Tilrettelagt innhenting og etterlevelse av EØS-rettslige forpliktelser

26. august 2021 vedtok Kongen i statsråd at de kontroversielle delene av Lov 19. juni 2020 om etterretningstjenesten (etterretningstjenesteloven), med unntak av § 7-3, skal tre i kraft 1. januar 2022. Loven ble vedtatt i juni 2020, men ikrafttredelsen av tilrettelagt innhenting ble utsatt i november 2020 på grunn av at regjeringen skulle analysere dommer fra EU-domstolen og EMD. Denne analysen er nå utført av en arbeidsgruppe i Forsvarsdepartementet.

Les også: Regjeringen går videre med den kontroversielle delen av e-tjenesteloven

Arbeidsgruppen konkluderer etter en gjennomgang av dommene Privacy International og La Quadrature du Net m.fl. fra EU-domstolen med at tilrettelagt innhenting ikke er i strid med forpliktelser etter EØS-avtalen. Disse to dommene behandler bulklagring opp mot kommunikasjonsvernsdirektivet. Kommunikasjonsvernsdirektivet er gjort til en del av EØS-avtalen og er en del av ekomloven i norsk rett.

Privacy International og La Quadrature du Net m.fl. er avsagt samme dag og har samme prinsipielle utgangspunkt om statlig masselagring av metadata. En ting skiller likevel avgjørelsene. I Privacy International kom EU-domstolen til at kommunikasjonsvernsdirektivet utelukker nasjonal lovgivning der lagringen av metadataen skjer av nasjonalstatene selv. I La Quadrature du Net åpner EU-domstolen for bulklagring som et begrenset unntak der lagringen skjer av ekomtilbyderne. Dette kan leses ut av ordlyden «transmission» i slutningen i Privacy International og ordlyden «order providers of electronic communications services to retain traffic data» i La Quadrature du Net m.fl. avsnitt 137.

Etterretningstjenesteloven etablerer et bulklagringsregime i Norge der lagringen skal skje på Etterretningstjenestens servere, jf. etterretningstjenesteloven § 7-7. Ekomtilbydere blir pålagt en plikt til å tilgjengeliggjøre metadata til Etterretningstjenesten. De norske reglene samsvarer derfor med det som var tilfellet i Privacy International-dommen og ikke det som var tilfellet i La Quadrature du Net-dommen. Vilkårene som åpner for bulkagringen i et begrenset tilfelle i La Quadrature du Net-dommen er forbeholdt der lagringen skjer av ekomtilbyderne selv etter pålegg fra nasjonale sikkerhetsmyndigheter.

Skillet i de to dommene av om lagringen skjer av ekomtilbyderne eller av nasjonale sikkerhetsmyndigheter er kommentert slik i Forsvarsdepartementets rettslige analyse:

«Siden E-tjenesten ikke får aksess/tilgang til dataene før det foreligger tillatelse fra domstolen, jf. etterretningstjenesteloven kapittel 8, kan det anføres at systemene i praksis vil være nokså sammenlignbare og at det ikke har betydning hvem som står for lagringen, så lenge lagringssystemene hindrer at uvedkommende får tilgang. (...) etterretningstjenesteloven og sikkerhetsloven oppstiller særlig strenge krav knyttet til sikkerheten til lagrede data hos E-tjenesten, og at disse er strengere enn de krav som stilles til lagring hos tjenestetilbyderne.»

Dette rettslige utgangspunktet strider mot den klare ordlyden i Privacy International-dommen. Dommen må leses i lys av Generaladvokat Campos Sánches-Bordonas forslag til avgjørelse av 20. januar 2020. I uttalelsen fremheves det at det avgjørende for kommunikasjonsvernsdirektivets relevans er at ekomtilbyderne blir pålagt tilretteleggingsplikter, at metadata lagres generelt og udifferensiert og at fortroligheten til elektronisk kommunikasjon blir brutt.

Kommunikasjonsvernsdirektivet skal sikre fortrolig elektronisk kommunikasjon i EU og EØS. Når ekomtilbyderne blir pålagt å dele data fra elektronisk kommunikasjon med utenforstående (etterretningstjenesten er i dette tilfellet en utenforstående) har det lite å si for EØS-rettens vedkommende om Etterretningstjenesten har sikre krav for oppbevaring av data. Inngrepet i kommunikasjonsvernet har allerede skjedd når dataene speiles fra ekomtilbyderne og til nasjonale etterretningstjenester. Privacy International og La Quadrature du Net m.fl. bygger på at det er et skille om metadataen lagres hos nasjonale myndigheter eller om ekomtilbyderen blir pålagt bulklagring av metadata som nasjonale myndigheter senere kan begjære tilgang til ved å henvende seg til en domstol. Det er en forskjell om en ekomtilbyder lagrer metadata som de nasjonale sikkerhetstjenestene må begjære utlevert og det norske systemet der Etterretningstjenesten skal begjære tilgang til data de allerede selv har lagret.

Regjeringens analyse er en gjennomgang av praksis fra internasjonale domstoler, og begrunner ikke behovet for tilrettelagt innhenting. Det kan fremstå som at regjeringen har bestemt seg for at de etterfølgende dommene fra internasjonale domstoler ikke skal stikke kjepper i hjulene for tilrettelagt innhenting. En ting regjeringen i alle tilfelle burde ta med seg fra dommene fra EU-domstolen, er hvordan EU-domstolen skiller mellom inngrepets intensitet etter hvilke kategorier metadata som innhentes.

EU-domstolen legger opp til at metadatalagring av trafikk- og lokasjonsdata, IP-adresser eller brukeridentitetopplysninger utgjør varierende grad av inngrep. Et slikt skille er naturlig fordi de ulike kategoriene av data kan avsløre ulike ting om oss. Etterretningstjenesteloven legger ikke opp til noe slikt skille og behandler all metadata likt.

Både av hensynet til individets kommunikasjonsvern og av hensyn til ekomtilbydernes forutberegnelighet, burde lagringsplikt og tilgjengeliggjøringsplikt av metadata konkretisere hvilke metadatakategorier ekomtilbydere skal bli pålagt å tilgjengeliggjøre.

Selv om etterretningstjenesteloven er vedtatt og ikrafttredelsestidspunktet er bestemt, er det ikke for sent å endre loven slik at den i mindre grad berører alle brukere av internett i Norge. Det fremstår som et stort paradoks at forsøk på å stoppe udemokratisk påvirkning fra fremmede stater kommer i form av en generell og udifferensiert innhentingsmetode som rammer oss alle. Et skjold mot udemokratisk påvirkning burde ikke selv være udemokratisk i formen.