11 Tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon
11.1 Bakgrunn
11.1.1 Ekspertgruppen for forsvaret av Norge
Ekspertgruppen for forsvaret av Norge, ledet av professor Rolf Tamnes, ble oppnevnt 15. desember 2014 for å drøfte Forsvarets forutsetninger for å kunne løse sine mest krevende utfordringer knyttet til sikkerhetspolitisk krise og krig. Gruppen avga 28. april 2015 sin rapport Et felles løft. I kapittel 8 drøftes kritiske funksjoner for forsvarsevnen, herunder etterretning og overvåkning. Gruppen redegjør for trusler i det digitale rom, og peker på behovet for å kunne følge med på relevant internettrafikk for å kunne oppdage, varsle og håndtere utenlandske trusler som terror, spionasje og digitale angrep. Dette vil etter gruppens syn utgjøre et slags digitalt grenseforsvar, som må kombineres med gode kontrollordninger som ivaretar hensynet til personvernet (rapporten side 75). Gruppen anbefaler å prioritere etableringen av et digitalt grenseforsvar (rapporten side 85).
11.1.2 Lysne I-utvalgets utredning om digital sårbarhet
Regjeringen nedsatte 20. juni 2014 et utvalg ledet av professor Olav Lysne for å kartlegge samfunnets digitale sårbarheter (Lysne I-utvalget). Utvalget ble bedt om å foreslå tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet. Utvalget avga 30. november 2015 sin utredning NOU 2015: 13 Digital sårbarhet – sikkert samfunn. Utredningen redegjorde for de digitale truslene som samfunnet står overfor og hvordan disse kan møtes. Utvalget uttrykte forståelse for det etterretningsfaglige behovet for digital grenseovervåking, men mente at slik overvåkning ikke burde innføres uten en forutgående offentlig debatt. Utvalget foreslo derfor å sette ned et eget utvalg for å utrede spørsmålet i større bredde enn det utvalget hadde hatt anledning til å gjøre. Forslaget ble fulgt opp gjennom oppnevningen av Lysne II-utvalget.
11.1.3 Lysne II-utvalgets rapport om digitalt grenseforsvar
Departementet oppnevnte 24. februar 2016 et utvalg ledet av professor Olav Lysne (Lysne II-utvalget). Utvalget fikk i oppdrag å vurdere sentrale problemstillinger knyttet til å gi Etterretningstjenesten tilgang til elektronisk informasjon som kommuniseres gjennom fiberoptiske kabler inn og ut av Norge, omtalt som digitalt grenseforsvar (DGF).
Det sentrale formålet med utredningen var å vurdere det faktiske behovet, det rettslige rammeverket, de teknologiske mulighetene og begrensningene samt de sentrale hensynene for og imot et digitalt grenseforsvar. Det var også et viktig formål at rapporten skulle gi grunnlag for en bred offentlig debatt om temaet.
Utvalget avga 26. august 2016 sin rapport. I rapporten anbefaler utvalget å etablere et digitalt grenseforsvar som gir Etterretningstjenesten tilgang til digitale datastrømmer som krysser landegrensen i fiberoptiske kabler. Forutsetningen for anbefalingen var et strengt kontrollregime i flere ledd, i tillegg til strenge begrensninger på bruken av informasjonen fra tilgangen.
Departementet sendte 5. oktober 2016 utvalgets rapport på offentlig høring med tre måneders høringsfrist. Departementet mottok nærmere 120 høringsuttalelser. I grove trekk mente høringsinstansene som støttet et digitalt grenseforsvar at tiltaket er nødvendig for at Etterretningstjenesten skal kunne løse sine oppgaver. Høringsinstansene som var kritiske, fremholdt at tiltaket var for inngripende, og at det var risiko for en nedkjølende effekt på ytringsfriheten og fare for formålsutglidning. Dertil mente flere at kryptering vil hindre eller begrense effekten av tiltaket. Noen mente at forslaget ikke var i samsvar med menneskerettslige eller EØS-rettslige krav.
11.1.4 Høringsnotatet 12. november 2018
Departementet har etter høringen av Lysne II-utvalgets rapport utredet hvorvidt det bør foreslås en form for digitalt grenseforsvar. Utredningen med forslag til særregler om tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon ble inntatt i kapittel 11 i høringsnotatet 12. november 2018. Det vises til punkt 2.2 for en nærmere beskrivelse av høringen. Synspunkter som har kommet frem under høringen, vil behandles under de enkelte delene av forslaget.
Noen høringsinstanser har som primærstandpunkt at det ikke bør åpnes for tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon, men kommenterer likevel hvordan reglene i motsatt fall bør utformes. Det understrekes derfor at merknader til deler av forslaget ikke nødvendigvis innebærer at høringsinstansen støtter forslaget i sin helhet.
11.2 Terminologi
11.2.1 Forslaget i høringsnotatet
I høringsnotatet punkt 11.3 drøftes hvilket språklig uttrykk som bør brukes om slik tilgang til grenseoverskridende elektronisk kommunikasjon som skisseres i Lysne II-utvalgets rapport. Det vises til at det har blitt brukt ulike betegnelser om forslaget, herunder digital grensekontroll, digital grenseovervåking og digitalt grenseforsvar. Det gis uttrykk for at det bør velges en annen betegnelse enn disse, blant annet fordi de er lite beskrivende for hva tiltaket faktisk går ut på.
I høringsnotatet vises det til at kabelaksess eller kabeltilgang er mer beskrivende for tiltaket, men at det bør brukes en teknologinøytral betegnelse. Bulkaksess eller bulktilgang er teknologinøytrale betegnelser, men får ikke frem hva som skiller denne formen for bulkinnhenting fra andre former for bulkinnhenting, nemlig at kommersielle tilbydere må tilrettelegge for den. Det fremholdes i høringsnotatet at dette særtrekket bør fremgå av betegnelsen. Betegnelsen bør også få frem at tilgangen gjelder kommunikasjon som passerer den norske grensen, altså at den er grenseoverskridende. På denne bakgrunn foreslås betegnelsen tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon.
11.2.2 Høringsinstansenes syn
Datatilsynet, Norsk Journalistlag og Piratpartiet er kritiske til at forslaget betegnes som tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon. Datatilsynet mener at betegnelsen er uklar og ikke egnet til å beskrive hva som faktisk skjer, og går inn for betegnelsen digital masseovervåkning.
11.2.3 Departementets vurdering
Departementet tar som utgangspunkt at det bør brukes ord som så presist som mulig gjenspeiler forslagets innhold. I høringsnotatet gikk departementet derfor bort fra termen digitalt grenseforsvar, som i liten grad beskriver forslaget. Termen er godt innarbeidet og vil antakelig fortsatt brukes i den offentlige debatten, men den er for lite presis til å egne seg i et lovforslag.
Termen digital masseovervåkning, som Datatilsynet foreslår, er lite presis og egner seg ikke godt i et lovforslag. Departementet mener at forslaget heller ikke kan betegnes som digital masseovervåkning i en mer dagligspråklig mening, gitt formålsbegrensningen til utenlandsetterretning, plikten til utvalg og filtrering, vilkårene for tilgang til lagrede data og tiltakene som skal motvirke misbruk og vilkårlighet. Departementet understreker i denne sammenhengen at Etterretningstjenesten ikke vil kunne søke i lagrede metadata før retten har godkjent det på bakgrunn av lovbestemte vilkår. Når det er sagt, respekterer departementet at det er delte oppfatninger om hvordan forslaget best kan betegnes.
Betegnelsen tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon beskriver etter departementets syn forslagets innhold på en mer presis måte. Den får frem at det er tale om innhenting av elektronisk kommunikasjon, at kommunikasjonen må krysse grensen og at innhentingen forutsetter tilrettelegging. Det sistnevnte momentet får frem hva som skiller denne tilgangen fra andre former for midtpunktinnhenting (innhenting av kommunikasjon i transitt mellom to endepunkter).
Noen høringsinstanser mener at den teknologiske utviklingen gjør det meningsløst å skille mellom grenseoverskridende og ikke-grenseoverskridende kommunikasjon, da svært mye norsk innenlandsk kommunikasjon krysser grensen. Departementet har forståelse for dette synspunktet. I dagens teknologiske situasjon er det en kjensgjerning at norsk innenlandsk kommunikasjon i stor grad krysser grensen, og det vil være vanskelig å filtrere bort denne før innhenting og lagring, se nærmere punkt 11.8.2. Samtidig finnes det også kommunikasjon som ikke krysser grensen, og som effektivt vil kunne filtreres bort før innhenting og lagring. På denne bakgrunn mener departementet at begrensningen til grenseoverskridende elektronisk kommunikasjon er reell, og bør gjenspeiles i terminologien.
I lys av Datatilsynets standpunkt har departementet vurdert hvorvidt ordet innhenting kan erstattes med masseinnhenting eller bulkinnhenting. Departementet har kommet til at en slik betegnelse ikke er tilstrekkelig presis, da lovforslaget åpner for både innhenting og lagring av metadata i bulk (§ 7-7) og målrettet innhenting av innholdsdata (§ 7-9). For å komme Datatilsynet i møte, har departementet likevel justert lovforslaget § 7-7 for å gjøre det tydelig at metadata vil innhentes og lagres i bulk, det vil si at en vesentlig andel av denne informasjonen antas å være uten relevans for etterretningsformål.
Departementet fastholder etter dette forslaget i høringsnotatet om å bruke betegnelsen tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon. Av språklige grunner vil også kortformen tilrettelagt innhenting brukes i proposisjonen.
11.3 Andre lands rett
11.3.1 Sverige
Sverige vedtok i 2008 lovgivning som åpner for innhenting av grenseoverskridende elektronisk kommunikasjon for etterretningsformål. Det følger av lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet at signalspaningsmyndigheten kan innhente signaler i elektronisk form. Innhentingen kan bare ha til formål å kartlegge utenlandske forhold.
Innhentingen skjer etter filtrering basert på søkebegreper. Søkebegrepene skal utformes og anvendes på en måte som medfører minst mulig inngrep i den personlige integriteten. Dette innebærer blant annet at søkebegreper som direkte kan henføres til en konkret person, ikke kan brukes med mindre det er av betydelig viktighet for etterretningen.
Det skal ikke innhentes signaler mellom avsender og mottaker som begge befinner seg i Sverige. Hvis slike signaler ikke kan skilles ut allerede ved innhentingen, skal de slettes når det blir klart at de har blitt innhentet.
Innhentingen krever forhåndsgodkjennelse av Försvarsunderrättelsedomstolen etter lagen (2009:966) om Försvarsunderrättelsedomstol. Det føres dessuten kontroll av Statens inspektion för försvarsunderrättelseverksamheten (SIUN) og Datainspektionen.
Regler om tilretteleggingsplikt følger av lagen (2003:389) om elektronisk kommunikation 19 a §. Plikten innebærer overføring av signalene til innmeldte punkter.
11.3.2 Danmark
Danmark har ingen lovgivning som uttrykkelig regulerer innhenting av grenseoverskridende elektronisk kommunikasjon for etterretningsformål. Det følger imidlertid av lov om Forsvarets Efterretningstjeneste (FE) at FE kan innhente og innsamle opplysninger som kan ha betydning for tjenestens etterretningsmessige virksomhet. Loven er utformet på en teknologi- og metodenøytral måte, og er derfor ikke til hinder for at FE innhenter elektronisk kommunikasjon i bulk.
FE kontrolleres av Tilsynet med Efterretningstjenesterne(TET). Det føres dessuten parlamentarisk kontroll og forvaltningskontroll. Ved innhenting på kontraterrorfeltet som medfører et inngrep i kommunikasjonsvernet til en person i utlandet som er hjemmehørende i Danmark, skal innhentingen godkjennes av en domstol.
11.3.3 Finland
Finland vedtok i 2019 lovgivning som åpner for innhenting av grenseoverskridende elektronisk kommunikasjon for etterretningsformål. Det følger av lag 590/2019 om militär underrättelseverksamhet at den militære etterretningstjenesten kan innhente informasjon om datatrafikk som krysser Finlands grenser i kommunikasjonsnett.
Ved innhentingen skal det tas utgangspunkt i søkebegreper. Som søkebegrep kan ikke brukes opplysninger som identifiserer teleterminalutstyr eller teleadresse som innehas av eller antas å brukes av en person som oppholder seg i Finland. Hvis innhentingen gjelder andre enn statlige aktører, får ikke innhentingen innrettes ut fra en meldings innhold, med mindre det brukes informasjon som beskriver innholdet i et sabotasjeprogram.
Innhentingen skal godkjennes av tingretten i Helsingfors. Det føres dessuten ekstern kontroll av riksdagens underrättelsetillsynsutskott, riksdagens justitieombudsman og underrättelsetillsynsombudsmannen.
Etter lag 582/2019 om civil underrättelseinhämtning avseende datatrafik kan også sivile etterretningsmyndigheter innhente datatrafikk i kommunikasjonsnett som krysser grensen. Den militære etterretningstjenesten står for den tekniske utførelsen av innhentingen.
11.3.4 Andre land
Også andre europeiske land som står Norge nært, har i de senere årene åpnet for innhenting av grenseoverskridende elektronisk kommunikasjon for etterretningsformål. Dette gjelder blant andre Nederland, Frankrike, Tyskland og Storbritannia.
11.4 Behov og alternative løsninger
11.4.1 Høringsnotatet
Behovet for tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon drøftes i høringsnotatet punkt 11.6. Det vises til at Norge har blitt et av verdens mest digitaliserte land. Den teknologiske utviklingen gir gevinster, men fører også med seg sårbarheter. Det er naturlig og nødvendig at Etterretningstjenesten tilpasser og moderniserer sin virksomhet i takt med den teknologiske utviklingen.
I høringsnotatet vises det for det første til at både statlige og private aktører bruker det digitale rom til angrep, sabotasje, påvirkningsoperasjoner og spionasje. Aktørene utvikler stadig nye og sofistikerte metoder for slike nettverksoperasjoner. For det andre bruker trusselaktører de digitale kommunikasjonsplattformene til å planlegge og koordinere blant annet terrorhandlinger. For det tredje kommuniserer de fleste etterretningsmål over nettbaserte tjenester, slik at tilgang til elektronisk kommunikasjon er nødvendig for produksjon av etterretning generelt.
Høringsnotatet understreker betydningen av rettidig informasjon. Myndighetene kan ha et begrenset tidsvindu til å motvirke en trussel. Dersom Etterretningstjenesten er avhengig av å spørre om informasjon fra andre fordi tjenesten mangler egen tilgang, kan ventetiden være skjebnesvanger. Det er heller ikke gitt, og i mange tilfeller lite sannsynlig, at andre besitter den nødvendige informasjonen. Det vurderes som svært viktig at tjenesten har tilgang til relevant informasjon uten unødig opphold.
I høringsnotatet vises det til at Etterretningstjenesten, i fravær av adekvat tilgang til elektronisk kommunikasjon, er avhengig av å motta informasjon fra samarbeidende tjenester. Det pekes på flere svakheter ved denne avhengigheten. Samarbeidende tjenester har ikke norske interesser som prioritet, og uten egen tilgang kan det være vanskelig å kvalitetssikre og verifisere informasjonen som mottas.
Departementet vurderer i høringsnotatet at tilgang på grenseoverskridende elektronisk kommunikasjon vil gi Etterretningstjenesten anledning til selvstendig og formålsrettet å innhente kritisk informasjon fra en helt sentral informasjonskilde som tjenesten i dag ikke har tilgang til. Det vurderes som alvorlig at norske myndigheter i dag ikke er rustet til å avdekke og avverge de mest avanserte truslene mot Norge i det digitale rom, særlig statlig spionasje, forberedelser til cyberangrep og grenseoverskridende terrorplanlegging.
I punkt 11.7 i høringsnotatet drøftes hvorvidt det finnes alternative løsninger som både kan møte behovet og er mindre inngripende enn Lysne II-utvalgets modell. Det utredes ikke modeller som i større grad enn Lysne II-utvalget tar etterretningsfaglige hensyn, og som dermed vil kunne medføre et større menneskerettslig inngrep.
Tre alternativer drøftes i høringsnotatet:
Alternativ 1 er tilrettelagt innhenting utelukkende knyttet til kjente mål («lettversjonen»), se høringsnotatet punkt 11.7.2.
Alternativet bygger på positiv filtrering basert på kjente selektorer, noe som vil føre til at innhenting og lagringen får et vesentlig mindre omfang. Løsningen forutsetter imidlertid at Etterretningstjenesten allerede besitter tilstrekkelig informasjon til å kunne igangsette målrettet innhenting. Denne forutsetningen gjenspeiler ikke virkeligheten. Alternativet åpner ikke for søk i et datagrunnlag for målsøkingsformål, for retrospektiv analyse eller for å finne nye identiteter knyttet til allerede kjente mål.
Det konkluderes med at alternativ 1 vil gi svært lav etterretningsmessig verdi med hensyn til digitale trusler, kontraterror og øvrige oppdrag.
Alternativ 2 er utplassering av sensorer i utvalgte virksomheter, se høringsnotatet punkt 11.7.3.
Alternativet innebærer at det plasseres ut sensorer i utvalgte norske offentlige og private virksomheter som man antar vil kunne være relevante for å avdekke trusler mot Norge i form av kjente cybersignaturer. I motsetning til sikkerhetssensorer, som i Varslingssystemet for digital infrastruktur (VDI), som har til hensikt å øke sikkerheten i et spesifikt nettverk i Norge, vil disse etterretningssensorene ha til hensikt å belyse en utenlandsk trusselaktør, slik at man kan oppdage og dermed ha mulighet til å stanse trusselaktivitet før trusselaktøren opererer i det spesifikke nettverket.
Alternativet er betraktelig mer spisset enn Lysne II-utvalgets modell, og utgjør dermed ikke et like sterkt menneskerettslig inngrep. Alternativet vil imidlertid ikke gi det nødvendige helhetsbildet av trusselaktørens aktivitet i og mot Norge. Løsningen vil ikke kunne besvare de sentrale spørsmålene som oppstår ved et digitalt angrep, det vil si når aktøren først ble observert, hvem som står båk, hvilke øvrige mål i Norge aktøren går etter, og hva som er hensikten med aktiviteten. Det er også andre svakheter ved forslaget, blant annet at det vil være utfordrende å vite hvor sensorene bør plasseres.
Det konkluderes med at alternativ 2 vil gi lav etterretningsmessig verdi med hensyn til digitale trusler, og ingen verdi med hensyn til kontraterror og øvrige oppdrag.
Alternativ 3 er å opprettholde dagens situasjon uforandret, og ikke åpne for tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon («nullalternativet»), se høringsnotatet punkt 11.7.4.
Alternativet innebærer en fortsatt avhengighet av informasjon fra andre land. For Norge er denne avhengigheten en sårbarhet som i verste fall kan føre til en svekkelse av evnen til å treffe riktige beslutninger i saker som angår vår nasjonale sikkerhet. Alternativet vil også kunne føre til et behov for økt bruk av andre metoder, og mer innenlandsetterretning. På denne bakgrunn anbefales ikke dette alternativet.
Det konkluderes i høringsnotatet med at ingen av de alternative løsningene er egnet til å møte behovet. Det foreslås derfor en løsning som i kjernen er lik Lysne II-utvalgets anbefaling, med innhenting og lagring av metadata i bulk samt målrettet innhenting av innholdsdata. Søk i lagrede metadata og målrettet innhenting av innholdsdata vil kreve rettens kjennelse.
11.4.2 Høringsinstansenes syn
Høringsinstansene viser gjennomgående forståelse for behovet for tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon. Det pekes samtidig på problematiske sider ved forslaget, særlig fra et personvern- og menneskerettighetsperspektiv.
Nasjonal sikkerhetsmyndighet (NSM) slutter seg til beskrivelsen i høringsnotatet av de digitale trusler som samfunnet i dag står overfor. Dette trusselbildet, kombinert med en økende digitalisering, komplekse digitale verdikjeder og at vi legger stadig flere av de viktigste verdiene våre i det digitale rom, medfører nye og betydelige sikkerhetsmessige utfordringer. NSM uttaler:
«For ivaretakelse av vår nasjonale sikkerhet er det etter NSMs oppfatning av avgjørende betydning at myndighetene disponerer et virkemiddelapparat som gir oss en god nasjonal evne til å håndtere disse utfordringene. Tilgang til tidsriktig og relevant informasjon om trusler og trusselaktører i det digitale rom er i denne sammenheng helt sentralt. NSM ser derfor et behov for, og støtter, at Etterretningstjenesten gis et hjemmelsgrunnlag for tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon som foreslått i lovutkastet kapittel 7.»
NSM slutter seg til departementets vurderinger av de alternative løsningene. NSM kan ikke se at de alternativene som drøftes i høringsnotatet, vil være tilstrekkelig effektive virkemidler for håndtering av de alvorlige trusler vi i dag, og ikke minst i fremtiden, vil stå overfor i det digitale rom. NSM erkjenner at tilrettelagt innhenting er et inngripende virkemiddel, og ser de personvernutfordringer som forslaget reiser, men mener at tiltaket er nødvendig og sentralt for statens samlede evne til å ivareta nasjonens og samfunnets sikkerhet i det digitale rom.
Nasjonal kommunikasjonsmyndighet (Nkom) mener at en regulert tilgang til kommersielle ekomnett vil gi Etterretningstjenesten økt tilgang til etterretningsrelevant informasjon enn det de har i dag, og gi tjenesten økt mulighet til å kartlegge og motvirke ytre trusler mot viktige nasjonale interesser. Etter Nkoms syn er det imidlertid ikke tvilsomt at etablering av tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon er utfordrende i et samfunn som er så digitalisert som Norge, og der kommunikasjonsvernet anses som grunnleggende for tilliten til elektronisk kommunikasjon og digitale tjenester.
Direktoratet for e-helse støtter lovforslagets motivasjon om å sikre og beskytte norsk infrastruktur og systemer mot uønskede angrep og inntrengingsforsøk. Direktoratet viser til at også helsesektoren er utsatt, og har blitt rammet. Direktoratet stiller imidlertid spørsmål ved den reelle nytteverdien av å innhente kryptert kommunikasjon.
Kystverket uttaler at de, som flere andre etater, har merket konsekvenser av det endrede trusselbildet, og har forståelse for Etterretningstjenestens behov for metoder som er bedre tilpasset utviklingen på kommunikasjonsområdet.
Justis- og beredskapsdepartementet uttaler:
«Både PSTs og Etterretningstjenestens trusselvurderinger for 2019 omtaler en rekke trusler mot det norske demokratiet, fra andre land, fra potensielle, politisk motiverte voldsutøvere og personer som ønsker å ramme norske myndighetspersoner på ulike måter. Endrede kommunikasjonsformer innebærer at de etablerte metodene for å innhente nødvendig informasjon for å forebygge disse truslene i stadig mindre grad er relevante for å dekke informasjonsbehovet. Utviklingen i retning av et «hybrid» trusselbilde – som kan bestå av sammensatte hendelser, lovbrudd og påvirkningsoperasjoner både i det digitale rom og i den «analoge» del av virkeligheten – innebærer dessuten et økende behov for tilgang til informasjon også i det digitale rom.
For å kunne gi relevante beslutningsunderlag til politiske myndigheter til riktig tid, er det nødvendig at Etterretningstjenesten får tilstrekkelig tilgang til informasjon også fra digitale formidlingsformer. Dette har vært og er en grunnleggende forutsetning for løsningen av Etterretningstjenestens samfunnsoppdrag.
Som tidligere påpekt i departementets høringsuttalelse 16. januar 2017 til utredningen fra Lysne II-utvalget, er det dessuten «viktig for hensynet til nasjonal selvstendighet og suverenitet – og for å sikre at informasjonsinnhentingen skjer ut fra nasjonale behov og ikke som biprodukt av andre nasjoners informasjonsinnhenting – at mest mulig informasjonsinnhenting skjer av norske organer; i dette tilfelle E-tjenesten. Dette er dessuten avgjørende for at overvåkningen kan kontrolleres av norske domstoler og EOS-utvalget.»»
Det nasjonale statsadvokatembetet viser til sin høringsuttalelse til rapporten til Lysne II-utvalget, hvor de støtter behovet for tiltaket under forutsetning av at det underlegges strenge begrensninger for å være juridisk holdbart og forholdsmessig i et menneskeretts- og personvernperspektiv. Politidirektoratet anerkjenner behovet for tilrettelagt innhenting, men mener at de nærmere rammene ikke i tilstrekkelig grad er utredet. Innlandet politidistrikt mener at det angis gode grunner for forslaget. Kripos uttaler:
«I høringsnotatet gjøres grundig rede for utfordringer knyttet til eskaleringen av digitale trusler mot Norge og norske interesser. Aktørene bak slike trusler inkluderer etter det opplyste både statlige etterretnings- og sikkerhetstjenester, terrorist- og ekstremistgrupper og organiserte hackergrupper. Per i dag anses etterretningsvirksomhet i statlig regi å utgjøre den mest alvorlige trusselen i det digitale rom, der angrep kan ramme både nasjonale beslutningsprosesser og utfordre samfunns- og statssikkerheten. Digitale kommunikasjonsplattformer brukes også til planlegging og koordinering av terrorhandlinger. Samtidig vises til at det stadig utvikles nye og sofistikerte metoder for nettverksoperasjoner. Departementet anser det alvorlig at norske myndigheter per i dag ikke er rustet til å avdekke og avverge de mest alvorlige truslene mot Norge i det digitale rom. I denne sammenheng vil imidlertid tilrettelagt innhenting gi Etterretningstjenesten mulighet til selvstendig og formålsrettet innhenting av kritisk informasjon, fra en helt sentral informasjonskilde man i dag er avskåret fra.
Etter Kripos’ syn viser departementet og tidligere utredninger til tunge hensyn som underbygger behovet for å innføre en tilgang til grenseoverskridende elektronisk kommunikasjon også i Norge. Kripos har ikke noe informasjonsgrunnlag som tilsier en annen vurdering av den underliggende situasjonen som beskrives. Tvert imot er vi gjennom egne ansvarsområder oppmerksom på de utfordringer som utviklingen av kommunikasjonsteknologi medfører, i forhold til å kunne forebygge, avdekke, avverge eller etterforske alvorlig kriminalitet i det digitale rom.
En av statens grunnleggende oppgaver er å sikre landets suverenitet og innbyggernes sikkerhet. Den teknologiske utviklingen har imidlertid gjort både samfunns- og statssikkerheten mer sårbar. At vår etterretningstjeneste ikke er i stand til å avdekke, varsle og motvirke de alvorlige trusler det vises til, fremstår for Kripos som urovekkende, og synes å legge begrensninger på tjenestens evne til å løse sitt samfunnsoppdrag.»
Kripos påpeker samtidig at lovforslaget er utfordrende fra et personvern- og menneskerettighetsperspektiv.
Politiets sikkerhetstjeneste (PST) mener at behovet for tilrettelagt innhenting er grundig drøftet i Lysne II-utvalgets rapport og i høringsnotatet. PST viser særlig til endringen i trusselbildet og behovet for nasjonal kontroll med informasjonen. I en pressemelding 15. februar 2019 i forbindelse med oversendelsen av høringsuttalelsen uttaler PST:
«Når det gjelder forslaget om [Etterretningstjenestens] tilgang til grensekryssende elektronisk kommunikasjon, såkalt tilrettelagt innhenting, er dette et tiltak PST støtter og ønsker velkommen. Gitt dagens trusselbilde og Norges behov for å ha nasjonal kontroll på denne informasjonen, ser PST dette som helt avgjørende for å ivareta den nasjonale sikkerheten. Denne delen av lovforslaget er godt balansert og har vært utredet gjennom flere utvalg, offentlige høringer og samfunnsdebatt.»
Norges institusjon for menneskerettigheter (NIM) uttaler:
«Forslaget om tilrettelagt innhenting balanserer som et utgangspunkt to viktige interesser, som begge er vanskelige å måle. På den ene siden har staten ved E-tjenesten et behov for virkemidler for å kunne forsvare norske interesser mot blant annet cybertrusler og hybride trusler. Det vises i denne forbindelse til E-tjenestens nylige vurdering av aktuelle sikkerhetsutfordringer, offentliggjort 11. februar 2019. Norge er et av verdens mest digitaliserte samfunn, og hendelser i den senere tid, herunder Helse Sør-Øst-saken, har avdekket sårbarhet for angrep på vesentlig digital infrastruktur. Helse Sør-Øst-saken er et godt eksempel, fordi det viser at også privatlivsvernet vil være under trussel dersom sensitiv helseinformasjon ikke tilstrekkelig beskyttes mot målrettede dataangrep. Gitt at store deler av E-tjenestens virksomhet er hemmelig, er det også vanskelig for utenforstående å overprøve tjenestens behovsvurderinger og effekten av de tiltak som foreslås for å oppnå målet om å bedre beskytte norske interesser, særlig i den digitale sfære. Derfor er det så viktig at E-tjenesten er så åpne som de kan, både om sårbarheter, kapasiteter og udekkede etterretningsbehov, slik at dette så langt det er mulig kan underlegges reell demokratisk kontroll. Samtidig har NIM forståelse for at det er sider ved E-tjenestens virksomhet som ikke kan belyses. Departementet skal berømmes for å gå lenger enn tidligere i å belyse ulike forhold i denne sammenheng i høringsnotatet. NIM viser blant annet her til drøftelsen av alternativer til tilrettelagt innhenting i forslaget under punkt 11.7, som gir en systematisk fremstilling av etterretningsverdien av mindre inngripende alternativer. Dette er i utgangspunktet tillitsvekkende.
På bakgrunn av blant annet disse beskrivelsene, legger NIM som et utgangspunkt til grunn at E-tjenesten har et reelt behov for å innføre et system med tilrettelagt innhenting, primært for å beskytte Norge mot hybride trusler og cyberangrep. NIM har heller ingen forutsetning for å overprøve høringsnotatets premiss om at dette ikke generelt kan gjøres på noen mindre inngripende måte som gir tilsvarende etterretningsverdi. Når det er sagt, er det neppe noen menneskerettslig plikt å innføre et slikt system.
På den andre siden medfører lovforslaget et stort inngrep i nordmenns privatliv og personvern. I denne vektskålen ligger også vernet av ytringsfriheten, herunder pressefriheten og kildevernet, et menneskerettsområde som er avgjørende for et fungerende demokrati, og som forslaget har flere klare sider til.»
Norsk utenrikspolitisk institutt (NUPI) mener at høringsnotatet gir en god beskrivelse av det digitale trusselbildet. NUPI peker på at stater i dag i økende grad bruker digitale våpen til å spionere og kartlegge kritisk infrastruktur. Det har også vært flere tilfeller av digital sabotasje, altså at man lammer store deler av et samfunn gjennom hacking, med store økonomiske og samfunnsmessige konsekvenser. NUPI mener at departementets vurderinger av alternative løsninger er korrekte. De fremholder at det ikke er et reelt alternativ å videreføre dagens situasjon:
«Det vil gjøre at Norges sikkerhet er prisgitt godviljen hos andre land til å dele essensiell og tidskritisk informasjon. I tillegg til de momenter som departementet legger frem under dette punktet, kan et bevisst valg om ikke å styrke nasjonal etterretning på digital kommunikasjon sende et uheldig signal om at Norge tar lett på slik sikkerhet. Det kan igjen vanskeliggjøre samarbeid med andre land, da de kan bli mindre villige til å dele informasjon. Norge bør ikke bli et «svakt ledd» i det vestlige sikkerhetssamarbeidet.»
Næringslivets sikkerhetsråd (NSR) peker på at Norge er et av verdens mest digitaliserte land. NSR mener at god etterretningskapasitet er ett av flere viktige elementer for å kunne beskytte den digitale infrastrukturen, og det er derfor viktig at Etterretningstjenesten har nødvendige og tidskritiske verktøy for å løse sitt oppdrag. NSR peker på at Sverige og Storbritannia samler inn grenseoverskridende elektronisk kommunikasjon, og mener at norsk etterretningstjeneste bør ha mulighet til selv å samle data, og ikke være prisgitt samarbeidende nasjoners velvilje.
Tekna mener at tilrettelagt innhenting vil ha nytteverdi, men ser det som usikkert om nytteverdien vil stå i samsvar med de faktiske kostnadene. SINTEF uttaler:
«I forbindelse med forslaget fra Lysne II-utvalget om digitalt grenseforsvar, etterlyste flere instanser, deriblant SINTEF, at mer målrettede og mindre inngripende alternativer til masseovervåkning ble vurdert. Dette er delvis redegjort for i nåværende høringsnotat, men dessverre er analysen av alternativene svært begrenset. Den tar etter vår mening primært utgangspunkt i Etterretningstjenestens behov, fremfor å avveie ulike samfunnsbehov.
For å tilstrekkelig sikre et system er det viktig med tidligst mulig deteksjon av angrep og deling av denne informasjonen mellom relevante aktører for å sikre et godt forsvar. Samtidig er det like viktig at systemene er bygd for å motstå et angrep og håndtere at angrep lykkes. Det vil si at kritisk infrastruktur i Norge må utvikles med sikkerhet i fokus, og at en del av dette er å sørge for tilbakefallsløsninger hvor systemer i ytterste konsekvens kan opereres manuelt.
Regjeringen har nylig bevilget 497 millioner NOK til NSM for, blant annet, videreutvikling av Varslingssystem for Digital Infrastruktur – VDI. I SINTEF har vi ikke gjort noen helhetlig analyse av alternativer til tilrettelagt innhenting, men for samfunnets behov fremstår VDI som en velegnet sensor for tidlig deteksjon av angrep mot kritisk infrastruktur. Etablering av tilrettelagt innhenting er estimert i høringsnotatet til å koste ca. 700 millioner NOK, med årlige driftsutgiftene på ca. 150 millioner NOK. Dette er en betydelig årlig merkostnad for et vidt digitalt barriereforsvar. SINTEF etterlyser en mer helhetlig analyse av hva man ville kunne oppnå av økt samfunnssikkerhet ved å bruke disse midlene på alternative sikringstiltak, som f.eks. å styrke VDI ytterligere, redusere medlemsavgiften for deltagelse i VDI, styrke funksjonen for utveksling av trusselinformasjon og innføre en stor satsning på å bedre sikkerheten i kritisk infrastruktur.»
Amnesty International finner det ikke sannsynliggjort at det ikke finnes andre, mindre inngripende alternativer. I samme retning uttaler Telia Norge AS seg.
Befalets fellesorganisasjon (BFO) viser til at digital spionasje stadig øker i omfang og alvorlighet, og at denne typen aktivitet potensielt kan endres til et sabotasjeformål. Fremveksten av internasjonal ekstremisme og terrortrusselen skaper utfordringer på tvers av landegrenser og myndighetsorganer fordi aktivitet skjules i mengden av sivil trafikk. BFO finner det positivt at lovforslaget hjemler metoder som antas å styrke den nasjonale evnen til å detektere og håndtere trusler i det digitale rom. Norges offisers- og spesialistforbund (NOF) fremholder at med skiftende internasjonale trender, inkludert overgang fra bruk av papir til elektronisk kommunikasjon, må Etterretningstjenesten ha et rammeverk som er oppdatert og fremtidsrettet.
Fredrik Vingsnes, Marie Anglevik og Marita Haug Haaland, medlemmer av ICJ-Norge, mener at behovet for innsyn i datatrafikk, i en eller annen form, definitivt er til stede. De fremholder samtidig at muligheten til å benytte Internett uten tanke for hvem som følger med, har en stor egenverdi som det er verdt å beskytte.
International Business Machines AS (IBM) viser til at det digitale domenet blir stadig viktigere for så vel offentlig som privat virksomhet både av individuell og samfunnsmessig karakter. IBM mener at Etterretningstjenesten, innenfor akseptable og forsvarlige rammer, må settes i stand til å foreta attribusjon, motivkartlegging, inngående analyser og kategorisering av anslag. IBM påpeker at det av flere grunner er vanskelig å komme bort fra midtpunktinnhenting av rådata som en teknisk konsekvens av digital grensekontroll.
11.4.3 Departementets vurdering
Departementet fastholder vurderingen i høringsnotatet av behovet for tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon. På grunn av den teknologiske utviklingen har myndighetene i dag en begrenset evne til å oppdage, følge, varsle og motvirke utenlandske trusler mot Norge. Etter departementets syn er det nødvendig å styrke denne evnen gjennom tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon. Kombinasjonen av lagring av metadata i bulk og målrettet innhenting av innholdsdata ventes å gi stor etterretningsmessig verdi.
Høringen støtter opp om vurderingen i høringsnotatet. Flere høringsinstanser peker på at Norge er et av verdens mest digitaliserte land, og at det digitale domenet i dag brukes som en arena for spionasje og sabotasje. Det gis uttrykk for at Etterretningstjenesten må settes i stand til å følge den teknologiske utviklingen. Departementet deler disse synspunktene.
I høringsnotatet ble det vurdert at ingen alternative løsninger kan møte behovet på en mindre inngripende måte enn Lysne II-utvalgets anbefaling. Høringen gir i hovedsak støtte til denne vurderingen. Departementet viser særlig til høringsuttalelsene til Nasjonal sikkerhetsmyndighet og NUPI. Noen høringsinstanser er ikke overbeviste om at det ikke finnes mindre inngripende alternativer, men disse har i liten grad skissert andre løsninger. Et unntak er SINTEF, som særlig peker på en styrking av Varslingssystemet for digital infrastruktur (VDI) som et alternativ. Departementet er enig med SINTEF i at VDI er viktig for å sikre kritisk infrastruktur. VDI har derfor blitt styrket i den senere tid, og det må fortløpende vurderes om systemet bør styrkes ytterligere. Det er samtidig klart at VDI ikke kan møte behovet som ligger til grunn for forslaget om tilrettelagt innhenting. Et sentralt formål med tilrettelagt innhenting er å få oversikt over den samlede aktiviteten til utenlandske trusselaktører i det digitale domenet, og VDI gir ikke tilstrekkelig mulighet til dette. VDI er utelukkende innrettet mot å oppdage skadevare. Det er et viktig bidrag til å trygge nasjonale sikkerhetsinteresser, men vil ikke kunne ivareta Etterretningstjenestens oppgaver knyttet til trusler i det digitale rom. Det vil heller ikke kunne bidra til å løse andre oppgaver, for eksempel å motvirke internasjonal terrorisme eller spredning av masseødeleggelsesvåpen.
Etter departementets vurdering er det ikke et reelt alternativ å videreføre dagens situasjon, hvor Norge i stor grad er avhengig av å motta informasjon fra andre land. Internasjonalt etterretningssamarbeid og informasjonsutveksling er viktig for Norge, men som et fritt og selvstendig land bør vi så langt som mulig søke å unngå å være prisgitt andre nasjoners prioriteringer og velvilje. Selvstendig etterretningsevne er vesentlig for å sikre norske myndigheter et forsvarlig beslutningsgrunnlag i sikkerhets-, forsvars- og utenrikspolitiske saker. Med egen tilgang reduseres risikoen for å bli utsatt for ufullstendig eller villedende informasjon. Som påpekt av NUPI, er det dessuten viktig å unngå at Norge blir et svakt ledd i det vestlige sikkerhetssamarbeidet.
Departementet fastholder etter dette at de alternative løsningene som er utredet, vil gi liten eller ingen etterretningsmessig verdi. Departementet kjenner heller ikke til andre løsninger som kan møte behovet på en mindre inngripende måte.
Selv om de fleste høringsinstansene anerkjenner behovet for tilrettelagt innhenting, peker flere på at tiltaket har problematiske sider sett fra et personvern- og menneskerettighetsperspektiv. Departementet er enig i dette. Nytten av tiltaket må veies mot skadevirkningene det kan ha. Spørsmålet er om tiltaket er nødvendig i et demokratisk samfunn. Departementet viser til vurderingen i punkt 11.5.3.4, hvor departementet foretar den brede interesseavveiningen som våre menneskerettslige forpliktelser gir anvisning på. Departementet konkluderer der med at tiltaket er nødvendig i et demokratisk samfunn. Det legges avgjørende vekt på de legitime samfunnsmessige behovene som begrunner inngrepet, sammenholdt med summen av kontrollmekanismer og garantier mot misbruk og vilkårlighet.
I lys av høringen understreker departementet at tilrettelagt innhenting ventes å ha stor nytteverdi til tross for at den teknologiske utviklingen går i retning av mer bruk av kryptering. Departementet støtter denne utviklingen, som er viktig for personvernet, kommunikasjonsvernet og informasjonssikkerheten.
11.5 Menneskerettslige rammer
11.5.1 Høringsnotatet
De menneskerettslige rammene for tilrettelagt innhenting drøftes i høringsnotatet punkt 11.8.2. Det vises til at det særlig er retten til respekt for privatliv og kommunikasjon som utgjør rammen for tilrettelagt innhenting, men at også andre menneskerettigheter kan berøres av tiltaket, herunder særlig ytrings- og informasjonsfriheten.
I høringsnotatet vises det til at tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon vil utgjøre et inngrep i retten til respekt for privatliv og kommunikasjon, men at grunnlovsvernet ikke er absolutt. Inngrepet kan tillates dersom det har hjemmel i lov, forfølger et legitimt formål og er forholdsmessig. Det konkluderes med at vilkårene er oppfylt, og at forslaget i høringsnotatet ligger innenfor de menneskerettslige rammene som følger av Grunnloven § 102 første ledd første punktum, EMK artikkel 8 og SP artikkel 17. Heller ingen andre menneskerettslige krav vurderes å stå i veien for forslaget.
11.5.2 Høringsinstansenes syn
Flere høringsinstanser har merknader knyttet til de menneskerettslige rammene for forslaget. Det gis uttrykk for delte meninger. Noen mener at forslaget ikke er i tråd med Norges menneskerettslige forpliktelser, mens andre reiser spørsmål om dette eller peker på at den rettslige situasjonen er uavklart. Flere høringsinstanser gir innspill til endringer som kan bidra til å imøtekomme menneskerettslige krav.
Norges institusjon for menneskerettigheter (NIM) mener at det i skrivende stund er rettslig uavklart om, og under hvilke betingelser, Den europeiske menneskerettsdomstolen (EMD) vil akseptere bulkinnsamling, og uttaler:
«I ikke-rettskraftige dommer har domstolen lagt til grunn at det ikke finnes noen absolutte skranker mot innføringen av et system, men at det krever at sterke og effektive kontrollmekanismer er på plass. Det er i så fall grunn til å tro at EMD vil tilkjenne staten en ganske vid skjønnsmargin med hensyn til valg av system. Testen vil trolig bestå i om det er oppstilt mekanismer som i tilstrekkelig grad motvirker misbruksrisikoen. Hvilke mekanismer som er tilstrekkelige kommer an på misbruksrisikoen ved det aktuelle systemet. Hensett til omfanget av overvåkingskapasiteten må den iboende misbruksrisikoen i bulkinnsamlingssystemer anses svært høy. Det vil kunne stille svært strenge krav til sikkerhetsmekanismer, muligens også strengere krav enn EMD har lagt til grunn i tidligere saker.
Som også påpekt av Lysne II-utvalget, er det hårfine avveininger det er snakk om, og selv små justeringer i de aktuelle rettsikkerhetsmekanismene vil kunne få som konsekvens at et slikt system anses menneskerettstridig. Det er derfor grunnleggende i den videre prosessen at alle steiner snus for å sørge for at reelle og operative garantier mot misbruk og at det etableres effektive rettsmidler ved rettsbrudd.
Dette har også vært premissgivende for utformingen av NIMs høringsuttalelse. Vi har tatt utgangspunkt i forslaget slik det foreligger, og bestrebet oss på å komme med konkrete innspill til hvordan forslaget bedre kan ivareta menneskerettslige krav. Vi har lagt stor vekt på den grunnleggende betydningen av å sikre tilstrekkelig kapasitet og kompetanse hos kontrollmekanismene.
Vi har vanskelig for å se at det i denne kompliserte konteksten med raskt endrede rettslige og tekniske premisser er mulig å fremme noen absolutte synspunkter på hvorvidt forslaget (kun basert på hvordan det ser ut på papiret) vil stå seg i en menneskerettslig prøving, men vi mener at forslaget må endres på en rekke punkter for å bedre ivareta menneskerettslige krav.»
Når det gjelder statens menneskerettslige handlingsrom, oppsummerer NIM slik:
«Generelt sett avtegner praksis et bilde hvor staten har stort handlingsrom i valg av type overvåkingssystem for å ivareta nasjonal sikkerhet, mer begrenset handlingsrom i implementeringen og bruken av overvåkingssystemet. Hvis og i den grad overvåkingssystemet ikke bare rettes mot utenlandske forhold, men også brukes overfor egne borgere, begrenses handlingsrommet ytterligere og krav til sikkerhetsmekanismer skjerpes.
Egenarten ved bulkinnsamling innebærer at det har et betydelig misbrukspotensial overfor egne borgere, selv om det i utgangspunktet er rettet mot utenlandske forhold. NIM mener det er nærliggende at dette vil medføre at EMD vil vurdere kravet til sikkerhetsmekanismer strengt. Det er også en mulighet for at domstolen vil kunne oppstille særegne krav til sikkerhetsmekanismer som adresserer særegenhetene ved bulkinnsamlingssystemer. Dette bør departementet være særlig oppmerksom på i sin videre behandling av saken.»
Dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors mener at det kan reises spørsmål om lovforslaget tilfredsstiller de skranker som EMD har satt. De uttaler at de mange og vage vilkårene som domstolen skal vurdere, kan føre til at en effektiv kontroll ikke lar seg realisere. Advokatforeningen gir uttrykk for lignende synspunkter.
Datatilsynet mener at forslaget strider mot Norges menneskerettslige forpliktelser. Etter tilsynets oppfatning tilfredsstiller ikke forslaget kravet til hjemmel i lov på grunn av manglende klarhet og forutberegnelighet, og kontrollsystemet er så svakt at det ikke kan anses å veie opp mot inngrepet i retten til privatliv. Tilsynet mener at den manglende kartleggingen av samfunnsmessige fordeler og ulemper ved forslaget gjør det vanskelig å kunne konkludere med om forslaget er proporsjonalt. Piratpartiet slutter seg til tilsynets synspunkter. Elektronisk Forpost Norge og flere privatpersoner mener også at forslaget strider mot Norges menneskerettslige forpliktelser.
Norsk Presseforbund, Norsk Journalistlag, Norsk Redaktørforening og NRK mener at forslaget strider mot menneskerettslige forpliktelser knyttet til kildevernet.
Kripos antar at det foreslåtte tiltaket vil kunne tilfredsstille de ulike sider av lovskravet, men mener at grunnvilkårene for målsøking og målrettet innhenting i lovutkastet kapittel 5 bør angis mer presist.
11.5.3 Departementets vurdering
11.5.3.1 Menneskerettslige utgangspunkter
De menneskerettslige rammene for tilrettelagt innhenting følger i hovedsak av Grunnloven, Den europeiske menneskerettskonvensjon (EMK) og FNs konvensjon om sivile og politiske rettigheter (SP). Dessuten kan enkelte EØS-rettslige forpliktelser ha en side til menneskerettighetene. EØS-retten behandles i punkt 11.6.
Det følger av Grunnloven § 102 første ledd første punktum at enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Bestemmelsen har paralleller i EMK artikkel 8 og SP artikkel 17, som ifølge menneskerettsloven §§ 2 og 3 gjelder som norsk lov som ved motstrid går foran bestemmelser i annen lovgivning.
Retten til respekt for privatliv og kommunikasjon utgjør den sentrale menneskerettslige rammen for tilrettelagt innhenting, men også andre menneskerettigheter kan berøres. Dette gjelder særlig ytrings- og informasjonsfriheten, herunder kildevernet. Også forenings- og forsamlingsfriheten og religionsfriheten kan etter omstendighetene berøres. Vilkårene for inngrep i de ulike rettighetene er i grove trekk de samme, og departementet vil derfor i det følgende konsentrere drøftelsen rundt retten til respekt for privatliv og kommunikasjon.
Departementet legger til grunn at tilrettelagt innhenting utgjør et inngrep i retten til respekt for privatliv og kommunikasjon. Det er ikke tvilsomt at både innholdsdata og metadata er kommunikasjon som omfattes av rettighetsvernet. Innsamling, lagring, undersøkelse og bruk vil normalt regnes som selvstendige inngrep. Etter omstendighetene kan lovgivningen i seg selv også regnes som et inngrep.
Grunnlovsvernet av privatliv og kommunikasjon gjelder ikke absolutt. Stortinget valgte formuleringen «rett til respekt for» for å synliggjøre at bestemmelsen ikke står i veien for lovlig etterretning (Innst. 186 (2013–2014) side 27). Heller ikke vernet etter de internasjonale konvensjonene gjelder absolutt. Departementet tar i det følgende utgangspunkt i grunnlovsvernet, men ser også hen til de internasjonale konvensjonene.
Det følger av Høyesteretts praksis at inngrep i Grunnloven § 102 første ledd første punktum kan finne sted når inngrepet har hjemmel i lov, forfølger et legitimt formål og er forholdsmessig, se for eksempel HR-2015-206-A avsnitt 60. Departementet vil i det følgende drøfte hvorvidt disse tre vilkårene er oppfylt.
11.5.3.2 Legitimt formål
Det følger av EMK artikkel 8 nr. 2 at inngrep kan godtas blant annet av hensyn til den nasjonale sikkerhet eller offentlige trygghet. Et av formålene med lovforslaget er å bidra til å trygge Norges suverenitet, territorielle integritet, demokratiske styreform og andre nasjonale sikkerhetsinteresser, herunder forebygge, avdekke og motvirke utenlandske trusler mot Norge og norske interesser (lovforslaget § 1-1 bokstav a). Tilrettelagt innhenting vil styrke Etterretningstjenestens evne til å løse sine oppgaver etter lovforslaget kapittel 3. Alle disse oppgavene bidrar til å ivareta nasjonale sikkerhetsinteresser. På denne bakgrunn konkluderer departementet med at kravet til legitimt formål er oppfylt.
Departementet tilføyer at det i den konkrete forholdsmessighetsvurderingen som etter lovforslaget § 5-4 må foretas i hver enkelt sak, vil kunne ha betydning hvilken oppgave innhentingen begrunnes i. I vurderingen skal det blant annet tas hensyn til sakens betydning. Hvis saken gjelder en trussel som nevnt i lovforslaget § 3-1, vil det normalt kunne begrunne et sterkere inngrep enn dersom saken gjelder forhold og utviklingstrekk i andre stater og regioner etter lovforslaget § 3-2. Det vises til punkt 11.8.1.3 for en nærmere drøftelse.
11.5.3.3 Hjemmel i lov
Kravet til hjemmel i lov kan ses i sammenheng med det generelle legalitetsprinsippet som følger av Grunnloven § 113. Prinsippet skal legge til rette for forutberegnelighet for borgerne, motvirke vilkårlighet og usaklig forskjellsbehandling, og sikre at forvaltningen holder seg innenfor rammen av fullmaktene gitt av folkets representanter i Stortinget.
Hjemmelskravets formelle side vil være oppfylt gjennom at inngrepet vil ha grunnlag i lov vedtatt av Stortinget i samsvar med Grunnloven § 75 bokstav a.
Kravet til hjemmel i lov har også en kvalitativ side. Det stilles for det første visse krav til lovgivningens klarhet og presisjon. Departementet har søkt å utforme lovforslaget så klart og presist som mulig. Det er samtidig på det rene at hensynet til klarhet og presisjon må veies mot andre legitime hensyn ved utformingen av lovbestemmelser. Det er ikke i strid med menneskerettighetene at lovgivningen bygger på kriterier som er mer eller mindre vage og skjønnsmessige. Det er flere grunner til dette. Lovgivningen må utformes på en måte som gjør at den kan holde takt med utviklingen. Det har for eksempel vært et siktemål å utforme lovforslaget på en teknologinøytral måte. På dette samfunnsområdet er det også et legitimt behov for å skjerme detaljer knyttet til metoder og kapasiteter, blant annet for å unngå at etterretningsmål kan innrette seg slik at de unndrar seg innhentingen.
Departementet tar på alvor at noen høringsinstanser, herunder Datatilsynet, mener at forslaget som ble sendt på høring ikke oppfyller menneskerettslige krav til klarhet og presisjon. Departementet har på bakgrunn av høringen gått gjennom lovforslaget med sikte på å gjøre det klarere og mer presist, spesielt der det er reist kritikk mot spesifikke bestemmelser.
Hjemmelskravet tilsier at lovgivningen ikke må være for fragmentarisk. Det er samtidig ikke til å komme fra at lovgivning av et visst omfang i noen grad vil være fragmentarisk. I lovforslaget vil bestemmelsene om tilrettelagt innhenting i kapittel 7 og 8 måtte leses i sammenheng blant annet med reglene om Etterretningstjenestens oppgaver i kapittel 3, innhentingsforbudene i kapittel 4, grunnvilkårene i kapittel 5 og reglene om behandling av personopplysninger i kapittel 9. Etter departementets vurdering har ikke lovforslaget en så fragmentarisk karakter at det er i strid med hjemmelskravet.
Kravet til hjemmel innebærer også et krav til rimelige garantier mot vilkårlighet og misbruk, se for eksempel Høyesteretts flertall i HR-2014-2288-A avsnitt 30 med videre henvisninger til praksis fra EMD. Departementet har lagt vekt på å utforme kontrolltiltak og rettssikkerhetsgarantier som møter de menneskerettslige kravene, og viser til omtalen av disse i punkt 11.9 til 11.11. Lovforslaget følger opp flere forslag fra høringsinstansene som tar sikte på å styrke kontrollen. Rimelige garantier mot vilkårlighet og misbruk har stor betydning også for tiltakets forholdsmessighet, og disse omtales og vurderes derfor nærmere i punkt 11.5.3.4. Departementet legger til grunn at vurderingen av lovskravet og forholdsmessighetsvurderingen i noen grad glir over i hverandre.
Departementet konkluderer etter dette med at forslaget tilfredsstiller kravet til hjemmel i lov.
11.5.3.4 Forholdsmessighet
Det tredje vilkåret som må være oppfylt for at inngrepet skal kunne aksepteres, er kravet til forholdsmessighet. Det skal foretas en sammensatt proporsjonalitetsvurdering, se for eksempel HR-2016-2554-P avsnitt 82 for så vidt gjelder den tilsvarende vurderingen etter Grunnloven § 101 første ledd.
Det overordnede vurderingstemaet kan formuleres som et spørsmål om hvorvidt tiltaket er nødvendig i et demokratisk samfunn, jf. EMK artikkel 8 nr. 2. Dette vurderingstemaet kan igjen deles opp i spørsmål om hvorvidt tiltaket er egnet, nødvendig og forholdsmessig, se for eksempel HR-2018-104-A avsnitt 23. Departementet legger til grunn at spørsmålene i noen grad glir over i hverandre. Vurderingene bygger på, og må leses i sammenheng med, de beskrivelser og vurderinger som fremgår av proposisjonen for øvrig.
Det første spørsmålet er hvorvidt tiltaket er egnet.
Departementet finner det ikke tvilsomt at tiltaket er egnet. Det vises til punkt 11.4.3, hvor det fremgår at tilrettelagt innhenting ventes å gi stor etterretningsmessig verdi selv med økt bruk av kryptering. Uavhengige ekspertutredninger og erfaring fra andre land tilsier også at tiltaket er egnet. Det vises til punkt 11.1 og 11.3.
Det neste spørsmålet er hvorvidt tiltaket er nødvendig.
Etter departementets vurdering er det et presserende behov for tilrettelagt innhenting. I dag mangler norske myndigheter tilgang til en vesentlig kilde til informasjon. Tilgangen vil styrke vår evne til å oppdage, følge, varsle og motvirke utenlandske trusler mot Norge, og bidra til å gi myndighetene et forsvarlig beslutningsgrunnlag i sikkerhets-, forsvars- og utenrikspolitiske saker. På grunn av mangelen på tilgang er vi i dag i for stor utstrekning avhengige av informasjon fra andre land, noe som har en rekke uheldige konsekvenser, jf. punkt 11.4.3. Egen tilgang vil styrke Norges selvstendige etterretningsevne, noe som er sentralt for et fritt og selvstendig land.
Det ligger i nødvendighetskravet at det ikke må finnes mindre inngripende tiltak som vil ha samme effekt. Departementet har vurdert alternativer til tilrettelagt innhenting i punkt 11.4.3. Etter departementets vurdering finnes det ikke mindre inngripende tiltak som vil ha samme nytte som tilrettelagt innhenting.
Departementet mener etter dette at tiltaket er nødvendig.
Det avgjørende spørsmålet blir etter dette hvorvidt tiltaket er forholdsmessig. Det skal her foretas en bredere interesseavveining, se for eksempel HR-2015-2016-A avsnitt 60, hvor Høyesterett uttaler at forholdsmessighetsvurderingen «må ha for øye balansen mellom de beskyttede individuelle interessene på den ene siden og de legitime samfunnsbehovene som begrunner tiltaket på den andre». Departementet tilføyer at de beskyttede individuelle interessene er sentrale ikke bare for enkeltmennesket isolert sett, men også for å bevare et fritt, demokratisk samfunn.
Departementet tar som utgangspunkt at sterke legitime samfunnsbehov begrunner tiltaket. Loven skal bidra til å trygge Norges suverenitet, territorielle integritet, demokratiske styreform og andre nasjonale sikkerhetsinteresser, herunder forebygge, avdekke og motvirke utenlandske trusler mot Norge og norske interesser. Tilrettelagt innhenting skal sikre Etterretningstjenesten tilgang på informasjon som tjenesten må ha for å kunne utføre sine oppgaver, og slik bidra til å oppfylle lovens formål. Det følger av dette at tiltakets kjerne er vern av vår demokratiske rettsstat og de grunnleggende verdiene, rettighetene og frihetene som denne bygger på og beskytter. Departementet har redegjort for behovet for norsk utenlandsetterretning i kapittel 3. Som drøftet i punkt 11.4.3, er det av flere grunner behov for å styrke Norges selvstendige etterretningsevne.
Dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors fremholder at lovforslaget bryter med rettsstatlig tradisjon fordi innhentingen vil ramme et ukjent antall mennesker som det ikke kan knyttes noen mistanke til. Departementet bemerker at etterretningsvirksomhet som ikke knytter seg til mistanke mot bestemte personer kan være nødvendig for å beskytte samfunnet mot alvorlige trusler. Å oppdage slike trusler og hvem som står bak dem, er en sentral oppgave for myndighetene. Tilrettelagt innhenting vil styrke evnen til å løse denne oppgaven. Etterretningsvirksomhet med tilstrekkelige kontrollmekanismer og garantier mot misbruk og vilkårlighet bryter ikke med rettsstatlig tradisjon, men må snarere regnes som et rettsstatlig svar på alvorlige trusler mot demokratiet og rettsstaten. Som påpekt i punkt 11.3, har en rekke demokratiske rettsstater som står Norge nært, funnet det nødvendig å innføre lignende tiltak.
Det er samtidig ingen tvil om at tilrettelagt innhenting er et inngrep som potensielt kan ha negative virkninger for den demokratiske rettsstaten. Datatilsynet og Norges institusjon for menneskerettigheter (NIM) viser til at EMD i flere dommer har påpekt risikoen for at «a system of secret surveillance set up to protect national security may undermine or even destroy democracy under the cloak of defending it», se for eksempel Weber og Saravia mot Tyskland avsnitt 106. Departementet tar denne risikoen alvorlig. Som påpekt i punkt 4.1, skal etterretningsvirksomhet bidra til å beskytte vårt samfunns grunnleggende verdier på en måte som lar seg forene med dem.
Forslaget om innhenting og lagring av metadata i bulk etter lovforslaget § 7-7 er det mest problematiske fra et personvernperspektiv. Inngrepet avhjelpes i noen grad av plikten til å søke å hindre lagring av overskuddsinformasjon gjennom utvalg og filtrering (lovforslaget § 7-6, se nærmere punkt 11.8.2) og den maksimale lagringstiden på 18 måneder (lovforslaget § 7-7 tredje ledd). I dagens teknologiske situasjon vil det imidlertid lagres store mengder metadata om norsk innenlandsk kommunikasjon som ikke er relevant for etterretningsformål. Selv om det ikke er tale om innhenting og lagring av innholdsdata i bulk, vil også analyse og sammenstilling av metadata kunne avsløre sensitive forhold om enkeltpersoner, slik blant andre Datatilsynet fremholder i sin høringsuttalelse, se nærmere punkt 11.8.4. Inngrepet må derfor regnes som betydelig.
Innhenting, lagring og analyse av testdata i et korttidslager etter lovforslaget § 7-5 er også inngripende i personvernet, spesielt fordi det er tale om ufiltrert informasjon. Slik virksomhet er likevel avgjørende for drift av systemet, blant annet for å kunne utvikle og oppdatere filtrene som skal hindre lagring av overskuddsinformasjon. Det foreslås strenge og ufravikelige tidsbegrensninger for de ufiltrerte uttrekkene, noe som begrenser misbrukspotensialet. Det foreslås også uttrykkelig lovfestet at informasjonen utelukkende kan brukes til teknisk understøttelse, det vil si at informasjonen aldri kan brukes til etterretningsproduksjon eller til andre formål. For å støtte opp om dette forbudet foreslås det blant annet at testinnhenting og annen teknisk understøttelse bare kan utføres av et begrenset antall tekniske spesialister som har mottatt særskilt opplæring og som ikke har etterretningsanalyse som oppgave. Departementet viser til punkt 11.8.3.
Målrettet innhenting og lagring av innholdsdata etter lovforslaget § 7-9 vil kunne være inngripende for dem det gjelder, men gir etter departementets vurdering ikke opphav til de samme betenkeligheter med hensyn til personvernet som innhenting og lagring av metadata og testdata. Selv om tilgang til innholdsdata isolert sett normalt må regnes som mer inngripende enn tilgang til metadata, vil ikke innholdsdata innhentes og lagres i bulk, og denne innhentingen er derfor i sin natur mer spisset. Departementet viser til punkt 11.8.6 for en nærmere beskrivelse.
På grunn av inngrepets karakter og omfang foreslår departementet en rekke materielle og prosessuelle vilkår for tilgang til og bruk av informasjonen, samt andre garantier mot misbruk og vilkårlighet. Departementet legger på samme måte som NIM til grunn at det ut fra EMDs praksis beror på en helhetlig vurdering hvorvidt et nasjonalt overvåkingssystem i tilstrekkelig grad begrenser risikoen for misbruk. Statene har et visst handlingsrom ved utformingen av systemet. Departementet har ved utformingen av forslagene blant annet sett hen til EMDs praksis og lovgivningen i nærstående land. Departementet har også sett hen til internasjonale anbefalinger, blant annet Report on the democratic oversight of the Security Services og Report on the democratic oversight of signals intelligence agencies fra Den europeiske kommisjonen for demokrati gjennom lovgivning (Veneziakommisjonen).
Departementet viser for det første til at tilrettelagt innhenting er begrenset til de formål som følger av lovforslaget kapittel 3. Dette innebærer at tilrettelagt innhenting bare kan brukes for utenlandsetterretningsformål. Det oppstilles innhentingsforbud i lovutkastet kapittel 4 som tydeliggjør den strenge formålsbegrensningen, og i kapittel 5 foreslås det grunnvilkår for innhenting som blant annet innebærer krav til forholdsmessighet.
Videre foreslås det blant annet regler om maksimal lagringstid (§ 7-7 tredje ledd), krav til skikkethet og opplæring (§ 7-8 andre ledd), krav til systematiske tiltak for internkontroll og aktivitetslogger (§ 7-10), forbud mot diskriminering (§ 9-4), sletteplikt (§ 9-8), informasjonssikkerhet (§ 9-9) og taushetsplikt (§ 11-2).
Lovforslaget gir et særlig vern for journalistisk og annen fortrolig kommunikasjon (§§ 9-5 og 9-6). Slik kommunikasjon skal som den klare hovedregel ikke behandles. Det vises til drøftelsen i punkt 12.8.
Departementet legger vekt på at forslaget inneholder en rekke kontrollmekanismer og rettssikkerhetsgarantier. Forslaget stiller for det første krav om forhåndsgodkjennelse av en domstol etter reglene i lovforslaget kapittel 8, se nærmere punkt 11.9. Denne oppgaven foreslås lagt til de alminnelige domstolene, som utvilsomt oppfyller de kravene som må stilles til uavhengighet fra forvaltningen. Ved at sakene behandles av generalistdommere som behandler alle typer saker, reduseres risikoen for at dommerne over tid vil identifisere seg med tjenestens virksomhet, samtidig som det ved at sakene samles i Oslo tingrett som førsteinstans legges til rette for at dommerne vil opparbeide seg en erfaring med sakstypen som gir grunnlag for en reell kontroll.
Retten skal foreta en fullstendig legalitetskontroll på bakgrunn av vilkår som er fastsatt i loven, herunder at innhentingen ligger innenfor tjenestens oppgaver, er forholdsmessig og ikke strider mot noen av innhentingsforbudene. Kjennelsen skal begrunnes og kan ankes til en overordnet domstol. Retten skal som hovedregel oppnevne en særskilt advokat som skal målbære den enkeltes rettigheter og samfunnets interesser i saken, for eksempel personvernhensyn, og det kan avholdes muntlige forhandlinger dersom retten ser behov for det. Tillatelser skal ikke gis for lengre tid enn nødvendig, og det foreslås i tillegg absolutte lengstefrister for varighet. Søk og innhenting skal avbrytes dersom lovens vilkår ikke lenger er oppfylt.
Noen høringsinstanser har påpekt at flere av vilkårene er utformet på en måte som kan gjøre det vanskelig for domstolen å føre en reell kontroll, blant annet fordi vilkårene er vage og skjønnsmessige. Departementet har forståelse for synspunktet, og er enig i at det kan være vanskelig for domstolen å overprøve enkelte vurderinger knyttet til vilkår som av ulike grunner må være mer eller mindre vage og skjønnsmessige. Departementet mener like fullt at domstolens forhåndskontroll vil være en reell og viktig garanti mot misbruk og vilkårlighet, særlig på grunn av den disiplinerende virkningen domstolskontrollen må antas å ha. Det vises til drøftelsen i punkt 11.9.1.3.
Domstolens forhåndskontroll må ses i sammenheng med kontrollen som skal utføres av EOS-utvalget. Utvalget skal etter lovforslaget § 7-11 føre løpende kontroll med tilrettelagt innhenting, se nærmere punkt 11.10. Som det fremgår der, er det en forutsetning for forslaget at utvalgets sekretariat styrkes betydelig, spesielt med hensyn til teknologisk kompetanse. I tråd med utvalgets høringsuttalelse foreslås det dessuten å lovfeste en plikt for Etterretningstjenesten til å legge til rette for kontrollen gjennom tekniske løsninger, jf. lovforslaget § 7-11 tredje ledd.
EOS-utvalget skal kontrollere at bestemmelsene i loven etterleves, herunder at søk gjennomføres i tråd med rettens kjennelse og at testdata utelukkende brukes til teknisk understøttelse. Hvis utvalget mener at en innhentingsaktivitet er ulovlig og må opphøre, og Etterretningstjenesten ikke retter seg etter utvalgets syn, foreslås det at utvalget kan ta saken inn for domstolene, som vil ha myndighet til å pålegge opphør av den ulovlige virksomheten og sletting av ulovlig innhentet informasjon. Departementet viser til lovforslaget § 7-12.
EOS-utvalget vil også føre etterfølgende kontroll med tilrettelagt innhenting i samsvar med EOS-kontrolloven. Etterfølgende domstolskontroll kan også være aktuelt. Som det redegjøres for i punkt 4.4.2, er det en relativt vid klage- og søksmålsadgang for personer som mener seg utsatt for ulovlig overvåkning.
I tillegg til den uavhengige kontrollen ved domstolene og EOS-utvalget vil det også gjelde andre kontrollmekanismer, blant annet tjenestens internkontroll og departementets forvaltningskontroll, se nærmere punkt 11.11. Innenfor sitt tilsynsområde vil dessuten Nasjonal kommunikasjonsmyndighet (Nkom) føre tilsyn med ekomtilbydernes utøvelse av tilretteleggingsplikten, jf. lovforslaget § 2-8 andre ledd andre punktum, se nærmere punkt 11.8.7.3.
Departementet har tatt i betraktning risikoen for formålsutglidning, det vil si risikoen for at tilgangen blir tatt i bruk til andre formål enn tilsiktet. Hvis tilgangen brukes på en måte som strider mot loven, vil det være misbruk. Det vil for eksempel være misbruk hvis en tjenesteperson i Etterretningstjenesten bruker tilgangen for å «snoke». Det vil også være misbruk hvis en tjenesteperson bruker tilgangen for å skaffe informasjon til politiet om lovbrudd som det ligger utenfor Etterretningstjenestens oppgaver å innhente informasjon om (for eksempel narkotikalovbrudd), til skattemyndighetene om skatteunndragelse eller til trygdemyndighetene om trygdesvindel. Bruk i strid med loven vil kunne straffes som tjenestefeil eller misbruk av offentlig myndighet i medhold av straffeloven §§ 171 til 173 eller som brudd på tjenesteplikt etter militær straffelov § 77. Misbruk vil også kunne få arbeidsrettslige og disiplinærrettslige konsekvenser i medhold av statsansatteloven § 25 følgende og disiplinærloven § 1 første ledd.
Faren for misbruk kan aldri helt fjernes, men departementet har søkt å redusere risikoen på flere måter. Kontrollmekanismene som er beskrevet over, står sentralt. Det foreslås i tillegg forbud mot å utlevere overskuddsinformasjon og forbud mot å bruke informasjon fra tilgangen som grunnlag for strafferettslige sanksjoner (lovforslaget §§ 7-13 og 7-14). Det foreslås også forbud mot innhenting med politiformål (lovforslaget § 4-8) og forbud mot å bruke tilgangen i medhold av reglene om Forsvarets bistand til politiet (lovforslaget § 10-7 andre punktum). Alle disse bestemmelsene støtter opp om formålsbegrensningen til utenlandsetterretning, og motvirker risikoen for at tilrettelagt innhenting kan brukes til å overvåke egen befolkning.
Hvis Etterretningstjenesten, til tross for formålsbegrensningen som det er redegjort for over, kommer i besittelse av overskuddsinformasjon som det kan være nødvendig å utlevere for å forhindre alvorlig fare for noens liv, helse eller frihet, kan det være en menneskerettslig plikt å utlevere informasjonen. Det samme gjelder informasjon som kan hindre at noen blir uriktig tiltalt eller domfelt for en straffbar handling. Slik utilsiktet sekundærbruk må etter departementets syn aksepteres, og en adgang til dette følger av lovforslaget § 7-13 andre ledd. Unntaket er meget snevert og skal anvendes med stor varsomhet. Departementet understreker at bruk av tilgangen med sikte på å komme i besittelse av slik informasjon, vil være misbruk. Det vises til nærmere drøftelse i punkt 11.12.3.
Det kan i en viss betydning kalles formålsutglidning også hvis Stortinget på et senere tidspunkt endrer loven for å åpne for bruk av tilgangen til andre formål enn det som var utgangspunktet. Departementet mener at muligheten for senere lovendringer ikke er et argument som med vekt taler mot lovforslaget. Stortingets lovgivende myndighet er et grunnleggende trekk ved vår demokratiske styreform, jf. Grunnloven § 49, som bestemmer at folket utøver den lovgivende makt ved Stortinget. Menneskerettighetene, slik de er vernet av Grunnloven og internasjonale konvensjoner som gjelder som norsk lov etter menneskerettsloven, vil sette grenser for hvilke endringer som kan gjennomføres.
Departementet mener etter dette at risikoen for formålsutglidning ikke er et avgjørende argument mot forslaget.
Noen høringsinstanser peker på risikoen for at systemet kan falle i gale hender ved en udemokratisk maktovertakelse. Det er ingen tvil om at det kan ha alvorlige konsekvenser dersom en fiendtlig aktør får kontroll over systemet. Samtidig er ikke en slik risiko unik for dette systemet, og risikoen må etter departementets syn håndteres med utgangspunkt i alminnelige regler. Departementet viser i den forbindelse til lovforslaget § 11-6, som fastslår at Etterretningstjenesten skal utarbeide og vedlikeholde beredskapsplaner, blant annet forberede tiltak for å sikre at tjenestens informasjon og systemer ikke kommer under kontroll av uvedkommende i krise eller væpnet konflikt. Departementet mener på denne bakgrunn at risikoen ikke med avgjørende vekt taler mot forslaget.
Risikoen for at tiltaket vil ha en nedkjølende effekt på ytrings- og informasjonsfriheten har vært en sentral del av departementets vurdering. Datatilsynet har under høringen kritisert departementet for ikke i tilstrekkelig grad å ta risikoen på alvor. Med en nedkjølende effekt menes i korte trekk at den enkelte vil modifisere eller sensurere ytringene sine, eller helt unnlate å ytre seg, på grunn av frykt for eller kunnskap om at ytringene overvåkes. Departementet tar risikoen for en slik effekt alvorlig. Ytringsfriheten er en forutsetning for demokratiet og for menneskets sannhetssøken, personlige autonomi og frihet. Risikoen for en nedkjølende effekt på ytringsfriheten er derfor en betydelig innvending mot forslaget. Risikoen kan etter departementets syn likevel ikke tillegges avgjørende vekt, gitt de legitime samfunnsbehovene som begrunner inngrepet.
Departementet har sett hen til at tiltaket vil innebære en viss byrde for tilbydere som omfattes av tilretteleggingsplikten etter lovforslaget § 7-2. Byrden vurderes som lav, særlig siden det foreslås at merutgifter knyttet til plikten skal dekkes av staten. Plikten vil heller ikke kreve at tilbyder setter av omfattende tekniske eller andre ressurser. Det lovfestes at tilretteleggingen ikke skal forringe elektroniske kommunikasjonstjenester for brukerne. Departementet viser til drøftelsen i punkt 11.8.7.3.
Etter denne brede interesseavveiningen har departementet kommet til at vilkåret om forholdsmessighet er oppfylt. Departementet har lagt avgjørende vekt på de legitime samfunnsmessige behovene som begrunner inngrepet, sammenholdt med summen av kontrollmekanismer og garantier mot misbruk og vilkårlighet.
11.5.3.5 Forestående avgjørelser fra Den europeiske menneskerettsdomstol
EMDs storkammer har til behandling sakene Centrum för rättvisa mot Sverige og Big Brother Watch mfl. mot Storbritannia. Sakene ventes å gi avklaringer av de EMK-rettslige rammene for innhenting av data i bulk av hensyn til nasjonal sikkerhet. Begge sakene ble avgjort av EMD i kammer i 2018. I kammerdommene kom domstolen til at det lå innenfor statenes skjønnsmargin å innhente data i bulk av hensyn til nasjonal sikkerhet, men det ble oppstilt krav til garantier mot misbruk og vilkårlighet. Etter departementets vurdering oppfyller lovforslaget de kravene som følger av kammerdommene. Kammerdommene ble anket til EMDs storkammer, og tatt til behandling der. De er derfor ikke rettskraftige.
Norge innga 29. mai 2019 et skriftlig tredjepartsinnlegg til storkammeret, hvor det blant annet ble gitt uttrykk for at statene må ha en vid skjønnsmargin med hensyn til spørsmålet om hvorvidt innhenting av data i bulk av hensyn til nasjonal sikkerhet er nødvendig i et demokratisk samfunn. Det ble avholdt muntlig høring i sakene 10. juli 2019. Avgjørelsene foreligger ikke i skrivende stund. Hvor lang tid storkammeret bruker fra muntlig høring til dom, varierer. Departementet har ikke kjennskap til når avgjørelsene vil bli avsagt. Det er ikke uvanlig at dom fra storkammeret foreligger tidligst ett år etter den muntlige høringen.
Storkammerets avgjørelser kan få betydning for reguleringen av tilrettelagt innhenting, for eksempel dersom storkammeret skulle oppstille strengere krav til garantier mot misbruk og vilkårlighet enn det som følger av kammerdommene. Det vil i så fall måtte vurderes på nytt om lovforslaget er i samsvar med EMK, slik konvensjonen tolkes av EMD. På grunn av dette har departementet vurdert å vente med å fremme proposisjonen til avgjørelsene foreligger. Det er på den andre siden grunner som tilsier at Stortinget bør behandle lovforslaget uten å avvente avgjørelsene. Lovforslaget har høy prioritet, blant annet fordi det som helhet er utformet med sikte på å gi klarere rettslige rammer for Etterretningstjenestens virksomhet, noe som er av sikkerhetspolitisk og menneskerettslig betydning. Departementet viser i den forbindelse til Stortingets anmodningsvedtak 21. februar 2017, se nærmere punkt 2.1 og 10.3. Departementet ønsker på denne bakgrunn å legge til rette for behandling av forslaget i vårsesjonen 2020, og har derfor funnet å burde fremme proposisjonen før storkammerets avgjørelser foreligger.
Når avgjørelsene blir avsagt, må de analyseres for å finne ut om de gjør det påkrevd å endre lovforslaget eller et eventuelt lovvedtak på ett eller flere punkter. Siden det er forskjeller mellom lovforslaget i denne proposisjonen og lovgivningen som er tema i de to sakene, vil det ikke uten videre kunne trekkes slutninger fra resultatet av dommene til spørsmålet om lovforslagets samsvar med EMK. Hvis det blir nødvendig, vil departementet komme tilbake til Stortinget på egnet måte. Fordi tilrettelagt innhenting vil kreve en anskaffelse, er det ikke grunn til å tro at lovforslaget kapittel 7 og 8 vil bli satt i kraft før storkammerets avgjørelser foreligger.
11.6 EØS-rettslige rammer
Tiltak som tar sikte på å beskytte nasjonal sikkerhet, slik som utenlandsetterretning, omfattes ikke av EØS-avtalens saklige virkeområde. EØS-relevant EU-regelverk kan etter omstendighetene ha betydning for slike tiltak, men det klare utgangspunktet er at tiltak innen nasjonal sikkerhet heller ikke omfattes av EU-retten. Dette følger av traktaten om Den europeiske union (TEU) artikkel 4 nr. 1, som fastslår at nasjonal sikkerhet forblir den enkelte medlemsstats eneansvar.
EUs pakt om grunnleggende rettigheter beskytter blant annet retten til respekt for privatliv og kommunikasjon, retten til beskyttelse av personopplysninger og ytringsfriheten. Pakten er etter TEU artikkel 6 nr. 1 bindende for EUs medlemsland. Den er ikke gjort til en del av EØS-avtalen, og er dermed ikke bindende for Norge.
Kommunikasjonsverndirektivet (2002/58/EF) er EØS-relevant og gjennomført i norsk rett i ekomloven. Det følger av direktivet artikkel 5 nr. 1 at medlemsstatene plikter å sikre konfidensialitet for kommunikasjon og tilhørende trafikkdata. Medlemsstatene skal særlig forby avlytting, lagring og andre former for overvåkning uten brukernes samtykke, med mindre det er tillatt etter lov i samsvar med artikkel 15 nr. 1. Etter artikkel 15 nr. 1 kan medlemsstatene på nærmere vilkår treffe tiltak som griper inn i rettigheter og plikter etter direktivet, blant annet ut fra hensyn til nasjonal sikkerhet. Samtidig følger det av artikkel 1 nr. 3 at direktivet ikke får anvendelse på virksomhet som gjelder offentlig sikkerhet, forsvar, statens sikkerhet eller statens virksomhet på det strafferettslige området.
Personopplysningsloven gjennomfører personvernforordningen i norsk rett. Det følger av personopplysningsloven § 1 at forordningen, slik den er inntatt i EØS-avtalen og med de tilpasninger som følger av EØS-komiteens beslutning om innlemmelse og EØS-avtalen for øvrig, gjelder som norsk lov. Loven og forordningen gjelder i utgangspunktet både innenfor og utenfor EØS-avtalens virkeområde, jf. personopplysningsloven § 2 første ledd første punktum, som går foran unntakene i forordningen artikkel 2 nr. 2. Det følger imidlertid av personopplysningsloven § 2 første ledd andre punktum at loven og forordningen ikke gjelder når annet er bestemt i eller med hjemmel i lov. Det åpnes dermed for at det kan gjøres unntak i særlovgivningen innenfor rammen av unntakene i forordningen artikkel 2 nr. 2. I tråd med unntaket i forordningen artikkel 2 nr. 2 bokstav a foreslås det i proposisjonen her at personopplysningsloven ikke skal gjelde for behandling av personopplysninger for etterretningsformål, jf. punkt 12.4.4.
Ved lov 15. april 2011 nr. 11 vedtok Stortinget lovendringer for å gjennomføre EUs datalagringsdirektiv i norsk rett. Direktivet ble kjent ugyldig av EU-domstolen i 2014, og loven har ikke trådt i kraft. Hensikten med direktivet var å bidra til å avdekke, etterforske og straffeforfølge alvorlig kriminalitet. Direktivet regulerte ikke datalagring i forbindelse med utenlandsetterretningsvirksomhet. Forslaget i proposisjonen har ingen sammenheng med datalagringsdirektivet.
I høringsnotatet punkt 11.8.3.2 drøftes betydningen av EU-domstolens avgjørelse i Tele2/Watson (de forente sakene C-203/15 og C-698/15). Det vises til at dommen gjelder nasjonal lovgivning om datalagring med sikte på å bekjempe kriminalitet, mens forslaget i høringsnotatet har beskyttelse av nasjonal sikkerhet som formål. Det konkluderes på denne bakgrunn med at dommen ikke står i veien for nasjonal lovgivning som åpner for tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon når formålet med innhentingen er utenlandsetterretning.
Det konkluderes i høringsnotatet punkt 11.8.5 med at det ikke vil være i strid med Norges EØS-rettslige forpliktelser å vedta lovgivning om tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon for utenlandsetterretningsformål. Ingen høringsinstanser har innvendinger mot vurderingen, men noen viser til Tele2/Watson som ledd i menneskerettslige innvendinger mot forslaget. Departementet fastholder at Norges EØS-rettslige forpliktelser ikke er til hinder for lovforslaget. Etter departementets syn kan det heller ikke trekkes slutninger fra Tele2/Watson med hensyn til de menneskerettslige rammene for tilrettelagt innhenting, all den tid avgjørelsen gjelder nasjonale regler med et annet formål og med en annen innretning. De menneskerettslige rammene for forslaget er drøftet i punkt 11.5.
Departementet bemerker at EU-domstolen har til behandling Privacy International (sak C-623/17). Saken gjelder betydningen av kommunikasjonsverndirektivet for lagring av kommunikasjonsdata i bulk for å verne nasjonal sikkerhet, og hvorvidt kravene som domstolen oppstilte i Tele2/Watson gjelder når datalagringen finner sted av hensyn til nasjonal sikkerhet.
Norge innga skriftlig tredjepartsinnlegg til domstolen 14. februar 2018. I likhet med et stort flertall andre stater som innga innlegg, ga Norge uttrykk for at tiltak innen nasjonal sikkerhet ikke omfattes av kommunikasjonsverndirektivets virkeområde. Det ble avholdt muntlig høring i saken 9. til 10. september 2019, i sammenheng med La Quadrature du Net mfl. (de forente sakene C-511/18 og C-512/18) og Ordre des barreaux francophones et germanophone mfl. (sak C-520/18). Norge holdt innlegg under høringen.
Generaladvokat Manuel Campos Sánchez-Bordona avga 15. januar 2020 sin uttalelse i saken. I motsetning til hva Norge tok til orde for, mener han at direktivet gjelder for lovgivning som pålegger ekomtilbydere å lagre data på vegne av myndighetene for å verne nasjonal sikkerhet. Han mener at nasjonal lovgivning ikke kan pålegge tilbydere en plikt til å gi etterretnings- og sikkerhetstjenester tilgang til kommunikasjonsdata i bulk som innebærer en generell og udifferensiert lagring av slike data i forkant. Subsidiært mener han at etterretnings- og sikkerhetstjenesters tilgang til data fra ekomtilbydere må oppfylle kriteriene som domstolen oppstilte i Tele2/Watson. Uttalelsen er ikke bindende for domstolen.
Domstolens avgjørelse foreligger ikke i skrivende stund. Departementet vet ikke når dom vil bli avsagt. Det er ikke klart i hvilken grad avgjørelsen vil få betydning for reguleringen av tilrettelagt innhenting. Siden det er forskjeller mellom lovforslaget i denne proposisjonen og lovgivningen som er tema i Privacy International, vil det ikke uten videre kunne trekkes slutninger fra domsresultatet til spørsmålet om lovforslagets samsvar med EØS-retten. I tillegg kommer at EUs pakt om grunnleggende rettigheter, som domstolen i Tele2/Watson tolker direktivet i lys av, ikke er en del av EØS-avtalen.
Departementet har vurdert å vente med å fremme proposisjonen til avgjørelsen foreligger, men har av samme grunner som redegjort for under punkt 11.5.3.5 funnet å burde fremme proposisjonen nå. Hvis en analyse av domstolens avgjørelse viser at den gjør det påkrevd å endre lovforslaget eller et eventuelt lovvedtak på ett eller flere punkter, vil departementet komme tilbake til Stortinget på egnet måte. Fordi tilrettelagt innhenting vil kreve en anskaffelse, er det ikke grunn til å tro at lovforslaget kapittel 7 og 8 vil bli satt i kraft før avgjørelsen foreligger.
11.7 Europarådets personvernkonvensjon
Norge har ratifisert Europarådets konvensjon nr. 108 av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger. Formålet med konvensjonen er å sikre respekten for individets rettigheter og grunnleggende friheter, særlig retten til privatliv, med hensyn til elektronisk databehandling av personopplysninger.
Konvensjonen stiller i artikkel 5 krav til datakvalitet:
«Personopplysninger som bearbeides ved elektronisk saksbehandling skal:
a) innsamles og bearbeides på rettferdig og lovlig vis;
b) lagres for bestemte og lovlige formål og ikke nyttes på en måte som er uforenlig med disse formål;
c) være adekvate, relevante og ikke for omfattende i relasjon til de formål de lagres til;
d) være nøyaktige og, der det er nødvendig, holdt a jour;
e) oppbevares på en måte som ikke gir anledning til å identifisere datasubjektene lenger enn nødvendig for det formål som disse opplysningene lagres til.»
Artikkel 6 oppstiller et særskilt vern for særlig sensitive personopplysninger:
«Personopplysninger som åpenbarer rasemessig opprinnelse, politiske oppfatninger samt religiøs eller annen tro, så vel som personopplysninger vedrørende helse eller seksualliv, kan ikke behandles elektronisk med mindre intern lovgivning gir tilstrekkelig vern. Det samme skal gjelde for personopplysninger som gjelder domfellelser for straffbare handlinger.»
Artikkel 8 oppstiller regler om tilleggsvern for datasubjektene:
«Enhver person skal ha rett til:
a) å bringe på det rene om det eksisterer et elektronisk persondataregister, dets hovedformål, så vel som den ansvarlige registerførers identitet og faste bopel eller hovedkontor.
b) med rimelige mellomrom og uten ugrunnet opphold eller urimelige utgifter å få bekreftet hvorvidt personopplysninger vedrørende ham selv er lagret i det elektroniske persondataregister og å få seg meddelt disse opplysninger i en forståelig form;
c) å få korrigert eller slettet, alt etter omstendighetene, slike opplysninger dersom disse er blitt behandlet i strid med de bestemmelser i intern lovgivning som gjennomfører hovedprinsippene fastsatt i denne konvensjons artikler 5 og 6;
d) å klage eller på annen måte bringe saken videre dersom en anmodning om bekreftelse eller, alt etter omstendighetene, meddelelse, korrigering eller sletting som nevnt i denne artikkels punkter b) og c), ikke etterkommes.»
Det følger av artikkel 9 nr. 2 at avvik fra artiklene 5, 6 og 8 skal være tillatt når slikt avvik følger av lov og er et nødvendig tiltak i et demokratisk samfunn av hensyn til blant annet beskyttelse av statens sikkerhet og offentlig sikkerhet. Vurderingstemaet er i hovedtrekk sammenfallende med vurderingstemaene som gjelder lovligheten av inngrep i rettighetene etter Grunnloven § 102 første ledd første punktum og EMK artikkel 8. I høringsnotatet punkt 11.8.4 legges det til grunn at tiltak som tilfredsstiller kravene som følger av Grunnloven og EMK, heller ikke vil være i strid med konvensjonen. Ingen høringsinstanser har innvendinger mot denne tilnærmingen. Departementet mener at inngrepet er i samsvar med kravene som følger av Grunnloven og EMK, og legger etter dette til grunn at det også er i samsvar med Europarådets personvernkonvensjon.
11.8 Reguleringen av tilrettelagt innhenting
11.8.1 Generelle vilkår og virkeområde
11.8.1.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.14.2 at Etterretningstjenesten skal kunne innhente grenseoverskridende elektronisk kommunikasjon for etterretningsformål, det vil si med formål å ivareta en eller flere av tjenestens oppgaver etter lovutkastet kapittel 3. Etter forslaget gjelder hjemmelen bare kommunikasjon som krysser den norske landegrensen, ikke lagrede data som ikke er i transitt.
Forslaget i høringsnotatet oppstiller tre vilkår i tillegg til formålsbegrensningen. For det første må grunnvilkårene etter kapittel 5 være oppfylt, for det andre må særreglene i kapittel 7 og kapittel 8 følges, og for det tredje må innhentingen ikke stride mot øvrige bestemmelser i loven.
Det vises i høringsnotatet til at tilrettelagt innhenting er en form for midtpunktinnhenting (innhenting av kommunikasjon i transitt mellom to endepunkter) som på grunn av enkelte særtrekk bør reguleres særskilt. Særreglene bør derimot ikke gjelde for annen innhenting av grenseoverskridende elektronisk kommunikasjon. I høringsnotatet foreslås det derfor at særreglene bare skal gjelde for innhenting som ekomtilbydere skal ha plikt til å tilrettelegge for.
11.8.1.2 Høringsinstansenes syn
Noen høringsinstanser mener at tilrettelagt innhenting ikke bør kunne brukes for å løse alle oppgavene som Etterretningstjenesten har etter lovforslaget kapittel 3, eller at dette bør vurderes nærmere. Dette gjelder Advokatforeningen, Borgarting lagmannsrett, Den internasjonale juristkommisjon – norsk avdeling (ICJ-Norge), dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors og Norges institusjon for menneskerettigheter (NIM). NIM uttaler:
«I høringsnotatet er det lagt opp til at bulkinnsamling og søk i rådata i bulk kun kan skje dersom det er nødvendig og forholdsmessig for å frembringe informasjon som er relevant for «etterretningsformål». Innhentingen har etterretningsformål dersom den tar sikte på å ivareta en eller flere av E-tjenestens oppgaver etter forslaget kapittel 3. Etterretningstjenestens oppgaver etter kapittel 3 er primært rettet mot «utenlandske militære og sivile forhold», jf. forslaget §§ 3-1 og 3-2.
At bulkinnsamling skal brukes for å innhente utenlandsetterretning er i utgangspunktet en sentral avgrensning av virkeområdet, som bidrar til å overholde EMDs krav som er redegjort for over.
Innenfor rammen av hva som kan karakteriseres som «utenlandske militære og sivile forhold» synes det å være få klare avgrensninger. Blant annet fremgår det i forslaget § 3-2, første ledd, bokstav a, at E-tjenesten skal innhente og analysere informasjon for «ivaretakelse av prioriterte utenriks-, forsvars- eller sikkerhetspolitiske interesser knyttet til forhold og utviklingstrekk i andre stater og regioner,». Umiddelbart fremstår det som at dette går videre enn å kun dreie seg om nasjonal sikkerhet.
Ettersom oppgavebeskrivelsen i kapittel 3 danner yttergrensen for adgangen til bulkinnsamling er det også helt sentralt at disse oppgavene fastsettes på en måte som ikke i altfor stor grad overlater til E-tjenesten å definere innholdet.
NIM mener derfor at det innenfor rammen av oppgavebeskrivelsene i kapittel 3, bør fastsettes ytterligere innskrenkninger eller presiseringer av hvilke formål som kan berettige tilrettelagt innhenting. Det på ingen måte gitt at det er nødvendig at virkeområdet korresponderer med E-tjenestens generelle oppgavebeskrivelse.»
Flere høringsinstanser mener at avgrensningen til grenseoverskridende kommunikasjon har liten eller ingen betydning. Det vises til at trafikken normalt vil passere grensen selv om det er tale om kommunikasjon mellom en avsender og en mottaker som begge befinner seg i Norge. Blant høringsinstansene som gir uttrykk for synspunkter i denne retningen, er Advokatforeningen, Datatilsynet, Den norske dataforening – IT-politisk råd, Elektronisk Forpost Norge og SINTEF.
11.8.1.3 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet. Det fastholdes at hjemmelen bør begrenses til elektronisk kommunikasjon som transporteres over den norske grensen. Det er ingen uenighet om at norsk innenlandsk kommunikasjon normalt krysser grensen, for eksempel fordi den blir rutet via utlandet eller lagres på en server som befinner seg i utlandet. På den andre siden er det heller ingen tvil om at det finnes norsk innenlandsk kommunikasjon som ikke krysser grensen. Slik kommunikasjon bør ikke kunne innhentes, og forslaget gir ikke hjemmel til det. Begrensningen er med andre ord reell. På samme måte som i høringsnotatet, og som påpekt av flere høringsinstanser, er det likevel grunn til å understreke at det i dagens teknologiske situasjon vil innhentes store mengder metadata om norsk innenlandsk kommunikasjon. Det er grunnen til at tilgangen underlegges strengere regler enn andre former for midtpunktinnhenting, som i mindre grad berører norsk innenlandsk kommunikasjon.
I høringsnotatet foreslo departementet å bruke begrepet «landegrensen». Siden begrepet kan tolkes slik at hjemmelen er begrenset til kommunikasjon som transporteres over grensen på land, erstattes det i lovforslaget med begrepet «grensen». Endringen er ment å klargjøre at hjemmelen også gjelder kommunikasjon som transporteres inn og ut av Norge sjøveien eller i luften.
Forslaget gir ikke hjemmel til innhenting av lagrede data som ikke er i transitt. Slik data må eventuelt innhentes med hjemmel i lovforslaget § 6-10 om endepunktinnhenting. Det ligger ikke i kommunikasjonsbegrepet at det må foreligge kommunikasjon mellom to eller flere parter. Også ensidig overføring av lyd, tekst, bilder eller andre data omfattes. Dette er nødvendig blant annet for å fange opp digitale angrep som ikke innebærer gjensidig kommunikasjon mellom flere aktører.
Forslaget i høringsnotatet åpner for tilrettelagt innhenting for etterretningsformål, det vil si for å ivareta Etterretningstjenestens oppgaver etter kapittel 3. Felles for oppgavene er at det dreier seg om innhenting av informasjon om utenlandske forhold, det vil si at tilgangen er begrenset til utenlandsetterretning. Departementet har i lys av høringen vurdert hvorvidt formålsangivelsen bør snevres inn ytterligere, for eksempel slik at tilrettelagt innhenting bare skal kunne brukes for å motvirke utenlandske trusler mot Norge, jf. lovforslaget § 3-1. Slike trusler ligger i kjernen av hva forslaget er ment å motvirke, men det er etter departementets syn ikke grunn til å begrense tilgangen til slike trusler. Det kan være glidende overganger mellom utenrikspolitiske, forsvarspolitiske og sikkerhetspolitiske forhold og trusler mot Norge, og for å kunne oppdage en trussel er det av betydning å kunne danne seg et bilde av den utenriks-, forsvars- og sikkerhetspolitiske normalsituasjonen. Alle oppgavene beskrevet i kapittel 3 har til hensikt å ivareta nasjonale sikkerhetsinteresser.
Departementet viser også til at Lysne II-utvalget ikke foreslo å begrense tilrettelagt innhenting til bare enkelte av Etterretningstjenestens oppgaver. En slik begrensning er heller ikke vanlig i land som det er naturlig å sammenligne seg med. For eksempel åpner svensk lovgivning for innhenting om «främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- eller försvarspolitik» (lag 2008:717 om signalspaning i försvarsunderrättelseverksamhet 1 § 2 stk. nr. 8), noe som i grove trekk tilsvarer oppgaven som følger av lovforslaget § 3-2 bokstav a. En i hovedsak tilsvarende oppgave følger av den danske lov om Forsvarets Efterretningstjeneste (FE) § 1 stk. 1 nr. 1, som fastsetter at FE skal «tilvejebringe det efterretningsmæssige grundlag for dansk udenrigs-, sikkerheds- og forsvarspolitik».
Departementet understreker at Etterretningstjenesten ikke står fritt med hensyn til hva tjenesten skal innhente informasjon om. Virksomheten er styrt av prioriteringene til overordnede myndigheter, se lovforslaget § 2-2 om oppdragsstyring. Det vises også til lovforslaget § 8-2, som fastsetter at det i begjæringen til domstolen må angis hvilket oppdrag søket eller innhentingen knytter seg til.
Det understrekes at det konkrete inngrepet (søket i lagrede metadata eller den målrettede innhentingen og lagringen av innholdsdata) alltid vil måtte tilfredsstille kravet til forholdsmessighet som følger av lovforslaget § 5-4. I forholdsmessighetsvurderingen skal det blant annet tas hensyn til sakens betydning. Hvis saken gjelder en trussel som nevnt i lovforslaget § 3-1, vil det normalt kunne begrunne et sterkere inngrep enn dersom saken gjelder forhold og utviklingstrekk i andre stater og regioner etter lovforslaget § 3-2.
Departementet fastholder at særreglene i kapittel 7 og 8 bare bør gjelde innhenting som krever tilrettelegging fra ekomtilbydere. Andre former for midtpunktinnhenting etter lovforslaget § 6-9 berører ikke norsk innenlandsk kommunikasjon på en måte som begrunner slike særregler. Begrensningen foreslås lovfestet i lovforslaget § 7-1 andre ledd.
11.8.2 Utvalg og filtrering
11.8.2.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.14.3 en plikt for Etterretningstjenesten til å benytte seg av utvalg og filtrering for å sikre at det så langt som praktisk mulig ikke lagres metadata om kommunikasjon mellom en avsender og en mottaker som begge befinner seg i Norge.
I høringsnotatet er regler om utvalg og filtrering inntatt i lovutkastet § 7-5.
11.8.2.2 Høringsinstansenes syn
Tekna anser det i praksis som urealistisk å få til en effektiv og treffende filtrering. I samme retning uttaler Datatilsynet seg:
«Systemet baserer seg på en filtrering som skal frembringe mest mulig etterretningsfaglig relevant informasjon og forsøksvis filtrerer bort informasjon som er sendt mellom avsender og mottaker hvor begge befinner seg i Norge, jf. § 7-5. Dette for å størst mulig grad unnta norske borgere fra etterretningens søkelys.
At det er vanskelig å filtrere bort overskuddsinformasjon er åpenbart. Det vises til høringsnotatets pkt. 8.6.3, hvor det argumenteres med at det ikke finnes «realistiske alternativer for å filtrere ut ikke-relevant informasjon fra datasettene.» fra informasjon som er innhentet gjennom tilrettelagt innhenting.
Metodene for filtrering beskrives ved å vise til et eksempel om å filtrere bort samtaler fra + 47 til + 47. Dette vil trolig få begrenset betydning, sett hen til hvordan kommunikasjon foregår på ulike plattformer i dag.
Lovforslagets bestemmelse om filtrering er uklart formulert, og kan gi et uriktig inntrykk av filtrenes effektivitet. Dette gjør det vanskelig å overskue hvem som i praksis vil kunne bli gjenstand for søk.
I den forbindelse viser vi til Nederlands lov, som ikke skiller mellom innenlandsk eller utenlands data. Dette fordi de mener det ikke er teknisk mulig å gjøre en effektiv filtrering. De har derfor gjort et prinsipielt valg om beskytte all data, som om det var innenlands og har dermed gitt all data høyest mulig vern.»
Norges institusjon for menneskerettigheter (NIM) mener at bestemmelsen legger opp til et svært omfattende skjønn, og at det i praksis er få begrensninger på hvilke bærere som det kan lagres kommunikasjon fra. I utgangspunktet er det heller ikke gitt tidsbegrensninger eller krav om at behovet vurderes fortløpende eller med gitte intervaller.
Direktoratet for e-helse mener at trafikk over Helsenettet, et eget lukket og sikret nett som benyttes av et stort antall helseaktører, bør filtreres bort. Innhenting fra Helsenettet bør kreve særskilt forhåndsgodkjennelse av domstolen.
11.8.2.3 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet, men har i lys av kritikken fra Datatilsynet omredigert og omformulert bestemmelsen med sikte på å gjøre den klarere og enklere å forstå. Bestemmelsen inntas i lovforslaget § 7-6.
Forslaget innebærer at Etterretningstjenesten gjennom utvalg og filtrering skal søke å hindre lagring av metadata om kommunikasjon mellom en avsender og en mottaker som begge befinner seg i Norge. I dagens teknologiske situasjon vil det ikke være mulig å hindre lagring av store mengder metadata om norsk innenlandsk kommunikasjon. Plikten er derfor utformet som en plikt til å «søke å hindre» lagring av slike data.
Plikten til utvalg innebærer at Etterretningstjenesten skal vurdere og beslutte hvilke kommunikasjonsnett, tjenester og linker (kommunikasjonsbærere) som det skal innhentes fra. Etterretningstjenesten skal prioritere innhenting fra de kommunikasjonsbærerne som antas å transportere mest mulig etterretningsrelevant kommunikasjon. Bærere som ikke transporterer kommunikasjon over den norske grensen, skal ikke velges ut. Dette følger av at innhentingshjemmelen er begrenset til grenseoverskridende kommunikasjon. Bærere som utelukkende transporterer kommunikasjon mellom avsendere og mottakere som befinner seg i Norge, skal heller ikke velges ut, selv om det er tale om kommunikasjon som krysser grensen. Her kan det likevel være aktuelt med unntak hvis det er tale om kommunikasjon fra eller til en person som omfattes av lovforslaget § 4-2 første ledd. Det kan for eksempel være tale om en tjeneste som brukes av personer som opptrer på vegne av en fremmed stat eller statslignende aktør i Norge til å kommunisere seg imellom.
I lys av høringsuttalelsen til Norges institusjon for menneskerettigheter (NIM) understreker departementet at plikten til utvalg må ses i sammenheng med lovforslaget for øvrig, blant annet kravet til nødvendighet som følger av lovforslaget § 5-3 og reglene om tilretteleggingsplikt. På bakgrunn av høringen foreslår departementet blant annet at en beslutning om tilrettelegging ikke kan gjelde for mer enn tre år av gangen, se lovforslaget § 7-3 første ledd og punkt 11.8.7.3.
Plikten til filtrering innebærer at Etterretningstjenesten skal utvikle og implementere filtre som hindrer lagring av metadata om kommunikasjon mellom en avsender og en mottaker som begge befinner seg i Norge. Som påpekt både i høringsnotatet og i høringsuttalelsen til Datatilsynet, er det i dagens situasjon ikke mulig å gjennomføre slik filtrering fullt ut; det er ikke til å komme fra at det vil lagres store mengder metadata om norsk innenlandsk kommunikasjon. Det vil likevel være mulig å filtrere bort en del slik kommunikasjon, for eksempel basert på telefonnumre, og etter forslaget plikter Etterretningstjenesten å sørge for slik filtrering. Plikten innebærer også en plikt til å sørge for at filtrene holder takt med den teknologiske utviklingen. Hvis utviklingen tillater en mer effektiv filtrering, skal dette følges opp av tjenesten. Filtreringsplikten er i den forstand dynamisk.
Departementet foreslår ingen særregulering for trafikk over Helsenettet, slik Direktoratet for e-helse går inn for. De alminnelige reglene er etter departementets syn tilstrekkelige med hensyn til å søke å unngå lagring av metadata om slik kommunikasjon.
11.8.3 Testinnhenting og testanalyser
11.8.3.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.14.4 å åpne for innhenting og lagring av korte tidsintervaller med ufiltrert kommunikasjon i et korttidslager. Det vises til at slik testinnhenting og testanalyse er nødvendig for teknisk drift av systemet, blant annet med hensyn til utvalg og filtrering.
Etter forslaget skal uttrekkene ikke overstige 30 sekunder, og det kan ikke gjøres mer enn ett uttrekk i timen. Det følger av dette at det maksimalt kan gjøres 24 uttrekk i døgnet. Det foreslås lovfestet at uttrekkene bare kan brukes til teknisk understøttelse. Uttrekkene skal lagres i et eget korttidslager, som skal holdes adskilt fra annen data.
Uttrekkene skal ikke lagres lenger enn det som er nødvendig for de angitte formålene, og aldri i mer enn 14 dager. Tekniske parametere og bearbeidede analyser av testdata som ikke kan knyttes til enkeltpersoner, kan derimot lagres så lenge det er nødvendig for de angitte formålene.
Det understrekes i høringsnotatet at misbrukspotensialet ved testinnhenting og testanalyse er begrenset, all den tid det vil være tilfeldig hva som fanges opp av uttrekkene. For å styrke tilliten til at adgangen ikke vil misbrukes, foreslås det at testinnhenting og annen teknisk understøttelse bare skal gjennomføres av et begrenset antall tekniske spesialister som har mottatt særskilt opplæring og som ikke har etterretningsanalyse som oppgave. Det foreslås også at det alltid skal være to tekniske spesialister til stede når uttrekkene settes opp og analyseres.
I høringsnotatet er regler om testinnhenting og testanalyser inntatt i lovutkastet § 7-6.
11.8.3.2 Høringsinstansenes syn
Abelia understreker at det er av særlig viktighet at EOS-utvalget gis full oversikt over arbeid med korttidslageret, og følger opp dette. Høringsinstansen uttaler videre:
«Vi vil bemerke at det ikke er drøftet hvorvidt det skal tas i bruk maskinlæring eller predikative analyser, og hvilke utfordringer slik teknologibruk vil kunne ha i et kontrollperspektiv. Det bør derfor vurderes om det er mulig og hensiktsmessig at det stilles krav om domstolskjennelse eller lignende forutgående kontroll for innhenting av snapshots og behandlingen av denne dataen. Korttidslageret vil inneholde store mengder informasjon om norske borgere som ligger utenfor Etterretningstjenestens mandat, og risikoen for formålsutglidning syntes derfor å være til stede.»
Den norske dataforening – IT-politisk råd anser at korttidslageret er en nødvendig forutsetning for effektiv bulkinnsamling, men at slik lagring i seg selv utgjør et betydelig inngrep i retten til privatliv.
Elektronisk Forpost Norge uttaler:
«Innhenting av data i bulk vil gi store datamengder selv når det samles inn i korte tidsintervaller. I realiteten kan enhver nettbruker få hele eller deler av sin daglige aktivitet fanget opp i løpet av et døgn. Dette vil være personlig, fortrolig, sensitiv og/eller konfidensiell informasjon som innhentes, og som maskinelt bearbeides og analyseres for videre lagring i et «metadatalager». Over en periode av to uker kan en teoretisk tilrettelegge for profiler/kategorisering av bortimot hele befolkningen via teknikker for indeksering og mining av data.»
NRK uttaler:
«Når det gjelder det såkalte «korttidslageret», vil Etterretningstjenesten ha tilgang til all informasjon den siste 14-dagers perioden. Selv om denne tilgangen begrenses på mange måter – både mht. formål, hvem som kan gjøre søk, antall søk og lengde på søk – vil det forhold at Etterretningstjenestens medarbeidere faktisk har tilgang, i seg selv ha en nedkjølende effekt.»
11.8.3.3 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet. Innhenting, lagring og analyse av korte tidsintervaller med ufiltrert kommunikasjon, både metadata og innholdsdata, er en grunnleggende forutsetning for drift av tilgangen, blant annet med hensyn til utvalg og filtrering som skal søke å hindre innhenting og lagring av overskuddsinformasjon. Det er samtidig ingen tvil om at det fra et personvernperspektiv er problematisk med lagring av ufiltrert kommunikasjon. Det foreslås derfor strenge begrensninger.
Etter forslaget kan ett uttrekk ikke overstige 30 sekunder, og det kan ikke gjøres mer enn ett uttrekk i timen. Dette innebærer at det maksimalt kan gjøres 24 uttrekk i døgnet, og at disse 24 uttrekkene samlet vil kunne omfatte maksimalt 12 minutter med kommunikasjon i løpet av et døgn, brutt opp i 30 sekunders intervaller. Med disse begrensningene mener departementet at misbrukspotensialet er lite. Det vil være tilfeldig hva som fanges opp av uttrekkene, og muligheten til å innrette uttrekk mot bestemt kommunikasjon fremstår som teoretisk.
Departementet understreker at testinnhenting og testanalyse utelukkende skal brukes for teknisk understøttelse. Testdata vil ikke kunne brukes til noen andre formål, slik som etterretningsproduksjon. Testdata kan ikke deles med andre etter reglene i lovforslaget kapittel 10, det være seg norske myndigheter eller samarbeidende tjenester, med mindre det dreier seg om testdata og analyser som ikke kan knyttes til enkeltpersoner. Det bemerkes at ordlyden i lovforslaget er justert fordi teknisk understøttelse også regnes som et etterretningsformål. Justeringen innebærer ingen realitetsendring.
Uttrekkene skal ikke lagres lenger enn det som er nødvendig for de angitte tekniske formålene, og aldri i mer enn 14 dager. Tekniske parametere og bearbeidede analyser av testdata som ikke kan knyttes til enkeltpersoner, kan derimot lagres så lenge det er nødvendig for de angitte formålene.
Forbudet mot bruk av testdata til annet enn teknisk understøttelse støttes opp av regelen om at testinnhenting og annen teknisk understøttelse bare skal utføres av et begrenset antall tekniske spesialister som har mottatt særskilt opplæring og som ikke har etterretningsanalyse som oppgave. For ytterligere å motvirke risikoen for misbruk foreslås det dessuten at det alltid skal være to spesialister til stede ved oppsett og analyse av uttrekk. Departementet legger til grunn at det vil etableres prosedyrer for rullering av spesialistene som gjennomfører uttrekkene.
All aktivitet knyttet til korttidslageret vil logges for kontrollformål. Det foreslås lovfestet i lovforslaget § 7-11 at EOS-utvalget skal kontrollere at korttidslageret utelukkende brukes til teknisk understøttelse. Departementet forutsetter at utvalget vil utvikle god kompetanse med hensyn til korttidslageret, og at bruken av dette underlegges omfattende kontroll, slik Abelia i sin høringsuttalelse påpeker viktigheten av.
På bakgrunn av høringsuttalelsene til Elektronisk Forpost Norge og NRK understreker departementet at forslaget på ingen måte innebærer at Etterretningstjenesten har tilgang til all informasjon fra den siste perioden på 14 dager. Forslaget gir utelukkende hjemmel til å innhente uttrekk på maksimalt 30 sekunder, og det kan maksimalt gjøres ett slikt uttrekk hver time. Det kan ikke innhentes og lagres mer informasjon enn dette. Data som hentes inn, vil utelukkende lagres i korttidslageret for teknisk understøttelse.
Departementet presiserer at metadata som lagres i bulk etter lovforslaget § 7-7 også vil være gjenstand for løpende grovutvalg og grovfiltrering av hensyn til å minimere lagring av metadata fra mindre relevante kommunikasjonsstrømmer.
11.8.4 Innhenting og lagring av metadata i bulk
11.8.4.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.14.5 å gi Etterretningstjenesten adgang til å lagre metadata om kommunikasjon som passerer den norske landegrensen etter at det er foretatt utvalg og filtrering.
Metadata foreslås definert som «data som beskriver annen data eller som inneholder ekstra informasjon knyttet til data, herunder data som beskriver typen eller formatet på innholdet, hvem som er avsender og mottaker, og størrelse, tidspunkt og varighet for kommunikasjonen». Definisjonen omfatter både trafikkdata og signaleringsdata, jf. ekomforskriften § 7-1 første ledd og § 7-2 første ledd.
For å hindre at det lagres innholdsdata, foreslås det lovfestet at det skal opprettes og vedlikeholdes en liste som spesifiserer hvilke typer data som regnes som metadata. Listen skal være tilgjengelig for kontrollmyndighetene.
I høringsnotatet drøftes særskilt hvor lenge metadata bør kunne lagres. Etter en samlet vurdering av de kryssende hensynene, foreslås det en lagringstid på 18 måneder.
I høringsnotatet er regler om lagring av metadata inntatt i lovutkastet § 7-7.
11.8.4.2 Høringsinstansenes syn
Flere høringsinstanser påpeker at lagring av metadata er svært inngripende, og at metadata er egnet til å avsløre sensitive forhold ved en person. Datatilsynet uttaler:
«Det er i dag ingen prinsipiell eller rettslig forskjell på innholdsdata og metadata. Metadata kan inneholde store mengder personopplysninger. Metadata er lettere å strukturere og analysere enn innholdsdata. På grunn av disse egenskapene er metadata, i minst like stor grad som innholdsdata, egnet til å avsløre intime detaljer om en persons privatliv. Dette betyr at behandling (inkludert lagring) av metadata medfører et stort inngrep i retten til privatliv.
Metadata inneholder blant annet informasjon om tilbyder av kommunikasjonstjeneste, kilden til kommunikasjon og bestemmelsessted, geografisk plassering, dato, klokkeslett, varighet, type kommunikasjonsutstyr, navn, adresse, abonnement, telefonnummer, IP-adresse, brukernavn og gjør det mulig å identifisere hvem som har kommunisert, hvorfra og med hvilken hyppighet. Fra en smarttelefon vil det i dag gå en kontinuerlig strøm av metadata til og fra ulike apper, som vil kunne gi en detaljert kartlegging av en persons liv.»
Amnesty International og Tekna gir uttrykk for lignende synspunkter.
Den norske dataforening – IT-politisk råd fremholder at metadatabegrepet som brukes i høringsnotatet er omfattende, og representerer noe annet enn når begrepet har blitt brukt om for eksempel trafikkdata fra telekommunikasjon. Mengden og typene av metadata vil langt overgå hva det var tale om å pålegge lagret gjennom datalagringsdirektivet. Det har i liten grad vært diskutert i den offentlige debatten at et søk kan hente ut 15 måneders livshistorie for målet for etterretningsvirksomheten. Elektronisk Forpost Norge gir uttrykk for lignende synspunkter.
Amnesty International støtter forslaget om en liste over hvilke typer metadata som skal lagres, men etterlyser tydeligere rammer for måten lagringen av metadata skal foretas og hvordan det skal sikres på best mulig måte mot at uvedkommende kan skaffe seg adgang til det. Norsk Presseforbund mener at sannsynligheten er stor for at listen ikke vil klare å fange opp alt som er innholdsdata. Tekna understreker at EOS-utvalget har en viktig funksjon i å etterse at Etterretningstjenesten ikke misbruker retten til å definere hva som skal lagres.
Direktoratet for forvaltning og ikt (Difi) uttaler:
«Hva som er metadata i kommunikasjon over Internett fremkommer av de tekniske spesifikasjonene for hver enkelt kommunikasjonsprotokoll som er i bruk. Det er viktig å merke seg at metadata kan omfatte opplysninger som har likhetstrekk med innholdsdata og dermed oppfattes som like sensitive. Et eksempel er at metadata kan inneholde personidentifiserende opplysninger. Det er viktig at dette kommer klart frem av beskrivelsen av begrepet metadata i lovens forarbeider.»
Kripos mener at ordlyden i lovutkastet § 7-7 tredje ledd bør endres fra «etter» til «senest etter».
Abelia, Norsk Presseforbund og Tekna mener at lagringstiden på 18 måneder er for lang. Abelia mener at lagringstiden bør settes til 12 måneder. Norsk Presseforbund mener at det er grunn til å tro at dataene vil komme til å lagres lenger enn 18 måneder, og viser i den forbindelse til Kontrollutvalget for kommunikasjonskontrolls årsrapport for 2017.
11.8.4.3 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet med enkelte lovtekniske justeringer. Det foreslås presisert at metadata vil innhentes og lagres i bulk, jf. punkt 11.2.3.
Departementet understreker at søk i lagrede metadata bare vil kunne foretas innenfor rammen av rettens tillatelse. Det vises til punkt 11.9. Det er altså på ingen måte slik at Etterretningstjenesten vil ha uhindret tilgang til lageret. All tilgang vil være gjenstand for forhåndskontroll, løpende kontroll og etterfølgende kontroll.
I lys av høringen vil departementet understreke at innhenting og lagring av metadata i bulk, er et sterkt inngrep i personvernet. Som flere høringsinstanser påpeker, kan lagring og analyse av metadata avsløre sensitive forhold knyttet til enkeltpersoner. Departementet mener like fullt at det er grunn til å skille mellom lagring av metadata og innholdsdata. At myndighetene får tilgang til innholdet i kommunikasjonen, må etter departementets syn normalt regnes som mer inngripende enn at de får tilgang til metadata om kommunikasjonen. Innholdsdata bør derfor ikke innhentes og lagres i bulk. Det vises til punkt 11.8.6 om målrettet innhenting og lagring av innholdsdata.
Når det gjelder lagringstiden, tar departementet utgangspunkt i at personvernhensyn taler for en så kort lagringstid som mulig, mens etterretningsfaglige hensyn tilsier en så lang lagringstid som mulig. Tilrettelagt innhenting skal kunne brukes for å løse alle oppgavene til Etterretningstjenesten. Flere av disse oppgavene kan innebære operasjoner som strekker seg over lang tid, noe som tilsier en lagringstid på mer enn 18 måneder. Dette gjelder særlig oppgaver knyttet til statlige aktørers virksomhet. En kortere lagringstid vil derimot i noen tilfeller kunne ha effekt når det gjelder kontraterroroppdraget. Etter en samlet vurdering av de kryssende hensynene kan departementet slutte seg til Lysne II-utvalgets forslag om en lagringstid på 18 måneder.
Departementet er enig med Kripos i at det bør presiseres i lovteksten at lagrede metadata skal slettes «senest» etter 18 måneder, og foreslår dette.
På bakgrunn av høringsuttalelsen til Norsk Presseforbund vil departementet bemerke at Kontrollutvalget for kommunikasjonskontroll ikke kontrollerer Etterretningstjenesten. Det understrekes for ordens skyld at det vil være et regelbrudd dersom data lagres i strid med bestemmelsen om lagringstid.
11.8.5 Søk i lagrede metadata
11.8.5.1 Forslaget i høringsnotatet
Det vises i høringsnotatet punkt 11.14.6 til at det er en grunnleggende forutsetning at Etterretningstjenesten bare skal kunne foreta søk i lagrede metadata i den utstrekning det på forhånd er godkjent av en domstol.
I tråd med Lysne II-utvalgets forslag foreslås det i høringsnotatet at søk i metadatalageret skal baseres på en personselektor (for eksempel en e-postadresse) eller en modusselektor (et bestemt mønster eller avgrensning). Dette innebærer at det ikke tillates søk hvor både aktør og modus er ukjent.
I høringsnotatet foreslås det at personselektorsøk maksimalt kan inkludere to ledd ut i personenes kommunikasjonskjede, med mindre retten i særskilte tilfeller bestemmer noe annet, jf. lovutkastet § 7-8 første ledd tredje punktum.
Det foreslås i høringsnotatet at søk bare skal utføres av personell som er skikket til det og som er utpekt av sjefen for Etterretningstjenesten eller dennes stedfortreder. Det foreslås videre at personellet må ha gjennomgått særskilt opplæring, og at den enkelte bare skal ha anledning til å søke i henhold til søkeprivilegier som er tilpasset oppdragsporteføljen.
I høringsnotatet er regler om søk i lagrede metadata inntatt i lovutkastet § 7-8.
11.8.5.2 Høringsinstansenes syn
Flere høringsinstanser er kritiske til forslaget i høringsnotatet om at personselektorsøk kan inkludere to ledd ut i personenes kommunikasjonskjede. Det vises til at en adgang til søk to ledd ut innebærer at et stort antall personer kan bli gjenstand for søk, og at det dermed kan være vanskelig for domstolen å overskue omfanget av tillatelsen. Advokatforeningen, Borgarting lagmannsrett, Norsk Journalistlag, Norsk Redaktørforening, Norsk Presseforbund, NRK og dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors gir uttrykk for synspunkter i denne retningen.
Datatilsynet uttaler:
«Vi mener at det i lovforslaget og høringsnotatet ikke kommer klart frem hvor omfattende søkene i realiteten vil være. Slik Datatilsynet forstår det, så vil det innsamlede materialet bli utsatt for en kontinuerlig behandling gjennom ulike former for søk basert på de selektorene man til enhver tid benytter. Som et bilde på det kan man si at ved et søk etter et sort får i en saueflokk, så vil en datamaskin måtte vurdere alle sauene og vil ikke kunne identifisere den sorte uten at de andre sauene vurderes.»
Tilsynet mener at det er vanskelig å få tak i hvilken begrensning grunnvilkåret om forholdsmessighet setter for modusselektorsøk, og uttaler videre:
«Et søk med modusselektor vil gjennomføres i alle data som er lagret. Verktøyene for søk i stor-data blir stadig mer avanserte og mønstergjenkjennelse åpner for å finne sammenhenger som man ikke tidligere klarte. En økt bruk av kunstig intelligens gjør at svart-boks problematikken, hvor programvaren produserer resultater som ikke er kontrollerbare, skaper rom for feil.
Det er uklart hva som kan danne utgangspunkt for et søk. Det som i utgangspunktet kan være et legitimt søk kan få uforutsette virkninger fordi omfanget av opplysninger er så stort og ethvert søk vil kunne ramme alle.»
Tekna og SINTEF reiser også spørsmål knyttet til bruk av maskinlæring og kunstig intelligens. Tekna uttaler:
«Tekna tar det for gitt at etterretningstjenesten ønsker å ta i bruk stordataanalyser og maskinlæring, også omtalt som kunstig intelligens. Vi vil påpeke at disse teknologiene fører med seg mange nye problemstillinger, både etiske og teknologiske. Å introdusere slike teknologier i et miljø som per definisjon har lav transparens, gjør det ekstra vanskelig å adressere og korrigere metodeproblemer og for eksempel skjevheter og innebygde fordommer i datasettene (bias). Noen eksempler på problemstillinger er: Hvilke treningsdata og valideringsdata skal brukes? Hvem skal gis tilgang til disse dataene for å kunne utvikle best mulige algoritmer og modeller? Hva er kravene til treffsikkerhet/feilrate, og hvordan skal dette måles og korrigeres? Hva er kravene til etterprøvbarhet og begrunnelse av resultater?»
11.8.5.3 Departementets vurdering
Departementet fastholder i hovedsak forslaget i høringsnotatet, men med noen endringer som følge av høringen. Bestemmelsen inntas i lovforslaget § 7-8. Det foreslås at søk skal baseres på søkebegreper, som brukes som en fellesbetegnelse for personselektorer og modusselektorer. Denne endringen er rent språklig og innebærer ingen realitetsendring fra forslaget i høringsnotatet. Det vises til merknadene til § 7-8 for en nærmere beskrivelse av personselektorer og modusselektorer. Departementet ser det som overflødig å presisere at kapittel 9 får anvendelse for personopplysninger som Etterretningstjenesten får tilgang til etter søk i lagrede metadata, og viderefører derfor ikke forslaget i høringsnotatet til § 7-8 tredje ledd. Dette medfører ingen realitetsendring.
De konkrete søkebegrepene må ligge innenfor rammen av rettens kjennelse, enten ved at de spesifikt er godkjent av retten eller ved at de er innenfor en kategori av søkebegreper som retten har godkjent. Det vises til reglene om domstolens forhåndsgodkjennelse i lovforslaget kapittel 8.
Departementet viderefører ikke forslaget i høringsnotatet om å oppstille som hovedregel en adgang til personselektorsøk to ledd ut i kommunikasjonskjeden, som har møtt kritikk under høringen. På grunn av forbudet i lovforslaget § 4-1 kan ikke Etterretningstjenesten kartlegge hvilke personer i Norge som den norske kontakten av et utenlandsk etterretningsmål kommuniserer med. En hovedregel om adgang til søk to ledd ut vil av den grunn ha liten betydning når det gjelder tilrettelagt innhenting. Departementet understreker at Etterretningstjenesten vil kunne kartlegge de utenlandske kontaktene til et etterretningsmål så lenge dette er i tråd med lovens vilkår for øvrig. Informasjon om slike kontakter vil normalt innhentes på andre måter enn gjennom tilrettelagt innhenting.
Datatilsynet, Tekna og SINTEF peker i sine høringsuttalelser på problemstillinger knyttet til stordata, maskinlæring og kunstig intelligens. Departementet er enig i at utvikling og bruk av kunstig intelligens kan skape utfordringer og reise flere vanskelige spørsmål, se Nasjonal strategi for kunstig intelligens (2020) side 56 følgende. Departementet legger til grunn at Etterretningstjenesten retter oppmerksomhet mot å utvikle søkeverktøy og annen teknologi som bidrar til å motvirke feil og skjevheter i etterretningsvirksomheten, i tråd med likhetsprinsippet og ikke-diskrimineringsprinsippet som følger av Grunnloven § 98 og diskrimineringsforbudet som følger av lovforslaget § 9-4. Departementet understreker at tjenestens bruk av maskinlæring, kunstig intelligens og avanserte søkeverktøy ligger innenfor EOS-utvalgets kontrolloppgave, og legger til grunn at utvalget er bevisst på problematikken.
Departementet bemerker at vilkåret om at søk skal baseres på søkebegreper, innebærer at det ikke er tillatt med søk hvor både aktør og modus er ukjent. Det betyr at det ikke kan søkes etter anomalier uten at søket bygger på søkebegreper eller kategorier av søkebegreper som på forhånd er godkjent av domstolen. Etter departementets vurdering begrenser dette risikoen for slik vilkårlighet som høringsinstansene viser til.
11.8.6 Målrettet innhenting og lagring av innholdsdata
11.8.6.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.14.7 at Etterretningstjenesten, innenfor rammen av rettens kjennelse, skal kunne innhente og lagre innholdsdata med tilhørende metadata fra elektronisk kommunikasjon som transporteres over den norske landegrensen.
Innholdsdata foreslås legaldefinert som elektronisk kommunikasjon som ikke er metadata. Det er altså innholdet i kommunikasjonen det siktes til, for eksempel innholdet i en e-post, en tekstmelding eller en videosamtale.
Det påpekes i høringsnotatet at en vesentlig forskjell mellom lagring av innholdsdata og lagring av metadata, er at sistnevnte ikke krever rettens kjennelse for selve lagringen, kun for søkene i lagrede data. For lagring av innholdsdata med tilhørende metadata krever allerede lagringen domstolens forhåndsgodkjennelse.
I høringsnotatet heter det at adgangen til innhenting og lagring utelukkende gjelder innenfor rammen av rettens kjennelse etter kapittel 8, eventuelt en ordre som trer i stedet for rettens kjennelse i hastetilfeller. Bestemmelsen må derfor ses i sammenheng med lovutkastet kapittel 8, hvor det er gitt regler om saksbehandlingen for domstolen og hva domstolen skal prøve.
Det understrekes i høringsnotatet at innhenting og lagring av innholdsdata alltid vil være målrettet innhenting. Det presiseres at målrettet innhenting kan finne sted selv om den reelle identiteten til en trusselaktør ikke er kjent.
Av pedagogiske hensyn foreslås det presisert at behandling av personopplysninger som Etterretningstjenesten har fått tilgang til etter bestemmelsen, skal skje i samsvar med bestemmelsene i lovutkastet kapittel 9.
I høringsnotatet er regler om innhenting og lagring av innholdsdata inntatt i lovutkastet § 7-9.
11.8.6.2 Høringsinstansenes syn
Abelia mener at det ikke kommer klart frem hvorfor innhenting og lagring av innholdsdata alltid vil være knyttet til målrettet innhenting, og mener at dette bør presiseres i lov.
11.8.6.3 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet med enkelte justeringer på bakgrunn av høringen. Bestemmelsen inntas i lovforslaget § 7-9.
På bakgrunn av høringsuttalelsen til Abelia presiseres det i paragrafoverskriften og i lovteksten at det er tale om målrettet innhenting og lagring av innholdsdata med tilhørende metadata. Dette innebærer at grunnvilkåret i lovforslaget § 5-2 må være oppfylt, det vil si at konkrete holdepunkter må tilsi at det foreligger grunn til å undersøke om etterretningsmålet besitter, kommuniserer eller vil motta, eller om innhenting på annen måte kan frembringe, informasjon som er relevant for etterretningsformål. Som påpekt i høringsnotatet, er det ikke et vilkår at den reelle identiteten til etterretningsmålet er kjent. For eksempel kan det hentes inn innholdsdata fra en IP-adresse som benyttes til cyberoperasjoner mot Norge, selv om angrepet ikke ennå er attribuert en bestemt aktør.
Departementet ser det som overflødig å presisere at kapittel 9 får anvendelse for personopplysninger som Etterretningstjenesten får tilgang til etter målrettet innhenting og lagring av innholdsdata, og viderefører derfor ikke forslaget i høringsnotatet til § 7-9 tredje ledd. Dette medfører ingen realitetsendring.
11.8.7 Tilretteleggingsplikt for ekomtilbydere
11.8.7.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.15.1 en tilretteleggingsplikt for aktører i ekomindustrien. Det vises til at hensyn til likebehandling og forutberegnelighet tilsier at det bør lovfestes en tilretteleggingsplikt som gjelder likt for alle relevante aktører. Det vil ikke være tilfredsstillende om Etterretningstjenesten skal være henvist til å inngå avtaler med den enkelte aktør basert på frivillighet.
Tilretteleggingsplikten bør gjelde for alle som regnes som tilbydere etter definisjonen i ekomloven § 1-5 nr. 16. Plikten bør også gjelde tilbydere av innholdstjenester som ikke er omfattet av definisjonen i ekomloven, typisk internettbaserte «over the top-tjenester» (OTT-tjenester) som kan brukes til overføring av tekst, lyd og bilder.
I høringsnotatet vises det til at tilretteleggingsplikten på et generelt nivå innebærer at relevante tilbydere skal legge til rette for at Etterretningstjenesten får tilgang til elektronisk kommunikasjon som transporteres over den norske landegrensen. Det nærmere innholdet av plikten vil blant annet avhenge av hvilket nett eller tjeneste det er snakk om, og vil i takt med den teknologiske utviklingen kunne variere over tid. Det foreslås på denne bakgrunn å lovfeste en generell plikt konkretisert gjennom en ikke-uttømmende opplisting.
Tilretteleggingsplikten bør for det første inkludere plikt til å gi informasjon om signalmiljø, dataformater, tekniske innretninger og fremgangsmåter, i den utstrekning det er nødvendig for å oppfylle tilretteleggingspliktens formål. Etterretningstjenesten vil ha behov for å installere og operere utstyr på steder som kontrolleres av tilbyder. Tilbyder vil ha plikt til å tillate slik virksomhet, for eksempel ved å gi adgang til teknisk personell fra Etterretningstjenesten og stille til disposisjon plass til utstyr. Etter anmodning vil tilbyder også ha plikt til å medvirke til teknisk drift og vedlikehold av etablerte løsninger. Tilretteleggingsplikten bør også inkludere en plikt til å bidra til testinnhenting og testanalyser av trafikk i nett og tjenester.
Når det gjelder kryptering, vises det i høringsnotatet til uttalelsen i Lysne II-utvalgets rapport punkt 9.5.4 på side 68 til 69:
«Det er antatt at utviklingen innen sikkerhetsteknologi vil gjøre bruken av sterk kryptering av samband og tjenester mer vanlig i årene fremover. Dette er et positivt tiltak for kommunikasjonsfriheten og for generelt å hindre uvedkommende adgang til informasjon. Utviklingen vil samtidig kunne vanskeliggjøre E-tjenestens samfunnsoppdrag. Tjenestetilbydernes tilretteleggingsplikt må ta høyde for utviklingen innen kryptering. Tilretteleggingsplikten for teletilbyderne må derfor omfatte leveranse av datastrøm uten linkkryptering dersom dette er implementert på den grensekryssende forbindelsen. Tilretteleggingsplikten bør imidlertid ikke inneholde krav om støtte til omgåelse av krypto utover dette. F.eks. vil brukergenerert kryptering ikke være omfattet av tilretteleggingsplikten.»
I høringsnotatet gis det tilslutning til dette, og det foreslås at tilretteleggingsplikten skal inkludere en plikt til å sørge for tilgang til kommunikasjon uten hinder av linkkryptering eller lignende kryptering som tilbyder kontrollerer. Tilretteleggingsplikten skal derimot ikke innebære en plikt til å bidra til annen omgåelse av kryptering, og forslaget går dermed ikke lenger enn Lysne II-utvalgets anbefaling.
Tilretteleggingsplikten bør dessuten omfatte plikt til å medvirke til sikkerhetsmessig forsvarlige løsninger, herunder at Etterretningstjenestens utstyr og tilstedeværelse gjøres kjent for færrest mulig personer hos tilbyder og bare for de som har tjenstlig behov for det. Det foreslås også at departementet kan gi regler om tilretteleggingsplikten i forskrift.
Det antas i høringsnotatet at det er mest hensiktsmessig å plassere bestemmelsen om tilretteleggingsplikt i lovutkastet kapittel 7. For sammenhengens skyld kan det eventuelt inntas en henvisning i ekomloven til bestemmelsen i lovutkastet. Et siste alternativ er å plassere hele bestemmelsen i ekomloven.
I høringsnotatet foreslås det taushetsplikt knyttet til tilretteleggingsplikten. En slik taushetsplikt er etter departementets syn nødvendig for å skjerme Etterretningstjenestens virksomhet. Taushetsplikten skal ikke være til hinder for å gi opplysninger til EOS-utvalget eller Nasjonal kommunikasjonsmyndighet.
11.8.7.2 Høringsinstansenes syn
Flere høringsinstanser har kritiske merknader til forslaget om tilretteleggingsplikt for ekomtilbydere. Noen finner det uklart hvem som omfattes av plikten, mens andre mener det er uklart hva plikten innebærer. Enkelte trekker frem begge deler. Blant høringsinstansene som gir uttrykk at forslaget er uklart, er Abelia, Amnesty International, Datatilsynet, dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors, Nasjonal kommunikasjonsmyndighet (Nkom), Norsk Presseforbund, Næringslivets Hovedorganisasjon (NHO), Piratpartiet, Tekna og Telia Norge AS.
Noen høringsinstanser peker på at forslaget i høringsnotatet ikke bare omfatter tilbydere etter ekomloven, men også tilbydere av internettbaserte kommunikasjons- eller meldingstjenester, og mener at forslaget med dette går lenger enn Lysne II-utvalgets forslag. Dette gjelder Abelia, Advokatforeningen, Datatilsynet, Den norske dataforening – IT-politisk råd (DND), Den internasjonale juristkommisjon – norsk avdeling (ICJ-Norge), Norges institusjon for menneskerettigheter (NIM) og Tekna.
Advokatforeningen fremholder at Lysne II-utvalgets forslag var begrenset til tilgang til datastrømmen i fiberkabler som krysser landegrensene. Datatilsynet ser forslaget som en kraftig utvidelse av tilretteleggingsplikten sammenlignet med Lysne II-utvalgets forslag, og mener at det er vanskelig å se rekkevidden av plikten.
Flere høringsinstanser mener at forslaget i høringsnotatet går lenger enn det som ble foreslått av Lysne II-utvalget også med hensyn til kryptering. Det fremholdes at utvalget ville begrense plikten til å omgå kryptering til bare å gjelde linkkryptering, mens forslaget i høringsnotatet også åpner for omgåelse av lignende kryptering som tilbyder kontrollerer.
Amnesty International er kritisk til at tilbydere skal pålegges å bistå med omgåelse av kryptering, men finner det positivt at forslaget ikke går lenger enn Lysne II-utvalgets anbefaling.
Advokatforeningen fremholder at forslaget åpner for at Etterretningstjenesten kan gis tilnærmet fri tilgang til tilbydernes systemer, og at forslaget med dette går lenger enn hva en finner i Sverige. DND og Elektronisk Forpost Norge (EFN) gir uttrykk for tilsvarende synspunkter.
DND, EFN og Runbox Solutions AS mener at forslaget åpner for å pålegge tilbydere å stille med bakdører. Abelia og Telia Norge AS oppfatter dette som uklart. Dataskydd.net og Föreningen för digitala fri- och rättigheter mener at forslaget åpner for å sabotere nettkryptering og annen kryptering som brukes i vanlige forbrukerprodukter. Uninett AS mener at forslaget vil kunne medføre at tjenestetilbydere blir nødt til å avstå fra å benytte krypteringsteknologi som på best måte sikrer brukernes legitime konfidensialitetsbehov, noe som igjen gir ondsinnede aktører økte muligheter til skadelig opptreden.
Flere høringsinstanser har merknader om hvem som skal ha kompetanse til å pålegge tilrettelegging samt om klageadgang og domstolskontroll. Amnesty International, DND, EFN, ICJ-Norge og Nkom gir uttrykk for at tilretteleggingsplikt ikke bør pålegges av Etterretningstjenesten selv, men av departementet eller en annen høyere instans. Nkom mener at det kan være naturlig å se hen til sikkerhetsloven § 1-3. Blant høringsinstansene som mener at tilbyder bør gis klageadgang, er Abelia, Datatilsynet, Norsk Presseforbund og ICJ-Norge. Datatilsynet mener dessuten at det bør åpnes for domstolskontroll. Uninett AS reiser også spørsmål om klageadgang og rettslig prøving dersom en tilbyder anser en gitt bruk av tilretteleggingsplikten som uforsvarlig.
NIM mener at reglene om tilretteleggingsplikt og utvalg av kommunikasjonsbærere må gjenspeile at Etterretningstjenesten kun har tilgang til bærere og kan kreve tilrettelegging i den grad det er nødvendig ut fra formålet. NIM mener videre at det er grunn til å vurdere om tilretteleggingsplikt skal forutsette rettslig kjennelse. ICJ-Norge peker også på dette som et alternativ. NIM fremholder at det kan differensieres mellom tilbydere som er omfattet av ekomloven og andre tilbydere, slik at domstolskontroll kun skal være påkrevd for den siste gruppen.
Norsk rikskringkasting AS (NRK) peker på at lovforslaget kan leses slik at NRK og andre mediehus er omfattet av tilretteleggingsplikten. NRK legger til grunn at dette ikke er tilsiktet, og skriver:
«Å pålegge en slik plikt ville klart være i strid med det grunnleggende prinsippet om medienes uavhengighet og rolle i et demokratisk samfunn. Det vil etter NRKs syn også være i strid med EMK artikkel 10. Vi ber derfor om at det eksplisitt inntas et unntak for mediene i lovbestemmelsen, alternativt at det uttrykkelig tas inn i forarbeidene at mediene ikke er omfattet av tilretteleggingsplikten.»
Dette synspunktet støttes av Norsk Journalistlag og Norsk Presseforbund.
Nkom viser til at etablering av tekniske innretninger i tilbydernes infrastruktur potensielt kan påvirke driftssikkerheten i tilbydernes nett og deres plikter etter ekomloven § 2-10 til å tilby elektronisk kommunikasjonsnett og -tjeneste med forsvarlig sikkerhet for brukerne i fred, krise og krig. Nkom understreker at kunnskap om hvordan tilrettelagt innhenting faktisk er implementert ute hos de ulike tilbyderne vil være viktig for arbeidet med å sikre forsvarlig sikkerhet, og foreslår derfor å lovfeste at Etterretningstjenesten skal underrette Nkom når tilbyderne får installert utstyr i egne nett for å tilrettelegge for innhenting, og at Nkom skal føre tilsyn med tilretteleggingen. Nkom påpeker dessuten at tilsynsaktivitet knyttet til tilretteleggingsplikten vil medføre behov for økte ressurser til Nkom.
Direktoratet for forvaltning og ikt (Difi) påpeker at det ikke er gitt at tilbydere av internettbaserte OTT-tjenester bruker slikt utstyr som forutsettes i lovutkastet § 7-2 andre ledd bokstavene b, d og e. Difi fremholder videre at virksomheter som driver datasentre eller tilbyr skytjenester, kan ha egen grenseoverskridende infrastruktur som ikke nødvendigvis omfattes av tilretteleggingsplikten slik den er beskrevet i lovutkastet og høringsnotatet, og at det kan være hensiktsmessig å avklare om slik grenseoverskridende kommunikasjon også skal være underlagt tilretteleggingsplikten.
Noen høringsinstanser etterlyser en regulering av ansvarsspørsmål. Abelia reiser spørsmål om hvem som har ansvaret hvis en tilbyder opplever nedetid på sine tjenester som følge av tilretteleggingsplikten, mens DND spør hvem som har ansvaret dersom et grensesnitt mellom tilbyder og Etterretningstjenesten skulle lekke informasjon til en tredjepart.
International Business Machines AS (IBM) uttrykker forståelse for behovet for skjerming, men mener at det kan synes noe strengt å oppstille en straffsanksjonert taushetsplikt for personer som blir pålagt å utføre arbeid knyttet til tilrettelegging. IBM peker også på at tilretteleggingsplikten ikke må innebære at tilbyderne selv, eller andre aktører, får innsyn i strid med lovverket disse virksomhetene er underlagt. IBM mener at det er hensiktsmessig at loven utformes på en teknologinøytral måte.
Abelia og NHO fremholder at staten må dekke både direkte og indirekte kostnader som følge av tilretteleggingsplikten. Næringslivets sikkerhetsråd legger til grunn at tilbydere og andre som får kostnader som følge av tilrettelegging, får disse dekket tilsvarende som i ekomloven. Telenor Norge AS forutsetter at alle merkostnader til etablering, utbygging og drift knyttet til tilrettelagt innhenting dekkes. Telenor mener at en regulering i ekomloven kan være hensiktsmessig. Telia Norge AS fremholder at tilretteleggingsplikten ikke må resultere i en konkurransevridende eller fordyrende effekt, og mener at det må komme klart frem at det er staten som skal dekke alle utgifter tilretteleggingsplikten resulterer i for tilbyderne.
11.8.7.3 Departementets vurdering
Departementet finner det ikke tvilsomt at det bør lovfestes en plikt for ekomtilbydere til å tilrettelegge for Etterretningstjenestens tilgang til grenseoverskridende elektronisk kommunikasjon. Slik tilrettelegging er en nødvendig betingelse for tilgangen. Det bør fastsettes i lov hvem som omfattes av plikten, og hva den innebærer.
Flere høringsinstanser mener at høringsnotatets forslag om tilretteleggingsplikt fremstår som uklart. Departementet tar denne kritikken alvorlig. Plikten bør formuleres så presist og tydelig som mulig. Det er samtidig klart at ikke alle detaljer kan lovfestes, blant annet fordi loven bør søkes utformet på en teknologinøytral måte, slik NUPI og IBM fremholder i sine høringsuttalelser. Det er dessuten et legitimt behov for å skjerme detaljer knyttet til tilgangen. Detaljene må uansett i stor utstrekning fastsettes konkret i det enkelte tilfellet, og normalt etter en dialog mellom Etterretningstjenesten og den enkelte tilbyder.
Departementet holder på denne bakgrunn fast ved kjernen i forslaget i høringsnotatet, det vil si en generell plikt til å tilrettelegge for innhentingen som konkretiseres gjennom en ikke-uttømmende opplisting av eksempler. På bakgrunn av de kritiske synspunktene som har kommet frem under høringen, foreslås det noen tilføyelser og presiseringer. Det foreslås blant annet lovfestet at tilretteleggingen ikke skal forringe de elektroniske kommunikasjonstjenestene for brukerne. Departementet har dessuten omredigert og omformulert bestemmelsen med sikte på å gjøre den klarere og mer tilgjengelig.
I lys av høringen har departementet vurdert hvilke tilbydere som skal kunne pålegges å tilrettelegge. Flere høringsinstanser har kritisert at forslaget omfatter ikke bare tilbydere etter ekomloven, men også tilbydere av internettbaserte kommunikasjons- eller meldingstjenester som er tilgjengelige for allmennheten. Noen mener at departementet med dette går betydelig lenger enn hva Lysne II-utvalget gikk inn for.
Departementet bemerker at Lysne II-utvalget ikke utarbeidet noe konkret forslag til regulering av tilretteleggingsplikten. Utvalget forutsatte at utformingen ble utredet nærmere og tydeliggjort i lov (rapporten punkt 9.5.4 side 68). Når det gjelder hvilke tilbydere utvalget så for seg at plikten skulle gjelde for, uttaler utvalget (side 69):
«I utgangspunktet vil tilretteleggingsplikten gjelde for alle tilbydere som definert i ekomloven § 1-5. Det er på forhånd ikke gitt å identifisere hvilke tilbydere av kommunikasjonstjenester som vil bli mest berørt av lovforslaget. Dette vil bero på testvirksomhet og analyser av hvem som antas å ha best kontroll over utenlandsetterretningsrelevant kommunikasjon, og det må også tas høyde for raske og mer langsiktige endringer av dette bildet. I utgangspunktet vil enhver tilbyder kunne bli berørt, i den utstrekning de kan gi tilgang til elektronisk kommunikasjon som går over landegrensene.»
Departementet kan ikke se at utvalget med dette mente å stenge for en regulering som etter omstendighetene også kan omfatte andre tilbydere enn dem som omfattes av definisjonen i ekomloven. Dette kan for eksempel være tilbydere av internettbaserte kommunikasjons- eller meldingstjenester («OTT-tilbydere»), slik departementet foreslo i høringsnotatet. Departementet mener at lovgivningen bør åpne for tilrettelegging også fra OTT-tilbydere, spesielt av hensyn til å sikre en teknologinøytral lovgivning i en tid hvor tjenester og produkter er i rask endring. Dersom OTT-tilbydere unntas fra plikten til å tilrettelegge, vil det bli enklere for etterretningsmålene å unngå innhentingen, og loven vil raskt kunne bli teknologisk utdatert. Departementet fastholder derfor forslaget i høringsnotatet på dette punktet.
Forholdet mellom tilretteleggingsplikten og kryptering har fått stor oppmerksomhet under høringen. Utviklingen de senere årene har gått i retning av mer bruk av sterk kryptering. Departementet støtter denne utviklingen, som i stor grad drives av legitime behov for konfidensiell kommunikasjon på alle samfunnsområder, slik Uninett AS peker på i sin høringsuttalelse. Regjeringen oppfordrer til bruk av kryptoteknologi i alle samfunnssektorer (Norsk kryptopolitikk (2019) side 15 følgende). Kryptering er viktig for IKT-sikkerheten og for beskyttelse av personopplysninger.
Lysne II-utvalget gikk inn for at tilretteleggingsplikten for teletilbydere burde omfatte leveranse av datastrøm uten linkkryptering på den grensekryssende forbindelsen, men for øvrig ikke inneholde krav om støtte til omgåelse av kryptering (rapporten punkt 8.3 side 49). Utvalget utarbeidet som nevnt ikke noe konkret forslag til regulering, og forutsatte en nærmere utredning av utformingen av tilretteleggingsplikten.
Departementet er enig med utvalget i at tilretteleggingsplikten må omfatte en plikt til å sørge for tilgang til kommunikasjonen uten hinder av linkkryptering. Fordi loven bør søkes utformet på en teknologinøytral måte, mener departementet at det samme må gjelde kryptering som fyller samme funksjon som linkkryptering, men uten å være knyttet til linknivået. Departementet ser dette som avgjørende for å holde tritt med utviklingen av moderne kommunikasjonsteknologi, for eksempel femtegenerasjons mobilnett (5G), som kan innebære kryptering på andre nivåer enn linknivået.
Departementet mener at en tilbyder som har tilgang til en utvalgt kommunikasjonsstrøm i klartekst, det vil si i ukryptert form, bør plikte å speile informasjonen ukryptert. Tilbyder skal dermed ikke selv legge på kryptering på kommunikasjonsstrømmen før speiling. Siden tilbyderen har tilgang i klartekst, mener departementet at det ikke er naturlig å karakterisere dette som støtte til omgåelse av kryptering, som Lysne II-utvalget mente at det ikke burde åpnes for. Departementet ser imidlertid at det kan være delte meninger om dette, avhengig av hvilket innhold som legges i ordene. Departementet ønsker derfor å gjøre det klart at plikten til å sørge for tilgang bare bør gjelde kommunikasjonsstrømmer som tilbyderen selv har tilgang til i klartekst. Dette innebærer at loven ikke bør åpne for å pålegge tilbydere å utvikle løsninger for tilgang til ende-til-ende-kryptert kommunikasjon mellom sluttbrukere eller «bakdører» til kryptert informasjon. På bakgrunn av høringen foreslår departementet å markere dette ved å erstatte ordet «lignende» med «tilsvarende» i lovforslaget § 7-2 første ledd bokstav e.
Enkelte høringsinstanser fremholder at tilretteleggingsplikten gir Etterretningstjenesten tilnærmet fri tilgang til tilbydernes systemer. Departementet vil avvise dette. Kjernen er plikten til å speile og gjøre tilgjengelig utvalgte kommunikasjonsstrømmer. Forslaget innebærer ikke en plikt til å gi tjenesten fri tilgang til kjernenett eller annen infrastruktur. Innenfor rammen av legitime skjermingsbehov skal tilbyder gjøres kjent med tiltakene som treffes, og gis anledning til å være til stede når utstyr installeres og vedlikeholdes. Nkom vil føre tilsyn med utøvelsen av tilretteleggingsplikten.
Departementet er enig med de høringsinstansene som påpeker et behov for å regulere hvem som skal treffe beslutning om tilretteleggingsplikt og hvorvidt beslutningen skal kunne påklages. Departementet foreslår en egen bestemmelse om dette i lovforslaget § 7-3. Myndigheten til å fatte beslutning om tilrettelegging bør etter departementets syn legges til sjefen for Etterretningstjenesten. Tilbyderen skal så langt mulig gis anledning til å uttale seg før beslutningen fattes. Departementet forutsetter at det normalt vil finne sted en dialog mellom tjenesten og den enkelte tilbyder om hvilke tiltak som skal treffes og hvilke økonomiske konsekvenser det vil ha for tilbyderen. Tjenesten og den enkelte tilbyder bør tilstrebe å komme til enighet om dette.
Etter forslaget kan beslutningen gjelde for høyst tre år av gangen. Dette sørger for at behovet for tilrettelegging fra den enkelte tilbyder vurderes med jevne mellomrom. Det foreslås videre at tilbyderen kan påklage beslutningen til departementet med en klagefrist på tre uker. Departementet kan på anmodning fra tilbyderen bestemme at beslutningen ikke skal iverksettes før klagen er avgjort.
Departementet har vurdert hvorvidt kompetansen til å beslutte tilrettelegging bør legges til domstolen, slik Datatilsynet og NIM peker på som et alternativ i sine høringsuttalelser, men ser det ikke som nødvendig eller hensiktsmessig å legge slik myndighet til domstolen på dette stadiet av innhentingsprosessen. Det vises til at Etterretningstjenesten ikke vil kunne søke i lagrede metadata eller innhente innholdsdata uten at dette er godkjent av domstolene i tråd med reglene i lovforslaget kapittel 8.
Departementet er enig med NIM i at Etterretningstjenesten bare skal kunne kreve tilrettelegging i den grad det er nødvendig ut fra formålet. Departementet mener at dette kravet er tilstrekkelig regulert gjennom lovforslaget § 5-3 om innhenting av rådata i bulk og plikten til utvalg etter lovforslaget § 7-6.
Beslutninger om tilrettelegging vil på vanlig måte være gjenstand for EOS-utvalgets kontroll. Som nevnt mener departementet dessuten at Nkom bør føre tilsyn med hvordan tilbydere som omfattes av Nkoms tilsynsmyndighet, utøver tilretteleggingsplikten. Som Nkom påpeker i sin høringsuttalelse, arbeider Nkom helhetlig for å sikre forsvarlig sikkerhet i ekomnett og ekomtjenester. Det er derfor viktig at Nkom har kunnskap om hvordan tilrettelagt innhenting er implementert hos den enkelte tilbyder. Nkom vil på denne måten inngå i det samlede kontrollsystemet knyttet til innhentingen, men på samme måte som i dag vil ikke myndigheten ha noen tilsynsfunksjoner direkte overfor Etterretningstjenesten.
Departementet legger til grunn at ekomloven § 10-1 er tilstrekkelig grunnlag for Nkoms tilsynsfunksjon knyttet til tilbyders utøvelse av tilretteleggingsplikten, og ser ikke behov for å særregulere dette i lovforslaget. Lovforslaget § 2-8 andre ledd justeres for å få frem at unntaket fra kapittel 10 i ekomloven for informasjon og områder som vil gi Nkom innsyn i Etterretningstjenestens virksomhet, ikke er til hinder for at Nkom fører tilsyn med tilbydernes utøvelse av tilretteleggingsplikten. Det foreslås dessuten at beslutning om tilrettelegging skal meddeles til både EOS-utvalget og Nkom. Det foreslås også at Nkom på forespørsel har rett til informasjon om tekniske og operasjonelle løsninger som tjener til å oppfylle tilretteleggingsplikten.
Flere presseaktører mener at det bør lovfestes et unntak fra tilretteleggingsplikten for mediene. Departementet understreker at mediene ikke kan pålegges tilrettelegging i den utstrekning det strider med ytrings- og informasjonsfriheten slik den er vernet blant annet av Grunnloven § 100 og EMK artikkel 10. Departementet regner situasjonen som så lite aktuell at det ikke er grunn til å la dette fremgå særskilt av lovteksten.
Noen høringsinstanser etterlyser en nærmere regulering av ansvarsspørsmål som kan oppstå som følge av tilretteleggingsplikten. Departementet ser ikke tilstrekkelig grunn til å foreslå noen slik særregulering. De ansvarsspørsmål som måtte oppstå i praksis, må finne sin løsning med utgangspunkt i alminnelige regler.
Departementet viderefører forslaget i høringsnotatet om å lovfeste at merutgifter som tilbyder har som følge av tilretteleggingsplikten, skal dekkes av staten. Både merutgifter knyttet til investeringer og til drift skal dekkes. Nærmere regler kan gis i forskrift.
I tråd med forslaget i høringsnotatet går departementet inn for å innta en henvisning til tilretteleggingsplikten i ekomloven § 2-8 nytt fjerde ledd.
11.9 Forhåndskontroll
11.9.1 Forhåndsgodkjennelse av en domstol
11.9.1.1 Forslaget i høringsnotatet
I høringsnotatet punkt 11.11.4.1 drøftes hvorvidt det bør oppstilles et krav om forutgående domstolskontroll av Etterretningstjenestens bruk av tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon, og i tilfelle hvordan en slik ordning bør utformes. Lysne II-utvalget gikk i sin rapport inn for domstolskontroll gjennom en ordning med forhåndsgodkjennelser av søk i metadatalageret og innsamling av innholdsdata.
Det vises i høringsnotatet til at rettssikkerhets- og legitimitetshensyn tilsier et krav om forhåndsgodkjennelse fra domstolene. Det vil virke mindre betryggende om Etterretningstjenesten selv skal fatte beslutningen, eller om myndigheten legges til departementet eller en annen del av den utøvende makt. Det er heller ikke ønskelig å legge slik myndighet til EOS-utvalget.
11.9.1.2 Høringsinstansenes syn
Advokatforeningen støtter forslaget om domstolskontroll, men stiller spørsmål ved hvilken reell mulighet domstolen har til å utøve effektiv kontroll. Foreningen mener at domstolens faktiske mulighet til å utøve forhåndskontroll bør styrkes. Datatilsynet, Den internasjonale juristkommisjon – norsk avdeling (ICJ-Norge) og NRK gir uttrykk for synspunkter i samme retning.
Dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors uttaler:
«En omfattende kontroll med lovligheten av innhentingen og lagringen slik det forutsettes i forslaget, vil kreve betydelig innsikt og forståelse for virksomheten til Etterretningstjenesten, og også til ulike mulige tekniske løsninger. En liten endring i søkekriterier vil kunne få store utslag og gjøre at et søk går fra å være uforholdsmessig til forholdsmessig. Dommeren må kunne se og forstå hvilke endringer som er mulige og ønskelige.
Samlet sett vil vi peke på at det er svært mange vilkår i loven som skal vurderes ved hver eneste kjennelse. Når vilkårene hver for seg er vage og uklare, mener vi at det ikke ligger til rette for en reell kontroll.»
Domstoladministrasjonen støtter synspunktet om at krav om forhåndstillatelse fra domstolene utgjør en viktig og reell rettssikkerhetsgaranti. Samtidig kan det være vanskelig for domstolen å etterprøve enkelte av vilkårene i lovforslaget, slik at de øvrige foreslåtte tilsyns- og kontrollmekanismene vil fylle en viktig funksjon.
Oslo tingrett uttaler:
«Tingretten er enig med departementet i at et krav om forhåndstillatelse fra domstolene vil utgjøre en rettssikkerhetsgaranti, både ved at det utføres legalitetskontroll, og ved at en slik ordning sannsynligvis [vil] ha en disiplinerende virkning for Etterretningstjenesten. Den forutgående domstolskontrollen må dessuten sees i sammenheng med tilsyns- og kontrollsystemet for øvrig.»
Flere høringsinstanser er kritiske til at retten skal være avhengig av Etterretningstjenesten for sakens opplysning, spesielt med hensyn til tekniske forhold. Det tas derfor til orde for å styrke rettens mulighet til å få uavhengig faglig bistand, for eksempel ved å åpne for at retten kan oppnevne sakkyndig. Advokatforeningen, Borgarting lagmannsrett, Den norske dataforening – IT-politisk råd, ICJ-Norge, dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors, Elektronisk Forpost Norge og Norges institusjon for menneskerettigheter (NIM) gir uttrykk for synspunkter i denne retningen. NIM uttaler:
«Behovet for særskilt kompetanse er fremhevet av EMD. Ettersom det er lagt opp til at avgjørelsene skal treffes av ordinære dommere, er det nærliggende at retten gis fagkyndig bistand. Av hensyn til domstolens uavhengighet er NIM i utgangspunktet lite positive til forslaget om at dette alene ivaretas ved at E-tjenesten selv medbringer fagkyndig. Etter NIMs oppfatning bør det legges opp til et spor hvor domstolen kan innhente uavhengig faglig bistand, og på den måten også sikre at domstolens kontroll oppleves som reell, effektiv og uavhengig.»
11.9.1.3 Departementets vurdering
Departementet har i punkt 10.13 drøftet hvorvidt det bør oppstilles et generelt krav om domstolens forhåndsgodkjennelse av Etterretningstjenestens metodebruk. Spørsmålet ble besvart benektende. Det er imidlertid grunn til å vurdere spørsmålet særskilt når det gjelder tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon, på grunn av det særpreget tilgangen har som følge av at det vil lagres store mengder metadata om norsk innenlandsk kommunikasjon. Særpreget tilsier etter departementets syn at det oppstilles et krav om uavhengig forhåndsgodkjennelse. Departementet viser også til at Lysne II-utvalget gikk inn for å oppstille et krav om forhåndsgodkjennelse av en domstol.
Et alternativ kunne være å legge oppgaven til EOS-utvalget eller til et nytt, uavhengig forvaltningsorgan. Departementet mener imidlertid at hensyn til legitimitet, tillit og rettssikkerhet taler for å legge oppgaven til domstolene. Departementet mener, på samme måte som Domstoladministrasjonen og Oslo tingrett, at kravet om forhåndstillatelse vil være en viktig rettssikkerhetsgaranti. Domstolen vil føre kontroll med lovligheten av Etterretningstjenestens begjæringer om bruk av tilgangen, og det må antas at slik kontroll vil ha en disiplinerende effekt på tjenesten.
Flere høringsinstanser mener at det kan være vanskelig for domstolene å gjennomføre en reell kontroll, blant annet på grunn av skjønnsmessige vilkår. Departementet har forståelse for synspunktet. Effektiviteten av domstolskontrollen må ses i sammenheng med hvordan vilkårene er utformet, og noen vilkår kan være vanskelige å overprøve. For eksempel kan ikke grunnvilkårene for innhenting være for strenge. Det er heller ikke til å komme fra at enkelte vilkår må bygge på skjønn, her som på andre rettsområder. På samme måte som i høringsnotatet kan det derfor være grunn til å advare mot urealistiske forestillinger om hvor høy grad av rettssikkerhet og hvor godt personvern som kan oppnås ved å kreve domstolens forhåndsgodkjennelse. Departementet mener like fullt at domstolens forhåndskontroll vil være reell, og fylle en viktig funksjon i det samlede kontrollsystemet.
Flere høringsinstanser, som Advokatforeningen og Datatilsynet, tar til orde for at domstolens faktiske mulighet til å utøve en reell kontroll må styrkes. Departementet tar disse tilbakemeldingene på alvor, og foreslår på bakgrunn av dem flere tiltak som skal styrke kontrollfunksjonen. Etter høringen foreslås det lovfestet at retten som hovedregel skal oppnevne særskilt advokat (punkt 11.9.5), og det stilles strengere krav til spesifisering av begjæringen (punkt 11.9.4). Dessuten gis domstolen myndighet til å pålegge stansing av pågående innhenting etter begjæring fra EOS-utvalget (punkt 11.10.4).
Departementet har vurdert hvorvidt det bør åpnes for at retten kan oppnevne en uavhengig sakkyndig, slik flere høringsinstanser tar til orde for, men foreslår ikke dette. Det bør etter departementets syn holdes fast ved at det er Etterretningstjenesten som skal sørge for sakens opplysning. Teknisk innhenting innenfor utenlandsetterretning er en høyt spesialisert disiplin som av legitime grunner er skjermet, og det vil derfor være vanskelig å finne egnet sakkyndighet. Sikkerhetshensyn taler også mot å involvere flere aktører i saksbehandlingen. Det vises til at retten ikke har adgang til å oppnevne sakkyndig i saker etter politiloven § 17 d, hvor tilsvarende hensyn gjør seg gjeldende. Departementet legger til grunn at retten vil få et forsvarlig faktisk avgjørelsesgrunnlag gjennom den skriftlige begjæringen og uttalelsen fra den særskilte advokaten, eventuelt i kombinasjon med den supplerende informasjon fra tjenesten som retten måtte be om, som kan gis både skriftlig og i rettsmøte.
Departementet vil understreke at domstolskontrollen må ses i sammenheng med tilsyns- og kontrollsystemet for øvrig, slik også Domstoladministrasjonen og Oslo tingrett trekker frem i sine høringsuttalelser. Sammen med domstolens forhåndskontroll vil EOS-utvalgets løpende kontroll og etterfølgende kontroll være sentrale elementer i systemet. I tillegg til denne uavhengige kontrollen kommer Etterretningstjenestens internkontroll og departementets forvaltningskontroll. Nasjonal kommunikasjonsmyndighet (Nkom) vil dessuten føre kontroll med hvordan tilbydere som omfattes av Nkoms tilsynsmyndighet utøver tilretteleggingsplikten.
11.9.2 Plassering av domstolskontrollen
11.9.2.1 Forslaget i høringsnotatet
I høringsnotatet punkt 11.11.4.2 drøftes hvorvidt domstolskontrollen bør legges til de alminnelige domstoler eller til en særdomstol. Lysne II-utvalget tok ikke stilling til dette spørsmålet.
Det vises i høringsnotatet til grunner som taler for en form for dommerspesialisering. Et alternativ er å opprette en spesialdomstol, som i Sverige. Hensynet til legitimitet og tillit i befolkningen taler imidlertid for å legge kontrollen til de alminnelige domstolene. For å legge til rette for en viss form for dommerspesialisering foreslås det å legge sakene til Oslo tingrett.
11.9.2.2 Høringsinstansenes syn
De fleste høringsinstansene som uttaler seg om spørsmålet, støtter forslaget om å legge sakene til de alminnelige domstolene med Oslo tingrett som førsteinstans. Dette gjelder Advokatforeningen, Amnesty International, Borgarting lagmannsrett, Det nasjonale statsadvokatembetet, dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors, Domstoladministrasjonen, Kripos og Oslo tingrett. Domstoladministrasjonen ser samtidig behovet for at dommere som skal jobbe innenfor feltet må få opparbeide seg kompetanse, og uttaler:
«I forbindelse med kompetansebygging i forhold til kjennskap til Etterretningstjenesten må man være oppmerksom på faren for identifikasjon dersom slik kompetanse skal formidles av Etterretningstjenesten selv. På grunn av kravet til sikkerhetsklarering vil det uansett være et mindre antall dommere som skal behandle slike saker, og de vil på sikt opparbeide seg erfaring med sakstypen.»
Dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors uttaler:
«Vi mener ikke det er behov for å opprette en egen domstol, slik de har i Sverige. Det ville stride mot vår tradisjon med dommere som er generalister, dog slik at det skjer en moderat spesialisering. På området her er det naturlig at det skjer en spesialisering, i og med at dommerne må sikkerhetsklareres. Dette vil i så fall bli en parallell til hvordan begjæringene fra PST behandles. Det kan også være at dommerne bør ha særskilt kompetanse på persongrupper som kan bli særlig utsatt for etterretningen, eller lignende.»
Datatilsynet uttaler:
«Siden vilkårene er vidt formulert vil det kreve høy kompetanse hos dommerne for å kunne etterprøve nødvendighet og forholdsmessighet av tiltaket som det bes om godkjenning til. Dette krever igjen grundig innsikt og kunnskap i den etterretningsfaglige verdien som søkes oppnådd ved søk i informasjon og/eller lagring av innholdsdata.
Videre vil domstolen måtte foreta en vurdering av forholdsmessighet som innebærer at dommere må kunne overskue konsekvensene av det aktuelle tiltaket. Dette krever god kunnskap om de tekniske løsninger for å vite hvordan og hvem som vil bli rammet av tiltaket. Med de tekniske innretninger som er foreslått i høringsnotatet er vi bekymret for at kompleksiteten overstiger kompetansen til den jevnlige dommer i Oslo tingrett, selv om det blir en slik spesialisering som departementet foreslår.
Vi stiller spørsmål ved hvor realistisk disse kompetansekrav til dommerne er, og er bekymret for at de fleste dommere ikke vil ha de kunnskaper som kreves for å foreta en [reell] avveiing av disse momentene. Dette vil i realiteten innebære en uthuling av domstolskontrollen.»
11.9.2.3 Departementets vurdering
Departementet opprettholder forslaget i høringsnotatet om å legge domstolskontrollen til de alminnelige domstoler, med Oslo tingrett som førsteinstans. Hensynet til legitimitet og tillit i befolkningen tilsier en slik løsning, som har fått bred støtte av høringsinstansene.
Som flere høringsinstanser påpeker, er tilstrekkelig fagkompetanse en forutsetning for at retten skal kunne foreta en reell kontroll. Dette kunne isolert sett tilsi å legge sakene til en uavhengig særdomstol med spesialiserte dommere. Å opprette en særdomstol ville gitt virksomheten en tydelig egen identitet, og lagt til rette for utviklingen av et spesialisert fagmiljø. På den andre siden er risikoen for at dommerne i for stor grad vil identifisere seg med sitt eget fagområde større i en særdomstol enn i de alminnelige domstolene, hvor dommerne er generalister som behandler alle sakstyper. Departementet stiller seg dessuten tvilende til hvorvidt saksmengden vil være av en størrelse som kan forsvare opprettelsen av en særdomstol. På denne bakgrunn mener departementet at forhåndskontrollen bør legges til de alminnelige domstoler.
Den generelle kompetansen til dommerne i de alminnelige domstolene er høy. Det er nok slik at etterretningsfaget til å begynne med vil være ukjent for de fleste dommerne, både med hensyn til rettslige og faktiske forhold. At dommere må sette seg inn i nye fagfelt, er likevel ikke en uvanlig situasjon; det kan snarere regnes som et trekk ved den norske tradisjonen med alminnelige domstoler. Etter departementets syn er det like fullt viktig at de aktuelle dommerne har en viss innsikt i etterretningsfaget, sikkerhetspolitiske forhold og tekniske forhold ved innhentingen. Dette har betydning for muligheten til å foreta en reell prøving av begjæringene. En konsekvens av at domstolskontrollen blir lagt til de alminnelige domstolene, er at spesialiseringen blir mer begrenset enn hvis det opprettes en særdomstol. Domstolen bør like fullt sørge for en viss form for spesialisering. Dette kan skje gjennom at domstolen setter en begrenset gruppe dommere til å behandle de aktuelle sakene, slik at disse dommerne over tid opparbeider seg erfaring med sakstypen. Dette er naturlig også på grunn av at behandling av sakene vil kreve sikkerhetsklarering og autorisasjon etter reglene i sikkerhetsloven og klareringsforskriften kapittel 5.
Det bør legges til rette for at dommerne får bygget kompetanse gjennom kursdeltakelse, studiepermisjoner eller lignende. Slike tiltak må gjennomføres på en måte som ivaretar domstolenes uavhengighet. Etterretningstjenesten og andre deler av forvaltningen kan være sentrale kilder til relevant kunnskap og kompetanse om fagfeltet, men som påpekt av Domstoladministrasjonen må man i denne sammenhengen være oppmerksom på faren for identifikasjon. Kompetansetiltakene bør derfor gjennomføres på domstolens initiativ og på den måten som domstolen ønsker det.
11.9.3 Hva domstolen skal prøve
11.9.3.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.11.4.3 at retten skal foreta en forutgående legalitetskontroll av bruken av tilrettelagt innhenting. Dette innebærer at retten skal prøve om lovens vilkår er oppfylt. Retten skal herunder prøve at innhentingen ligger innenfor Etterretningstjenestens oppgaver, tilfredsstiller grunnvilkårene for målsøking og målrettet innhenting, og ikke er uforholdsmessig.
I høringsnotatet er regler om hva retten skal prøve inntatt i lovutkastet § 8-4.
11.9.3.2 Høringsinstansenes syn
Det synes ikke å være noen uenighet blant høringsinstansene om at retten skal prøve om lovens vilkår er oppfylt, men som omtalt under punkt 11.9.1.2 påpeker flere at det kan være vanskelig å føre en reell kontroll med enkelte av vilkårene.
Amnesty International mener at forslaget vil sikre en grundig rettslig prøving, og at en klar angivelse i loven av hva retten skal prøve må anses å være en avgjørende rettssikkerhetsmessig garanti.
Norsk Journalistlag, Norsk Presseforbund, Norsk Redaktørforening og NRK er kritiske til at lovutkastet § 9-6, som fastsetter en særskilt terskel for behandling av fortrolig kommunikasjon med særlige yrkesutøvere, ikke er blant bestemmelsene som er oppregnet i lovutkastet § 8-4.
Datatilsynet viser til at domstolens prøving av saker om kommunikasjonskontroll har blitt kritisert for å fremstå som lite reell. Tilsynet viser til statistikk fra 2016 som viser at det ble brukt kommunikasjonskontroll i 135 saker. Tingretten avslo politiets begjæring i to av sakene, men det ble gitt tillatelse i begge sakene etter anke.
11.9.3.3 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet om at retten skal prøve hvorvidt lovens vilkår er oppfylt.
Flere presseaktører stiller seg kritiske til at § 9-6 i høringsnotatet, som blant annet oppstiller et særskilt vern for journalistisk materiale, ikke er regnet opp i § 8-4 som en av bestemmelsene retten skal prøve. Departementet bemerker at § 9-6 i høringsnotatet ikke gjelder for behandling i form av innhenting, noe som videreføres i proposisjonen. Den høye terskelen for inngrep i kildevernet vil likevel være gjenstand for prøving av domstolen som et ledd i forholdsmessighetsvurderingen etter § 5-4. Dette innebærer for eksempel et tilnærmet absolutt forbud mot målrettet innhenting etter lovforslaget § 7-9 av kommunikasjon mellom en journalist mv. som er vernet av lovforslaget § 9-6 og en kilde, og dette vil prøves av retten. Det vises for øvrig til punkt 12.8.6.
Datatilsynet viser til statistikk fra 2016 som gjelder det alminnelige politiets bruk av kommunikasjonskontroll. Statistikken viser at politiet fikk rettens tillatelse i alle sakene som ble behandlet. Departementet tilføyer at statistikken for 2017 viser at retten avslo seks saker av et totalt antall på 160. I to av disse sakene ble det gitt tillatelse etter anke. For 2018 ble det gitt helt eller delvis avslag i fire av 130 saker. I én av sakene ble tillatelse gitt etter anke. Statistikken viser at det blir gitt tillatelse i en stor andel av sakene. Det er grunn til å tro at det samme vil gjelde for saker etter lovforslaget i denne proposisjonen, fordi Etterretningstjenesten, blant annet på grunn av kontrollens disiplinerende virkning, neppe vil fremme begjæringer med dårlige utsikter til å føre frem. Det kan derfor ikke uten videre sluttes fra en høy andel tillatelser til at kontrollen ikke er reell.
11.9.4 Saksbehandlingen
11.9.4.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.11.4.4 at saksbehandlingen ved domstolen skal innledes gjennom at Etterretningstjenesten fremmer en begjæring om søk i lagrede metadata etter lovutkastet § 7-8 eller innhenting og lagring av innholdsdata etter lovutkastet § 7-9. Forslaget oppstiller ikke krav om at begjæringene må individualiseres. Det vil derfor kunne fremmes begjæringer som består av et sakskompleks. Kompetansen til å fremsette begjæring bør i utgangspunktet ligge til sjefen for Etterretningstjenesten, men bør kunne delegeres. Hensyn til notoritet og forsvarlig saksbehandling tilsier at begjæringen må være skriftlig.
Det vises i høringsnotatet til at begjæringen må inneholde den informasjonen som er nødvendig for at domstolen skal kunne prøve om lovens vilkår er oppfylt. Omfanget vil kunne variere fra sak til sak, men det må påvises at innhentingen er relevant for å løse en av tjenestens oppgaver og at den oppfyller grunnvilkårene, herunder at den ikke utgjør et uforholdsmessig inngrep. Mer konkret kreves at begjæringen skal angi hva eller hvem søkene retter seg mot, samt opplysninger om det rettslige og faktiske grunnlaget for innhentingen. Dette innebærer ikke at Etterretningstjenesten må angi konkret hvilke søkebegreper som skal benyttes; det sentrale er at domstolen settes i stand til å foreta en reell prøving av nødvendigheten og forholdsmessigheten av søkene. Hvis retten mener at begjæringen ikke gir tilstrekkelig grunnlag for avgjørelsen, kan den kreve ytterligere opplysninger.
Etter forslaget i høringsnotatet kan retten beslutte muntlige forhandlinger for å opplyse saken ytterligere, og Etterretningstjenesten kan i så fall stille med tjenestepersoner eller andre som kan opplyse saken. Retten avgjør saken i form av en skriftlig kjennelse som skal begrunnes.
I høringsnotatet er det inntatt regler om rettens kjennelser i § 8-1, krav til begjæringen i § 8-2 og rettsmøte i § 8-3.
11.9.4.2 Høringsinstansenes syn
Flere høringsinstanser mener at det bør stilles strengere krav til begjæringens innhold, herunder Datatilsynet og Norges institusjon for menneskerettigheter (NIM). NIM uttaler:
«I høringsnotatet på side 238 fremgår det at det er tilstrekkelig at E-tjenestens begjæringer «består av et sakskompleks». Det fremstår uklart hvilken grad av spesifisering det her er snakk om. Videre på samme sted i høringsnotatet fremgår det at det ikke er lagt opp til et krav om at begjæringene må «individualiseres». Her må det klargjøres nærmere hvor omfattende eller avgrensede E-tjenestens begjæringer må være, noe som igjen spiller inn på omfanget av rettens kjennelser. Som det fremgår over, har EMD lagt vekt på i hvilken grad kjennelser som autoriserer overvåking er spesifiserte. For å sikre en kvalitativt forsvarlig domstolkontroll, mener NIM det er viktig at det fastsettes kriterier som avgrenser omfanget av begjæringene på en måte [som] gjør at rettens vurdering ikke bare knytter an til generelle behov i et overordnet sakskompleks, men heller de konkrete stadiene i saken som gjør søk og innhenting nødvendig. Det fremgår for eksempel av lovforslaget § 8-6 at rettens tillatelse ikke skal gis lenger enn nødvendig. For at domstolene skal kunne vurdere dette på en forsvarlig måte, er det nødvendig at begjæringen inneholder informasjon om begrunnelse for foreslått tidsramme slik at domstolen også har mulighet til å begrense denne etter en selvstendig vurdering. Retten skal dessuten kontrollere at E-tjenesten ikke behandler personopplysninger utelukkende på bakgrunn av hva som er kjent om en persons «etnisitet eller nasjonale bakgrunn, politiske, religiøse eller filosofiske overbevisning, språk, politiske virksomhet, fagforeningstilhørighet eller helsemessige eller seksuelle forhold.» For å kunne foreta en meningsfull kontroll av dette, kreves også mer konkretisert innsikt i hvilke vurderinger som ligger bak E-tjenestens begjæring.»
NIM viser til at Etterretningstjenesten i sin begjæring skal angi hva eller hvem søkene rettes mot, men at den ikke må angi hvilke søkebegreper som skal benyttes:
«Søkebegrepene vil være direkte avgjørende for hva E-tjenesten får tilgang på og omfanget av tilgangen. Følgelig er det vanskelig å se annet enn at søkebegrepene nødvendigvis utgjør den direkte og avgjørende faktoren for om søk og innhenting er forholdsmessig i konkrete saker. En ordning der retten kun tar stilling til abstraherte person- og moduselektorer og E-tjenesten utarbeider konkrete søkekriterier på grunnlag av disse, vil potensielt gi E-tjenesten et betydelig skjønn ved påfølgende innhenting og søk, noe som skaper en ganske klar risiko for misbruk. Videre kommer det at EOS-utvalget ikke er bemyndiget til å stanse søk eller slette informasjon fra søk som ikke omfattes av kjennelsen eller som er uforholdsmessige.
For at rettens prøving skal anses fullstendig, mener NIM at E-tjenestens begjæring bør inneholde søkebegreper og at E-tjenesten med rettens kjennelse ikke kan gå ut over disse. Dette medfører også at retten kan ekskludere enkelte søkekriterier, f.eks. hvis det er stor risiko for at disse vil frembringe særlig beskyttet kommunikasjon eller i for stor grad ramme personer i Norge. Hvis det viser seg at de aktuelle søkebegrepene ikke er tilstrekkelige og at andre søkebegreper kan frembringe relevante resultater, kan E-tjenesten fremme en ny begjæring for retten. Dette kan medføre at E-tjenesten i en operasjon må begjære flere tillatelser, noe som igjen bidrar til minimalisering og ivaretakelse av at søk og innhenting begrenses til hva som er nødvendig og forholdsmessig.»
NIM fremholder videre at det bør fremgå eksplisitt at retten skal ha tilgang på alle relevante opplysninger i saken, og at retten helt generelt kan kreve fremlagt ytterligere opplysninger.
Borgarting lagmannsrett uttaler:
«For at domstolsprøvingen skal bli reell og effektiv må det stilles ganske store krav til begjæringene. Disse må være konkrete, beskrive det aktuelle formålet og redegjøre for hvorfor det foreligger «grunn til å undersøke». Videre må begjæringen gi retten alle opplysninger som trengs for å kunne vurdere forholdsmessigheten.»
Dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors gir uttrykk for synspunkter i samme retning. De peker også på muligheten til å avholde muntlige forhandlinger som viktig, og uttaler:
«Vi mener at det vil være nødvendig med utstrakt bruk av muntlige forhandlinger, særlig i startfasen før det foreligger rettspraksis. Det er tale om svært inngripende innhenting av informasjon som rammer potensielt svært mange personer og virksomheter. I startfasen vil det være nødvendig å stille spørsmål for å forstå hva saken gjelder.»
Advokatforeningen mener at det bør oppstilles som hovedregel at domstolens prøving skal skje på grunnlag av muntlige forhandlinger:
«Domstolenes metode for å komme frem til det materielt riktige resultat er i alminnelighet tuftet på kontradiksjon mellom sakens parter. I saker etter utkastet kapittel 8 er domstolens forutsetning for å komme frem til det riktige resultat derfor dårligere enn i andre saker for domstolene. Dette skyldes at den ene part ikke er til stede. Denne kan ikke uttale seg, og det kontradiktoriske prinsipp er satt til side. Oppnevning av særskilt advokat som et minstekrav vil riktignok avhjelpe et stykke på vei. Den særskilte advokaten kan imidlertid ikke tilegne seg kunnskap om sakens faktum utover det som følger av utk. § 8-5. Det er med andre ord Etterretningstjenesten som alene fremlegger faktum i saken for retten.
Når dette er utgangspunktet er det et paradoks at både dommerens og den særskilte advokatens rammevilkår ytterligere skal svekkes ved at hovedregelen skal være at det ikke er muntlige forhandlinger. Muntlige forhandlinger vil bedre både dommerens og advokatens muligheter til å sette seg inn i saken og få uklare punkter avklart. Kontradiksjonen vil styrkes, dommeren vil få et bedre grunnlag for sin avgjørelse, og den intenderte kontrollen i utkastet kapittel 8 vil lettere bli oppnådd. Den best mulige domstolskontroll vil dessuten styrke tilliten til at systemet fungerer.
Det er Advokatforeningens mening at et krav om muntlige forhandlinger ikke vil medføre nevneverdige forsinkelser. Løsningene for å ivareta hensynet til hurtig avvikling av sakene kan være flere, hvorav vaktturnuser blant de særskilte advokatene er én.»
EOS-utvalget foreslår at både kjennelsen og den underliggende begjæringen skal meddeles til utvalget. Utvalget peker på at de må kjenne forutsetningene som kjennelsen bygger på for å være i stand til å føre en dekkende kontroll med hvorvidt tjenestens søk er i samsvar med kjennelsens innhold.
11.9.4.3 Departementets vurdering
Departementet viderefører i hovedsak forslaget i høringsnotatet, men med noen endringer som følge av høringen. Departementet er enig med høringsinstansene som mener at loven bør angi mer presise krav til hva begjæringen skal inneholde, herunder Datatilsynet og Norges institusjon for menneskerettigheter (NIM). Det foreslås i tråd med dette å liste opp krav til begjæringens innhold i lovforslaget § 8-2.
Forslaget innebærer blant annet at det i begjæringen skal angis hvilke søkebegreper eller kategorier av søkebegreper som skal brukes til å søke i lagrede metadata. Søkebegrepene kan knytte seg til en person (personselektor) eller et bestemt mønster eller avgrensning (modusselektor). At det kan angis kategorier av søkebegreper, innebærer at de konkrete søkebegrepene ikke nødvendigvis vil prøves av retten. Kategorier kan for eksempel gjelde alle selektorer (som telefonnumre og e-postadresser) knyttet til en bestemt person, eller alle personer som har en nærmere kvalifisert tilknytning til en bestemt organisasjon, for eksempel en fremmed sikkerhets- og etterretningstjeneste. NIM går i sin høringsuttalelse inn for et krav om prøving av konkrete søkebegreper. Departementet mener at en slik løsning ikke vil la seg gjennomføre i praksis, fordi relevante nettidentiteter og handlingsmønstre vil være i rask og hyppig endring. Departementet viser til at både svensk og finsk lovgivning åpner for at begjæringene kan angi kategorier av søkebegreper. Det vises dessuten til at EOS-utvalget vil kunne begjære stansing hvis utvalget mener at det brukes søkebegreper som ikke ligger innenfor rammen av rettens tillatelse, jf. punkt 11.10.4. Dette minimerer den risikoen for misbruk som NIM peker på i sin høringsuttalelse.
Departementet understreker at retten vil kunne kreve mer informasjon dersom den mener at begjæringen ikke gir et tilstrekkelig grunnlag for avgjørelsen, både skriftlig og i form av muntlige forhandlinger etter lovforslaget § 8-3. Departementet er enig med Advokatforeningen og dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors i at muntlige forhandlinger kan være et viktig virkemiddel for å opplyse saken. Muntlige forhandlinger vil antakelig brukes hyppig spesielt i den første tiden, men kan være aktuelt også i en senere fase, avhengig av sakens karakter og rettens behov for avklaringer. I lys av høringsuttalelsen til Advokatforeningen vil departementet bemerke at lovforslaget ikke oppstiller som hovedregel at det ikke skal avholdes muntlige forhandlinger, men lar dette være opp til retten å vurdere i den enkelte sak.
EOS-utvalget går inn for at utvalget bør gjøres kjent med både kjennelsen og begjæringen som ligger til grunn for den. Departementet slutter seg til dette, og foreslår en slik regel i lovforslaget § 8-1 tredje ledd.
11.9.5 Særskilt advokat
11.9.5.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.11.4.4 en ordning med oppnevnelse av særskilt advokat for den som berøres av en begjæring om tilrettelagt innhenting. Det vises til at det er viktig for balansen i domstolsprosessen at en av aktørene har som oppgave å stille kritiske spørsmål til begjæringen og sørge for å belyse personvernhensyn som grunnlag for rettens forholdsmessighetsvurdering i den enkelte sak.
Det foreslås i høringsnotatet at advokaten skal ivareta interessene både til den eller de som innhentingen retter seg mot og interessene til eventuelle tredjepersoner. Det bør være opp til retten å beslutte oppnevning. Hvis innhentingen retter seg mot en eller flere bestemte personer, bør advokat som hovedregel oppnevnes. I noen saker vil ikke innhentingen rette seg mot bestemte personer eller grupper. Retten bør likevel kunne oppnevne advokat, for eksempel for å belyse mer allmenne personverninteresser som gjør seg gjeldende.
Etter forslaget skal advokaten varsles om rettsmøtet og ha rett til å være til stede og til å uttale seg før retten treffer avgjørelse. Advokaten skal gjøres kjent med begjæringen og annen informasjon som legges frem i retten, men skal utover dette ikke ha noen rett til innsyn i saken. Advokaten skal ikke sette seg i forbindelse med den saken gjelder.
I høringsnotatet er oppnevnelse av særskilt advokat regulert i lovutkastet § 8-5.
11.9.5.2 Høringsinstansenes syn
Ingen høringsinstanser har hatt innvendinger mot forslaget om oppnevnelse av særskilt advokat i saker om tilrettelagt innhenting. Advokatforeningen, Amnesty International, Borgarting lagmannsrett, dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors, Kripos og Norges institusjon for menneskerettigheter mener at det bør være obligatorisk å oppnevne særskilt advokat. Norsk Journalistlag fremholder at terskelen for å oppnevne advokat bør være lav, og at det alltid bør oppnevnes advokat når man står overfor behandling av opplysninger som kan omfatte kildemateriale.
Oslo tingrett uttaler:
«I forslagets § 8-5 er det lagt opp til at retten kan oppnevne en særskilt advokat for å ivareta rettighetene til den eller de som innhentingen retter seg mot. Til forskjell fra den obligatoriske ordningen med særskilt advokat ved behandling av saker om skjulte tvangsmidler i dag, jf. straffeprosessloven § 100a og politiloven § 17e, er den foreslåtte lovbestemmelsen i utformet som en kan-regel. Oslo tingrett støtter at dette bør være hovedregelen. Etter forslaget kan særskilt advokat oppnevnes også for å ivareta mer allmenne personverninteresser, noe som er naturlig siden begjæringene må antas å ikke alltid rette seg mot bestemte personer. Det bør vurderes å gjøre dette til en skal-regel.»
11.9.5.3 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet om en ordning med oppnevnelse av særskilt advokat i saker om forhåndskontroll av tilrettelagt innhenting, men med noen endringer som følge av høringen.
Departementet tar som utgangspunkt at tilrettelagt innhenting må skje i det skjulte overfor aktører som innhentingen berører. Noe annet ville undergrave formålet med innhentingen. Det følger av dette at de berørte ikke kan underrettes om eller ta del i en sak om forhåndsgodkjennelse av innhentingen. En kontradiktorisk domstolsbehandling lar seg derfor ikke gjennomføre på vanlig måte. Når dette er situasjonen, mener departementet at det må legges til rette for en saksbehandling som kan ivareta rettssikkerhetshensyn og andre samfunnsinteresser så langt det er mulig.
En kontradiktorisk saksbehandling kan i en viss utstrekning ivaretas gjennom at retten oppnevner en særskilt advokat. I straffeprosessen ble en slik ordning innført i 1999 gjennom vedtakelsen av straffeprosessloven § 100 a. Bestemmelsen ble vedtatt etter forslag fra Metodeutvalget, som omtalte advokatens rolle slik (NOU 1997: 15 punkt 6.2.10 side 152 til 153):
«En slik oppnevnt advokat vil ha en tosidig oppgave. Den ene er å sørge for kontradiksjon ved å stille kritiske spørsmål og belyse saken fra andre innfallsvinkler forut for domstolens avgjørelser. Det andre er at man skal være en rettssikkerhetsgaranti for at loven blir etterlevd. Et hovedpoeng må her være at den oppnevnte advokat ikke primært er der for å ivareta den siktedes sak, men derimot representere allmennheten og påse at det tas tilstrekkelig hensyn til personvernet i den avveining som i den konkrete sak skal skje mellom hensynet til den enkeltes integritet, og felleskapets behov for oppklaring og avverging av alvorlig kriminalitet.
Det viktigste argument for å innføre en slik ordning vil være at man da vil få et topartsforhold som er det normale ved rettergang. Et viktig utslag av dette er at det blir praktisk mulig å påkjære også de kjennelser hvor politiet gis adgang til å anvende telefonkontroll.»
Selv om disse betraktningene knytter seg til straffeprosessen, har de etter departementets syn relevans også for domstolens forhåndskontroll av tilrettelagt innhenting. Det er viktig for balansen i domstolsprosessen at en av aktørene har som oppgave å målbære allmenne interesser i saken, stille kritiske spørsmål til Etterretningstjenestens begjæring og belyse personvernhensyn og andre samfunnsinteresser som potensielt kan lide utilbørlig skade av innhentingen, som ytrings- og informasjonsfriheten og religionsfriheten. Ved å gi den særskilte advokaten rett til å anke, åpnes det også for at en sak kan prøves i flere instanser.
Forslaget i høringsnotatet er utformet som en «kan»-regel som lar det være opp til retten å beslutte om det skal oppnevnes særskilt advokat. Flere høringsinstanser tar til orde for at oppnevning bør være obligatorisk. Departementet mener etter høringen at oppnevning bør være den store hovedregelen, og foreslår derfor at retten «skal» oppnevne særskilt advokat. Retten bør imidlertid kunne unnlate å oppnevne særskilt advokat hvis det anses ubetenkelig. Hvorvidt oppnevnelse kan unnlates, må avgjøres konkret. Det kan for eksempel være aktuelt hvis søket eller innhentingen i liten grad vil gripe inn i vernede interesser, typisk i saker som gjelder statlige aktørers spionasje- eller sabotasjevirksomhet mot Norge.
Det presiseres i forslaget at den særskilte advokaten skal oppnevnes etter at retten har mottatt begjæringen om tillatelse, og at advokaten skal ha godtgjørelse av staten.
Lovforslaget gir departementet hjemmel til å gi forskrift om oppnevning av særskilt advokat, for eksempel om godtgjørelse.
11.9.6 Tillatelsens varighet
11.9.6.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.11.4.4 at retten i den enkelte sak skal vurdere og ta stilling til varigheten av tillatelsen. Hovedregelen bør være at tillatelsen ikke skal vare lenger enn nødvendig. Dessuten tilsier personvernhensyn en yttergrense for tillatelsens varighet. Det foreslås en maksimal varighet på ett år når søket gjelder målsøking og seks måneder når søket gjelder målrettet innhenting.
Det foreslås av pedagogiske grunner å lovfeste at Etterretningstjenesten skal avslutte pågående søk av eget tiltak dersom vilkårene ikke lenger er til stede, for eksempel hvis nye faktiske omstendigheter gjør at inngrepet ikke lenger kan regnes som forholdsmessig.
I høringsnotatet er regler om tillatelsens varighet inntatt i lovutkastet § 8-6.
11.9.6.2 Høringsinstansenes syn
Amnesty International uttaler:
«Vi støtter forslaget om at retten skal avgjøre varighet for tillatelsen slik at varighet begrenses til det strengt nødvendige. Vi støtter også forslaget om å lovfeste at Etterretningstjenesten skal avslutte søk av eget tiltak dersom vilkårene etter loven ikke lenger er oppfylt. Denne presiseringen vil tydeliggjøre etterretningstjenestens til enhver tid selvstendige ansvar for å vurdere om vilkårene for lovlig inngrep er oppfylt. En forutgående rettslig kjennelse skal ikke kunne legitimere inngrep der forutsetningene for kjennelsen er endret.»
NRK uttaler at det kan spørres hvor reell domstolskontrollen blir når tillatelsene kan gis for lang tid. Norsk Presseforbund mener at domstolskontrollen må skje oftere når det er snakk om så alvorlige inngrep som her. Kripos gir uttrykk for lignende synspunkter.
11.9.6.3 Departementets vurdering
Departementet opprettholder forslaget i høringsnotatet om å lovfeste at tillatelsen ikke skal vare lenger enn nødvendig. Forslaget innebærer at retten i den enkelte sak skal vurdere og ta stilling til hvor lenge tillatelsen bør vare. Departementet mener dessuten at loven bør oppstille en lengstefrist, og opprettholder forslaget i høringsnotatet om at denne bør være ett år ved målsøking og seks måneder ved målrettet innhenting. Når en tillatelse har løpt ut eller er i ferd med å løpe ut, må Etterretningstjenesten fremme ny begjæring hvis den ønsker å gjenoppta eller fortsette søket eller innhentingen.
I lys av høringsuttalelsene til Kripos, Norsk Presseforbund og NRK vil departementet understreke at fristene på seks måneder og ett år er lengstefrister. Retten kan sette en kortere frist hvis det i en konkret sak er grunn til hyppigere domstolskontroll, for eksempel fordi det er grunn til å tro at faktiske forhold av betydning for lovligheten vil kunne endre seg i løpet av et kortere tidsrom.
Departementet viderefører også forslaget om å lovfeste at Etterretningstjenesten skal avslutte pågående søk av eget tiltak dersom vilkårene ikke lenger er til stede, for eksempel fordi nye faktiske omstendigheter gjør at inngrepet blir uforholdsmessig. En slik plikt må sies å følge allerede av lovens system, men som påpekt av Amnesty International kan det være grunn til å tydeliggjøre den i loven.
11.9.7 Offentlighet
11.9.7.1 Forslaget i høringsnotatet
I høringsnotatet punkt 11.11.4.4 vises det til at offentlighetsprinsippet er et grunnleggende prinsipp i norsk domstolsprosess, men at det ligger i sakens natur at tilrettelagt innhenting må skje i det skjulte overfor personer som den berører og offentligheten for øvrig. Noe annet vil undergrave formålet med innhentingen. Det foreslås derfor i høringsnotatet at rettsmøtene skal holdes for lukkede dører og at rettens avgjørelser ikke kan gjengis offentlig.
11.9.7.2 Høringsinstansenes syn
Datatilsynet uttaler:
«Slik domstolskontrollen er utformet i forslaget vil den innebære en hemmelig forhåndskontroll ved Oslo tingrett. Behandlingen i sakene og kjennelsene vil ikke bli offentliggjort. Dette innebærer store utfordringer med hensyn til offentlighetens tillit til at det faktisk skjer en kontroll. Det må derfor stilles ekstra store krav til de prosessuelle og materielle reglene som skal gjelde for domstolskontrollen.»
Tekna innser at det er nødvendig å holde rettsmøter bak lukkede dører, men bemerker at lukket rett med kun advokater som er spesielt klarert, potensielt kan svekke tilliten til kontrollregimet. Tekna peker på at EOS-utvalget er viktig for å skape tillit til prosesser som i utgangspunktet mangler transparens.
Norsk Presseforbund mener at det er en stor svakhet at forhåndskontrollen er hemmelig, og at behandlingen av sakene og kjennelsene ikke offentliggjøres. Forbundet mener at dette i seg selv svekker tilliten til kontrollen, og skaper en uvisshet som i seg selv kan virke nedkjølende på ytringsfriheten.
Norges institusjon for menneskerettigheter (NIM), Norsk Journalistlag og dommerne Julsrud, Flaterud, Baumann, Horn, Heggdal og Selfors reiser spørsmål om tilgang til rettspraksis og offentliggjøring av kjennelser. NIM skriver:
«Den enkelte dommer som skal avgjøre saken alene, må ha tilgang til tidligere rettspraksis, slik at det blir en enhetlig tolkning av loven. Tilgangen bør være elektronisk og søkbar.
NIM mener også at avgjørelsene bør offentliggjøres i anonym form i den grad hensynet til hemmelighold ikke gjør seg gjeldende.»
11.9.7.3 Departementets vurdering
Departementet tar som utgangspunkt at offentlighetsprinsippet er et grunnleggende prinsipp i norsk domstolsprosess. Prinsippet skal legge til rette for offentlig kontroll med og mulighet for kritikk av rettergangen. Prinsippet har blant annet kommet til uttrykk i Grunnloven § 100 femte ledd første punktum, som fastsetter at enhver har rett til å følge forhandlingene i rettsmøter. Etter bestemmelsens andre punktum kan det i lov fastsettes begrensninger i denne retten ut fra hensyn til personvern og av andre tungtveiende grunner. Det følger av domstolloven § 124 første ledd at rettsmøtene er offentlige og rettsavgjørelsene kan gjengis offentlig, hvis ikke annet er bestemt i lov eller av retten i medhold av lov.
Det ligger i sakens natur at tilrettelagt innhenting må skje i det skjulte overfor personer som den berører og offentligheten for øvrig. Noe annet ville undergrave formålet med innhentingen. Departementet finner det derfor klart at det er nødvendig å gjøre unntak fra hovedregelen om offentlighet.
Noen høringsinstanser påpeker at manglende åpenhet kan utfordre tilliten til domstolskontrollen. Samtidig er det ikke til å komme fra at det er nødvendig å gjøre unntak fra offentlighetsprinsippet i disse sakene. Reglene om særskilt advokat med ankerett er blant tiltakene som skal bidra til å styrke tilliten til at domstolens kontroll er uavhengig og reell. Departementet understreker også i denne sammenhengen at forhåndskontrollen ved domstolene må ses i sammenheng med kontrollsystemet for øvrig.
Etter dette opprettholder departementet forslaget om at rettsmøtene skal holdes for lukkede dører. Det vises til lovforslaget § 8-3 andre ledd.
Flere høringsinstanser reiser spørsmål om tilgang til rettspraksis og offentliggjøring av kjennelser. Departementet mener at dommere som skal behandle saker etter lovforslaget bør ha tilgang til tidligere avgjørelser, og antar at dette kan la seg gjøre innenfor rammen av reglene gitt i og i medhold av sikkerhetsloven. Det foreslås at departementet kan gi nærmere regler om dommernes tilgang til rettspraksis. Det foreslås derimot ikke å gi regler om offentliggjøring av kjennelsene for allmennheten. Kjennelsene vil omhandle informasjon som må skjermes av hensyn til nasjonal sikkerhet, og som alle involverte plikter å bevare taushet om både etter sikkerhetsloven og lovforslaget her.
11.9.8 Ankeadgang
11.9.8.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.11.4.4 at Etterretningstjenesten og den særskilte advokaten skal ha rett til å anke kjennelser de er uenige i. Reglene i straffeprosessloven kapittel 26 om anke over kjennelser og beslutninger skal anvendes så langt de passer. Det bes om høringsinstansenes syn på hvorvidt det bør presiseres nærmere hvilke regler som passer, eventuelt ikke passer, og i så fall hvilke regler dette gjelder.
I høringsnotatet er regler om anke inntatt i lovutkastet § 8-9.
11.9.8.2 Høringsinstansenes syn
Ingen høringsinstanser har hatt negative merknader til forslaget i høringsnotatet om å gi Etterretningstjenesten og den særskilte advokaten rett til å anke. Amnesty International påpeker at adgang til å anke utgjør en viktig rettssikkerhetsgaranti.
Domstoladministrasjonen skriver:
«Når det gjelder anke i forslaget § 8-9 antar Domstoladministrasjonen at det er tilstrekkelig å vise til at straffeprosessloven kapittel 26 gjelder så langt reglene passer. En presisering av hvilke bestemmelser i straffeprosessloven kapittel 26 som er aktuelle vil gjøre bestemmelsen uoversiktlig. Ankekompetansen er lagt til Etterretningstjenesten og den særskilte advokaten. Det vil dermed være forholdsvis få personer som har ankekompetanse og Domstoladministrasjonen antar at disse ikke vil [ha] behov for en nærmere presisering i loven av hvilke regler som passer. Hensynet til andre som leser loven kan heller ikke medføre et behov for ytterligere presisering.»
Oslo tingrett antar at det er hensiktsmessig å anvende straffeprosessloven kapittel 26 i ankesakene, men har ingen særlige synspunkter på om det bør presiseres nærmere hvilke regler som passer, eventuelt ikke passer.
Borgarting lagmannsrett skriver:
«Vi antar at i lagmannsretten som ankeinstans kan de fleste sakene behandles skriftlig, slik regelen ellers er ved anke over kjennelser, jf. straffeprosessloven § 385 første ledd. Men også her vil det nok, særlig de første par årene etter ikrafttredelsen, bli holdt muntlig forhandling i en ikke ubetydelig andel av sakene.»
Kripos gir uttrykk for at domstolen bør kunne bestemme oppsettende virkning.
11.9.8.3 Departementets vurdering
Departementet opprettholder forslaget i høringsnotatet om å gi Etterretningstjenesten og den særskilte advokaten rett til å anke kjennelser de er uenige i. Adgangen til å anke er en rettssikkerhetsgaranti som må antas å virke skjerpende for underinstansens avgjørelse.
Det foreslås å gi reglene i straffeprosessloven kapittel 26 om anke over kjennelser og beslutninger anvendelse så langt de passer. Dette kan være reglene om ankefrist (§ 379 første ledd), innledende saksbehandling ved tingretten (§ 381 første og andre ledd), oppsettende virkning (§ 382 første ledd), innhenting av ytterligere opplysninger (§ 384), ankedomstolens avgjørelse (§ 385), muntlige forhandlinger (§ 387 første ledd) og anke til Høyesterett (§§ 387 a og 388).
I høringsnotatet foreslo departementet at anke fra den særskilte advokaten ikke skulle ha oppsettende virkning. Kripos mener at retten bør kunne bestemme oppsettende virkning. Departementet er enig i dette, og viderefører ikke forslaget i høringsnotatet på dette punktet. Anken vil dermed som hovedregel ikke ha oppsettende virkning, men retten kan bestemme det motsatte.
11.9.9 Hastekompetanse
11.9.9.1 Forslaget i høringsnotatet
Det foreslås i høringsnotatet punkt 11.11.4.4 å gi sjefen for Etterretningstjenesten myndighet til å beslutte søk eller innhenting i kvalifiserte hastetilfeller. Bestemmelsen er ment som en meget snever unntaksregel som bare skal kunne brukes når det ved opphold vil være «stor fare» for at etterretningsinformasjon «av vesentlig betydning» kan gå tapt.
I høringsnotatet er regler om hastekompetanse inntatt i lovutkastet § 8-10.
11.9.9.2 Høringsinstansenes syn
Norsk Journalistlag fremholder at bestemmelsen mangler den rettssikkerhetsgarantien som kreves i saker som kan omfatte kildemateriale.
11.9.9.3 Departementets vurdering
Departementet tar utgangspunkt i at kravet til domstolens forhåndsgodkjennelse er en grunnleggende rettssikkerhetsgaranti som en bør være varsom med å gjøre unntak fra, særlig av hensyn til allmennhetens tillit til Etterretningstjenestens virksomhet. Selv om det oppstilles som vilkår for hastekompetansen at retten skal kontrollere beslutningen snarest mulig etter at den ble fattet, vil ikke en slik etterfølgende kontroll kunne forhindre inngrep som det ikke var grunnlag for.
På den andre siden er det etter departementets syn ikke til å komme fra at det i tidskritiske situasjoner kan være strengt nødvendig for Etterretningstjenesten å gjennomføre søk uten at det er mulig å avvente rettens kjennelse. Et eksempel kan være et alvorlig cyberangrep som finner sted på en helligdag, hvor tjenesten har behov for å søke i lagrede metadata for å kunne bidra til å motvirke angrepet.
Hastekompetansen bærer i seg en fare for misbruk. Departementet mener likevel at denne er begrenset, all den tid beslutningen vil være gjenstand for domstolskontroll kort tid etter at den ble fattet, samt løpende og etterfølgende kontroll av EOS-utvalget. Når det gjelder forholdet til kildevernet, viser departementet til punkt 12.8.
Departementet mener på denne bakgrunn at loven bør åpne for at Etterretningstjenesten kan beslutte søk eller innhenting i kvalifiserte hastetilfeller. Departementet viser i den forbindelse til politiloven § 17 d, som gir sjefen og den assisterende sjefen for Politiets sikkerhetstjeneste hastekompetanse til å tillate bruk av tvangsmidler blant annet for å forebygge terrorhandlinger. Vilkårene for bruk av hastekompetanse etter politiloven § 17 d er vesentlig strengere enn de tilsvarende reglene i straffeprosessloven, og bestemmelsen er ment å være en «meget snever unntaksregel», se Prop. 68 L (2015–2016) punkt 13.5.4 side 209. Departementet tar samme utgangspunkt for bestemmelsen om hastekompetanse som foreslås her. Etter forslaget skal hastekompetansen bare kunne brukes når det ved opphold er «stor fare» for at etterretningsinformasjon «av vesentlig betydning» for Etterretningstjenestens oppgaver kan gå tapt.
Etter mønster av politiloven § 17 d foreslår departementet å legge hastekompetansen til sjefen for Etterretningstjenesten. Kompetansen kan ikke delegeres, det vil si at det bare er sjefen eller den som fungerer som sjef i dennes fravær som kan fatte slik beslutning.
11.10 Løpende kontroll
11.10.1 Forslaget i høringsnotatet
I høringsnotatet punkt 11.12 drøftes behovet for løpende kontroll av tilrettelagt innhenting (i høringsnotatet benevnt styrket kontroll).
Det tas i høringsnotatet utgangspunkt i Lysne II-utvalgets anbefaling om å opprette et eget tilsyn under Samferdselsdepartementet til å foreta en uavhengig og løpende kontroll i nær sanntid. Det kunne ifølge utvalgets forslag vurderes å delegere forvaltningsansvaret for tilsynets virksomhet til Nasjonal kommunikasjonsmyndighet (Nkom). I høringsnotatet vises det til at EOS-utvalget og Nasjonal sikkerhetsmyndighet i sine høringsuttalelser til Lysne II-utvalgets rapport stilte seg kritiske til forslaget om å opprette et eget tilsyn, mens Nkom mente at de kunne ta på seg en slik oppgave.
Det redegjøres i høringsnotatet for menneskerettslige krav, kontrolloppgaven og sentrale hensyn i vurderingen. Deretter vurderes de ulike alternativene. Det første alternativet er et eget tilsyn i tråd med Lysne II-utvalgets forslag. Det andre alternativet er et særskilt kontrollorgan etter modell av Kontrollutvalget for kommunikasjonskontroll. Det tredje alternativet er å legge kontrollen til EOS-utvalget.
I høringsnotatet konkluderes det med at kontrolloppgaven bør legges til EOS-utvalget. Det legges særlig vekt på at EOS-utvalget har de beste forutsetningene for en god kontroll med Etterretningstjenestens virksomhet. Det legges dessuten vekt på sikkerhetshensyn, uavhengighetshensyn og hensynet til å opprettholde den norske kontrollmodellen.
På denne bakgrunn foreslås det i høringsnotatet å gi EOS-utvalget i oppgave å føre løpende kontroll med Etterretningstjenestens etterlevelse av bestemmelsene i lovforslaget kapittel 7 og 8. Kontrollen skal komme i tillegg til utvalgets alminnelige kontroll. Den bør foretas relativt hyppig og på EOS-utvalgets eget initiativ. Det vises til at mye av den utøvende rutinekontrollen i praksis vil utføres av EOS-utvalgets sekretariat, som bør forsterkes ytterligere i tillegg til den styrkingen som allerede er gjennomført.
Det fremholdes i høringsnotatet at EOS-utvalget bør ha full innsikt i begjæringene til domstolen og rettens kjennelser. Et sentralt formål med kontrollen er å kontrollere at tjenestens søk ikke strider med eller går lenger enn de betingelser som uttrykkelig fremgår av rettens kjennelse. Ellers bør utvalget følge normale kontrollrutiner.
I samsvar med gjeldende regler bør EOS-utvalget ha uhindret adgang til nødvendig informasjon, og på forespørsel få innsyn i interne retningslinjer og prosedyrer, lokaler, utstyr, programvare, filteroppdateringer, aktivitetslogger og annet som benyttes for tilrettelagt innhenting.
I høringsnotatet er regler om løpende kontroll av tilrettelagt innhenting inntatt i lovutkastet § 7-11.
11.10.2 Høringsinstansenes syn
Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) forstår forslaget slik at det skal føres en mer intensiv kontroll enn den som utvalget regelmessig fører med Etterretningstjenestens øvrige etterretningsvirksomhet, men at det for øvrig vil være opp til utvalget å vurdere kontrollintensiteten. Utvalget uttaler videre:
«EOS-utvalgets kontroll med EOS-tjenestene, inkludert E-tjenesten, er ikke innrettet slik at den innebærer en full kontroll av alle sider av tjenestenes EOS-virksomhet. En fullstendig kontroll ville være for omfattende for utvalget, og det er et spørsmål om en slik kontroll overhodet er mulig eller ønskelig. Utvalget velger hvilke av tjenestens aktiviteter som skal undersøkes nærmere, blant annet basert på kriterier i EOS-kontrolloven og utvalgets vurderinger av hvor risikoen for rettighetskrenkelser og regelbrudd med alvorlige konsekvenser er størst. Selv om utvalget har full innsynsrett i E-tjenesten, med unntak for særlig sensitiv informasjon, vil ikke alle tjenestens aktiviteter bli kontrollert.
Evalueringen av EOS-utvalget i 2016 viste at utvalgets kapasitet allerede da var presset. Utvalgsmodellen begrenser utvalgets kapasitet og dermed omfanget av kontrollvirksomheten. En utvidelse av kontrolloppgaven til å omfatte en styrket kontroll med tilrettelagt innhenting vil føre til flere oppgaver for utvalget. Det vil redusere utvalgets kapasitet til å kontrollere de andre EOS-tjenestene og andre sider ved E-tjenestens virksomhet.»
Utvalget mener at det vil være essensielt å bygge inn kontrollmekanismer i systemene for innhenting allerede under utviklingen av disse. I tillegg er det en nødvendig forutsetning for kontrollen at det settes av tilstrekkelig datakraft og andre ressurser til kontrollfunksjonalitet i systemene som tjenesten utvikler. Tilrettelegging bidrar til å underlette kontrollen, og sikrer at kontrollen kan foretas på en så hensiktsmessig måte som mulig.
De fleste høringsinstanser har ingen innvendinger mot at den løpende kontrollen føres av EOS-utvalget. Noen mener imidlertid at kontrollen bør føres av et eget tilsyn, i tråd med Lysne II-utvalgets anbefaling. Blant disse er Nasjonal kommunikasjonsmyndighet (Nkom), som uttaler at departementets forslag innebærer en redusering av kontrollmekanismene som utvalget satt som forutsetning for å anbefale tilrettelagt innhenting. Nkom mener at de som tilsynsmyndighet har nødvendig kompetanse til å påta seg en tilsynsoppgave for tilrettelagt innhenting. Nkoms samarbeid med Etterretningstjenesten og mulighet til å gi innspill til tjenestens oppdrag er etter Nkoms syn ikke problematisk. Sikkerhetsmessige forhold må veies opp mot en tilsynsfunksjon som styrker tilliten til tjenesten. Etter Nkoms mening er risikoen ved å legge funksjonen til et kompetent tilsyn som allerede har rutiner og erfaring med å behandle høygradert informasjon, svært liten.
Den internasjonale juristkommisjon – norsk avdeling (ICJ-Norge) og Norsk Journalistlag støtter også opprettelsen av et eget tilsyn. Kripos og Nasjonal sikkerhetsmyndighet støtter derimot å legge den løpende kontrollen til EOS-utvalget.
Norges institusjon for menneskerettigheter (NIM) fremholder at den løpende kontrollen skaper noen utfordringer i lys av EOS-utvalgets arbeidsform:
«Som konsekvens av en intensivert løpende kontroll er det f.eks. nærliggende at det kan oppstå saker eller problemstillinger som er tidssensitive. Det kan være vanskelig å forene med at utvalget ikke er permanent samlet og at utvalget bare er beslutningsdyktig med fem medlemmer til stede. Dette skaper en treghet i arbeidsformen som klart innvirker på effektiviteten av den løpende kontrollen. NIM mener derfor at det bør vurderes om sekretariatet, eventuelt ved sekretariatsleder bør ha hastekompetanse til å treffe beslutninger, som senere behandles av utvalget. Mer generelt kan man tenke seg at de funksjonene som knytter seg til den styrkede kontrollen operasjonaliseres på en mer selvstendig måte, uavhengig av den mer tradisjonelle kontrollen som EOS-utvalget forøvrig foretar, og som er tilpasset at dette er en kontroll som skal utføres i sanntid og som ikke nødvendigvis så lett lar seg forene med en utvalgsmodell.»
NIM mener at det bør vurderes om EOS-utvalget kan gis myndighet til å treffe bindende avgjørelser. En slik kompetanse kan fremstå som utradisjonell, men NIM kan vanskelig se at det skulle foreligge noen absolutte konstitusjonelle hindre for en slik ordning. Hvis konklusjonen skulle være at en slik ordning ikke er konstitusjonelt mulig, mener NIM at kontrollsystemet for tilrettelagt innhenting bør revurderes mer helhetlig, eventuelt slik at departementet følger opp noe i retning av Lysne II-utvalgets forslag om et eget tilsyn, som EOS-utvalget igjen vil føre kontroll med.
NIM fremholder videre at en form for merking av dataene vil bedre forutsetningene for utvalgets mulighet til å kontrollere at de behandles på riktig måte, og for eksempel ikke deles i større utstrekning enn hva loven tillater.
Datatilsynet mener at det er avgjørende for å opprettholde tillit at det føres et kontinuerlig tilsyn og en tilstrekkelig kontroll, og at forslaget ikke gir den nødvendige kompetansen til dette. Tilsynet fremholder at forslaget i realiteten kun innebærer etterkontroll, og at forslaget fra Lysne II-utvalget om at informasjonen skal mottas «i nær sanntid» ikke er fulgt opp. Tilsynet uttaler videre:
«Etter vårt syn ivaretar ikke loven kravet til løpende kontroll og selv med en betydelig personellmessig styrking av EOS-utvalget, vil ikke dette være tilstrekkelig. Kontrollen bør innrettes ved at Etterretningstjenesten pålegges en plikt til å opprette systemer og rutiner for kontinuerlig rapportering. Dette vil kunne bidra til å forhindre misbruk, og rapporteringsplikten vil fremme kravet til åpenhet og kontroll kontinuerlig i arbeidet. Dette er spesielt viktig når kontrollrutinene og resultat ikke er tilgjengelig for offentligheten.
Vi anbefaler videre at det gjøres en grundigere vurdering av muligheten for tekniske løsninger som tilrettelegger for mer effektiv løpende kontroll, gjennom en kombinasjon av manuell og automatisert maskinell kontroll.»
Tilsynet mener at det i denne sammenhengen bør tas hensyn til personvernprinsippet om innebygd personvern, og foreslår en lovfestet plikt til å tilrettelegge for kontrollen gjennom tekniske løsninger.
Det er bred enighet blant høringsinstansene om at EOS-utvalget må sikres tilstrekkelige ressurser. Flere reiser spørsmål om fire nye stillinger vil være tilstrekkelig for å ivareta den nye funksjonen knyttet til tilrettelagt innhenting. EOS-utvalget skriver:
«Departementet anslår at 4 årsverk vil være tilstrekkelig for å ivareta kontrollfunksjonen. Det er vanskelig å gi et konkret overslag over hvilke økonomiske og administrative konsekvenser innføring av metoden vil få for utvalget. Høringsnotatet gir ikke en konkret beskrivelse av omfanget av bruken av den nye innhentingskapasiteten. Omfanget av den virksomheten som skal kontrolleres er dermed ukjent.
Beskrivelsen av ressursbehovet i forhåndskontrollen gir en pekepinn. Departementet anslår at retten vil behandle 1–2 saker i uken. Anslaget er basert på at tjenestens begjæringer til retten kan omfatte et sakskompleks fremfor å individualiseres, samt at søk etter personselektorer reguleres på en måte som vil «bidra til at antall rettsavgjørelser kan holdes på et håndterlig nivå». Utvalget legger derfor til grunn at antallet søk mv. som kan kontrolleres, kan bli omfangsrikt. I tillegg kommer at utvalgets kontroll også vil omfatte andre sider av systemet for tilrettelagt innhenting, for eksempel bruken av korttidslageret, aktivitetslogger og hvordan filtrene settes opp.
Utvalget mener på denne bakgrunn at departementets anslag på 4 årsverk er for beskjedent. Utvalget anser at en kontroll av tilrettelagt innhenting kan ivaretas ved at utvalgets sekretariat så raskt som mulig tilføres minst 6 årsverk dersom tilrettelagt innhenting vedtas. Deretter må behovet for ressurser i sekretariatet vurderes løpende. Utvalget kan ikke se bort fra at det er nødvendig med en betydelig styrking også utover de nevnte 6 årsverkene, for å styrke kompetansen og kapasiteten til denne kontrollen. Utvalget ser for seg at hovedtyngden ligger i personer med teknologisk kompetanse. Men det vil også være behov for å styrke sekretariatets juridiske kompetanse og noe på administrativ side. De ekstra ressursene må på plass så tidlig som mulig etter en eventuell vedtakelse av ny e-lov med hjemmel til tilrettelagt innhenting.»
EOS-utvalget peker også på at den teknologiske kompetansen til medlemmene i utvalget bør styrkes. Utvalget legger til grunn at utviklingskostnadene knyttet til å bygge inn kontrollmekanismer i systemer for datainnhenting vil ligge hos tjenesten. Utvalget foreslår også at det legges til rette for at den løpende kontrollen i størst mulig grad kan utføres fra utvalgets egne lokaler, og fremholder at kostnaden ved å tilrettelegge for systemtilgang fra utvalgets lokaler må ligge hos tjenesten.
11.10.3 Anbefaling fra Norges institusjon for menneskerettigheter
I etterkant av høringen har departementet avholdt flere møter med Norges institusjon for menneskerettigheter (NIM) hvor kontrollen med tilrettelagt innhenting har vært tema. I brev 30. april 2019 til departementet har NIM blant annet gitt følgende anbefaling:
«Departementet bør utrede muligheten for at EOS-utvalget kan fremme begjæringer til retten om hel eller delvis stansing av pågående overvåkingstiltak eller sletting av innhentet informasjon, i tilfeller der E-tjenesten ikke tar EOS-utvalgets syn til følge. Rettens avgjørelse blir bindende for E-tjenesten.»
NIM uttaler at en slik adgang vil kunne bidra til å effektivisere utvalgets kontrollfunksjon, gjennom å initiere at det treffes bindende avgjørelser. Adgangen vil kunne fungere som en sikkerhetsventil, som igjen vil kunne ha en disiplinerende effekt. Den vil også kunne bidra til rettsavklaring. NIM mener at løsningen vil styrke den menneskerettslige innrammingen av forslaget.
Departementet har drøftet anbefalingen med medlemmer av EOS-utvalgets sekretariat.
11.10.4 Departementets vurdering
Departementet konstaterer at det er bred enighet blant høringsinstansene om at det må etableres en mekanisme for løpende kontroll av tilrettelagt innhenting, og viderefører i hovedsak forslaget i høringsnotatet. På bakgrunn av høringen foreslår departementet noen endringer som har til hensikt å styrke kontrollfunksjonen ytterligere. Reglene om løpende kontroll inntas i lovforslaget §§ 7-11 og 7-12.
Den løpende kontrollen med tilrettelagt innhenting bør etter departementets syn føres av EOS-utvalget, ikke et eget tilsyn. For å kunne føre en effektiv kontroll må kontrollorganet se tilrettelagt innhenting i sammenheng med Etterretningstjenestens andre metoder og kapasiteter. Tjenestens virksomhet må dessuten ses i sammenheng med virksomheten til de andre EOS-tjenestene. Et tilsyn som bare skal kontrollere tilrettelagt innhenting, vil i motsetning til EOS-utvalget ikke ha denne muligheten.
Et sterkt fagmiljø er også en forutsetning for effektiv kontroll. Etter departementets syn vil det være lite formålstjenlig å bygge opp et separat fagmiljø i et eget tilsyn, som på grunn av den begrensede kontrolloppgaven vil være lite. Fra et kontrollperspektiv vil det være bedre å samle kompetansen i EOS-utvalget. Utvalgets sekretariat har i de senere årene blitt styrket, blant annet med en egen teknologisk enhet, og departementet ser det som naturlig å bygge videre på dette.
På denne bakgrunn finner departementet det klart at hensynet til effektiv kontroll taler for å legge den løpende kontrollen til EOS-utvalget. Departementet har dessuten lagt vekt på to andre hensyn. For det første taler hensyn til informasjonssikkerhet imot å opprette et nytt organ med tilgang til skjermingsverdig informasjon hos Etterretningstjenesten. For det andre tilsier legitimitets- og tillitshensyn at kontrollfunksjonen legges til et organ som ikke er en del av forvaltningen.
Noen høringsinstanser mener at departementets forslag innebærer en svekkelse i forhold til Lysne II-utvalgets forslag. Av de nevnte grunner er ikke departementet enig i dette. Det må like fullt tas på alvor at sentrale aktører ser behov for å styrke den løpende kontrollen av tilrettelagt innhenting. Etter høringen har departementet derfor vurdert om det kan gjøres endringer som kan styrke kontrollfunksjonen. Departementet har i den forbindelse ført en dialog med Norges institusjon for menneskerettigheter (NIM), jf. punkt 11.10.3. På bakgrunn av denne dialogen foreslår departementet – i tråd med en anbefaling fra NIM – at Oslo tingrett, på begjæring fra EOS-utvalget, skal ha myndighet til å stanse pågående innhenting og pålegge sletting av lagrede data. Departementet er enig med NIM i at en slik ordning vil kunne fungere som en sikkerhetsventil som vil ha en disiplinerende effekt, og som vil styrke det menneskerettslige grunnlaget for tiltaket.
Å fremme begjæring om stansing vil være aktuelt i tilfeller hvor Etterretningstjenesten ikke retter seg etter utvalgets syn om lovligheten av pågående innhenting. Ordningen skal fungere som en sikkerhetsventil, og ikke erstatte vanlige prosedyrer for å løse uenigheter mellom utvalget og tjenesten. Tjenesten skal derfor få anledning til å vurdere og ta stilling til utvalgets syn, og eventuelt løfte saken til departementet for avgjørelse, før utvalget kan fremme begjæring om stansing.
Det vil etter departementets syn være uheldig om Etterretningstjenesten og EOS-utvalget kommer i formelle motpartsroller til hverandre i en domstolsprosess. Utvalget skal derfor ikke ha noen annen rolle enn å fremme begjæringen. Utvalget skal ikke møte i retten, og vil heller ikke ha rett til å anke. Retten skal imidlertid normalt oppnevne en særskilt advokat som skal målbære allmenne interesser i saken. Advokaten vil ha rett til å anke.
NIM har i sin anbefaling tatt til orde for at det bør etableres en form for hastekompetanse til å fremme begjæring, for eksempel for lederen av utvalgets sekretariat. Det kan være grunner som taler for en slik ordning. EOS-utvalget er etter EOS-kontrolloven § 13 første ledd beslutningsdyktig når fem medlemmer er til stede. Med utvalgets arbeidsform vil saksbehandlingen normalt ta noe tid, og det kan etter omstendighetene være behov for rettslig prøving av lovligheten av en innhentingsaktivitet raskere enn det utvalgets normale arbeidsform tillater. På den andre siden er utvalgets brede sammensetning viktig for kontrollens legitimitet, og ved bruk av en hastekompetanse vil ikke beslutningen få den brede forankringen som en behandling av det samlede utvalget gir. Departementet går derfor i denne omgangen ikke inn for en hastekompetanse. Departementet legger til grunn at utvalget, innenfor rammen av gjeldende regelverk, kan etablere prosedyrer som legger til rette for en raskere behandling av hastesaker enn det utvalgets normale arbeidsform åpner for.
Både Datatilsynet og EOS-utvalget påpeker at det bør bygges inn kontrollmekanismer i systemene allerede under utviklingen av disse. Departementet er enig i dette, og legger til grunn at Etterretningstjenesten retter oppmerksomhet mot kontrollfunksjonalitet under utviklingen og implementeringen av de tekniske løsningene. Som påpekt av Datatilsynet, bør den løpende kontrollen bestå av en kombinasjon av manuell og automatisert maskinell kontroll.
I tråd med Datatilsynets anbefaling foreslår departementet å lovfeste en plikt for Etterretningstjenesten til å tilrettelegge for den løpende kontrollen gjennom tekniske løsninger. Hvilke tiltak som skal treffes, må avgjøres konkret og i dialog mellom tjenesten og EOS-utvalget. Det kan for eksempel være tale om merking av data, slik NIM trekker fram i sin høringsuttalelse. Departementet forutsetter at tjenesten vil strekke seg langt for å imøtekomme utvalgets behov innenfor de økonomiske, tekniske og praktiske rammer som gjelder til enhver tid.
Høringen har vist bred enighet om at EOS-utvalget må ha tilstrekkelige ressurser. Utvalget gir i sin høringsuttalelse uttrykk for at kontrollen kan ivaretas ved at sekretariatet så raskt som mulig tilføres seks nye årsverk, og at det ikke kan ses bort fra at det vil være behov for en betydelig styrking også utover dette. Departementet legger dette til grunn.
EOS-utvalget mener at den løpende kontrollen i størst mulig grad bør utføres fra utvalgets egne lokaler. Departementet er enig i at hensynet til utvalgets uavhengighet kan tilsi at kontrollen i størst mulig utstrekning utføres fra egne lokaler, på samme måte som domstolens forhåndskontroll vil foretas fra domstolens egne lokaler. På den andre siden har den løpende kontrollen en annen karakter enn forhåndskontrollen, og informasjonssikkerhetshensyn taler med tyngde for at den løpende kontrollen utføres fra Etterretningstjenestens lokaler. I tillegg vil sentrale kontrollpunkter i praksis ikke la seg utføre fra utvalgets lokaler. Departementet legger derfor til grunn at løpende kontroll i all hovedsak vil måtte føres fra tjenestens lokaler. Departementet forutsetter at tjenesten og utvalget vil være seg bevisste betydningen av å ivareta hensynet til utvalgets uavhengighet ved den praktiske gjennomføringen av den løpende kontrollen.
Departementet vil i lys av høringsuttalelsen til Nasjonal kommunikasjonsmyndighet(Nkom) understreke at Nkom har relevant kompetanse innen elektronisk kommunikasjon og erfaring med å beskytte skjermingsverdig informasjon. Selv om løpende kontroll bør føres av EOS-utvalget, vil utvalget kunne nyttiggjøre seg Nkoms ekomfaglige kompetanse i samsvar med EOS-kontrolloven § 19. Nkom vil dessuten føre tilsyn med tilbydernes utøvelse av tilretteleggingsplikten, jf. punkt 11.8.7.3.
11.11 Etterfølgende kontroll og andre kontrollfunksjoner
Tilrettelagt innhenting vil på vanlig måte omfattes av EOS-utvalgets etterfølgende kontroll. Det vises til punkt 6.2.2 for en nærmere beskrivelse av denne kontrollfunksjonen.
Tilrettelagt innhenting vil dessuten på vanlig måte omfattes av Etterretningstjenestens internkontroll og av departementets forvaltningskontroll. Det vises til punkt 6.2 for en nærmere beskrivelse av disse kontrollfunksjonene.
Av pedagogiske grunner foreslås det presisert i lovforslaget § 7-10 første ledd at Etterretningstjenesten skal iverksette systematiske tiltak for å sikre at tilrettelagt innhenting gjennomføres i samsvar med loven.
11.12 Forbud mot utlevering av overskuddsinformasjon
11.12.1 Forslaget i høringsnotatet
I høringsnotatet punkt 11.13.2 drøftes hvorvidt det bør gjelde et forbud mot å utlevere overskuddsinformasjon som stammer fra tilrettelagt innhenting. Overskuddsinformasjon er informasjon som ikke har relevans for Etterretningstjenestens oppgaver etter kapittel 3 og som dermed skal slettes. Den alminnelige hovedregelen er at overskuddsinformasjon kan utleveres til andre myndigheter før den slettes hos tjenesten dersom det er nødvendig og forholdsmessig. Et forbud mot utlevering av overskuddsinformasjon fra tilrettelagt innhenting vil utgjøre et unntak fra hovedregelen. Spørsmålet aktualiseres fordi tilrettelagt innhenting innebærer lagring av store mengder overskuddsinformasjon om norsk innenlandsk kommunikasjon.
Det tas utgangspunkt i at det bør gjelde et forbud mot deling av overskuddsinformasjon av hensyn til å motvirke et press i retning av å tillate at informasjonen brukes til andre formål enn etterretningsformål. Samtidig utfordres et ubetinget forbud av fire forhold:
For det første gjelder det en avvergingsplikt etter straffeloven § 196. Bestemmelsen setter straff for den som unnlater å forsøke å hindre visse alvorlige straffbare handlinger eller følgene av disse. Avvergingsplikten gjelder for enhver og uten hensyn av taushetsplikt.
For det andre gjelder det en plikt etter straffeloven § 226 til å gi opplysninger som kan forhindre at uskyldige blir dømt. Også denne plikten gjelder for enhver og uten hensyn av taushetsplikt.
For det tredje er staten forpliktet til å sikre menneskerettighetene. Plikten kan innebære at staten må treffe tiltak for å hindre krenkelser av menneskerettighetene, inkludert privates krenkelser av andre private, se for eksempel Høyesteretts dom i HR-2013-881-A. Plikten til å beskytte menneskerettighetene gjelder særlig retten til liv, vernet mot tortur og annen umenneskelig eller nedverdigende behandling eller straff.
For det fjerde følger det av nødretten at en handling som ellers er straffbar vil kunne være lovlig dersom den er foretatt for å for eksempel redde noens liv fra en fare for skade som ikke kan avverges på en annen rimelig måte.
Etter en drøftelse av de rettslige rammene og hensynene som gjør seg gjeldende, foreslås det i høringsnotatet et forbud mot utlevering av overskuddsinformasjon. Etter forslaget skal straffeloven §§ 196 og 226 ikke gjelde for Etterretningstjenestens personell i den utstrekning de får kunnskap om forholdet gjennom tilrettelagt innhenting.
Det foreslås unntak fra forbudet for overskuddsinformasjon om straffbare handlinger som kan avverges og som omfattes av straffeloven kapittel 17 om vern av Norges selvstendighet og andre grunnleggende nasjonale interesser eller kapittel 18 om terrorhandlinger og terrorrelaterte handlinger.
11.12.2 Høringsinstansenes syn
Abelia støtter det generelle forbudet mot deling av overskuddsinformasjon, men er kritiske til at det åpnes for deling under kapittel 17 og 18 i straffeloven. International Business Machines AS synes også å støtte et absolutt forbud. Tekna er positive til et forbud, men mener at det fort vil oppstå et politisk press om å ta i bruk innhentede data til nye formål. Amnesty International uttaler:
«Ulike former for bruk og deling av informasjon og overskuddsmateriale innebærer potensielt en rekke inngrep i rettighetsvernet. Vi støtter departementets syn at det bør gjelde et strengt forbud mot deling av overskuddsmateriale fra tilrettelagt innhenting. Det vil av personvernhensyn være viktig at slikt overskuddsmateriale ikke er gjenstand for hverken deling eller bruk. Dersom man ønsker å gjøre unntak fra forbudet mot deling så må dette være unntak som er nøye spesifisert. Unntakene må være formulert slik at de er uttømmende. Skjønnsmessige begrensninger kan, som nevnt i høringsnotatet, være vanskelig å praktisere og kontrollere. Vi har forståelse for at det kan være nødvendig å gjøre unntak på bakgrunn av våre folkerettslige forpliktelser, herunder plikten til å treffe tiltak dersom privatlivets fred og andre menneskerettigheter trues.
I lovforslagets § 7-12 andre ledd første setning heter det at «Forbudet etter første ledd gjelder ikke overskuddsinformasjon om en straffbar handling som omfattes av straffeloven kapittel 17 eller 18 og som kan avverges.» Det forstås slik at dette er kumulative vilkår. Hvorvidt noe kan avverges formodes å bero på en konkret helhetsvurdering i hvert enkelt tilfelle. Her kan det være behov for nærmere presisering av hvordan en slik vurdering skal gjennomføres. Det er uklart hvordan dette i praksis vil vurderes og håndteres.»
Datatilsynet er kritiske til at det skal gjelde egne regler for deling av overskuddsinformasjon fra tilrettelagt innhenting. Tilsynet tror at det i praksis vil bli vanskelig å til enhver tid vite hvor informasjonen i en konkret sak kommer fra, noe som gjør kontroll med utlevering vanskelig. Tilsynet uttaler videre:
«Disse foreslåtte bestemmelsene er på ingen måte en garanti for at opplysningene som er innhentet ikke vil bli brukt til nye formål. Vi mener det ikke kan være noen tvil om at spørsmål omkring videre bruk til nye formål før eller senere vil komme opp. Som det også fremgår av høringsnotatet, var politiet ute med en gang Lysne II-rapporten ble sendt på høring og krevde at opplysningene også måtte kunne brukes til kriminalitetsbekjempelse.
Avgjørelsen om å ikke benytte slik overskuddsinformasjon til å forhindre kriminalitet eller andre skadelige hendelser vil bli et etisk dilemma. Både for lovgiver generelt og den enkelte medarbeider i konkrete situasjoner. For eksempel der en medarbeider kommer over informasjon om et planlagt ran. I høringsnotatet er det drøftet hvorvidt nødrettsbetraktninger og eventuelle positive forpliktelser etter Grunnloven og EMK innebærer at staten får en handlingsplikt som går foran begrensningen i § 7-12. Dette viser at det er grunnlag for reelle bekymringer og at erfaring viser at det vil komme situasjoner hvor forbudet vil bli utfordret. På samme måte vil politikere komme under press til å endre loven, dersom det i forbindelse med en konkret hendelse kommer frem at etterretningstjenesten hadde tilgang til informasjon som kunne forhindret forbrytelsen.
For at Stortinget skal bestemme at overskuddsinformasjon innhentet gjennom tilrettelagt innhenting skal brukes til andre formål, og deles på en måte som avviker fra den vedtatte loven, må det foretas en ny forholdsmessighetsvurdering og vurdering opp mot de menneskerettslige skrankene som ligger til grunn for lovligheten. En endring vil helt klart kunne forrykke denne balansen. Det vil i så fall være nødvendig å vurdere hele systemet og kontrollmekanismene på nytt.
Det kan for øvrig stilles spørsmål ved forholdet til lov om straff (straffeloven) § 287, om forsømmelse av hjelpeplikt. Dette bør avklares mer presist.
Forbudet gjelder ikke straffbar handling som omfattes av straffeloven kapittel 17 om vern av Norges selvstendighet og andre grunnleggende nasjonale interesser eller kapittel 18 om terrorhandlinger og terrorrelaterte handlinger og som kan avverges. Det ligger et potensiale for formålsutglidning i denne avvergingsplikten.
Kombinasjonen av den enorme mengden av data, en stadig utvikling av søkemetoder og kunstig intelligens gjør potensialet for formålsutglidning stort. Det vil alltid være gode formål som vil tale for å bruke opplysningene på nye måter. En slik utglidning vil kunne bringe oss stadig nærmere et totalt overvåkingssamfunn.
Den overhengende muligheten for formålsutglidning gjør det vanskelig å forutberegne konsekvensene av tiltaket og anslå omfanget av inngrepet. Det beste vernet mot formålsutgliding er å ikke samle inn opplysningene i første omgang, eller begrense innsamlingen til mer målrettede tiltak.»
Den internasjonale juristkommisjon – norsk avdeling (ICJ-Norge) er kritiske til at alle straffbare handlinger etter straffeloven kapittel 17 og 18 skal omfattes av unntaket fra forbudet mot deling av overskuddsinformasjon. I samme retning uttaler Norges institusjon for menneskerettigheter (NIM) seg. NIM mener dessuten at det bør klargjøres hva som menes med «avverges», og at det bør stilles kvalifikasjonskrav til hvilken betydning overskuddsinformasjonen kan ha.
På den andre siden er en rekke høringsinstanser kritiske til forslaget om å oppstille unntak fra straffeloven §§ 196 og 226. Det nasjonale statsadvokatembetet mener at departementet legger for liten vekt på statens menneskerettslige sikrings- og beskyttelsesplikter og hensynene bak §§ 196 og 226:
«Hensynet til potensielle ofre for alvorlig kriminalitet tilsier med styrke at det må gjøres ytterligere unntak fra et delingsforbud. Det vil være svært problematisk om ansatte i Etterretningstjenesten som kommer til kjennskap om eksempelvis planlegging av drap eller seksuelt misbruk av barn skal kunne slette opplysningene uten videre oppfølgning.»
Etisk råd for forsvarssektoren (ERF) deler departementets syn om at faren for formålsglidning bør tas på alvor, og at eventuelle unntak fra forbudet bør presiseres så tydelig som mulig og kun gjelde forhold som fortsatt kan avverges. ERF mener likevel at unntakene er for snevre. ERF fremholder at de etiske utfordringene lovforslaget innebærer for Etterretningstjenestens personell ikke er tilstrekkelig belyst, og uttaler:
«Lovforslaget innebærer, som høringsuttalelsen påpeker, at det kan oppstå situasjoner der personell i Etterretningstjenesten kan få kjennskap til alvorlig forbrytelser, som drap eller seksuelt misbruk av mindreårige, som kan avverges. Personellet kan ikke dele denne informasjonen uten å bryte loven. Dette vil innebære å sette personellet i en etisk og psykologisk svært belastende situasjon, der vedkomne må leve med at han eller hun kunne ha avverget f.eks. grove overgrep mot barn eller tap av liv. ERF stiller spørsmål om hvorvidt dette er en moralsk byrde Etterretningstjenesten skal kunne pålegge sine ansatte.»
ERF mener at høringsnotatet gjør en god jobb med å identifisere vektige hensyn som taler mot et ubetinget forbud, men mener det er noe uklart hvordan selve avveiningen som ledet til lovforslaget er blitt gjort. ERF påpeker at det er grunn til å tro at straffeloven i dette tilfellet speiler en grunnleggende etisk norm om at avverging av visse grove forbrytelser er så viktig at andre tungtveiende hensyn må settes til side. ERF mener at det ikke gis tilstrekkelige argumenter for hvorfor faren for formålsglidning nødvendiggjør at forbudet mot deling av overskuddsinformasjon gjøres såpass uinnskrenket.
Kripos går sterkt imot forslaget, og peker på at straffeloven §§ 196 og 226 bygger på helt sentrale hensyn i et samfunn. Kripos finner det rettslig og etisk uholdbart at myndighetene skal kunne komme til kunnskap om eksempelvis pågående seksuelt misbruk av barn, for så å slette informasjonen uten videre oppfølgning. Kripos fremholder at strenge rettssikkerhets- og kontrollmekanismer vil sikre at det utelukkende innhentes informasjon med etterretningsformål. Politiet vil ikke ha noen innvirkning på hvilken informasjon som innhentes. På denne bakgrunn mener Kripos at hensynet til å motvirke formålsutglidning trekkes for langt. Innlandet politidistrikt gir uttrykk for synspunkter i samme retning, og mener at overskuddsinformasjon fra tilrettelagt innhenting bør følge hovedregelen i lovutkastet § 10-8. Politidirektoratet tiltrer merknadene til Kripos og Innlandet politidistrikt, og mener at hensynet til formålsglidning trekkes for langt i lovforslaget. Den aktuelle overskuddsinformasjonen vil allerede være innhentet, og det praktiske omfanget vil etter det opplyste i høringsnotatet bli svært lite. Etter direktoratets oppfatning må hensynet til statens aktivitetsplikt ved kunnskap om øvrig alvorlig kriminalitet veie tungt. På vanlig måte vil fare for misbruk kunne minimaliseres ved et klart hjemmelsgrunnlag for adgang til å dele overskuddsinformasjon og med etablering av kontrollordninger.
Professor Morten Holmboe mener at forslaget i lovutkastet § 7-12 om begrensning av pliktene etter straffeloven § 196 og § 226 ikke bør vedtas. Han fremholder at forslaget har flere svakheter:
«For det første har vi andre viktige regler om varslingsplikt og handleplikt som også gjelder etterretningstjenesten. Lovforslaget gjør ikke unntak for hjelpeplikt etter straffeloven § 287 eller varslingsplikt etter barnevernloven § 6-4. Tar man forslaget på ordet, har etterretningstjenesten plikt til å varsle barnevernet om at en 16-åring blir utsatt for mishandling i hjemmet, men ikke plikt til å varsle politiet om at noen utenfor familien planlegger å påføre den samme 16-åringen en grov kroppsskade.
For det andre gir forarbeidenes drøftelser av en mulig handleplikt for myndighetene liten veiledning for når en slik handleplikt vil inntre. I en akutt situasjon er det unødig komplisert å henvise etterretningstjenesten til vanskelige juridiske avveininger av om det forestående lovbruddet er alvorlig nok til å utløse en handleplikt på grunnlag av menneskerettighetene og Grunnloven.
Begrensningene som foreslås, er begrunnet i personvern og i tilliten til ordningen med innhenting av grenseoverskridende elektronisk informasjon. Samtidig kan tilliten til etterretningstjenesten ta skade dersom tjenesten forholder seg passiv, til tross for at den har troverdig informasjon som ville gi andre en straffsanksjonert plikt til å handle. Til sammenligning må selv politiets strenge taushetsplikt ved kommunikasjonskontroll vike for straffeloven § 196 og § 226, og retten til å dele informasjon går lengre når man kan forebygge at en uskyldig blir straffet, eller avverge en straffbar handling som «kan medføre frihetsstraff» (straffeprosessloven § 216 i) – det vil si de aller fleste straffebud.»
Professor Holmboe påpeker at straffeloven § 196 omfatter handlinger som er særlig samfunnsskadelige eller krenkende for enkeltmennesker. Vedtas forslaget i sin nåværende form, vil Etterretningstjenesten ikke uten videre ha rett eller plikt til å varsle om en forestående voldtekt, systematisk seksuelt misbruk av små barn, grove frihetsberøvelser eller mishandling i nære relasjoner – så lenge det ikke foreligger terrorhensikt. Professor Holmboe fremholder at hensynet til uskyldige kriminalitetsofre og uskyldige tiltalte – og tilliten til tjenesten – med tyngde taler for at tjenesten bør være underlagt de samme avvergings- og varslingsplikter som andre forvaltningsorganer og borgerne ellers. Forslaget kan også ha uheldige konsekvenser i form av et mer fragmentert lovverk med forskjellige regler om avvergings- og varslingsplikter for forskjellige yrkesgrupper.
Riksadvokaten mener at det er meget problematisk om Etterretningstjenesten skal unntas fra avvergingsplikten etter straffeloven § 196. Det pekes på statens ansvar for at ulike myndighetsorganer samhandler best mulig for å ivareta stats- og samfunnssikkerheten, og at forslaget ikke legger til rette for dette. Riksadvokaten er dessuten kritisk til at plikten etter straffeloven § 226 til å gi opplysninger som kan hindre at uskyldige blir dømt, ikke skal gjelde. Det påpekes at det er en sentral forpliktelse i en rettsstat å unngå justismord. Noe annet er både en alvorlig krenkelse av rettssikkerheten og menneskerettighetene til den som rammes, men også en generell og alvorlig svekkelse av rettssystemet og tilliten til det.
Telenor Norge AS har enkelte merknader knyttet til bruk av overskuddsinformasjon og formålsutglidning.
11.12.3 Departementets vurdering
Utgangspunktet etter lovforslaget § 10-4, som viderefører gjeldende rett, er at det ikke gjelder noe forbud mot å utlevere overskuddsinformasjon. Spørsmålet er hvorvidt det bør oppstilles et forbud mot å utlevere overskuddsinformasjon fra tilrettelagt innhenting, og i så fall om det bør fastsettes unntak fra forbudet.
Det er bred enighet blant høringsinstansene om å formålsbegrense tilrettelagt innhenting til utenlandsetterretning, det vil si at tilgangen bare skal kunne brukes for å løse oppgaver etter lovforslaget kapittel 3. Tilgangen kan ikke brukes til andre formål, for eksempel for å innhente informasjon som kan brukes for å bekjempe alminnelig kriminalitet. Slik bruk vil være misbruk som kan få strafferettslige og andre konsekvenser for de involverte.
Tilrettelagt innhenting skiller seg fra andre tilganger til informasjon fordi det i dagens teknologiske situasjon innebærer lagring av store mengder metadata om norsk innenlandsk kommunikasjon. Slik informasjon er uten relevans for Etterretningstjenesten, og regnes dermed som overskuddsinformasjon. Tjenesten vil bare få tilgang til å søke i lagrede metadata hvis nærmere vilkår er oppfylt, noe som prøves av domstolen på forhånd. Et grunnleggende vilkår er formålsbegrensningen til utenlandsetterretning. På grunn av det teoretiske overvåkningspotensialet overfor egne borgere som lagringen innebærer, er det likevel av stor betydning å hindre formålsutglidning, det vil si at data tas i bruk til andre formål enn tilsiktet. En rekke høringsinstanser ser dette som sentralt. Departementet mener at det i første rekke er de ulike kontrollmekanismene som oppstilles i lovforslaget som vil hindre formålsutglidning. Et forbud mot utlevering av overskuddsinformasjon vil like fullt ha symbolsk betydning gjennom tydelig å markere formålsbegrensningen, og på denne måten bidra til å redusere risikoen for formålsutglidning. Departementet fastholder derfor forslaget i høringsnotatet om å forby utlevering av overskuddsinformasjon fra tilrettelagt innhenting. Forbudet inntas i lovforslaget § 7-13.
Departementet presiserer at forbudet bare gjelder overskuddsinformasjon, det vil si informasjon som er uten interesse for etterretningsformål. Informasjon om utenlandske trusler mot Norge, for eksempel fremmede staters etterretningsvirksomhet, angrep i det digitale rom som stammer fra utlandet og internasjonal terrorisme, er ikke overskuddsinformasjon. Slik informasjon skal deles med Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet og andre relevante myndigheter innenfor rammen av reglene om samarbeid og deling av informasjon i lovforslaget kapittel 10. Deling av slik informasjon er et sentralt formål med lovforslaget, da Etterretningstjenesten bare har som oppgave å innhente informasjon om de fremmede truslene, mens det er andre myndigheter som har til oppgave å håndtere dem i Norge.
Hensynet til å motvirke risikoen for formålsutglidning tilsier etter departementets syn at forbudet mot å utlevere overskuddsinformasjon fra tilrettelagt innhenting bør gå foran avvergings- og opplysningsplikter som følger av annen lovgivning. Forslaget i høringsnotatet videreføres på dette punktet, men det gjøres mer generelt, slik at det også omfatter hjelpeplikten etter straffeloven § 287 og plikten etter barnevernloven § 6-4 til å melde fra til barneverntjenesten om blant annet alvorlig omsorgssvikt.
Flere høringsinstanser har fremholdt at Etterretningstjenesten ikke kan unnlate å handle i en situasjon hvor de får kjennskap til et forestående drap, pågående seksuelt misbruk av barn eller et justismord. Departementet er enig i dette. Som påpekt i høringsnotatet kan nødretten samt menneskerettslige sikrings- og beskyttelsesplikter gi grunnlag for å handle i slike tilfeller. På bakgrunn av høringen mener departementet at det bør lovfestes et unntak fra forbudet mot utlevering av overskuddsinformasjon. Pedagogiske hensyn tilsier en slik tydeliggjøring av det som følger av nødretten og menneskerettighetene.
Departementet understreker at det svært sjelden vil være aktuelt å gjøre unntak fra forbudet mot å utlevere overskuddsinformasjon. Det er flere grunner til dette. For det første innebærer formålsbegrensningen til utenlandsetterretning at det er lite trolig at Etterretningstjenesten vil komme i besittelse av overskuddsinformasjon som aktualiserer unntaket. Departementet anser situasjonen som helt usannsynlig ved analyse av testdata etter lovforslaget § 7-5 og søk i lagrede metadata etter § 7-8, selv om den teoretisk ikke helt kan utelukkes. Testdata hentes inn over korte tidsintervaller med sikte på teknisk understøttelse, og det er derfor ikke grunn til å tro at de tekniske spesialistene vil få kunnskap om en situasjon som kan sette spørsmålet om utlevering på spissen. Det er heller ikke grunn til å tro at søk i lagrede metadata, som sier noe om hvem som kommuniserer med hvem, tidspunkt for kommunikasjonen og lignende, er egnet til å gi slik kunnskap. Situasjonen er dermed først og fremst tenkelig ved målrettet innhenting av innholdsdata fra identifiserte etterretningsmål etter lovforslaget § 7-9, som kan innebære overvåkning av innholdet i målets kommunikasjon over tid. Selv her er det lite sannsynlig at tjenesten vil få kjennskap til for eksempel pågående seksuelt misbruk av barn eller et justismord, fordi Etterretningstjenestens informasjonsinnhenting knytter seg til utenlandske trusler mv., ikke straffesaker. Hvis en slik situasjon likevel skulle oppstå, mener departementet at forbudet mot å utlevere overskuddsinformasjon ikke kan stå i veien for å handle.
Etter dette foreslår departementet å lovfeste at overskuddsinformasjon kan utleveres i den utstrekning det er nødvendig for å forhindre alvorlig fare for noens liv, helse eller frihet eller at noen blir uriktig tiltalt eller domfelt for en straffbar handling. Unntaket er ment som en meget snever unntaksregel som forutsettes anvendt med stor varsomhet. Det må være tale om en konkret fare av kvalifisert art. Det presiseres at unntaket ikke gir grunnlag for innhenting med sikte på å komme i besittelse av overskuddsinformasjon som kan utleveres. Dette vil være en ulovlig omgåelse.
Flere høringsinstanser har fremhevet betydningen av kontrollmekanismer. Departementet er enig i dette, og understreker at det faller innenfor EOS-utvalgets kontrolloppgave å føre kontroll med etterlevelsen av forbudet mot deling av overskuddsinformasjon fra tilrettelagt innhenting. Departementet foreslår å lovfeste en plikt for Etterretningstjenesten til å varsle utvalget ved utlevering av overskuddsinformasjon fra tilrettelagt innhenting med grunnlag i unntaksbestemmelsen. Hensikten med denne plikten er å sikre muligheten for å kontrollere at unntaksbestemmelsen ikke brukes for å omgå formålsbegrensningen til utenlandsetterretning.
Departementet er enig med Datatilsynet i at det kan oppstå krevende dilemmaer knyttet til overskuddsinformasjon og formålsutglidning. Departementet deler likevel ikke tilsynets konklusjon om at man derfor bør unngå å samle inn opplysningene i første omgang. Det er som nevnt grunn til å tro at problemstillingen sjelden vil aktualisere seg, på grunn av formålsbegrensningen og øvrige vilkår for tilgang til data. Gitt behovet for å styrke norske myndigheters selvstendige etterretningsevne finner departementet derfor at risikoen for formålsutglidning ikke med avgjørende vekt taler mot forslaget.
Datatilsynet og Tekna peker på risikoen for at det kan oppstå et politisk press om å endre loven slik at overskuddsinformasjon kan brukes til andre formål. Departementet kan ikke se at muligheten for senere lovendringer er et argument som med vekt taler mot å åpne for tilrettelagt innhenting. Stortingets lovgivende myndighet er et grunnleggende trekk ved vår styreform. Som Datatilsynet viser til, vil menneskerettslige skranker være førende for hvilke endringer som kan vedtas.
11.13 Bevisforbud i straffesaker
11.13.1 Forslaget i høringsnotatet
Det vurderes i høringsnotatet punkt 11.13.3 hvorvidt det bør lovfestes et bevisforbud i straffesaker for informasjon som stammer fra tilrettelagt innhenting. Det vises til at Lysne II-utvalget i sin rapport gikk inn for et slikt forbud.
Høringsnotatet tar utgangspunkt i at norsk straffeprosess bygger på prinsippet om fri bevisføring. Spørsmålet er om det finnes tilstrekkelig tungtveiende grunner til å gjøre unntak fra prinsippet.
I høringsnotatet vises det til at det spesielt er hensynet til å motvirke formålsutglidning som kan tilsi et bevisforbud i straffesaker. Selv om et bevisforbud kan virke urimelig i enkeltsaker, foreslås derfor et slikt forbud.
Det bes i høringsnotatet om høringsinstansenes syn på hvorvidt det bør gjøres et unntak fra bevisforbudet i saker som gjelder terrorhandlinger.
11.13.2 Høringsinstansenes syn
Abelia, Advokatforeningen og Amnesty International støtter forslaget i høringsnotatet. Det samme gjør Justis- og beredskapsdepartementet, som mener at en slik formålsbegrensning er egnet til å styrke tilliten til bruken av tilrettelagt innhenting.
Det nasjonale statsadvokatembetet mener at det bør gjøres unntak fra bevisforbudet for de alvorligste forbrytelsene mot liv, helse og frihet. Etter embetets syn er det under enhver omstendighet vanskelig å se at det ikke skal gjøres unntak fra bevisforbudet i saker som gjelder terrorhandlinger. Kripos er også kritiske til forslaget i høringsnotatet, og uttaler:
«Kripos kan ikke se at en adgang til å bruke opplysninger som bevis medfører særlig økt fare for formålsglidning, dersom vilkårene for deling først er oppfylt. Tilsvarende anses ikke en slik begrensning nødvendig for å styrke tilliten til at metoden og informasjonen ikke misbrukes. Igjen forutsettes at de foreslåtte kontrollmekanismer vil kunne ivareta dette. Således fremstår et bevisforbud heller ikke nødvendig for at ordningen med tilrettelagt innhenting kan anses forholdsmessig og innføres.
Det foreslåtte bevisforbudet har en klar side til kriminalitetsbekjempelse. Kripos’ prinsipielle utgangspunkt er at delt informasjon fra tilrettelagt innhenting også bør kunne benyttes som bevis i straffesaker. Manglende oppklaring og iretteføring av alvorlig kriminalitet som følge av begrensninger i bruken av opplysninger, er også egnet til å svekke tilliten til både politiet, domstolen og myndighetsapparatet. Prinsippet om fri bevisføring og hensynet til sakens opplysning, innebærer at påtalemyndigheten bør kunne føre de bevis man har. Dette vil bidra til en riktig avgjørelse og straffereaksjon.
I denne sammenheng bemerkes også at hovedbegrunnelsen for straff er dens individuelle og allmennpreventive virkning. Straffeforfølgning kan noen ganger være det beste virkemiddelet for å beskytte samfunnet mot trusler som også begrunner innføringen av tilrettelagt innhenting. Det ville herunder være lite formålstjenlig med tanke på samfunnsbeskyttelsen dersom en terrorist skulle frifinnes som følge av at informasjon fra tilrettelagt innhenting ikke kunne benyttes som bevis. I denne sammenheng kan det være grunn til å minne om reaksjonen forvaring. Forvaringsordningens formål er å beskytte samfunnet, og dette vil kunne være den mest relevante reaksjon på de trusler som behovet for tilrettelagt innhenting begrunnes i.
Etter dette er Kripos standpunkt at delt informasjon fra tilrettelagt innhenting også bør kunne benyttes som bevis i straffesak, i hvert fall i de alvorligste sakene.»
Politiets sikkerhetstjeneste mener at det bør gjøres unntak fra bevisforbudet i saker som gjelder terrorhandlinger, og viser til det tilsvarende unntaket for opplysninger innhentet ved bruk av forebyggende tvangsmidler etter politiloven § 17 d.
Riksadvokaten viser til det grunnleggende prinsippet om fri bevisbedømmelse i straffeprosessen, og fremholder at det må kunne begrunnes i svært tungtveiende hensyn dersom dette skal fravikes. Innlandet politidistrikt mener at det ikke er gode nok grunner til å gå bort fra prinsippet, og peker blant annet på iretteføringens preventive virkning. Politidirektoratet gir uttrykk for tilsvarende synspunkter.
Telenor Norge AS finner det uklart hva det siktes til i høringsnotatets omtale av strenge begrensninger på å dele informasjon, og anbefaler å etablere kontrollmekanismer.
11.13.3 Departementets vurdering
Departementet tar utgangspunkt i at norsk straffeprosess bygger på prinsippet om fri bevisføring. Prinsippet innebærer at partene i utgangspunktet har rett til å føre de bevisene de ønsker, se for eksempel Rt. 1990 side 1008. Prinsippet finner først og fremst sin begrunnelse i en antakelse om at det vil bidra til sakens opplysning, og dermed til at straffesaken får en korrekt avgjørelse, dersom partene gis adgang til å føre de bevis de ønsker (NOU 2016: 24 Ny straffeprosesslov punkt 13.2.3 side 257). Spørsmålet er om det finnes tilstrekkelig tungtveiende grunner til å gjøre unntak fra prinsippet gjennom å oppstille et bevisforbud for informasjon som stammer fra tilrettelagt innhenting.
Det har vært delte meninger om spørsmålet under høringen. Departementet er ikke uenig med høringsinstansene som påpeker at straffeforfølgning etter omstendighetene kan være et relevant virkemiddel for å motvirke trusler som Etterretningstjenesten har som oppgave å innhente informasjon om. Et bevisforbud vil kunne vanskeliggjøre straffeforfølgning, og kan virke urimelig i enkeltsaker. Dette taler imot å oppstille et bevisforbud. På samme måte som Lysne II-utvalget mener departementet likevel at hensynet til å motvirke risikoen for formålsutglidning bør tillegges avgjørende vekt, og viderefører derfor forslaget i høringsnotatet. Bevisforbudet inntas i lovforslaget § 7-14. Departementet mener at det ikke er nødvendig å innta en egen bestemmelse i straffeprosessloven.
Bevisforbudet innebærer at påtalemyndigheten ikke kan legge frem informasjon som stammer fra tilrettelagt innhenting som grunnlag for krav om straff eller andre strafferettslige reaksjoner, jf. straffeloven §§ 29 og 30. Retten skal avskjære slik bevisføring. Bevisforbudet innebærer også at påtalemyndigheten ikke kan bruke slik informasjon som grunnlag for egen ileggelse av straff eller andre strafferettslige reaksjoner, for eksempel forelegg på bot etter straffeprosessloven § 255 eller påtaleunnlatelse etter straffeprosessloven § 69. Bevisforbudet innebærer derimot ikke et forbud for retten eller påtalemyndigheten mot å bruke informasjon som stammer fra tilrettelagt innhenting som grunnlag for å beslutte bruk av tvangsmidler.
I høringsnotatet ba departementet om høringsinstansenes syn på hvorvidt det burde gjøres et unntak fra bevisforbudet for terrorhandlinger, på samme måte som i politiloven § 17 f andre ledd bokstav c. Et slikt unntak støttes av de fleste høringsinstansene som har uttalt seg særskilt om det. Departementet er enig i at terrorhandlinger står i en særstilling. Det foreslås derfor unntak fra bevisforbudet i saker som gjelder overtredelse av straffeloven § 131. Politiloven § 17 f andre ledd bokstav c gjør unntak også i saker om overtredelse av straffeloven § 133 (terrorforbund) og § 134 (terrortrusler), men departementet finner ikke tilstrekkelig grunn til å foreslå tilsvarende unntak i lovforslaget § 7-15.
I lys av høringsuttalelsen til Telenor Norge AS vil departementet bemerke at det følger av lovforslaget § 7-13 at overskuddsinformasjon som stammer fra tilrettelagt innhenting, ikke kan utleveres. Bruk av informasjon som stammer fra tilrettelagt innhenting som grunnlag for bruk av tvangsmidler vil dermed i alminnelighet bare være aktuelt på områder som Etterretningstjenesten samarbeider om å motvirke med Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet og andre relevante myndigheter, for eksempel fremmed etterretningsvirksomhet mot Norge, internasjonal terrorisme og digitale angrep som stammer fra utlandet.
11.14 Informasjonssikkerhet
11.14.1 Forslaget i høringsnotatet
Det ble i høringsnotatet punkt 11.13.6 foreslått å lovfeste at Etterretningstjenesten plikter å hindre at uvedkommende får tilgang til informasjon som lagres og behandles etter kapittelet om tilrettelagt innhenting.
I høringsnotatet vises det til at generelle bestemmelser om informasjonssikkerhet er inntatt i lovutkastet § 9-11 og § 11-4. Pliktene som følger av disse bestemmelsene vil gjelde også for så vidt gjelder tilrettelagt innhenting, men dette bør av pedagogiske grunner presiseres i lovutkastet § 7-14.
11.14.2 Høringsinstansenes syn
Abelia uttaler at det som sikkerhet ved en eventuell ikke-demokratisk maktovertakelse bør finnes raske metoder for å avvikle systemet, og at det bør legges føringer for dette i lov og forskrift.
11.14.3 Departementets vurdering
Departementet viderefører forslaget i høringsnotatet. Bestemmelsen inntas i lovforslaget § 7-15.
Etter første punktum plikter Etterretningstjenesten å hindre at uvedkommende får tilgang til informasjon som lagres og behandles etter bestemmelsene i kapittel 7 om tilrettelagt innhenting. Av pedagogiske grunner fastslås det i andre punktum at Etterretningstjenesten skal gjennomføre sikkerhetstiltak etter §§ 9-9 og 11-5 for å sikre at informasjonen bare er tilgjengelig for de som har lovmessig tilgang til den.
Det er etter departementets syn ikke grunn til å særregulere i lovforslaget de spørsmål som reiser seg i forbindelse med en eventuell ikke-demokratisk maktovertakelse, slik Abelia tar til orde for. Det bemerkes at det gjeldende beredskapssystemet inneholder tiltak for å hindre at sensitive systemer og registre faller i hendene til fiendtlige aktører. Det vises til lovforslaget § 11-6.
11.15 Økonomiske og administrative konsekvenser
11.15.1 Beskrivelse i høringsnotatet
I høringsnotatet punkt 11.16 redegjøres det for hvilke aktører som antas å bli direkte berørt av forslaget og hvordan disse forventes å bli berørt. Aktørene som løftes frem er Etterretningstjenesten, domstolene ved Oslo tingrett og Borgarting lagmannsrett, EOS-utvalget og teletilbydere som omfattes av tilretteleggingsplikten.
11.15.2 Høringsinstansenes syn
Borgarting lagmannsrett mener at de økonomiske og administrative konsekvensene for domstolene er summarisk behandlet. Det påpekes at for Borgarting lagmannsrett vil merbelastningen avhenge av antallet begjæringer, ankesaker og hvorvidt det blir muntlig behandling av ankesakene. Usikkerheten gjelder både dommerbehov og dommernes behov for teknisk og administrativ støtte. Lagmannsretten legger til grunn at flere saker vil ankes i starten, og at flere ankesaker vil foregå som muntlig forhandling. Det vil også påløpe utgifter til salær.
Domstoladministrasjonen (DA) understreker behovet for midler til å etablere en gradert rettssal i Oslo tingrett ut over de midlene som ble bevilget i statsbudsjettet for 2019:
«I statsbudsjettet for 2019 er det bevilget 2,1 millioner kroner for å etablere en gradert rettssal i Oslo tingrett. Domstoladministrasjonen mener det er en viktig forutsetning for domstolskontrollen at det bygges en rettsal i Oslo tingrett som tilfredsstiller kravene til strengt hemmelig etter sikkerhetsloven. Bevilgningene som er gitt over statsbudsjettet er etter beregninger av kostnader til et rom som tilfredsstiller kravene til hemmelig etter sikkerhetsloven. Det er blant annet behov for en gradert rettssal for å kunne gjennomføre muntlige forhandlinger, jf. lovforslaget § 8-3. Domstoladministrasjonen anser det som uaktuelt at dommere, i mangel av en gradert rettssal, må benytte seg eksempelvis av Etterretningstjenestens lokaler for å gjennomføre muntlige forhandlinger. Dette blant annet på bakgrunn av faren for identifikasjon med Etterretningstjenesten. Den særskilte advokaten må videre ha tilgang til et leserom som tilfredsstiller samme nivå for å kunne sette seg inn i sakens dokumenter forut for rettsmøtet.»
DA understreker at det må etableres nødvendig infrastruktur for å legge til rette for elektronisk kommunikasjon inn til rettssalen, samt etablering av et eget teknisk rom i tilknytning til denne. Det estimeres at det vil koste omkring 6 mill. kroner for prosjektering og bygging av gradert rettssal, leserom og teknisk rom.
Videre understreker DA at det i forbindelse med bevilgningene til Oslo tingrett må tas tilstrekkelig høyde for at begjæringene kan bli arbeidskrevende, særlig i en oppstartsfase. Dommerne som tillegges oppgaven må i starten bruke tid på å skaffe seg kompetanse om fagfeltet. DA anslår i høringsnotatet at årlige økte driftsutgifter knyttet til å behandle disse sakene er på 2,4 millioner kroner. Det baserte seg på behov for ett dommerårsverk og et halvt saksbehandlerårsverk i Oslo tingrett, og noe arbeid i Borgarting lagmannsrett. Det understrekes at uten tilførsel av friske midler vil saksbehandlingstiden for domstolens andre saker øke.
Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) er enig med departementet i at lovforslaget vil medføre behov for å utvide den tekniske og juridiske kompetansen i EOS-utvalgets sekretariat, og at sekretariatet styrkes med dedikert kapasitet allerede på utviklingsstadiet. Det presiseres at behov for styrking av sekretariatets tekniske kompetanse som følge av en innføring av tilrettelagt innhenting vil komme i tillegg til styrkingen av utvalgets ordinære kontroll som skjedde og som bør skje i 2020. EOS-utvalget mener at anslaget i høringsnotatet på 4 årsverk er for beskjedent, og uttaler at:
«Utvalget anser at en kontroll av tilrettelagt innhenting kan ivaretas ved at utvalgets sekretariat så raskt som mulig tilføres minst 6 årsverk dersom tilrettelagt innhenting vedtas. Deretter må behovet for ressurser i sekretariatet vurderes løpende. Utvalget kan ikke se bort fra at det er nødvendig med en betydelig styrking også utover de 6 nevnte årsverkene, for å styrke kompetansen og kapasiteten til denne kontrollen. Utvalget ser for seg at hovedtyngden ligger i personer med teknologisk kompetanse. Men det vil også være behov for å styrke sekretariatets juridiske kompetanse og noe på administrativ side. De ekstra ressursene må på plass så tidlig som mulig etter en eventuell vedtakelse av ny e-lov med hjemmel til tilrettelagt innhenting.»
EOS-utvalget fremmer også behov for en styrking av den samlede teknologiske kompetansen i utvalget, og at dette kan skje ved valg av nye medlemmer eller ved at medlemmene tilbys kompetansehevende tiltak. Videre uttaler utvalget:
«Ved vurderingen av økonomiske og administrative kostnader for E-tjenesten vises det til at forslaget medfører behov for administrative rutiner knyttet til EOS-utvalgets styrkede kontroll av tilrettelagt innhenting. Utvalget legger til grunn at utviklingskostnader knyttet til å bygge inn kontrollmekanismer i systemer for datainnhenting også vil ligge hos tjenesten.
For i størst mulig grad å ivareta utvalgets uavhengighet til tjenesten, foreslår utvalget at det legges til rette for at den løpende (styrkede) kontrollen i størst mulig grad kan utføres fra utvalgets egne lokaler. Det vil etter utvalgets vurdering være mulig å få til i utvalgets nye lokale fra 2019, sett ut fra tilgjengelig grad av plass, sikkerhet og tekniske forhold. Også kostnaden ved å tilrettelegge for systemtilgang fra utvalgets lokale, må ligge hos tjenesten.»
Oslo tingrett viser til at tingretten i dag ikke har tilfredsstillende lokaler for behandling av informasjon og dokumenter med høyeste sikkerhetsgrad. Siden lokalene skal benyttes av dommere og advokater om hverandre, i tillegg til at det skal være mulig med muntlige forhandlinger, bør det være minst to rom som tilfredsstiller sikkerhetskravene etter sikkerhetsloven. Rommet for muntlige forhandlinger bør dimensjoneres slik at det også kan benyttes av lagmannsretten ved behov. Rommene må utstyres med nødvendig og sikkert digitalt utstyr. I tillegg til lokaler for aktivt arbeid med sakene, bør det samtidig legges til rette for sikker digital kommunikasjon av dokumenter opp til HEMMELIG. Behovet for nyinvesteringer må ses i sammenheng med den allerede pågående prosessen med å etablere en ny sikker rettssal i Oslo tingrett. Oslo tingrett anslås skjønnsmessig at årlige driftsutgifter vil tilsvare ett nytt dommerårsverk og et halvt saksbehandlerårsverk.
Telenor viser til høringsnotatet side 215 der det understrekes at «det må foreslås lovfestet at merutgifter knyttet til tilretteleggingsplikten skal dekkes av staten», og uttaler:
«Telenor mener en eventuell innføring av tilrettelagt innhenting bør skje på en måte som sikrer forutberegnelighet, og der dokumenterte og direkte påløpte utgifter til tilretteleggingsplikten fullt ut kan søkes kompensert av staten. Etter Telenors vurdering kan regulering i ekomloven med tilhørende forskrifter være hensiktsmessig her, for å sikre rettsenhet og forutsigbarhet i dialog med relevant sektormyndighet.
Telenor forutsetter at alle merkostnader til etablering, utbygging og drift knyttet til tilrettelagt innhenting dekkes av norske myndigheter, og at det ikke hersker tvil om hvilke kostnader kan tilordnes kategorien «merkostnader». Telenor anser at kostnader til eventuelt økte sikringsbehov av blant annet lokasjoner, økt ressursbruk og økt reservedelslager som følge av innføring av tilrettelagt innhenting dekkes av myndighetene, og at dette blir presisert i den endelige lovteksten.
Ved eventuell videreutvikling av løsning eller fremtidig utvidelse av antall transportveier for datatrafikk ut/inn av Norge må kostnader knyttet til utvidelse av løsningen for tilrettelagt innhenting på nye lokasjoner dekkes av myndighetene.»
Telia uttaler seg også om dekningen av merutgifter som følge av tilretteleggingsplikten:
«Telia synes det er viktig at tilretteleggingsplikten ikke resulterer i en konkurransevridende eller fordyrende effekt. Det må derfor komme klart frem at det er staten som skal dekke alle utgifter tilretteleggingsplikten resulterer i for tilbyderne. Eksempler på utgifter som må dekkes er utgifter knyttet direkte til innkjøp eller omlegging av utstyr, utgifter knyttet til personell og fysiske lokaler som stilles til disposisjon for Etterretningstjenestens arbeid. Herunder lønnskostnader, kostnader til husleie, strøm og annen infrastruktur. Ekstrautgifter ved medvirking av teknisk drift og vedlikehold av etablerte løsninger som tilhører etterretningstjenesten, og ekstrautgifter for sikkerhets/adgangsklarering. Dette til en fastsatt timepris.
Telia vurderer det som hensiktsmessig at det etableres en beredskapsavtale/sikkerhetsavtale tilsvarende den beredskapsavtalen Telia har med Nkom (jf. ekomloven §2-10 annet ledd). En slik avtale spesifiserer den tilretteleggingen som Telia skal gjennomføre på vegne av Etterretningstjenesten og kostnadene dette medfører, herunder investeringer, operasjonelle- og administrative kostnader. Hensikten med inngåelse av en slik avtale vil være å sikre at tilbyderene som blir truffet av tilretteleggingsplikten ikke blir belastet mer enn de tilbyderne som ikke treffes av tilretteleggingsplikten.»
11.15.3 Rapport om virkninger for berørte aktører
Rådgivnings- og revisjonsselskapet BDO har på oppdrag fra Forsvarsdepartementet utarbeidet en rapport om virkninger for berørte aktører ved innføring av tilrettelagt innhenting sammenlignet med nullalternativet. Nullalternativet innebærer at dagens situasjon videreføres. Rapporten omfatter en analyse av økonomiske og administrative virkninger, samt hvilke virkninger tilrettelagt innhenting vil ha for nasjonale sikkerhetsinteresser.
Det lå utenfor BDOs mandat å vurdere virkninger knyttet til personvern. Videre lå det utenfor mandatet å vurdere andre alternativer enn nullalternativet og innføring av tilrettelagt innhenting. Disse avgrensningene er begrunnet i at spørsmål knyttet til personvern og alternativer er grundig vurdert av departementet i arbeidet med høringsnotatet og proposisjonen, se spesielt punkt 11.4.og 11.5.
Analysen er skrevet på bakgrunn av intervjuer og dialog i annen form med Etterretningstjenesten, EOS-utvalget, Politiets sikkerhetstjeneste (PST), Oslo tingrett, Nasjonal sikkerhetsmyndighet (NSM), Abelia og utvalgte teletilbydere. På bakgrunn av denne informasjonen har BDO prissatt de økonomiske og administrative virkningene for Etterretningstjenesten, EOS-utvalget, Oslo tingrett og NSM. For PST ble det ikke identifisert signifikante økonomiske og administrative virkninger.
BDO innhentet også informasjon om hvilke virkninger tilrettelagt innhenting vil kunne ha for nasjonale sikkerhetsinteresser, og ga følgende samlede vurdering av om tilrettelagt innhenting bør innføres:
«Våre analyser viser at innføring av tilrettelagt innhenting for Etterretningstjenesten vil innebære en estimert neddiskontert kostnad lik 3,2 milliarder kroner over 20 år. Til tross for dette er det vår vurdering at alternativet som innebærer en innføring av tilrettelagt innhenting, er fordelaktig sammenlignet med nullalternativet, gitt de forutsetninger og avgrensninger som ligger til grunn for vår rapport.»
BDO begrunner sin vurdering med fire forhold:
1. Tilrettelagt innhenting vil ha en sterk positiv påvirkning på evnen til å avdekke og avverge fremmed etterretningsvirksomhet, alvorlige hendelser og angrep mot Norge og norske interesser.
2. En positiv (men også begrenset) sideeffekt av tilrettelagt innhenting er at tiltaket vil kunne styrke evnen til nasjonal kriminalitetsbekjempelse på enkelte områder der Etterretningstjenesten har hjemmel til å dele informasjon med nasjonale samarbeidspartnere (fortrinnsvis der Etterretningstjenesten og PST har overlappende oppgaver).
3. Tilrettelagt innhenting vil sannsynligvis styrke Norges evne til å bidra i internasjonale etterretningssamarbeid, samt Norges status som en relevant og troverdig aktør i slike samarbeidssituasjoner.
4. Norge vil kunne bli mindre attraktivt som transittland for rettsstridig datatrafikk, som elektronisk kommunikasjon mellom terroraktører, digitale angrep på andre gjennom norske servere eller lignende forhold.
Samlet mener BDO at disse virkningene vil ha positiv innvirkning på norske sikkerhetstjenesters evne til å utføre sine samfunnsoppdrag, og at den samlede nytten av de ikke-prissatte virkningene overstiger de beregnede kostnadene.
11.15.4 Departementets vurdering
Departementet har etter høringen fortsatt arbeidet med å utrede de økonomiske og administrative konsekvensene av forslaget om tilrettelagt innhenting. Det er etablert et prosjekt i departementet som skal ivareta behovet for nødvendige utredninger og kostnadsberegninger for en eventuell implementering i Etterretningstjenesten av tilrettelagt innhenting. Prosjektet skal videre gjennomføre en anskaffelse forutsatt at lovforslaget om tilrettelagt innhenting blir vedtatt. Prosjektet følger de etablerte prosesser for store, statlige investeringsprosjekter, og sørger blant annet for at påkrevde økonomiske analyser og andre kost/nytte-vurderinger foretas for å gi det nødvendige grunnlag for beslutninger i departementet, regjeringen og Stortinget. Arbeidet ledes av departementet og gjennomføres i samarbeid med Etterretningstjenesten.
Departementet har mottatt innspill til kostnadsberegningene i høringsnotatet fra Borgarting lagmannsrett, Domstoladministrasjonen, EOS-utvalget og Oslo tingrett. I etterkant av høringen har enkelte estimater blitt oppdaterte. Dette gjelder kostnadene for etablering av graderte rom i Oslo tingrett og behovet for årsverk i EOS-utvalgets sekretariat. De oppdaterte tallgrunnlagene fremgår også av BDOs rapport. I de følgende kostnadsberegningene er de oppdaterte estimatene lagt til grunn for disse aktørene.
De økonomiske og administrative konsekvensene av tilrettelagt innhenting vil naturlig nok være størst for Etterretningstjenesten. Det anslås at den totale investeringskostnaden vil være om lag 1 000 millioner kroner inkludert mva., fordelt over de fire første årene. Investeringskostnaden omfatter anskaffelse og oppbygning av kapasiteten, herunder personellutgifter knyttet til gjennomføring av prosjektet og ulike bygningsmessige tiltak. Departementet gjør oppmerksom på at anslaget er basert på en teknisk løsning som vurderes å ville gi tilgang til grenseoverskridende kommunikasjon på en troverdig måte ut fra dagens situasjon hva gjelder volum på relevant datatrafikk. Konsekvensen av et eventuelt økt volum på relevant datatrafikk vil på sikt kunne medføre et behov for ytterligere investeringer. Driftsutgiftene for Etterretningstjenesten anslås til 140 millioner kroner årlig til dekning av personellutgifter og drift av materiell og eiendom, bygg og anlegg. Merutgifter for teletilbyderne er inkludert i anslaget for Etterretningstjenesten.
EOS-utvalget har anslått at tilrettelagt innhenting vil medføre investeringskostnader totalt pålydende 4,8 millioner kroner fordelt over to år. I tillegg viser utvalget til at det vil være behov for oppgradering av det tekniske utstyret estimert til 21 millioner kroner hvert femte år. Driftsutgiftene per år anslås å være om lag 11 millioner kroner.
Investeringskostnadene for domstolen er beregnet til om lag 9,1 millioner kroner til etablering av rettssal, teknisk rom og leserom som tilfredsstiller kravene til graderingsnivå STRENGT HEMMELIG. Kompetanseheving vil medføre utgifter beregnet til 0,1 millioner kroner i oppstartsåret, og deretter 20 000 kroner årlig. De anslåtte årlige økte utgiftene knyttet til domstolsbehandling er om lag 0,5 millioner kroner. Beregningen er basert på dagens ressursbruk knyttet til behandling av PST-saker med gradering HEMMELIG. Utgiftene består av økte driftsutgifter for domstolene på om lag 200 000 kroner årlig, og utgifter for staten til salær til advokater, estimert til om lag 250 000 kroner årlig. Tilrettelagt innhenting vil kunne medføre behov for flere ansatte i NSM. Etter hva NSM har opplyst, vil de totale driftsutgiftene være 13,5 millioner kroner fra og med 2024, når alle ansettelser er gjennomført.
Kostnadsbildet kan oppsummeres slik:
mill. kroner | |||
|---|---|---|---|
Departement/organ | Aktør/prosess | Investering | Drift |
Forsvarsdepartementet | Etterretningstjenesten | 1 000 | 140 |
Justis- og beredskapsdepartementet | Domstolsbehandling | 9,2 | 0,5 |
Stortingets underliggende organer | EOS-utvalget | 4,8 | 11 |
Justis- og beredskapsdepartementet | NSM | 0 | 13,5 |
Sum | 1 014 | 165 |
I denne proposisjonen bes det om Stortingets tilslutning til det rettslige grunnlaget som muliggjør tilrettelagt innhenting. Alle de økonomiske og administrative konsekvensene av tilrettelagt innhenting er ikke endelig avklart. Eventuelle forslag om anskaffelse og drift av tilrettelagt innhenting vil vurderes i de årlige budsjettfremleggene for de respektive departementene.