Gjesteblogg: Forslaget om et nytt norsk “digitalt grenseforsvar” får tommel ned, både juridisk og teknologisk fra advokat Jon Wessel-Aas.
På bakgrunn av ønsker særlig fra Etterretningstjenesten (E-tjenesten) selv, oppnevnte Forsvarsdepartementet i februar 2016 et utvalg med mandat til å utrede sentrale problemstillinger knyttet til E-tjenestens mulige tilgang til elektronisk informasjon som kommuniseres i fiberoptiske kabler inn og ut av Norge. Det vil si all vår elektroniske kommunikasjon som passerer Norges grenser.
Det anførte formålet skulle være å bedre sikre Norges og norske interesser mot blant annet såkalte cyber-angrep og terrorisme. E-tjenesten utgjorde selv sekretariatet for utvalget. Utvalget – som er blitt hetende Lysne II-utvalget – avga sin rapport «Digitalt grenseforsvar» (DGF) 26. august 2016.
Senere samme høst, 4. oktober 2016, ble rapporten lagt ut til offentlig høring, med høringsfrist satt til i 6. januar 2017. Enkelte instanser, blant annet sentrale instanser som Datatilsynet og Nasjonal institusjon for menneskerettigheter, er gitt utsatt frist.
Rapporten er omfattende, og dens innhold reiser alvorlige samfunnsmessige spørsmål, ikke minst av juridisk og teknologisk art.
Clik here to view.
Et grunnleggende utgangspunkt for diskusjonen om disse spørsmålene, er at det foreslåtte tiltaket, DGF, vil innebære filtrering og lagring av vesentlige deler av hele den norske befolkningens elektroniske kommunikasjon, herunder kommunikasjon som foregår mellom norske borgere i Norge. Det er – særlig med hensyn til kommunikasjon via Internett, men også med hensyn til telekommunikasjon – langt på vei tilfeldig om innenlandsk kommunikasjon passerer Norges geografiske grenser.
Store deler av befolkningens bruk av Internett (herunder vanlig ”surfing”, bruk av kommunikasjonstjenester som Skype, sosiale medier og lagring i skytjenester) innebærer kommunikasjon med servere som ligger utenfor Norge. Eventuelle forestillinger om at DGF bare omfatter ”utenlandsk” kommunikasjon er derfor feilslåtte.
DGF vil nødvendigvis hovedsakelig omfatte alle norske borgeres daglige bruk av digitale kommunikasjonstjenester.
Av de høringsuttalelsene som hittil har blitt offentliggjort, har forslaget også blitt møtt med til dels sterkt kritikk fra høringsinstanser som representerer uavhengig juridisk og teknologisk fagekspertise. Som representative høringsuttalelser for den nevnte kritikken kan (basert på de uttalelsene som er offentliggjort foreløpig) høringsuttalelsene fra følgende organisasjoner fremheves:
- Den norske dommerforening
- Den internasjonale juristkommisjon – norsk avdeling (ICJ-Norge)
- Tekna – Teknisk-naturvitenskaplig forening
Juridisk dreier kritikken seg blant annet om at forslaget bryter med de grunnleggende krav til person- og kommunikasjonsvern som alle borgere har etter Grunnloven, Den europeiske menneskerettskonvensjon og EU-/EØS-retten. Domstolene som håndhever person- og kommunikasjonsvernet på øverste nivå i Europa, Den europeiske menneskerettsdomstol og EU-domstolen har i en rekke avgjørelser slått fast at tvungen, statlig masselagring av personopplysninger er ulovlig.
Noen vil huske diskusjonen om og skjebnen til EUs datalagringsdirektiv, som av EU-domstolen i dom avsagt i storkammer i 2014 ble erklært ugyldig, som stridende mot EUs charter om grunnleggende rettigheter
Til tross for at avgjørelsen, som formelt bare angikk selve EU-direktivet, åpenbart innebar at de enkelte statene heller ikke i nasjonal lovgivning kunne drive med tilsvarende masselagring av borgernes kommunikasjonsdata, mente noen at dette fortsatt var en mulighet.
Det slo EU-domstolen helt nylig – i en dom av 21. Desember 2016, om lovgivning i henholdsvis Sverige og Storbritannia om masselagring av borgernes kommunikasjonsdata – at man ikke kan. Det er i strid med grunnleggende krav til person- og kommunikasjonsvern i Europa. I dommen fremgår blant annet følgende generelle uttalelser:
106 En sådan lovgivning kræver ikke nogen sammenhæng mellem de data, som foreskrives lagret, og en trussel mod den offentlige sikkerhed. Den er navnlig ikke begrænset til en lagring, som er rettet mod data vedrørende et tidsrum og/eller et geografisk område og/eller en personkreds, der på den ene eller anden måde vil kunne være indblandet i alvorlige lovovertrædelser, eller mod personer, der af andre grunde gennem lagring af deres data ville kunne bidrage til bekæmpelse af kriminalitet (jf. analogt for så vidt angår direktiv 2006/24 Digital Rights-dommen, præmis 59).
107 En national lovgivning som den i hovedsagen omhandlede overskrider derfor det strengt nødvendige og kan i et demokratisk samfund ikke anses for at være begrundet, således som det er påkrævet i henhold til artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1.
108 Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7,8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for, at en medlemsstat vedtager en lovgivning, der som en forebyggende foranstaltning muliggør en målrettet lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelse af grov kriminalitet, forudsat at lagringen af disse data begrænses til det strengt nødvendige for så vidt angår kategorierne af data, der skal lagres, de omhandlede kommunikationsmidler, de berørte personer og den fastsatte varighed af lagringen.
EU-domstolen i dom av 21. Desember 2016
DGF – der det nettopp legges opp til slik vilkårlig masselagring, ikke bare av kommunikasjonsdata, men dels også om kommunikasjonsinnhold – vil rammes direkte av det som uttales i denne dommen. Lysne II-utvalget synes å ha vært blant dem som feilaktig har trodd at dommen fra 2014 om datalagringsdirektivet, ikke innebar noe hinder for slik nasjonal lovgivning.
Denne nye dommen, som kom etter at utvalgets avga sin rapport, viser at utvalget har tatt feil.
Forslaget faller alene på dette punktet, som stridende mot grunnleggende friheter etter både europeisk rett og Grunnloven.
Teknologisk dreier kritikken seg dels om forslagets manglende effekt overfor DGFs anførte formål, kombinert med dets inngripende effekt på kommunikasjonsvernet samt potensielt skadelige effekt på samfunnets IKT-infrastruktur, dels om manglende utredning av de relevante teknologiske problemstillingene.
Tekna peker i sin høringsuttalelse på at selve rapportens tittel (”Digitalt grenseforsvar») gir misvisende assosiasjoner, og skriver i forbindelse følgende:
Rapportens tittel gir inntrykk av at Norge kan etablere et digitalt forsvar hvor uønskede elementer kan stoppes ved grensen. Tekna mener et riktigere språklig bilde vil være digital grenseovervåking.
Høringssvar fra Tekna
Basert alene på innholdet i de refererte høringsuttalelsene, vil det være overraskende om Regjeringen fremmer noe lovforslag langs de linjer som foreslås i Lysne II-utvalgets rapport.
Både juridiske og teknologiske forhold tilsier at de formål som forslaget anføres å skulle ivareta, må søkes ivaretatt på helt andre måter, og at det i eventuelle videre utredninger må gjøres langt grundigere arbeid, der blant annet uavhengig juridisk og teknologisk fagkyndighet involveres i langt større grad.
E-tjenesten bør ikke – som tilfellet var med Lysne II-utvalget – selv være sekretariat for et eventuelt nytt utvalg.
Det er uvanlig og uheldig.
Behovet for etterretningsfaglig kompetanse bør søkes ivaretatt ved at slik kompetanse – på linje med annen fagkompetanse – enten er representert i utvalget og/eller at faglige innspill fra det etterretningsfaglige miljøet blir hentet inn på annen måte under utredningsarbeidets gang.
Når det gjelder E-tjenesten selv – som altså selv var sekretariat for utvalget, som allerede nevnt – går det tydelig frem av dens egen høringsuttalelse at den har forutsett deler av den kritikken som jeg har vist til ovenfor, ettersom den finner det nødvendig i innta følgende (for øvrig ganske tendensiøse) avsnitt i avslutningen av sin uttalelse:
Et enstemmig og menneskeretts- og personverntungt utvalg har foretatt grundige avveininger av nødvendighet og forholdsmessighet, og finner det klart at innføring av DGF er forsvarlig og påkrevet.
Til tross for dette er det grunn til å anta at det primært er de høringsinstanser som er negative til ethvert nytt overvåkingstiltak, og som ikke er opptatt av å måtte finne en rimelig balanse mellom statens sikkerhet og personvern, som vil fremme uttalelse og søke å dominere den offentlige debatt.
Vi vil derfor anbefale at departementet vurderer ytterligere informasjonstiltak for å unngå misforståelser i det offentlige rom om hva DGF egentlig innebærer, samt ser dette i sammenheng med behovet for et oppdatert lovgrunnlag ikke bare for DGF, men for enkelte andre generelle aspekter ved E-tjenestens virksomhet.
Høringssvar fra Etterretningstjenesten
Hvilke høringsinstanser E-tjenesten sikter til, når den refererer til dem som er ”negative til ethvert nytt overvåkningstiltak”, er jeg usikker på.
En slik karakteristikk rammer i alle fall beviselig ikke de høringsinstansene som jeg har referert ovenfor. Når E-tjenesten først tar opp utvalgets sammensetning, kan det dessuten nevnes at av utvalgets fem medlemmer, var tre av dem statsansatte (henholdsvis i Forsvaret, Nasjonal kommunikasjonsmyndighet og Regjeringsadvokatembetet.) Også slike skjevheter bør unngås i eventuelle fremtidige utredningsutvalg om tematikken.
Når det gjelder E-tjenestens uttrykte bekymring for konsekvensene av høringsrunden for den offentlige debatt, og dens oppfordring til Forsvarsdepartementet om å iverksette ”informasjonstiltak”, minner det om hvordan Regjeringen håndterte høringen om datalagringsdirektivet i 2011.
Det førte som kjent til at Stortinget – i strid med klare råd fra nettopp uavhengige, juridiske instanser – vedtok lovgivning som domstolene i ettertid har slått ned på.
Den feilen kan unngås denne gangen, om politikerne faktisk tar innspillene fra de uavhengige fagmiljøene på alvor.
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.