Høringssvar om de gældende logningsregler med henblik på udarbejdelse af evaluering
Høringsmaterialet kan ses her. Bemærk at det ikke er en høring om et lovforslag.
Høringssvaret fra IT-Politisk Forening er opdelt i to dele. Den første del er vores bemærkninger til de eksisterende logningsregler, hvor fokus er på forholdet til grundlæggede rettigheder. Den anden del af høringssvaret forholder sig, som ønsket af Justitsministeriet, til behovet for at ændre opbevaringsperioden, og en stillingtagen til hvilke typer data der er behov for at registrere. I den forbindelse vil vi komme ind på sessionslogning og udvidet registrering af masteoplysninger, som i bemærkningerne til L 183 af 27. april 2016 er nævnt som anbefalinger fra Rigspolitiet.
Indledningsvist skal vi for en god ordens skyld bemærke, at IT-Politisk Forening er modstander af en logning, der, som den nuværende ordning, omfatter alle borgere, på alle steder, og alle tidspunkter, uden nogen hensyntagen til om de vil kunne være indblandet i grov kriminalitet eller ej. Det er masseovervågning, som vi er modstandere af. Indgreb i borgernes frihedsrettigheder skal begrænses til personer, som der er en (efter indgrebets art) passende konkret mistanke mod.
Denne holdning er uafhængig af, om en sådan ordning (logning af hele befolkningen) kan være forenelig med Charter om Grundlæggende Rettigheder og Den Europæiske Menneskerettighedskonvention (EMRK) under visse omstændigheder, for eksempel ved tilpas restriktive begrænsninger på adgangen til de oplysninger, som teleselskaberne pålægges at registrere. Charteret og EMRK udgør minimumsstandarder for borgernes rettigheder (i denne sammenhæng især privatliv og persondatabeskyttelse), og Folketinget kan naturligvis vedtage lovgivning med mindre vidtgående indgreb i borgernes grundlæggende rettigheder end det som Charteret og EMRK eventuelt giver mulighed for.
Del 1: Logning og forholdet til grundlæggende rettigheder
I april 2014 blev logningsdirektivet underkendt af EU-domstolen i de forenede sager C-293/12 og C-594/12 (i det følgende benævnt DRI-dommen). Justitsministeriet vurderede efterfølgende i redegørelsen af 2. juni 2014 om DRI-dommen, at der ikke er grund til at antage, at de danske logningsregler skulle være i strid med Charter om Grundlæggende Rettigheder. På grund af artikel 15, stk. 1 i e-privacy direktivet (2002/58/EF), er DRI-dommens præmisser, efter Justitsministeriets vurdering i redegørelsen, også gældende for de danske logningsregler, men Justitsministeriet fremhæver, at dansk lovgivning, modsat direktivet, fastsætter en række materielle og proceduremæssige betingelser for adgangen til de registrerede oplysninger.
For tiden behandler EU-domstolen de forenede sager C-203/15 og C-698/15 om de nationale logningsregler i Sverige og Storbritannien (i det følgende benævnt Tele2-Watson sagen). I skrivende stund foreligger der et forslag til afgørelse fra generaladvokaten i sagen, men ikke den endelige dom.
Det kan på ingen måde udelukkes, at præmisserne i Tele2-Watson dommen vil få afgørende betydning for vurderingen af de danske logningsregler og kræve ændringer af de danske logningsregler, men det tjener ikke noget formål at starte den vurdering før der foreligger en endelig dom. På det tidspunkt forventer vi, at Retsudvalget vil anmode Justitsministeriet om en ny redegørelse om de danske logningsregler i lyset af Tele2-Watson dommen, og et antal personer og organisationer vil uden tvivl fremkomme med deres selvstændige vurdering af dommens konsekvenser overfor Retsudvalget og Justitsministeriet.
Vi mener også at den kommende dom i Tele2-Watson bør indgå i den evaluering, som Justitsministeriet skal udarbejde vedrørende de eksisterende logningsregler (og dermed at evalueringen skal afvente dommen).
Vi vil desuden, i lighed med tidligere høringssvar i forbindelse med lovforslag om at udskyde evalueringen af logningsreglerne, anbefale at Justitsministeriet i den kommende evaluering inddrager udenlandske eksperter, som har erfaring med at vurdere forholdet til grundlæggende rettigheder af lovgivning om telelogning og anden form for masseovervågning (eller systematisk indsamling af oplysninger om hele befolkningen) til brug for retshåndhævelse.
På grund af usikkerheden om udfaldet af Tele2-Watson dommen, er vores bemærkninger om forholdet til grundlæggende rettigheder nedenfor begrænset til et mindre antal punkter, hvor vi allerede på nuværende tidspunkt føler os overbeviste om, at der vil være behov for en fornyet vurdering i forhold til de almindelige bemærkninger til lovforslag nr. L 35 af 13. december 2001.
Logning er et indgreb i grundlæggende rettigheder
Præmis 32-37 i DRI-dommen fastslår, at en generel pligt til lagring af data vedrørende en persons privatliv og kommunikation udgør et indgreb i grundlæggende rettigheder (artikel 7 og 8 i Charteret), som må anses for meget vidtrækkende og for at være af særligt alvorlig karakter. Det gentages i punkt 128 i generaladvokatens forslag til afgørelse i Tele2-Watson sagen med bemærkningen ”Jeg finder det ufornødent at uddybe yderligere med hensyn til konstateringen af, at der foreligger et indgreb”.
Et indgreb i den grundlæggende ret til privatliv skal efter retspraksis fra Den Europæiske Menneskerettighedsdomstol (EMD) være i overensstemmelse med loven, egnet til at opfylde et formål af almen interesse, samt være nødvendigt og proportionalt.
At indgreb skal være i overensstemmelse med loven indebærer blandt andet (men ikke udelukkende), at retsgrundlaget skal være tilstrækkeligt tilgængeligt og forudsigeligt, dvs. at det skal være affattet tilstrækkeligt præcist til, at en person kan tilpasse sin adfærd.
De danske logningsregler er fastsat i en bekendtgørelse (logningsbekendtgørelsen), som er udstedt med hjemmel i den generelle bestemmelse i retsplejelovens § 786, stk. 4. Specielt i forhold til de såkaldte masteoplysniger (celleoplysninger) er det efter vores opfattelse ikke tilstrækkeligt klart hvad der skal registreres, og især hvad der i praksis bliver registreret af teleselskaberne. Justitsministeriet har i besvarelsen af REU alm. del 2012-13, spørgsmål 894 udtalt, at § 4, stk. 1, nr. 6) i logningsbekendtgørelsen kun omfatter en pligt til at registrere masteoplysninger ved opkald, SMS og MMS trafik.
Hos teleselskaberne synes der at være en noget forskelligartet opfattelse af omfanget af pligten til at registrere masteoplysninger, og efter vores egne undersøgelser bliver der registreret masteoplysninger ved internettrafik efter en praksis, der må betegnes som fragmenteret. Når teleselskabernes jurister ikke er i stand til at afgøre hvornår der er pligt til at registrere masteoplysninger, kan retsgrundlaget næppe siges at være tilstrækkeligt forudsigeligt for de danske borgere. I den forbindelse skal det bemærkes, at hvis der ikke eksisterer en pligt til at gemme masteoplysninger efter logningsbekendtgørelsen eller et målrettet indgreb som teleobservation mod en konkret borger (retsplejelovens § 791 a, stk. 5 og 6), må teleselskaberne ikke behandle masteoplysninger (lokaliseringsdata) uden anonymisering, medmindre der foreligger et samtykke fra kunden om en konkret tillægstjeneste baseret på lokaliseringsdata, jf. udbudsbekendtgørelsen § 24.
Nødvendighed og proportionalitet af logning
Vi vil ikke berøre kravet om proportionalitet på nuværende tidspunkt, hvor den endelige dom i Tele2-Watson sagen ikke foreligger. Vi bemærker, at generaladvokaten i sit forslag til afgørelse i Tele2-Watson sagen lægger op til en separat vurdering af kravene om nødvendighed og proportionalitet.
Et indgreb i den grundlæggende ret til privatliv skal efter retspraksis fra EU-domstolen og EMD være begrænset til det, som er strengt nødvendigt.
Et indgreb i retten til privatliv kan efter retspraksis fra EMD og EU-domstolen kun anses for at være nødvendigt, såfremt der ikke findes andre foranstaltninger, der er lige så passende i forhold til et formål af almen interesse (som bekæmpelse af kriminalitet), men mindre indgribende (jf. punkt 185-187 i generaladvokatens forslag til afgørelse i Tele2-Watson sagen).
En prøvelse af nødvendigheden kræver således, at det undersøges om andre foranstaltninger vil kunne være ligeså effektive som en generel pligt til logning, og om disse eventuelle andre foranstaltninger vil være mindre indgribende i de rettigheder som er sikret af artikel 7 og 8 i Charteret og direktiv 2002/58/EF.
Et eksempel på en sådan alternativ foranstaltning kunne være hastesikring af data (”quick freeze”), hvor politiet har mulighed for at stoppe den sletning af trafikdata, som teleselskaberne er forpligtet til at foretage i henhold til e-privacy direktivet 2002/58/EF (i Danmark implementeret ved udbudsbekendtgørelsen, især §§ 23-24). Inden data udleveres til politiet skal dette indgreb (hastesikring) selvfølgelig godkendes af domstolene. En hastesikring af data vil kunne målrettes mod konkrete mistænkte, som fremadrettet kan overvåges i overensstemmelse med retsplejeloven (med godkendelse af en dommer). Hvis der endnu ikke er konkrete mistænkte personer, kan hastesikring (”quick freeze”) begrænse datalagringen (”logningen”), så den kun omfatter oplysninger, der har en direkte sammenhæng til den konkrete kriminalitet, som politiet efterforsker. Kravet til mistankegrundlaget for at iværksætte sikringen af data hos teleselskabet kunne eventuelt være mindre end kravene for at data rent faktisk på et senere tidspunkt kan udleveres til politiet (som foreslået af Justitia i analysen ”Revision af logningsreglerne” af 4. september 2014).
Der vil naturligvis være andre alternative foranstaltninger, som det er relevant at undersøge i forbindelse med vurderingen af nødvendighed. Det er påkrævet, at der foretages en bred undersøgelse af, om der er mulighed for at begrænse omfanget af logningspligten og samtidig bevare foranstaltningens effektivitet i forbindelse med bekæmpelsen af grov kriminalitet.
Justitsministeriet har i forbindelse med Folketingets behandling af de tidligere lovforslag om udsættelse af evalueringen af de danske logningsregler fremlagt nogle eksempler på politiets brug af de loggede oplysninger. Disse eksempler viser at logning i mange situationer kan være nyttig for politiet (især masteoplysninger og opkaldslister for telefoni, men i noget mindre grad internetoplysninger), men ”nyttig” er ikke det samme som, at logning opfylder kravet til nødvendighed i EMRK-forstand.
Efter vores opfattelse er der aldrig foretaget en reel vurdering af spørgsmålet om nødvendighed. Artikel 8 i EMRK er ikke omtalt i de almindelige bemærkninger til L 35 af 13. december 2001, men i høringsnotatet står der følgende som svar på den kritik, som blev rejst af flere høringsparter:
I det omfang, der er tale om et indgreb, som er omfattet af artikel 8 i Den Europæiske Menneskerettighedskonvention, finder Justitsministeriet, at betingelserne for at foretage indgrebet er opfyldt. Justitsministeriet er således ikke enig i, at logningspligtens indhold er uklart. I forhold til det lovudkast, der blev sendt i høring, er det således i det fremsatte lovforslag præciseret i selve lovbestemmelsen, at der skal foretages registrering af oplysninger om teletrafik, og at oplysningerne skal opbevares i 1 år. Den nærmere tekniske udmøntning skal ske administrativt, men indholdet af og sigtet med bestemmelsen fremgår af den foreslåede bestemmelse i retsplejelovens § 786, stk. 4, og bemærkningerne til denne bestemmelse. Dermed er også forudsigeligheden sikret.
Endvidere må kravet om nødvendighed anses for opfyldt, idet oplysninger om, hvilken kommunikation der har fundet sted, alene vil kunne fremskaffes, hvis teleudbyderne har foretaget registrering af oplysningerne. Oplysningerne vil ikke være tilgængelige ad anden vej.
Kravet om nødvendighed kan ikke begrundes med at oplysningerne ikke kan fremskaffes ad anden vej. Det er en nærmest cirkulær begrundelse, eftersom ingen anden foranstaltning end logning kan sikre, at bestemte oplysninger er til stede. Logning er ikke i sig selv et formål af almen interesse, som kan begrunde et indgreb i retten til privatliv. Nødvendighed skal vurderes i forhold til formålet om bekæmpelse af kriminalitet. Bemærkningerne i høringsnotatet til L 35 bærer generelt præg af, at Justitsministeriet i 2001-02 ikke anså logning for at være et indgreb, der var omfattet af artikel 8 i EMRK. Der er således behov for en fornyet vurdering her.
Det kræver som sagt en sammenligning med alternative og mindre indgribende foranstaltninger end den nuværende logning, som omfatter alle borgere, hvoraf hovedparten aldrig nogensinde vil blive mistænkt for kriminalitet. Generaladvokatens forslag til afgørelse i Tele2-Watson sagen har nogle generelle bemærkninger herom, men i forhold til Justitsministeriets kommende evaluering af de eksisterende logningsregler bør det afventes, om den endelige dom i Tele2-Watson sagen også berører dette punkt i præmisserne. Det samme gælder spørgsmålet om proportionalitet.
Betingelserne for adgang til de loggede oplysninger i dansk ret
En lovgivning, der fastsætter en logningspligt for teleoplysninger uden samtidig at fastsætte begrænsninger i adgangen til disse oplysninger, er efter præmisserne i DRI-dommen ikke begrænset til det strengt nødvendige.
En vurdering af begrænsningerne i den danske lovgivning for adgangen til de loggede oplysninger har derfor betydning for såvel spørgsmålet om streng nødvendighed som spørgsmålet om proportionalitet. I begge tilfælde bør der lægges vægt på, at lovgivningen fastsætter reelle begrænsninger i adgangen til de loggede oplysninger.
For en række af de oplysninger som gemmes efter logningsbekendtgørelsen gælder retsplejelovens regler om indgreb i meddelelseshemmeligheden, hvis politiet skal have adgang til oplysningerne. Hovedreglen er, at politiets efterforskning skal angå en forbrydelse med en strafferamme på mindst 6 år. Der er imidlertid en lang række undtagelser fra denne hovedregel, således at lovovertrædelser med væsentligt kortere strafferammer end 6 år også kan give adgang til logningsdata. I redegørelsen af 2. juni 2014 henvises til, at teleoplysninger i disse tilfælde kan være relevante for politiets efterforskning, og at der typisk er tale om forbrydelser, som begås af en flerhed af personer, som må formodes at have et behov for at kommunikere indbyrdes via elektroniske kommunikationstjenester. Databedrageri (straffeloven § 279 a) giver også mulighed for indgreb i meddelelseshemmeligheden, hvis forbrydelsen er begået ved anvendelse af en telekommunikationstjeneste.
Hovedreglen om 6 års strafferamme er altså suppleret med en lang liste med mindre alvorlige lovovertrædelser, hvis primære fællestræk synes at være, at loggede oplysninger kan være relevante og nyttige for politiets arbejde, enten fordi lovovertrædelserne sker via et telekommunikationsnet som internettet, eller fordi lovovertrædelsen typisk begås af flere personer i forening, hvor der er en forventning om at disse personer kommunikerer med hinanden. Hvis politiet har adgang til de loggede oplysninger i stort set alle sager, hvor dette kan være relevant for politiets arbejde, kan der i høj grad stilles spørgsmålstegn ved, om de formelle krav ved indgreb i meddelelseshemmeligheden efter retsplejelovens bestemmelser reelt indskrænker politiets adgang til de loggede oplysninger i forhold til logningsdirektivets fuldstændige fravær af sådanne begrænsninger og præmis 60-62 i EU-dommen.
Derudover skal betingelserne for indgreb i meddelelseshemmeligheden ikke opfyldes, hvis politiet ønsker adgang til masteoplysninger eller abonnentoplysninger for en tildelt dynamisk IP-adresse. Disse loggede oplysninger kan udleveres til politiet alene efter en editionskendelse, hvor eneste krav er, at der skal være tale om en lovovertrædelse, som er undergivet offentlig påtale. Hvis loggede oplysninger udleveres efter edition, er der således ikke noget krav om, at lovovertrædelsen skal være af en særlig art eller grovhed eller have en bestemt strafferamme.
Editionsreglernes eneste krav om offentlig påtale kan næppe opfylde betingelserne i præmis 61 i logningsdommen om, at adgangen skal være strengt begrænset til præcist afgrænsede strafbare handlinger, eller kravene i præmis 60 om objektive kriterier for adgangen. Adgang til logningsdata efter editionsreglerne kan heller ikke siges at være begrænset til grov kriminalitet. Når indgrebet alene sker efter editionsreglerne, er der heller ikke krav om efterfølgende underretning af borgerne når indgrebet er afsluttet (som i retsplejelovens § 788 for indgreb i meddelelseshemmeligheden).
De loggede masteoplysninger kan være ganske indgribende i borgernes ret til privatliv, idet der kan være tale om en nærmest fuldstændig registrering af den pågældende borgers færden i det fysiske rum. Det gælder især, hvis borgeren har en smartphone, og hvis teleselskabet registrerer masteoplysninger for mobil internettrafik. En smartphone generer konstant internettrafik fra apps i baggrunden, selv hvis telefonen ikke benyttes aktivt, og teleselskabet vil således i praksis registrere næsten alle master, som mobiltelefonen er i kontakt med.
På den baggrund undrer det IT-Politisk Forening, at konklusionen i Justitsministeriets redegørelse af 2. juni 2014 kan omfatte de dele af logningsbekendtgørelsen, hvor politiet kan få adgang til de loggede oplysninger alene efter editionsreglerne. Vi vil i den forbindelse henvise til fodnote 3 i Justitsministeriets redegørelse af 2. juni 2014, hvor det direkte fremgår, at det efter ministeriets egen vurdering er uafklaret, om adgangen til visse logningsdata via editionsreglerne (alene) er i overenstemmelse til EU-retten:
Justitsministeriet vil i forbindelse med den kommende revision af logningsreglerne nærmere overveje forholdet mellem Danmarks internationale forpligtelser med hensyn til retten til respekt for privatlivet og de krav, der efter retsplejelovens editionsregler gælder i forhold til politiets adgang til visse loggede oplysninger.
Udover editionskendelser til brug for politiets efterforskning, som er omtalt i Justitsministeriets redegørelse af 2. juni 2014, er vi også bekendt med, at der sker udlevering af oplysninger om (i hvert fald) tildelt dynamisk IP-adresse i civile sager efter editionsreglerne i retsplejelovens § 299. Retspraksis herfor er omtalt i afsnit 6.3 i ”Rapport fra møderækken om håndhævelse af ophavsretten på internettet”, Kulturministeriet, 25. juni 2009. I den forbindelse skal det bemærkes, at selv om oplysningerne udleveres til en civil erstatningssag om krænkelse af ophavsretten, er strafforfølgning eller senere overgivelse af oplysningerne til politiet ikke udelukket.
Denne udlevering af internetoplysninger i civile sager efter retsplejelovens § 299 foregår efter vores oplysninger i ganske betydeligt omfang. To private advokatfirmaer har tilsyneladende specialiseret sig i erstatningssager mod fildeling af blot et enkelt filmværk via det såkaldte bittorrent netværk (herunder den såkaldte Popcorn Time ”tjeneste”), og ifølge oplysninger i medierne har disse advokatfirmaer fået udleveret oplysninger om over 1.000 danskere (se artiklen ”It-jurist: Advokater skræmmer folk med tynde bøder for ulovlig download af film”, Politiken 16. februar 2016).
IT-Politisk Forening er bekendt med to sager (i øvrigt fra samme editionskendelse BS C-1472/2015), hvor der er udleveret oplysninger om tildelt IP-adresse, som er fem måneder gamle. Dermed er der tale om oplysninger om internettrafik (dynamisk tildelt IP-adresse), som teleselskabet (internetudbyderen) alene er i besiddelse af på grund af den logningspligt som retsplejelovens § 786, stk. 4 pålægger teleselskabet. Uden logningsreglerne ville disse oplysninger for længst være slettet i medfør af udbudsbekendtgørelsens § 23.
Efter vores opfattelse skal en begrænsning af adgangen til de loggede oplysninger også omfatte civile sager som ovenstående. Dermed hænger en vurdering af editionsreglerne for civile sager naturligt sammen med den påkrævede vurdering af editionsreglerne for politiets efterforskning.
Reglerne om adgang til historiske logningsdata følger de almindelige regler om indgreb i meddelelseshemmeligheden i retsplejeloven kapitel 71 og edition i kapitel 74 (derudover er der de civile sager i § 299). Disse regler er udtryk for en afvejning mellem borgernes ret til privatliv (og persondatabeskyttelse) på den ene side og hensynet til en effektiv kriminalitetsbekæmpelse på den anden side. Men der er stor forskel på, om denne afvejning vedrører et fremadrettet indgreb i meddelelseshemmeligheden, som kun vedrører en konkret borger under forudgående mistanke, eller om der er tale om adgang til oplysninger, som efter lovkrav er indsamlet om en hel befolkning uden forudgående krav om mistanke på tidspunktet for dataindsamlingen. Hensynet til grundlæggende rettigheder bør efter vores opfattelse tale for en langt mere restriktiv praksis for adgangen til oplysninger indsamlet efter en logningsforpligtelse vedr. alle borgere end et fremadrettet indgreb baseret på en konkret mistanke mod en enkelt borger.
IT-Politisk Forening vil anbefale, at Justitsministeriets endelige vurdering af disse spørgsmål, i forbindelse med den kommende evaluering og eventuelle revision af de danske logningsregler, afventer den endelige dom fra EU-domstolen i Tele2-Watson sagen.
Sletning af logningsoplysninger efter udløbet af logningsperioden og reglerne for opbevaring af disse data
Præmis 67 i DRI-dommen lægger bl.a. vægt på, at logningsdirektivet ikke sikrer en irreversibel destruktion af de loggede oplysninger efter logningsperiodens udløb. I redegørelsen af 2. juni 2014 skriver Justitsministeriet, at det forholder sig anderledes med dansk lovgivning, idet udbudsbekendtgørelsens § 23 sikrer sletning af oplysningerne efter logningspligtens udløb.
Vi er ikke overbeviste om, at udbudsbekendtgørelsens § 23 er tilstrækkelig, idet de pågældende bestemmelser i udbudsbekendtgørelsen er den danske implementering af artikel 6 i direktiv 2002/58/EF, som EU-domstolen også må have overvejet i forbindelse med præmis 67.
Det er endvidere ikke vores opfattelse, at tilsynet med overholdelsen af udbudsbekendtgørelsens § 23 (samt § 24, hvis der er tale om masteoplysninger) er tilstrækkeligt effektivt til at sikre, at den danske lovgivning er forenelig med præmis 67 i DRI-dommen. At visse teleselskaber i 2016 stadig registrerer masteoplysninger for mobil internettrafik, selv om Justitsministeriet i besvarelsen af REU alm. del 2012-13, spørgsmål 894 klart siger, at dette ikke er et lovkrav, er efter vores opfattelse udtryk for, at tilsynet med sletning af trafik- og lokationsdata ikke er tilstrækkeligt effektivt.
Derudover lægger præmis 68 vægt på, at logningsdirektivet ikke sikrer, at de omhandlede oplysninger opbevares på EU's område. Hvis oplysningerne opbevares uden for EU's område er der ikke de samme muligheder for at sikre, at kravene om adgangen til oplysningerne overholdes. De nuværende danske logningsregler indeholder ingen pligt til at opbevare de loggede oplysninger på EU's område. Oplysningerne vil i princippet kunne overføres til en hvilken som helst amerikansk IT-udbyder (i en databehandlingsaftale), som har tilsluttet sig den såkaldte Privacy Shield ordning.
Del 2: Kommentarer til behovet for at ændre opbevaringsperioden, og hvilke typer data der er behov for at registrere
IT-Politisk Forening har den principielle holdning, at der skal registreres færre oplysninger i den danske logningsordning, og vi mener, at logningsperioden skal gøres så kort som muligt, hvis der overhovedet skal være en logning.
Ideelt set ønsker vi, at Folketinget helt afskaffer logningsforpligtelsen for teleselskaberne. Alternativt håber vi, at der en dag kommer en klar dom fra enten EU-domstolen eller EMD om at indsamling af store mængder oplysninger om tele- eller internettrafik for en hel befolkning (som logningsdirektivet eller den nuværende danske logningsordning kræver) vil være i strid med den grundlæggende ret til privatliv og persondatabeskyttelse.
Vi er omvendt klar over, at der hos Rigspolitiet og Justitsministeriet tidligere på året (i forbindelse med bemærkningerne til L 183) er udtrykt ønsker om en udvidelse af logningspligten, således at sessionslogningen genindføres, formentlig i en revideret form, og at der registreres flere masteoplysninger i forbindelse med mobil internettrafik.
Frem for at uddybe IT-Politisk Forenings egne synspunkter om hvilke typer data, som der er behov for at registrere, har vi fundet det mest hensigtsmæssigt, at strukturere denne del af høringssvaret som bemærkninger til Rigspolitiets ønsker om sessionslogning og en udvidelse af registreringen af masteoplysninger.
Grænserne for hvad der efter EU-retten kan logges
Retspraksis fra EU-domstolen i DRI-dommen og C-362/14 (Maximillian Schrems mod Data Protection Commissioner; i det følgende benævnt Schrems-dommen) trækker en klar linje i sandet ved logning af indholdet af elektronisk kommunikation. Ud fra præmis 39 i DRI-dommen og præmis 94 i Schrems-dommen kan det læses, at en generel lagring af indholdet af elektronisk kommunikation udgør et indgreb i det væsentligste indhold af den grundlæggende ret til privatliv.
En logning af eksempelvis indholdet af danskernes SMS-beskeder vil altså ikke være mulig efter EU-retten. Vi er i øvrigt heller ikke bekendt med, at der eksisterer et aktuelt forslag om dette.
En generel lagring af metadata om elektronisk kommunikation er efter den gældende retspraksis ikke et indgreb i det væsentligste indhold i den grundlæggende ret til privatliv, og derfor kan det underkastes den normale vurdering af om indgrebet er egnet til at forfølge et formål af almen interesse, og om det er nødvendigt og proportionalt. Vi bemærker dog, at generaladvokaten i punkt 259 i forslag til afgørelse i Tele2-Watson sagen fremhæver den særdeles interessante pointe, at metadata kan være mere problematisk for retten til privatliv end selve indholdet af den elektroniske kommunikation:
Jeg ønsker at fremhæve, at de risici, der er forbundet med adgangen til kommunikationsdata (eller ”metadata”), kan være tilsvarende, eller endog større end, de risici, der følger af adgangen til disse kommunikationers indhold, således som Open Rights Group, Privacy International og Law Society of England and Wales samt en nylig rapport fra FN’s Højkommissariat for Menneskerettigheder har fremhævet. Som ovennævnte eksempler viser, gør ”metadata” det navnlig muligt nærmest øjeblikkeligt at katalogisere en befolkning i sin helhed, hvilket ikke er muligt på baggrund af kommunikationernes indhold.
Siden Snowden-afsløringerne i 2013 har IT-Politisk Forening gennem løbende diskussioner med vores udenlandske samarbejdspartnere, især i paraplyorganisationen European Digital Rights, udviklet samme forståelse af de mange risici, som der er forbundet med en generel lagring af historiske metadata om elektronisk kommunikation.
Generelle bemærkninger om sessionslogning
I forhold til logning af internetsessioner vil vi på grundlag af ovenstående analyse af retspraksis for indhold og metadata fremhæve følgende to punkter, som begge taler imod at (gen)indføre en logning af internetsessioner, idet sessionslogningen har et særligt problematisk forhold til grundlæggende rettigheder.
For det første vil vi pege på, at sessionslogning befinder sig i en gråzone mellem rene metadata og indholdet af den elektroniske kommunikation. Med sessionslogning registreres destinations IP-adressen, som i mange tilfælde fortæller hvilket website (domænenavn) der besøges. Man kunne også forestille sig udvidelser af den danske sessionslogning fra 2007 til 2014, således at domænenavnet registreres direkte. Det britiske forslag om sessionslogning i Investigatory Powers Bill gør faktisk dette, omend det er uklart hvordan domænenavnet rent praktisk skal registreres i den foreslåede britiske ordning.
Selv om sessionslogning ikke direkte registrerer indholdet af internettrafikken (det som hedder ”payload” af internetpakkerne) eller den fulde web URL-adresse, vil destinations IP-adressen og/eller domænenavnet i mange tilfælde afsløre betydelige aspekter af indholdet af kommunikationen, herunder oplysninger som betragtes som følsomme personoplysninger. En registrering af besøgte websider vil fortælle om borgeren læser netnyheder hos Information eller Jyllands-Posten, hvilke politiske partier og religiøse sammenslutninger, som borgeren interesserer sig for, og potentielt stærkt følsomme oplysninger om borgerens sundhedsmæssige forhold.
For det andet er de oplysninger, som registreres med sessionslogning, meget omfattende og dermed særligt problematiske i forhold til pointen i punkt 259 i generaladvokatens forslag til afgørelse i Tele2-Watson sagen. Sessionslogning er en fuldstændig kortlægning af borgerens internettrafik på website-niveau, og de risici for katalogisering af befolkningen i sin helhed, som altid er forbundet med en generel lagring af metadata, er langt mere alvorlige for sessionslogning end andre typer logning. I dag, hvor et meget stort antal af borgernes daglige aktiviteter involverer internettet og mange borgere konstant har en smartphone i hånden, kunne man med absolut rimelighed argumentere for, at sessionslogning er en decideret kortlægning af borgernes tanker.
Anvendelse af sessionslogning som fuldstændig profilering af borgerens kommunikation var et helt bevidst element i den sessionslogning, som eksisterede i 2007-2014. I besvarelsen af spørgsmål 43 til L 53 af 14. december 2011 skriver Justitsministeriet:
Rigspolitiet har samtidig oplyst, at anvendelse af sådanne data [sessionslogning] kan bidrage til at sikre et så detaljeret billede af målpersonens kommunikation som muligt og således kan medvirke til, at der kan etableres en kommunikationsprofil på personen.
I praksis var sessionslogning 2007-2014 ikke så effektivt et redskab for politiet, som Rigspolitiet og Justitsministeriet havde forestillet sig og givet udtryk for i besvarelsen af diverse REU spørgsmål i perioden.
Det ændrer imidlertid ikke ved karakteren af de data, som lagres. Der er tale om en fuldstændig kortlægning af borgernes internettrafik, som giver borgeren det indtryk, at borgerens aktiviteter på internettet er under konstant overvågning (jf. præmis 37 i DRI-dommen).
En sådan konstant overvågning kan påvirke borgernes brug af internettet i retning af at være mere tilbageholdende med at søge ny information. Ifølge rapporten “Global Chilling: The Impact of Mass Surveillance on International Writers”, PEN International, 5, januar 2015, har en høj andel af forfattere i demokratiske lande (som Danmark) undladt at besøge bestemte websider, eller udføre bestemte internetsøgninger, på grund af den statslige internetovervågning. Det er vigtigt, at sådanne negative konsekvenser for videnssamfundet og det demokratiske samfund i øvrigt overvejes i den kommende evaluering af de danske logningsregler.
Er reglerne om sessionslogning egnede til at opnå deres formål?
Den 2. juni 2014 blev den gamle sessionslogning ophævet, fordi Justitsministeriet konkluderede, at reglerne om sessionslogning ikke var egnede til at opnå deres formål om bekæmpelse af kriminalitet. At et indgreb i grundlæggende rettigheder skal være egnet til at opnå et formål af almen interesse er et helt basalt krav, som skal være opfyldt. Derefter kommer i givet fald vurderingen af nødvendighed og proportionalitet.
I 2014 kunne Justitsministeriet kun fremvise et enkelt eksempel, hvor sessionslogning havde været anvendt i opklaringen af en forbrydelse. Det var en mindre sag om et netbankindbrud, hvor man havde brugt sessionslogningen for offeret for en forbrydelse for at afklare en mistanke om at personen selv stod bag tyveriet (afsnit 5.4.3 i ”Redegørelse om diverse spørgsmål vedrørende logningsreglerne”, december 2012). Oplysningerne blev formentlig indhentet med samtykke snarere end retskendelse.
I 2016 kom Justitsministeriet med fire nye eksempler i besvarelsen af REU alm. del 2015-16, spørgsmål 423, hvoraf der dog kun i to af eksemplerne var brugt oplysninger om sessionslogning i opklaringen af forbrydelsen, jf. den supplerende besvarelse i REU alm. del 2015-16, spørgsmål 530. I de to andre sager var der brugt masteoplysninger fra mobil internettrafik.
Ingen af de tre sager hvor sessionslogning har spillet en vis rolle handler om terror, som var den oprindelige begrundelse for at indføre logningsbekendtgørelsen med L 35 af 13. december 2001. I Justitsministeriets ”Redegørelse om diverse spørgsmål vedrørende logningsreglerne” offentliggjort i december 2012 står der følgende om PETs brug af sessionslogning:
For så vidt angår anvendelse af teledata fra sessionslogning kan det oplyses, at det i meget begrænset omfang har været relevant at indhente sådanne oplysninger i forbindelse med efterforskning.
Et relevant spørgsmål er naturligvis om disse problemer med sessionslogningen skyldes den konkrete implementering, og dermed indirekte om en alternativ udformning af sessionslogningen kunne være egnet til at opfylde et formål om bekæmpelse af kriminalitet.
Vi mener ikke, at der er noget reelt grundlag for denne formodning, hvilket uddybes i næste afsnit.
Vil regler om en ny sessionslogning kunne være egnede til at opnå deres formål?
Vurderingen i dette afsnit er underlagt den begrænsning, at vi ikke kender det konkrete indhold af Rigspolitiets og Justitsministeriets planer for en ny sessionslogning.
I marts 2016 udarbejdede IT-Politisk Forening et notat om ny og gammel sessionslogning på grundlag af den information, som vi på daværende tidspunkt havde adgang til. Notatet vedlægges som bilag til dette høringssvar.
I notatet analyserer vi de forhold, som Rigspolitiet har fremført som problemer ved den gamle sessionslogning, herunder at der kun skete registrering af hver 500. pakke. Det blev af Justitsministeren på et samråd i Folketinget den 21. april 2016 betegnet som stikprøver, og grunden til at sessionslogning ikke fungerede (der henvises konkret til Justitsministerens udtalelser kl. 14:58 i samrådet). Vores analyse i notatet kommer til den stik modsatte konklusion. Om der registreres oplysninger om hver eneste pakke eller hver 500. pakke vil generelt ikke udgøre nogen væsentlig forskel, eftersom internettrafik opdeles i små pakker, som alle har samme IP-adresser og portnumre (identiske metadata). En ændring fra registrering af hver 500. pakke til alle pakker vil blot duplikere den information, som registreres om internetbrugerne. Det vil generelt ikke gøre det mere sandsynligt, at eksempelvis et besøg på en hjemmeside registreres, eller at kontakt med en kommunikationstjeneste som WhatsApp eller Skype registreres.
Endvidere indeholdt den gamle sessionslogning i de sidste år frem til 2014 faktisk en række udvidelser, som skulle løse nogle af de problemer som var opstået tidligere i forløbet fra sessionslogningens indførelse i september 2007. I et notat fra Rigspolitiet af 26. marts 2014, som vi har læst via en aktindsigt [1] efter offentlighedsloven, står der således:
For så vidt angår mobillogning har TDC implementeret en logningsmodel, der identificerer den enkelte brugers mobile internetkommunikation og kæder denne information sammen med geografiske data i en såkaldt ‘datastreng’, der både kan anvendes til at stedfæste en persons færden alene ud fra automatiske internetsessioner og til at identificere, hvilke andre IP-adresser personen har oprettet forbindelse til via det mobile internet. Denne mobillogningsløsning har vist sig at være et brugbart efterforskningsredskab.
På trods af dette konkluderede Justitsministeriet alligevel i juni 2014, at reglerne om sessionslogning ikke var egnede til at opnå deres formål, og sessionslogningen blev ophævet.
Vi vil meget gerne uddybe disse tekniske vurderinger af hhv. oprindelig og eventuelle nye muligheder for sessionslogning overfor enten Justitsministeriet eller tekniske eksperter hos Rigspolitiet. Vi mener at en sådan udveksling af faglige vurderinger kan bidrage positivt til den evaluering, som Justitsministeriet skal udarbejde i de kommende måneder.
Anbefaling omkring sessionslogning
IT-Politisk Forening vil klart anbefale Justitsministeriet, at der ikke fremsættes forslag om at genindføre sessionslogningen.
For det første er det yderst tvivlsomt, om regler om sessionslogning overhovedet er egnede til at opnå deres formål om bekæmpelse af kriminalitet, jf. bemærkningerne ovenfor. I den forbindelse skal man være opmærksom på, at Justitsministeren har opgivet det meget dyre forslag om sessionslogning, som Rigspolitiet angiveligt havde udarbejdet og som lå klar i foråret 2016. For tiden diskuterer Rigspolitiet og internetudbyderne en billigere sessionslogning, men denne proces vil formentlig konvergere mod noget, der meget ligner den gamle sessionslogning, for eksempel ”TDC modellen” som er beskrevet ovenfor.
Udover det basale spørgsmål om egnethed er der kravet om nødvendighed. Adgang til sessionslogning forudsætter en konkret mistænkt person, idet der ikke i den gamle ordning og med betingelserne for adgang til logningsdata efter retsplejelovens kapitel 71 var mulighed for at lave deciderede data-mining analyser på ukendte brugere. Men når politiet har en konkret mistænkt person, vil det generelt være mere effektivt at beslaglægge mistænktes computere med henblik på en teknisk undersøgelse. På en høring i Retsudvalget den 23. maj 2012 (i forbindelse med behandling af lovforslaget L 53 af 14. december 2011 om udsættelse af evalueringen af logningsreglerne) sagde politiinspektør Magnus Christian Andersen, at politiet typisk beslaglagde computere frem for at forsøge at indhente oplysninger fra sessionslogningen.
Dette målrettede efterforskningsredskab vil være langt mindre indgribende i borgernes ret til privatliv, og det er som bekendt vurderinger af denne type som skal foretages i forbindelse med en undersøgelse af, om sessionslogning opfylder kravene til nødvendighed.
Endelig skal man være opmærksom på, at borgeren relativt nemt kan undgå registrering af den reelle destination for internettrafikken ved at bruge enten en VPN forbindelse eller Tor-netværket. Vi er bekendt med, at Justitsministeriet er opmærksom på denne begrænsning ved sessionslogning, jf. besvarelsen af REU alm. del 2014-15, spørgsmål 363.
Udvidet registrering af masteoplysninger
Som nævnt ovenfor i dette høringssvar, vil de loggede masteoplysninger ofte være ganske indgribende i borgernes ret til privatliv, idet der kan være tale om en nærmest fuldstændig registrering af den pågældende borgers færden i det fysiske rum.
Ifølge bemærkningernes pkt. 2.2 til lovforslaget L 183 af 27. april 2016 ønsker Rigspolitiet i den fremtidige revision af de danske logningsregler at indføre et eksplicit krav om, at teleselskaberne registrerer alle master, som en mobiltelefon har kontakt med i forbindelse med mobil internettrafik. For hovedparten af de danske borgere (alle som har en smartphone) vil logningsbekendtgørelsen dermed indebære en fuldstændig kortlægning af deres færden i det fysiske rum. I realiteten vil disse borgere blive sat under konstant teleobservation i retsplejelovens forstand, og begrænsningen i retsplejelovens § 791 a til lovovertrædelser, der kan medføre fængsel i 1 år og 6 måneder eller derover, vil blive illusorisk, idet politiet uden videre kan få adgang til de historiske lokationsoplysninger med en simpel editionskendelse.
Længden af opbevaringsperioden
I dag kræver retsplejelovens § 786, stk. 4 at oplysninger registreret i medfør af logningsbekendtgørelsen opbevares i 12 måneder. Denne opbevaringsperiode gælder for alle typer data. Præmis 64 i DRI-dommen kræver at opbevaringsperioden skal være baseret på objektive kriterier for at sikre at datalagringen begrænses til det strengt nødvendige. Det virker ikke rimeligt, at objektive kriterier skulle lede til præcist den samme opbevaringsperiode (og slet ikke 12 måneder) for alle typer data.
Det tyske parlament har i 2016 vedtaget en ny logningslov hvor opbevaringsperioden er 10 uger, dog kun 4 uger for lokationsdata (masteoplysninger). Vi finder det fornuftigt, at lokationsdata har den korteste opbevaringsperiode, idet lokationsdata giver mulighed for en fuldstændig kortlægning af personens færden i det fysiske rum.
Hensynet til grundlæggende rettigheder taler generelt for en væsentligt kortere opbevaringsperiode end 12 måneder, som i de nuværende danske logningsregler.
I dommen Zacharov mod Rusland 47143/06 fandt EMD, at en automatisk lagring af åbenbart irrelevante data i 6 måneder ikke var foreneligt med EMRK artikel 8 (præmis 255). Hovedparten af de lagrede data fra tele- og internetlogning vil være uden nogen forbindelse til kriminalitet, og må derved kunne sidestilles med en automatisk lagring af åbenbart irrelevante oplysninger.
Generaladvokaten henviser til Zacharov-dommen i sit forslag til afgørelse i Tele2-Watson sagen. Det er naturligvis muligt, at præmisserne i den endelige dom vil tage et andet udgangspunkt med hensyn til opbevaringsperioden.
Noter
[1] Rigspolitiets notat af 26. marts 2014 kan ses her
https://web.panton.org/aktindsigt/logningsbekendtg%C3%B8relsen/jm-2/endelig-dokumenter.pdf
Bilag
Notat om ”ny” og ”gammel” sessionslogning, IT-Politisk Forening, 4. marts 2016
https://itpol.dk/sites/itpol.dk/files/Ny-gammel-sessionslogning-4mar16.pdf