilbyderne bør ikke pålegges å ta nærmere stilling til det materielle grunnlaget for en utleveringsbegjæring, men må ha trygghet for at vurderingene som politi og påtalemyndighet gjør, er grundige og har tilstrekkelig hjemmel.
GlobalConnect er positive til at departementene presiserer at ansvaret for å vurdere om vilkårene for utlevering er oppfylt ligger hos myndighetene, slik at tilbyderne ikke skal foreta noen selvstendig vurdering av dette. I dag krever politi og påtalemyndighet tilgang til data på ulike måter og i ulike format, noe som både er ressurskrevende og skaper unødvendig usikkerhet. GlobalConnect oppfordrer derfor departementene til å stille krav om at politi og påtalemyndighet etablerer en standard prosess, eksempelvis ved at det utvikles et standardisert anmodningsskjema for forespørsler om utlevering av IP-adresser. Dette antas også å ville styrke rettssikkerheten og redusere antall uberettigete anmodninger.
Telenor mener påtalemyndigheten må påvise en klar hjemmel for uthenting, eksempelvis gjennom en anmodningsverifikasjon fra påtalemyndigheten som også gir informasjon om hjemmelen for anmodningen. Generelt vil Telenor minne om at lovmessige utvidelser som gir myndighetene økte muligheter for innsyn, bør følges opp med transparens omkring faktisk bruk av disse.
Telia mener det må etableres entydige krav til form og innhold i et pålegg om å utlevere opplysninger. Det er politiet som må bære det fulle ansvaret for ikke å fremme begjæringer om utlevering når vilkårene ikke er oppfylt, slik at tilbyderne ikke skal måtte ta nærmere stilling til det materielle grunnlaget for en begjæring. For tilbyderne er det viktig å kunne stole på at vurderingene som politi og påtalemyndighet gjør, herunder av nødvendigheten, er grundige, og at det ikke begjæres utlevering uten tilstrekkelig hjemmel.
Tekna er skeptiske til at departementene ikke legger opp til domstolsbehandling.
IKT-Norge viser til at det, på grunn av det sterke inngrepet i kommunikasjonsvernet som forslaget representerer, er viktig at det fastsettes materielle og prosessuelle vilkår for utlevering som tydelig rammer inn ordningen og forhindrer formålsutglidning og misbruk. Det innebærer at utleveringsbegjæringer må være berettigede og kun må finne sted i saker som dreier seg om alvorlig kriminalitet.
Det er også av betydning å klargjøre forholdet mellom opplysninger som eventuelt vil omfattes av dagens terskel i ekomloven § 2-9, og hvilke opplysninger som vil omfattes av forslagets § 2-8 b, som setter nye skranker for utlevering. I praksis fremstår rammene for når det kan være aktuelt å begjære utlevering som vide. Dersom forslaget vedtas vil det være viktig at det føres effektivt tilsyn for å sikre at nødvendighetsvurderingen er reell, og at hensynet til kommunikasjonsvernet er tilstrekkelig hensyntatt for den enkelte begjæring. Det er også viktig at tilbyderne ikke settes i en situasjon hvor de må ta nærmere stilling til det materielle grunnlaget for en utleveringsbegjæring.
Enkelte av høringsinstansene, herunder Datatilsynet og NIM, mener at kommunikasjonsverndirektivet og EMK stiller krav om strengere kontrollmekanismer enn det det som er foreslått i høringsnotatet.
Datatilsynet viser til at IP-opplysninger er personopplysninger, og at det vil være tilbyders ansvar å påse at det ikke utleveres opplysninger i strid med personvernforordningen. Datatilsynet mener forslaget til § 2-8 a er i strid med kommunikasjonsvernet og de siste EU-dommene, spesielt La Quadrature du Net, og viser til at det går et tydelig skille mellom der hvor IP-adressen er knyttet til et navn og tidspunkt, og der hvor IP-adressen kun knyttes til et navn og ikke sier noe om når kommunikasjonen har foregått. Det er anført at når en IP-adresse knyttes til både et navn og et tidspunkt, vil de lagrede dataene kunne inneholde opplysninger som kan knytte en person både til nettaktivitet, og til hvor en person befinner seg. EU-domstolen krever da forhåndskontroll for utlevering, i motsetning til der hvor bare navn og IP-adresse registreres.
Norges institusjon for menneskerettigheter (NIM) viser til at i saker hvor myndighetene tillates å innhente opplysninger som angår borgernes privatliv uten at borgerne får kjennskap til innsamlingen, har EMD i sin praksis innfortolket et krav til effektiv og uavhengig kontroll for å hindre myndighetsmisbruk, og at denne kontrollen bør ligge til den dømmende virksomhet i saker om skjult overvåking. Tilsvarende doktriner er utviklet for saker om bulkinnsamling av data. Hvilke krav til rettsikkerhetsmekanismer som vil måtte oppstilles for masselagring av IP-adresser vil til en viss grad bero på hvor inngripende et slikt tiltak anses å være. Etter NIMs syn er lagring og utlevering av IP-adresser til politiet et betydelig inngrep i retten til privatliv (personvernet) som tilsier mer omfattende og effektive garantier mot misbruk og vilkårlighet, enn det som foreslås i høringsnotatet. Det er pekt på at dersom lagringen gir politiet mulighet til å få informasjon om den enkeltes bevegelser eller informasjon om hvem den enkelte har samhandlet med over internett, bør utlevering antakelig forhåndsgodkjennes av en uavhengig myndighet for å oppfylle kravet etter EMK artikkel 8. Under enhver omstendighet må rettsikkerhetsmekanismene i forslaget styrkes betydelig for å ivareta prosessuelle krav etter denne bestemmelsen.
Elektronisk Forpost stiller seg svært skeptisk til at det ikke er stilt krav om domstolkontroll med utlevering av abonnementsopplysninger til påtalemyndigheten og politiet, eller plikt til at Nkom fritar tilbyder fra taushetsplikten.
Advokatforeningen viser til at forslaget ikke inneholder noen konkrete angivelser av hva som kreves med tanke på nødvendighetsvurderingen, og at det legges til grunn at politi- og påtalemyndighet kan be om utlevering uten at utleveringskravet skal kunne overprøves.
NRK viser til at forslaget ikke oppfyller de prosessuelle skrankene som stilles i La Quadrature du Net, og at det ikke foreligger tilstrekkelige sikkerhetsmekanismer for å hindre misbruk når det ikke er lagt opp til domstolskontroll eller lignende uavhengig forhåndskontroll. Lovforslaget har ingen sikkerhetsmekanismer for å ivareta kildevernet.
Høringsinstansene fra politiet og påtalemyndigheten mener på den andre siden at forhåndskontroll ikke er nødvendig, sett hen til opplysningenes lite sensitive karakter. Disse peker også på at politiregisterlovens regler og eksisterende tilsynsmekanismer er tilstrekkelige for å ivareta kravet til kontroll med behandlingen av opplysningene etter at de er innhentet.
Det nasjonale statsadvokatembetet mener ikke det er nødvendig med domstolskontroll eller godkjennelse fra annet offentlig organ. Dette er også ordningen i de øvrige nordiske land, med unntak av Danmark.
Politidirektoratet mener gjeldende rett, der det ikke kreves rettens kjennelse eller fritak fra taushetsplikten fra Nkom for utlevering av abonnementsopplysninger til politi og påtalemyndighet, bør videreføres. Reglene i politiregisterloven med forskrift, må videre anses dekkende hva gjelder behandlingen av innhentede opplysninger.
PST mener heller ikke at utlevering bør forutsette rettens kjennelse eller uavhengige forhåndsgodkjennelse. Politiet og påtalemyndighetens behandling av opplysningene er underlagt politiregisterloven, som oppstiller tilstrekkelige mekanismer for å ivareta den registrertes rettigheter. PST er i tillegg underlagt jevnlig kontroll av EOS-utvalget.
Stine Sofies Stiftelse støtter departementenes vurdering av at det ikke bør være nødvendig med domstolskontroll eller forhåndsgodkjenning, da dette vil kunne trenere etterforskningen.
8.6.4 Departementets vurdering
Departementet vil innledningsvis peke på at abonnementsopplysninger og opplysninger om IP-adresser, som dette lovforslaget gjelder, normalt er å anse som mindre sensitive opplysninger enn andre former for trafikkdata, og lokaliseringsdata. Lagring og utlevering av slike opplysninger vil således utgjøre et mer beskjedent inngrep i personvernet enn utlevering av andre typer data. Dette er nærmere omtalt ovenfor.
At opplysningenes karakter og graden av inngrep i personvernet er sentralt også ved vurderingen av hvilke krav som må stilles til kontroll etter EMK, kan blant annet utledes av Breyer mot Tyskland, avsnitt 103 følgende. Saken gjaldt ekomtilbyderes plikt etter tysk telekommunikasjonslovgivning til å registrere informasjon som identifiserer kunder med forhåndsbetalte SIM-kort (kundens telefonnummer, navn og adresse, fødselsdato og dato for kontraktsinngåelsen), uavhengig av om tilbyderen hadde behov for opplysningene for egne formål. Det ble i dommen vist til at tilgangen til mekanismer for kontroll og tilsyn ville inngå i proporsjonalitetsvurderingen. Dersom datalagringen er mindre inngripende, vil kravet til prosessuelle garantier være lavere. Selv om det i det aktuelle tilfellet ikke var et krav om forhåndskontroll for utlevering, ble det, blant annet under henvisning til datatilsynsmyndighetens kontroll med opplysningen i etterkant, lagt til grunn at mekanismene for tilsyn og kontroll var tilstrekkelige. Lagring av IP-adresser og tilhørende portnummer, slik departementet foreslår, er imidlertid noe mer inngripende enn registrering av informasjon som kun identifiserer abonnenten. Det er likevel verdt å merke seg at tilsvarende differensiering på bakgrunn av opplysningenes karakter og inngrep i personvernet ble lagt til grunn i Prop. 49 L (2010–2011) Endringer i ekomloven og straffeprosessloven mv. (gjennomføring av EUs datalagringsdirektiv i norsk rett). Under henvisning til opplysningenes karakter, ble det der ikke ansett nødvendig med endringer i ekomloven § 2-9 tredje ledd for så vidt gjaldt prosessuelle krav for utlevering av IP-adresser og abonnementsopplysninger. For de øvrige opplysningene som var omfattet av direktivet, ble dette vurdert annerledes, slik at utlevering av data i etterforskingsøyemed ville kreve rettens kjennelse. Mengden av IP- informasjon som legges igjen i 2021 er imidlertid større for den enkelte abonnent enn i 2010, noe som også vil spille inn i proporsjonalitetsvurderingene.
I enkelte av høringsuttalelsene til nærværende lovforslag er det, under henvisning til Tele2-dommen fra 2016 og La Quadrature du Net-dommen fra 2020 – anført at det gjelder et krav om forhåndskontroll også for utlevering av opplysninger om IP-adresser og abonnementsopplysninger. Disse høringsinstansene mener imidlertid at opplysningene griper inn i personvernet i større grad enn hva departementene la til grunn i høringsnotatet. Det er anført at en IP-adresse, når denne knyttes til både et navn og et tidspunkt, vil inneholde opplysninger som også kan gi politiet mulighet til å få informasjon om den enkeltes bevegelser. For en nærmere beskrivelse av hvilken informasjon som blir tilgjengelig ved slik lagring som omfattes av forslaget, viser departementet til redegjørelsen ovenfor i kapittel 8.2. Forslaget er derfor etter departementets syn mindre inngripende enn hva disse høringsinstansene har lagt til grunn.
Departementet har likevel vurdert i hvilken grad det i EU-domstolens praksis oppstilles krav som nødvendiggjør innstramminger og skjerpet kontroll med utlevering av IP-adresser, etter forslaget her. I Tele2 la domstolen til grunn forholdsvis detaljerte krav til forhåndskontroll med utlevering av trafikk- og lokasjonsdata. Departementet mener at disse kravene ikke uten videre kan overføres til utlevering av IP-adresser. Selv om abonnementsdata inngår i begrepet trafikk-data, var det sentralt i Tele 2-avgjørelsen at lagringen gjorde det mulig å trekke presise slutninger om privatlivet til de det ble lagret informasjon om. Informasjonen som tilgjengeliggjøres gjennom utlevering av IP-adresser etter forslaget her, kan etter departementets syn ikke betraktes som informasjon som gjør slike presise slutninger mulig i særlig grad. I La Quadrature du Net uttalte EU-domstolen at IP-adresser er en kategori av data som er mindre sensitiv enn andre former for trafikkdata, jf. avsnitt 152. Det må likevel gjelde strenge vilkår og garantier også vedrørende bruk av IP-adresser, jf. avsnitt 156, men det ble ikke slått fast at det er påkrevd med uavhengig forhåndsgodkjenning av den enkelte utlevering. Dette er for øvrig i samsvar med den differensiering som gjøres i proporsjonalitetsvurderingen etter EMK basert på hvor inngripende tiltaket er, slik utledet blant annet av Breyer mot Tyskland.
EU-domstolen i storkammer avsa 2. mars 2021 avgjørelse i sak C-746/18 H.K. v Prokuratuur, som gjaldt tilgang til trafikk- og lokasjonsdata til bruk for kriminalitetsbekjempende formål. Det er redegjort for dommen i kapittel 5.3. Domstolen gjennomgikk her de betingelser som må oppstilles for at offentlige myndigheter skal få tilgang til trafikk- og lokasjonsdata, se avsnitt 48 følgende. Videre uttaler domstolen at med henblikk på å sikre etterlevelse av disse betingelsene i praksis, er det avgjørende at de kompetente nasjonale myndigheters adgang til de lagrede data er undergitt en forutgående kontroll, som foretas enten av en domstol eller av en uavhengig administrativ enhet, jf. avsnitt 51. Disse uttalelsene er knyttet til lokasjons- og trafikkdata generelt, og således til informasjon som gjør det mulig å trekke presise slutninger om privatlivet til de det ble lagret informasjon om. IP-data nevnes ikke særskilt i dommen, selv om dommens henvisning i punkt 4 til definisjonene i 2002/58-direktivet, klargjør at abonnentsdata indirekte er omfattet.
I lys av det skillet som oppstilles i La Quadrature du Net, der IP-data omtales som en kategori av data som er mindre følsomme enn andre former for trafikkdata, og i lys av at forslaget her ikke kan sies å muliggjøre presise slutninger om folks privatliv, finner departementet ikke at det nå er nødvendig å innføre et generelt krav om forhåndskontroll for utlevering av IP-adresser på grunnlag av EU-domstolens praksis. Departementet vil komme tilbake til spørsmålet dersom fremtidig utvikling skulle tilsi noe annet.
Ved vurderingen av prosessuelle krav, har departementet også vurdert hvorvidt det bør stilles strengere krav til utforming av anmodninger om utlevering av IP-adresser, eksempelvis ved formelle krav som sikrer at det foretas en konkret nødvendighetsvurdering og som dermed ivaretar at hensynet til kommunikasjonsvernet blir vurdert i forkant av den enkelte begjæring. Flere av høringsinstansene har påpekt at det er behov for et mer ensartet system for fremsettelse av anmodningene.
Departementet er enig i at det er hensiktsmessig både for politiet og tilbyderne at anmodninger fremmes på en mer ensartet måte. Departementet har videre kommet til at det kan være grunn til å stille noe strengere krav til utforming av anmodningene, blant annet for å sikre at vilkårene for utlevering blir tilstrekkelig vurdert. Når terskelen for å kunne be om opplysninger heves, vil behovet for klarere regler og notoritet for hjemmelsgrunnlag dessuten være større sammenlignet med tidligere regler. Slike formalkrav vil også kunne understøtte mekanismene for tilsyn og kontroll med behandlingen av opplysningene i etterkant.
I endelig utforming av ny § 2-8 b er dette hensyntatt ved at det er presisert at anmodning om utlevering av opplysninger om hvilken abonnent som er tildelt en gitt IP-adresse skal fremsettes skriftlig. Det skal så vidt mulig opplyses om hva saken gjelder, hva som er formålet med utleveringen og hva anmodningen omfatter. Videre skal det også fremgå at nødvendigheten av anmodningen er vurdert.
Begrensningen «så vidt mulig» tar høyde for at det i enkelte tilfeller ikke vil kunne gis fullstendige opplysninger, for eksempel av etterforskingshensyn eller fordi opplysningene er graderte. For PST, som behandler informasjon som i all hovedsak er gradert etter sikkerhetsloven, vil formålet med anmodningen ofte måtte gis på et overordnet nivå, for eksempel hvilken av PSTs oppgaver etter politiloven anmodningen knytter seg til.
Det presiseres at formalkravene ikke innebærer at tilbyderne i større grad skal foreta egne materielle vurderinger av anmodningene. De vil imidlertid kunne foreta en kontroll av formalia, slik at det vil kunne bes om supplerende informasjon dersom en anmodning er vanskelig å etterkomme på grunn av mangelfulle opplysninger. Hensikten med å introdusere slike formalkrav er blant annet også å unngå at det fremsettes anmodninger som er unødvendige. Etter departementets syn må det for øvrig ved vurderingen av krav til vilkår og garantier for bruk, som det er henvist til La Quadrature du Net-dommen avsnitt 156, også ses hen til kravene til behandlingen av opplysningene etter at de er utlevert, herunder mekanismene for tilsyn og kontroll.
Som det ble omtalt i høringsnotatet, er politiet og påtalemyndighetens behandling av opplysninger regulert i politiregisterloven med tilhørende forskrift. Dette regelverket inneholder en rekke krav til politiets og påtalemyndighetens behandling av opplysninger for å hindre misbruk og ivareta den registrertes rettigheter.
Et viktig prinsipp er at opplysninger ikke skal lagres lenger enn det som er nødvendig for formålet med behandlingen, jf. politiregisterloven § 50. Opplysninger som innhentes som ledd i en straffesak, og som for eksempel er brukt som bevis i saken, vil inngå som en del av straffesakens dokumenter og vil følge de alminnelige reglene for behandling av disse. I tillegg stiller lovens § 17 krav om at bruk av opplysninger skal kunne spores. Sporbarhet er et viktig kontrollerende tiltak for å sikre at reglene i loven overholdes.
Politiets behandling av opplysninger er underlagt Datatilsynets tilsynskompetanse, jf. lovens § 58. Tilsynskompetansen omfatter all behandling av opplysninger i politiet og påtalemyndigheten, herunder behandling av opplysninger i den enkelte straffesak. For PST er det EOS-utvalget som er tilsynsmyndighet. Datatilsynet kan føre tilsyn av eget tiltak, og skal også etter begjæring fra den registrerte, eller den som antar å være registrert, kontrollere at opplysninger om vedkommende er behandlet i samsvar med loven og at reglene om innsyn er fulgt. Tilsynet kan uten hinder av taushetsplikt kreve utlevert de opplysninger som er nødvendige for å gjennomføre kontrollen. Datatilsynets virkemidler dersom det avdekkes behandling i strid med regelverket er nærmere regulert i § 60. Tilsynet kan blant annet gi pålegg om at behandling i strid med reglene om informasjonssikkerhet og internkontroll skal opphøre. Datatilsynet kan også fastsette tvangsmulkt for å sikre oppfølging av ilagte pålegg.
I tillegg til den sentrale kontrollmekanismen uavhengig kontroll fra tilsynsorganet utgjør, vil den registrerte også kunne be om innsyn i opplysninger om seg selv, jf. politiregisterloven § 49 andre ledd. I den enkelte straffesak har den registrerte rett til dokumentinnsyn i samsvar med straffeprosesslovens regler. Den registrerte har videre klageadgang, og kan etter lovens § 54 klage blant annet på avgjørelser om innsyn, retting, sperring og sletting.
Departementet opprettholder på denne bakgrunn vurderingen fra høringsnotatet om at det ikke er behov for særskilte regler om behandling av innhentede opplysninger etter den nye bestemmelsen. Det legges til grunn at de alminnelige reglene i politiregisterlovgivningen er tilstrekkelige for å sikre kontrollen med behandlingen av opplysningene etter at de er utlevert til politiet.
I forslaget til ny § 2-8 b i ekomloven er det for øvrig lagt til grunn at det skal kunne gis forskrift om utlevering av data etter første ledd. Tilbyderens håndtering av anmodninger, vil ved behov kunne reguleres i denne forskriften.
Departementet vil også vurdere om det kan være hensiktsmessig å benytte felles digitale løsninger for fremsendelse og mottak av anmodninger, samt om det bør utarbeides et fast skjema som nærmere angir vilkårene for utleveringen. Et slikt system vil kunne gi grunnlag for å ta ut en systematisk oversikt over bruken, som vil kunne sendes Nasjonal kommunikasjonsmyndighet som tilsynsmyndighet etter ekomloven. En systematisk oversikt over anmodninger vil også være nyttig for kunne vurdere om det på et senere tidspunkt, eksempelvis på bakgrunn av rettsutviklingen eller den teknologiske utviklingen, kan være nødvendig å etablere strengere rammer for tilsyn og kontroll.
8.7 Særlig om pressens kildevern
8.7.1 Gjeldende rett
Det gjelder ingen særregler om kildevern ved anmodning om opplysninger fra politiet eller påtalemyndigheten i dagens ekomlov. Straffeprosessloven og tvisteloven har imidlertid flere relevante bestemmelser om forklaringsfritak og beslagsforbud. I Justis- og beredskapsdepartementets høringsnotat 24. september 2018 Forslag til endringer i kildevernreglene i straffeprosessloven og tvisteloven er det redegjort slik for disse reglene:
«Etter straffeprosessloven § 108 er hovedregelen at enhver som blir innkalt som vitne plikter å møte og forklare seg for retten, med mindre noe annet er bestemt ved lov. Tilsvarende plikt har enhver som kan ha noe å forklare i en sivil sak, jf. tvisteloven § 24-1 første ledd. For medarbeidere i massemedier gir likevel loven rett til å nekte å svare på spørsmål om «hvem som er forfatter til en artikkel eller melding i skriftet eller kilde for opplysninger i det», jf. straffeprosessloven § 125 første ledd første punktum og tvisteloven § 22-11 første ledd første punktum. Det samme gjelder spørsmål om «hvem som er kilde for andre opplysninger som er betrodd redaktøren til bruk i hans virksomhet», jf. § 125 første ledd annet punktum. Tvisteloven § 22-11 første ledd annet punktum inneholder en tilsvarende bestemmelse.
Formålet med straffeprosessloven § 125 og tvisteloven § 22-11 er å legge til rette for at pressen kan ivareta det samfunnsmessige og demokratiske behovet for fri debatt og meningsdannelse, jf. Ot.prp. nr. 55 (1997–98) punkt 3.2.3 side 17.
[…]
Kildevernet er ikke bare en rett til å nekte å svare på spørsmål, men innebærer også at det i utgangspunktet ikke er adgang til å ta beslag i eller pålegge utlevering av dokumenter eller annet, som har et innhold som pressen kan nekte å forklare seg om etter straffeprosessloven § 125, jf. straffeprosessloven § 204 første ledd første punktum og § 210 første ledd første punktum. Tilsvarende gjelder for bevistilgang i sivile saker, jf. tvisteloven § 26-7 annet ledd.
Forklaringsfritaket og beslagsforbudet gjelder likevel ikke ubetinget. Retten kan på strenge vilkår gjøre unntak fra kildevernet og pålegge forklaringsplikt om hvem som er kilde. En pressemedarbeider kan dessuten ha plikt til å oppgi kilder på eget initiativ, særlig etter straffeloven § 196 (avvergingsplikt), § 226 (uriktig tiltale eller domfellelse) og § 287 (hjelpeplikt).»
Det vises også til kapittel 5.3 ovenfor om ytringsfriheten, herunder pressens kildevern.
8.7.2 Forslaget i høringsnotatet
I høringsnotatet ble det lagt til grunn at det ved vurderingen av om det bør innføres en plikt til lagring av IP-adresser, også må vurderes om en slik lagring ville kunne gripe inn i ytringsfriheten, herunder pressens kildevern. Det ble i denne sammenheng presisert at IP-lagring ikke dreier seg om å lagre informasjon om innholdet i abonnentens internettkommunikasjon, eller om hvem abonnenten har vært i kontakt med. Den lagrede informasjonen vil derfor ikke i seg selv kunne identifisere pressens kilder. En forutsetning for at lagrede IP-adresser skal kunne bidra til å identifisere en kilde, vil derfor være at de lagrede opplysningene kan kobles med informasjon fra annet hold. Informasjon om hvilke IP-adresser en uidentifisert kilde har benyttet, vil politi og påtalemyndighet vanskelig kunne få tak i på andre måter enn fra den journalistiske virksomheten. Dette vil reglene om kildevern sette klare begrensninger for. Det ble videre vist til Justis- og beredskapsdepartementets høringsnotat omtalt ovenfor. Notatet gir en utførlig omtale av kildevernet etter straffeprosessloven og EMK.
Departementene pekte også på at en plikt til IP-lagring ville kunne påvirke den reelle muligheten til å kunne ytre seg anonymt eller motta anonyme ytringer på internett, og med dette ha en «nedkjølende effekt» på ytringsfriheten, eksempelvis i tilfeller der man har informasjon om hvilken IP-adresse som er benyttet i forbindelse med en anonym ytring på et nettsted. I den forbindelse ble det pekt på at informasjon om hvilken IP-adresse som er benyttet, dersom den finnes overhodet, ikke vil være noe som kan skaffes til veie uten videre, samt til at koblingen mellom en IP-adresse og abonnent, som lovforslaget åpner for, i seg selv sjelden vil muliggjøre en entydig identifikasjon av konkrete brukere. Avslutningsvis ble det vist til at forslaget uansett oppstiller vilkår som skal sikre at utlevering skal være nødvendig og forholdsmessig.
8.7.3 Høringsinstansenes syn
Advokatforeningen mener det er avklart gjennom Rt. 2010 s. 1381 Runestein at kildevernet kan være til hinder for utlevering av IP-adresser. Det er ikke arten av informasjon, en IP-adresse, som er avgjørende, men om virkningen av utlevering er slik at vernet etter EMK artikkel 10 og Grunnloven § 100 trer inn. Det er viktig at det oppstilles slike prosessuelle krav at de som utsettes for dette, har anledning til overprøving.
Den internasjonale juristkommisjon – norsk avdeling (ICJ) mener at spørsmålet om lagring av IP-adresser kan ha en nedkjølende effekt på ytringsfriheten, ikke er vurdert i tilstrekkelig grad. Departementene peker på at individet ikke automatisk kan identifiseres, men det er nettopp det man ønsker ved en slik lagringsplikt; å identifisere personen bak IP-adressen.
Norges institusjon for menneskerettigheter (NIM) viser til at ytringsfriheten er beskyttet av Grunnloven § 100, EMK artikkel 10 og FNs konvensjon om sivile og politiske rettigheter artikkel 19, og at ethvert inngrep i ytringsfriheten må oppfylle de tre vilkårene for inngrep om lovhjemmel, formåls- og forholdsmessighet. Pressefriheten, herunder kildevernet, er en sentral del av ytringsfriheten, og nyter et særlig sterkt vern. EMD har slått fast at hvor det foreligger risiko for at en kilde kan bli identifisert, må myndighetene sørge for å ha på plass klare og presise regler for å sikre at identiteten til kilden ikke blir kompromittert.
NIM forstår forslaget slik at det etter omstendighetene vil kunne oppstå situasjoner hvor politiet kan anmode om å få utlevert informasjon om hvem en IP-adresse har kommunisert med. Et inngrep i kildevernet må vurderes helhetlig ut fra den negative virkningen et slikt inngrep vil ha i en bredere samfunnsmessig kontekst. Dersom potensielle kilder ikke har tilstrekkelig tillit til at deres anonymitet vil bli ivaretatt, vil det kunne svekke pressens kildetilfang generelt og gi en «nedkjølende effekt».
Norsk Journalistlag (NJ) viser til at anonyme kilders mulighet til å kommunisere fritt med pressen er en menneskerettighet etter EMK artikkel 10 om ytringsfrihet. Kildevernet er nødvendig for å få frem informasjon som ellers ville forblitt ukjent, og er derfor begrunnet i demokratihensynet. Begrunnelsen for kildevernet gjør seg også gjeldende ved bruk av tvangsmidler. Når departementene legger til grunn at det er «lite praktisk at den lagrede informasjonen vil bidra til å muliggjøre kildeidentifikasjon», er det derfor en uholdbar påstand. NJ mener foreliggende forslag er problematisk for journalisters kildevern. Det må også settes fokus på hvilke konsekvenser det vil ha dersom den lagrede informasjonen kommer uvedkommende i hende. Når det gjelder informasjon som kan avsløre en anonym kilde, er det i henhold til EMK artikkel 10 påkrevd med en uavhengig kontrollinstans som skal vurdere dette. Kontrollen bør ifølge NJ gjennomføres av en domstol, jf. de krav som er oppstilt i La Quadrature du Net-dommen.
Norsk Presseforbund og Norsk Redaktørforening viser til at EU-domstolen i La Quadrature du Net-dommen påpeker at IP-adresser kan brukes til å «track an Internet user’s complete clickstream and, therefore, his or her entire online activity», og brukes til å gjenskape «a detailed profile of the user». Den foreslåtte lagringsplikten vil kunne inkludere all nettbruken til enkeltpersoner, og den vil i mange tilfeller gjøre at politiet enkelt vil kunne identifisere hvem vedkommende har kommunisert med. Sannsynligheten er dermed stor for at kilder kan identifiseres, i strid med kildevernet, slik dette er beskrevet i en rekke avgjørelser fra EMD gjennom deres tolkning av EMK artikkel 10. Det må også ses hen til nedkjølingseffekten tiltak som dette vil kunne få for kildevernet.
NRK mener det er viktig å merke seg at kildevernet ikke bare omfatter opplysninger som direkte kan føre til at kilden identifiseres, men også opplysninger som mer indirekte kan lede til slik identifisering. Usikkerhet om kildevernet vil i seg selv ha en nedkjølende effekt. Forslaget vil medføre at kildevernet, som allerede er under sterkt press, svekkes ytterligere. Dette er ikke betryggende eller tilstrekkelig utredet i høringsnotatet.
NRK bemerker at man ved vurderingen av i hvilken grad lagrings- og utleveringsplikten er i strid med kildevernet, må se hen til koblingen av den lagrede informasjonen mot annen informasjon, som myndighetene vil kunne få fra mange hold – ikke bare fra den journalistiske virksomheten. Eksempelvis lagrer nettbaserte meldingstjenester og sosiale medier i stor grad informasjon om IP-adresser. Det er også vist til at forslaget omfatter mer enn plikten til å lagre og utlevere abonnementsopplysninger knyttet til IP-adressene. Det er blant annet varslet at det kan bli nødvendig å lagre/utlevere informasjon om mottaker.
NRK viser til at slik lovforslaget nå foreligger, er det ingen sikkerhetsforanstaltninger for å ivareta kildevernet. Lovforslaget vil etter NRKs syn være i strid med EMK artikkel 10.
8.7.4 Departementets vurdering
Ved innføringen av en plikt til å lage IP-adresser må det, som påpekt i høringsnotatet, vurderes hvordan en slik lagring vil kunne gripe inn i ytringsfriheten, herunder pressens kildevern.
Det følger blant annet av La Quadrature du Net avsnitt 114 at det ved tolkningen av hvilke inngrep som lovlig kan gjøres i kommunikasjonsvernet i medhold av direktivets artikkel 15, også må tas hensyn til retten til ytringsfrihet. Pressefriheten, herunder kildevernet, er et viktig element i ytringsfriheten og nyter et særskilt vern under EMK artikkel 10. Det vises her til Goodwin-avgjørelsen mot Storbritannia avsnitt 39 som er referert ovenfor. For at et inngrep i ytringsfriheten etter EMK artikkel 10 skal være lovlig, må det ha tilstrekkelig hjemmel, et legitimt formål samt være forholdsmessig. Statens skjønnsmargin er begrenset på dette området, og EMD foretar en inngående prøving av vilkårene etter artikkel 10 nr. 2, jf. dommen avsnitt 40.
Etter departementets syn er det tvilsomt om regler om IP-lagring i seg selv vil utgjøre et inngrep i ytringsfriheten etter EMK artikkel 10. Uansett vil de foreslåtte reglene om lagring vanskelig kunne anses å utgjøre et uproporsjonalt inngrep, først og fremst fordi opplysningene i seg selv ikke vil være kildeidentifiserende. Informasjon om hvilken IP-adresse en abonnent er tildelt, vil som nevnt ovenfor i kapittel 4, ikke i seg selv gi informasjon om innholdet i abonnentens internettkommunikasjon eller om hvem abonnenten har vært i kontakt med. Et viktig poeng i denne sammenheng er at destinasjonsinformasjon ikke skal lagres, jf. kapittel 8.2 ovenfor. Konsekvensen av at den lagrede informasjonen eventuelt skulle komme på avveie, noe enkelte høringsinstanser har uttrykt bekymring for, vil således også ha begrenset betydning for kildevernet.
Dersom lagring av IP-adresser skal kunne bidra til å identifisere en kilde, vil de lagrede opplysningene måtte kobles med informasjon fra annet hold. Spørsmålet om kildevern vil således først kunne komme på spissen når informasjonen om hvilken abonnent som er tildelt en gitt IP-adresse, kombineres med informasjon om en IP-adresse som politiet har fått tilgang til gjennom andre etterforskingsmetoder, eksempelvis gjennom ransaking eller beslag av data. Hvis det i et konkret tilfelle skulle oppstå spørsmål om å benytte IP-informasjon for å identifisere en kilde, vil det etter departementets vurdering trolig være politiets fremgangsmåter for å skaffe til veie tilleggsinformasjon som IP-opplysningene i så fall skal kobles med, som vil komme i forgrunnen ved vurderingen av skrankene i EMK artikkel 10.
Departementet understreker at det gjelder en rekke skranker i straffeprosessloven som begrenser adgangen til å etterforske medienes kilder, se nærmere redegjørelse i høringsnotat 24. september 2018 om endringer i reglene om kildevern i straffeprosessloven og tvisteloven, især kapittel 2 og 10. Blant annet oppstiller straffeprosessloven § 125 et forklaringsfritak om kilders identitet og §§ 204 og 210 oppstiller begrensninger i adgangen til henholdsvis beslag og utleveringspålegg. I tillegg vil bruk av skjulte tvangsmidler rettet mot pressen normalt være avskåret som følge av ulike skranker i straffeprosessloven. Adgangen til å rette etterforskingsmetoder mot en siktet som også er en pressekilde, vil dessuten måtte vurderes konkret etter straffeprosessloven § 170 a og EMK artikkel 10.
At utlevering av IP-adresser fra en redaksjon er underlagt disse begrensningene følger blant annet av Rt. 2010 s. 1381 Runestein. Saken gjaldt pålegg om utlevering av en IP-adresse og brukeropplysninger fra Aller Internett i forbindelse med ulovlig besittelse av et kulturminne. Høyesterett kom til at informasjonen var beskyttet av kildevernet, selv om det var tale om et innlegg fra en leser i et debattforum.
Unntak fra kildevernet i disse tilfellene er regulert av straffeprosessloven § 125 tredje ledd. Etter denne bestemmelsen kan et vitne pålegges å oppgi en kilde når «vektige samfunnsinteresser tilsier at opplysningen gis og den er av vesentlig betydning for sakens oppklaring». Også når disse vilkårene er til stede skal det foretas en konkret avveining, der det blant annet skal tas hensyn til om kilden har avdekket forhold som det var av samfunnsmessig betydning å gjøre kjent. Rekkevidden av denne bestemmelsen ble drøftet i Rt. 2015 s. 1286 Rolfsen. Ved vurderingen av om det forelå slike vektige samfunnsinteresser som skulle tilsi at politiet kunne få tilgang til materialet, viste Høyesterett blant annet til at kildevernet kunne måtte vike når saken gjaldt alvorlig kriminalitet. Selv om det var tilfellet i den aktuelle saken, fikk politiet likevel etter en konkret avveining, ikke tilgang til materialet som kunne avsløre kilden.
Etter dette er det klart at det gjelder svært strenge rammer for politiets tilgang til informasjon om en kilde, herunder en IP-adresse, hos en journalist i forbindelse med etterforsking. Politiet vil følgelig, etter departementets skjønn, bare rent unntaksvis være i en posisjon der det vil være mulig å avdekke en journalists kilde gjennom en etterfølgende anmodning om informasjon fra en ekomtilbyder.
Politiet kan også komme over kildeavslørende materiale i forbindelse med etterforsking av lovbrudd der etterforskingen ikke er rettet mot journalistisk virksomhet. Det kan i denne sammenheng vises til vurderingen av om det burde innføres et absolutt etterforskingsforbud overfor kilder, slik drøftet i Justis- og beredskapsdepartementets høringsnotatnotat om kildevern fra 2018 kapittel 11 side 104 følgende. Departementet viste der til flere uheldige konsekvenser av et slikt forbud. Etter departementets syn må det sentrale være at de begrensningene loven oppstiller for etterforsking rettet mot pressen, innebærer at «potensielle kilder som hovedregel kan ha tillit til at pressen ikke pålegges å oppgi vedkommendes navn, og til at dette ikke røpes gjennom ransaking, beslag eller utleveringspålegg hos og mot pressen» (Prop. 147 L (2012–2013) kapittel 8.5.3 side 154). Det samme gjelder at tvangsmidler ikke brukes for å omgå pressens fritak fra forklaringsplikt om en kildes identitet (samme sted side 153).
For øvrig viser departementet til de materielle og prosessuelle vilkår som er gitt for innhenting av informasjon etter forslaget til ny ekomlov § 2-8 b, herunder nødvendighetskriteriet. Slik lagringsplikten for IP-adresser nå er rammet inn, kan departementet på det nåværende tidspunkt vanskelig se at lagringsplikten kan utgjøre et uforholdsmessig inngrep i pressens rett til kildevern etter EMK artikkel 10.