torsdag, februari 18, 2010

Att väcka nya argument inför EU-domstolen

För någon vecka sedan uppstod en diskussion om Sverige på nytt kan få datalagringsdirektivet till EU-domstolen, en relevant fråga inte minst med tanke att Sverige i målet C-185/09 medgett fördragsbrott utan att väcka frågan om direktivet strider mot Europakonventionen för mänskliga rättigheter. Domstolen bestämde att Sverige skulle betala rättegångskostnader men inget vite.

Frågan är alltså vad som händer om EU-kommissionen kräver att Sverige ska betala vite. Kan Sverige väcka nya grunder (argument) för att inte införa direktivet? Denna fråga har jag testar på några av mina kollegor som är specialiserade på EU-rätt och svaret blev ett tentativt ja. Jag fick tipset om en dom mellan kommissionen och Italien (mål C-119/04). Italien dömdes tidigare i mål C-212/99 för att inte ha genomfört ett direktiv. I det senare målet C-119/04 som rörde vitesföreläggande kunde Italien väcka nya argument varför den italienska staten inte brutit mot sina förpliktelser. Sedan är det en annan sak att domstolen inte blev övertygad av de nya argumenten.

På vanlig svenska, vill politikerna ta rättslig strid i denna fråga så går det bra. Jag har inga egna synpunkter på detta eftersom det numera finns sju riksdagspartier som förklarat att de efter valet 2010 kommer att lagstifta om att genomföra direktivet i Sverige. För att vara uppriktig kan jag även se att ett genomförande av direktivet kan hjälpa polisen i deras utredningar av allvarlig brottslighet. Jag ägnar hellre min uppmärksamhet kring frågan om vad de lagrade uppgifterna ska användas till.

14 kommentarer:

calandrella sa...

"Jag har inga egna synpunkter på detta eftersom det numera finns sju riksdagspartier som förklarat att de efter valet 2010 kommer att lagstifta om att genomföra direktivet i Sverige. För att vara uppriktig kan jag även se att ett genomförande av direktivet kan hjälpa polisen i deras utredningar av allvarlig brottslighet."
Men Datalagringsdirektivet innebär mängder av godtyckliga ingripanden i människors privatliv, och därmed mängder av inskränkningar av mänskliga rättigheter. Hur kan du inte tycka att införandefrågan är så viktig?

Mark Klamberg sa...

Införandet är en viktig fråga eftersom alla personer som använder telefoni och internet drabbas av ett integritetsintrång.

Om jag tvingas ta ställning så kan jag likväl se varför lagringen behövs.

Viktiga brottsutredningar som hittills kunnat genomföras riskerar att bli omöjliga att genomföra i framtiden. Det beror på att kommunikation som tidigare fakturerades per samtal (och därmed registrerades) i allt högre grad sker via internet och/eller betalas enligt flatrate-taxa. Detta rör naturligtvis inte den stora massa av brott som hastighetsöverträdelser, snatteri eller krogslagsmål. Däremot kan det vara avgörande för en liten mängd, men allvarliga brott, som mord och narkotikahandel. Det går inte att efter brottet inträffat att börja lagra uppgifter utan det måste ske före brottet inträffat. Problemet är att man kan inte förutse brott och därmed drabbar lagringen alla.

Det stora integritetsintrånget, som jag ser det, inträffar när myndigheter begär ut uppgifterna från operatörerna. Detta integritetsintrång berör inte per automatik alla människor och behöver inte vara godtyckligt. Därför anser jag att det är viktigt att diskutera under vilka förutsättningar myndigheter kan få tillgång till de lagrade uppgifterna.

Ja, det finns en risk för missbruk och ändamålsglidning, liksom i många andra delar av det moderna, digitaliserade samhället. Därför bör diskussionen och granskningen av polisen hållas levande.

Jag anser att man för att delta i denna diskussion bör ta ställning i sak och agera efter detta i motsats till att gömma sig bakom paroller som "vi vill inte men är tvingade till detta av EU".

Lars sa...

Men den föreslagna datalagringen är inte bara en ersättning för en eventuell förlust av data från samtalsfaktureringar, den går oändligt mycket längre än så och täcker in massor av saker som aldrig har loggats, eller vars motsvarigheter i den predigitala åldern aldrig har loggats.

Har man tidigare fört register över vem som skickat brev till vem och sparat det i ett halvår? Nej, men det vill man nu göra med email.

Har man tidigare fört register över vilka ungar som spelat fotboll med vilka och sparat det i ett halvår? Nej, men det vill man nu göra med onlinespel.

Har man tidigare fört register över vem som besökt föreningsmöten, föreläsningar eller studiecirklar? Nej, men det vill man nu göra med chatkanaler, bloggar och diskussionsforum.

Datalagringsdirektivet går otroligt mycket längre än vad man kunnat göra tidigare och går inte att motivera med att man polisen behöver kunna göra liknande saker som man kunnat förut.

Jonas B. sa...

Mark, det vore intressant att höra dina kommentarer kring Rumäniens icke-införande av lagen.

Mark Klamberg sa...

Jonas B,
Om Sverige vill motsätta sig direktivet så är det rumänska avgörandet absolut användbart.

Jag är dock inte säker på att Europadomstolen för mänskliga rättigheter eller EU-domstolen kommer att nå samma slutsats. Som forskare i juridik skulle jag dock gärna se att saken prövades, det är principiellt intressant.

Mark Klamberg sa...

Lars,
Du har rätt att direktivet kommer medföra lagring av uppgifter som tidigare inte lagrats.

Enligt direktivet och det lagförslag som cirkulerat har jag dock inte uppfattat att användande av chatkanaler, bloggar och diskussionsforum kommer loggas. Inför att direktivet antogs fanns det dem som ville att även detta skulla lagras, men det avslogs.

Lars sa...

Jag hade uppfattningen att alla TCP-sessioner skulle lagras, och därmed alla kontakter via protokoll som ligger ovanpå TCP, dvs i princip allt - skrotades det alltså?

Mark Klamberg sa...

Lars,
Jag klipper ur trafikuppgiftsutredningen SOU 2007:76 sid. 121-123.

• Vid telefoni ska följande uppgifter lagras:
– Uppringande telefonnummer
– Nummer som slagits och nummer till vilka samtalet styrts
– Uppgifter om abonnent och registrerad användare
– Datum och spårbar tid då kommunikationen påbörjades
och avslutades
– Den tjänst som använts
– Slutpunkter
• Vid mobil telefoni ska dessutom följande uppgifter lagras:
– Den uppringande och den uppringda partens abonnemangsidentitet och utrustningsidentitet
– Lokaliseringsinformation för kommunikationens början och slut
– Datum, spårbar tid och lokaliseringsinformation för den
första aktiveringen av en förbetald anonym tjänst
• Vid Internettelefoni ska dessutom följande uppgifter lagras:
– Uppringande parts IP-adresser
– Uppringd parts IP-adresser
• Vid meddelandehantering ska följande uppgifter lagras:
– Avsändarens och mottagarens meddelandeadress
– Uppgifter om abonnent och registrerad användare
– Datum och spårbar tid för på- och avloggning i meddelandetjänsten
– Datum och spårbar tid för avsändande och mottagande av
meddelandet
– Den tjänst som har använts och spårbar tid för användandet
• Vid Internetåtkomst ska följande uppgifter lagras:
– Användarens IP-adresser
– Uppgifter om abonnent och registrerad användare
– Datum och spårbar tid för på- och avloggning i Internettjänsten
– Typen av Internetanslutning som använts
– Slutpunkter
• Vid verksamheter som tillhandahåller kapacitet som ger
möjlighet till överföring av IP-paket för att få Internetåtkomst
(anslutningsform) ska följande uppgifter lagras:
– Uppgifter om abonnent
– Vilken typ av kapacitet för överföring som har använts
och spårbar tid för användandet
– Slutpunkter
• Lagringsskyldigheten ska gälla även vid misslyckad uppringning.
• Lagringsskyldigheten för uppgifter om abonnents och registrerad
användares person- och organisationsnummer liksom
för uppgifter om datum och spårbar tid då kommunikationen
påbörjades och avslutades vid Internettelefoni och
datum och spårbar tid för avsändande och mottagande av
meddelande vid meddelandehantering följer av direktivet om lagring av trafikuppgifter.
mangsidentitet och utrustningsidentitet
– Lokaliseringsinformation för kommunikationens början
och slut
– Datum, spårbar tid och lokaliseringsinformation för den
första aktiveringen av en förbetald anonym tjänst
• Vid Internettelefoni ska dessutom följande uppgifter lagras:
– Uppringande parts IP-adresser
– Uppringd parts IP-adresser
• Vid meddelandehantering ska följande uppgifter lagras:
– Avsändarens och mottagarens meddelandeadress
– Uppgifter om abonnent och registrerad användare
– Datum och spårbar tid för på- och avloggning i meddelandetjänsten
– Datum och spårbar tid för avsändande och mottagande av
meddelandet
– Den tjänst som har använts och spårbar tid för användandet
• Vid Internetåtkomst ska följande uppgifter lagras:
– Användarens IP-adresser
– Uppgifter om abonnent och registrerad användare
– Datum och spårbar tid för på- och avloggning i Internettjänsten
– Typen av Internetanslutning som använts
– Slutpunkter
• Vid verksamheter som tillhandahåller kapacitet som ger
möjlighet till överföring av IP-paket för att få Internetåtkomst
(anslutningsform) ska följande uppgifter lagras:
– Uppgifter om abonnent
– Vilken typ av kapacitet för överföring som har använts
och spårbar tid för användandet
– Slutpunkter"

Jag är själv inte tekniker och undrade vad slutpunkt är för något. Det definieras enligt följande på sid. 147: "Med slutpunkt avses den tekniska utrustningen i en fysisk ändpunkt
som står under leverantörens kontroll, såsom telefonväxlar,
routers, portnummer, utrustningsidentitet, MAC-adresser och abonnemangsidentitet."

Mark Klamberg sa...

Eller på vanlig svenska på sid. 161-162:

"Direktivet om lagring av trafikuppgifter omfattar fast och mobil telefoni, Internetåtkomst, e-post och Internettelefoni. Däremot omfattas inte besök på websidor (”surfning”), besök på ”chattsidor” (”chattrum”) och användning av File Transfer Protocol, FTP (t.ex. överföring/nedladdning av filer) av lagringsskyldigheten enligt direktivet. De brottsbekämpande myndigheterna har uttryckt ett stort behov av att få tillgång till sådana uppgifter. Det ska nämnas att sådana uppgifter omfattas av den danska regleringen.

Med tiden blir det allt svårare att skilja de nämnda kommunikationstjänsterna åt. Exempelvis använder ”chattjänster” sig av både tal, text och bild. Gränserna mellan vad som faller in under de olika begreppen suddas alltmer ut. Vårt uppdrag begränsar dock de förslag som vi får presentera till uppgifter som avser fast och mobil telefoni, samt Internetåtkomst, e-post och Internettelefoni. Vi lämnar därför inte några förslag i sådana delar."

Lars sa...

Tack för inklippningen. Jag tycker att definitionen av "slutpunkt" låter mer än lovligt luddig, det måste vara därifrån jag har fått idén.

När man pratar om "slutpunkter" för paket på nätet så är ju det naturliga att man menar avsändarens och mottagarens IP-adresser, som är det som står i själva paketet. Men datorerna som motsvarar de IP-adresserna står ju inte nödvändigtvis "under leverantörens kontroll", vilket gör det ännu luddigare... vad menas egentligen med "slutpunkter"? Vad har polisen för nytta av att veta vilken av leverantörens routers som ett paket passerar?

Jag skulle vilja att förslaget hade en tydligare definition innan jag känner mig övertygad om att de _inte_ vill lagra varje TCP-session.

Det sista stycket, att webbsidor, chattrum och FTP inte ska omfattas behöver inte nödvändigtvis betyda att de underliggande protokollen som används för webbsidor, chattrum och FTP inte ingår i lagringen - det kan vara så att leverantörerna är skyldiga att lagra att det har gått paket fram och tillbaka mellan 205.104.33.107 och klamberg.blogspot.com, men inte att det just är webbtrafik som har skickats och i sådana fall vilka webbsidor på klamberg.blogspot.com som har besökts.

Jonas B. sa...

Lars: Slutpunkt betyder troligen överlämningspunkt. Inget konstigt med det.

Jag har för länge sedan försökt sluta förstå exakt vad som skall loggas. Mitt antagande är att motsvarande netflow-loggar och i förekommande fall även headers skall sparas för ett fåtal intressanta protokoll.

Förslaget Mark citerar blandar ju högt och lågt på ett för mig obegripligt sätt. Mail ska lagras, men FTP behöver inte lagras. Så om jag överför mina mail med FTP? Det är en inte helt ovanlig design av store-and-forward-nät. Fidonet gjorde ju så när de gick över till internettransport till exempel.

Långt mer intressant anser jag att betalningsmodellen kommer att vara, men den har jag inte ens lyckats hitta så mycket som ett förslag kring. Den som vet får gärna säga till.

Får operatörerna betalt? I klump eller per utlämnad uppgift? Krävs bemanning som i Danmarks implementation? Dessa frågor kommer bli helt centrala för hur det slår för operatörerna, och i förlängningen deras kunder. Oavsett vilket blir kostnaderna astronomiska. Och någon måste betala kalaset.

Att man avser slå ut branschens alla mindre aktörer i ett slag är inte orimligt. Detta är lagring som bara är genomförbar i extremt stor drift. Antingen det, eller så finns tillräckligt ekonomiska incitament för ett fåtal outsourcingleverantörer på vad som blir en ny marknad för personuppgifter.

Mark Klamberg sa...

Jonas B,
Angående betalningsmodellen. Trafikuppgiftutredningen föreslår att investering i ny utrustning ska bekostas av teleoperatörerna.

Varje beställning från teleoperatörerna av uppgifter kommer att orsaka en kostnad hos staten vilket ska motverka överkonsumtion (och därmed också minska risken för missbruk).

Se SOU 2007:76 sid. 236:
"• Lagringsskyldigheten medför kostnader för att identifiera, spara, lagra och lämna ut trafikuppgifter.
• Kostnaden för att genomföra lagringsskyldigheten och anpassningsskyldigheten kan beräknas till omkring 200 miljoner kronor. Kostnaden för att lämna ut uppgifterna kan beräknas till omkring 20 miljoner kronor.
• Leverantörerna ska stå kostnaderna för lagring, säkerhet och anpassning av systemen. Det allmänna ska ersätta leverantörerna när uppgifter lämnas ut i enskilda ärenden."

Mark Klamberg sa...

Jag vet att det finns röster som vill att staten även ska ersätta kostnader för investeringar i ny utrustnig men då finns det en oro att operatörerna kommer välja onödigt dyr utrustning och skicka räkningen vidare till staten.

Jon Wessel-Aas sa...

Mark;

som juridisk kollega synes jeg det er litt merkelig at du ikke inntar et noe mer prinsipielt standpunkt til hvor grensen for preaktiv bevissikring i borgernes kommunikasjon skal trekkes.

Én sak er hvorvidt den typen tvangslagring som DLD foreskriver er forenlig med EMK (Europakonvensjonen) de lege lata. Det har jo jeg skrevet min mening om i boken "Overvåkning i en rettsstat" (Dag Wiese Schartum (red.) Fagbokforlaget, Oslo 2010), hvor du også har et bidrag. Mitt bidrag:

http://www.uhuru.biz/wp-content/uploads/2010/03/Overvakning-i-en-rettsstat-kapittel-6-datalagring-og-EMK-JWA.pdf

En annen sak, er om ikke vi som jurister på et mer rettspolitisk plan har en plikt til å gjøre samfunnet oppmerksom på konsekvensene, rent prinsipielt, av å akseptere den logikk som DLD bygger på. Det mener jeg at vi har. I en helt nylig publisert artikkel - i Tidsskrift for Strafferett 4/2010 - diskuterer jeg på et mer generelt plan forholdet mellom samfunnsvern og sivile og politiske rettigheter i et liberalt demokrati:

http://www.uhuru.biz/wp-content/uploads/2010/03/SCAN20110217143142.pdf

Hva tenker du?

Beste hilsen,

Jon