Høringssvar vedr. udkast til bekendtgørelse om generel og udifferentieret registrering og opbevaring af oplysninger om en slutbrugers adgang til internettet
I forhold til § 5, stk. 1 i den nuværende logningsbekendtgørelse (BEK nr 988 af 28/09/2006 som ændret ved BEK nr 660 af 19/06/2014) er registrerings- og opbevaringspligten i bekendtgørelsesudkastets kapitel 2 udvidet med bl.a. portnumre.
Det vil medføre en kraftig stigning i mængden af oplysninger, som de omfattede udbydere skal registrere og opbevare. I forhold til antallet af registreringer (dataposter) per dag vil den skitserede ordning i § 4 i princippet svare til den tidligere sessionslogning, som blev ophævet i juni 2014 (dog vil datamængderne være lidt mindre, fordi der ikke skal registreres oplysninger om destinationen for internettrafikken).
Ifølge bekendtgørelsesudkastet skal disse væsentligt udvidede krav gælde allerede fra 3. marts 2022, hvilket antageligt vil skabe betydelige problemer for en del udbydere.
IT-Politisk Forening vil derfor anbefale, at der fastsættes en overgangsordning, hvor udbyderne i en periode kan opfylde bekendtgørelsens krav ved at registrere de samme oplysninger som i § 5, stk. 1 i den nuværende logningsbekendtgørelse (altså uden portnumre m.v.). Varigheden af denne periode bør fastsættes efter dialog med de relevante internetudbydere.
Derudover har IT-Politisk Forening følgende konkrete bemærkninger til bekendtgørelsesudkastet.
Oplysninger der genereres eller behandles i udbydernes net
I lighed med § 1 i den nuværende logningsbekendtgørelse bør det fremgå direkte af bekendtgørelsen, at den alene omfatter oplysninger som genereres eller behandles i udbyderens net, jf. bemærkningerne herom i L 93.
Det har eksempelvis betydning for oplysningen ”navn og adresse” i § 4, stk. 1, nr. 3, som typisk ikke vil blive behandlet af udbydere som caféer, restauranter og kursuscentre, der tilbyder deres kunder adgang til internettet via WiFi hotspots.
Bekendtgørelsen bør kun omfatte internetudbydere der har dette som sin hovedydelse
IT-Politisk Forening vil anbefale, at der til listen af undtagelser i § 3 tilføjes: ”samt virksomheder, der ikke har udbud af adgang til internettet som sin hovedydelse eller som en ikke-accessorisk del af virksomheden”, eller lignende formulering.
Formålet er at undtage udbydere som caféer, restauranter, campingpladser og kursuscentre fra bekendtgørelsen.
For disse udbydere (fx et WiFi hotspot på en café) vil slutbrugerforholdet næsten altid have en midlertidig karakter, og det er usandsynligt, at der vil blive registreret oplysninger som i praksis vil kunne anvendes i en politimæssig efterforskning. Brugeridentiteten vil typisk være en MAC-adresse, ikke en direkte identificeret person.
På den baggrund vil det ikke være proportionalt at stille krav om, at udbyderne foretager registrering af portnumre m.v., specielt ikke når dette for en række udbydere antageligt vil kræve investering i nyt teknisk udstyr.
Kun relevant at registrere portnumre ved internetadgang med delte offentlige IP-adresser
Hvis internetudbyderen tildeler hver abonnent (slutbruger) sin egen offentlige IP-adresse, vil det være muligt at bestemme slutbrugerens identitet ud fra en IP-adresse og et tidspunkt (timestamp) i en ekstern logfil. Registrering af portnumre kan ikke bidrage med yderligere information om slutbrugeren, når en offentlig IP-adresse på et givet tidspunkt alene kan være tildelt (bruges af) en enkelt slutbruger.
Af hensyn til det databeskyttelsesretlige princip om dataminimering, samt hensynet om ikke at pålægge udbyderne unødvendige tekniske og økonomiske byrder, bør kravet om registrering af portnumre i § 4, stk. 1, nr. 2 derfor alene gælde ved delte offentlige IP-adresser, altså når flere slutbrugere på samme tid kan tilgå internettet med den samme offentlige IP-adresse (Carrier-Grade Network Address Translation, CG-NAT).
Behov for præcisering af hvad registreringskravet i § 4, stk. 1, nr. 2 omfatter
Formuleringen i § 4, stk. 1, nr. 2 er meget uklart. Det er i særdeleshed uklart hvad ”andre identificerende oplysninger” dækker over. I forhold til (eventuelle) portnumre bør det præciseres, at det er source-portnumre, så der ikke registreres oplysninger om destinationen for internettrafikken.
Hvis formålet er at politiet ud fra en IP-adresse, et portnummer og et tidspunkt (fundet i en ekstern logfil eller oplyst af fx en email-tjenesteudbyder) skal kunne identificere en slutbruger entydigt (så entydigt som muligt), vil der være behov for at registrere disse oplysninger om hver enkelt NAT-session (Network Address Translation sessioner) fra slutbrugeren:
- Transportprotokol (fx TCP eller UDP)
- Den tildelte offentlige IP-adresse på den eksterne side af NAT-sessionen
- Den tildelte source-port på den eksterne side af NAT-sessionen
- Start- og evt. sluttidspunkt for NAT-sessionen
- Den tilhørende brugeridentitet
For yderligere information kan der henvises til afsnit 4 (logging) i RFC 6888 Common Requirements for Carrier-Grade NATs (https://datatracker.ietf.org/doc/html/rfc6888).
Hvis udbyderens CGNAT-udstyr teknisk kan begrænse den enkelte slutbrugers internettrafik til bestemte intervaller af portnumre (som ikke overlapper med andre slutbrugere), vil der kunne laves en samlet registrering af oplysningerne i nr. 1-5 ovenfor, som dækker alle NAT-sessioner fra denne slutbruger.
Det bør samtidig præciseres i § 4, at der ikke må registreres oplysninger om destinationen for internettrafikken.
Justitsministeriet bør (gen)overveje om det omfattende registreringskrav med portnumre er proportionalt
Som anført i punkt 99 i IT-Politisk Forenings høringssvar om lovforslag L 93 er politiet ofte ikke i stand til at bruge oplysninger om portnumre registreret af en internetudbyder, der anvender CG-NAT, fordi mange onlinetjenester alene registrerer IP-adressen for de besøgende på hjemmesiden eller brugere af tjenesten. Det gælder eksempelvis, ifølge oplysninger fra Rigspolitiet, de fleste sociale platforme.
På den baggrund bør Justitsministeriet (gen)overveje, om det på nuværende tidspunkt er proportionalt at pålægge alle internetudbyderne et krav om registrering af portnumre (for NAT-sessioner ved internetadgang med CG-NAT).
Selv om der ikke registreres oplysninger om besøgte hjemmesider (destinationen for trafikken), er registrering af portnumre i forbindelse med NAT-sessioner mere indgribende i retten til privatliv og databeskyttelse end registrering af en tildelt IP-adresse. Det skyldes især, at hyppigheden af registreringer af portnumre i visse situationer vil kunne tegne et præcist billede af abonnentens vaner og adfærdsmønstre for så vidt angår brugen af internettet og eventuelt ophold i hjemmet, hvis der er tale om registrering for faste internetforbindelser.
Brug af portnumre sammen med en IP-adresse for at identificere en bruger bag CG-NAT vil desuden være meget afhængig af, at timestamps er perfekt synkroniseret mellem internetudbyderen og den eksterne server, hvor der i logfilerne gemmes både IP-adresse og portnummer for de besøgende på websiden (altså forudsat at portnumre registreres her, jf. bemærkningerne ovenfor). Hvis der er blot et par sekunders mismatch, kan internetudbyderen meget vel udpege den forkerte bruger, med deraf følgende risiko for at en uskyldig person bliver genstand for politiets efterforskning.