7 Overordnet om forslaget
7.1 Gjeldende rett
Etter gjeldende rett har ikke tilbyder plikt til å lagre opplysninger om hvilke IP-adresser abonnentene har disponert. Det følger av ekomloven § 2-7 femte ledd at data som er nødvendige for å identifisere abonnenten, skal slettes eller anonymiseres så snart de ikke er nødvendige for kommunikasjons- eller faktureringsformål eller for å oppfylle krav fastsatt i medhold av lov, med mindre brukeren samtykker til videre lagring. Liknende krav til sletting følger av personopplysningsloven, jf. personvernforordningen artikkel 17. Datatilsynet la i sin praksis etter den tidligere personopplysningsloven til grunn at tilbydere kunne lagre informasjon om hvilke IP-adresser abonnentene har disponert, i inntil tre uker dersom det var nødvendig for driftsrelaterte formål. Etter det departementet kjenner til, er dette også lagt til grunn av bransjen ved tolkningen av den nye personopplysningslovens regler. Det varierer imidlertid mellom tilbyderne, og mellom tilbydernes ulike tjenester for nettilgang, om opplysningene lagres i 21 dager eller kortere, og om det lagres slike opplysninger overhodet.
Det følger av ekomloven § 2-9 første ledd første punktum at tilbydere plikter å bevare taushet om innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon. Dette omfatter også abonnementsopplysninger, herunder opplysninger om abonnenters disponering av IP-adresser. Av tredje ledd første punktum følger det samtidig at taushetsplikten ikke er til hinder for at det gis opplysninger til påtalemyndigheten eller politiet «om avtalebasert hemmelig telefonnummer eller andre abonnementsopplysninger, samt elektronisk kommunikasjonsadresse». Dette omfatter også opplysninger om hvem som er tildelt en dynamisk IP-adresse, forutsatt at begjæringen knytter seg til et bestemt oppkoblingstidspunkt, jf. Ot.prp. nr. 58 (2002–2003) Om lov om elektronisk kommunikasjon (ekomloven) kapittel 16 side 93. Unntaket i tredje ledd første punktum modifiseres i fjerde ledd, som fastsetter at anmodninger fra påtalemyndigheten eller politiet etter tredje ledd skal etterkommes med mindre «særlige forhold gjør det utilrådelig». Utlevering av abonnementsopplysninger til påtalemyndigheten eller politiet etter § 2-9 tredje ledd krever ikke at Nasjonal kommunikasjonsmyndighet fritar tilbyder fra taushetsplikten eller kjennelse fra retten, slik tilfellet er for andre trafikkdata. Det kreves heller ikke at utleveringen skjer som ledd i etterforskingen av et straffbart forhold, jf. Ot.prp. nr. 58 (2002–2003) kapittel 16 side 94. Unntaket fra taushetsplikten gjelder for alle oppgavene politiet utfører, også politiets sivile gjøremål, jf. Ot.prp. nr. 31 (1997–1998) kapittel 3.6 side 8 om den tilsvarende bestemmelsen i teleloven § 9-3. Dette ble i sin tid begrunnet med at det aktuelle unntaket som det er snakk om å gjøre fra taushetsplikten, er begrenset: «Det er bare en abonnents navn, adresse og telefonnummer/datakommunikasjonsadresse det skal kunne gis opplysninger om.»
Det er lagt til grunn i Ot.prp. nr. 31 (1997–1998) Om lov om endringer i lov 23. juni 1995 nr. 39 om telekommunikasjon at «[d]et er først og fremst den som skal gi opplysninger som nevnt i tredje ledd som må ta stilling til om det foreligger særlige forhold som gjør det utilrådelig å etterkomme anmodning fra påtalemyndighet eller politi om opplysninger», jf. kapittel 6 side 16. Videre uttales det at anvendelse av unntaket særlig vil være aktuelt i saker som ikke gjelder etterforsking, for eksempel i tilknytning til forvaltningssaker og namssaker. Det følger av ekomloven § 2-9 tredje ledd andre punktum at taushetsplikten heller ikke er til hinder for at det gis opplysninger som nevnt i første punktum «ved vitnemål for retten». I sivile saker begrenses dette imidlertid av bevisforbudet i tvisteloven § 22-3, slik at det kreves samtykke fra departementet eller rettens kjennelse, jf. Rt. 2010 side 774 avsnitt 40. For utlevering til andre offentlige myndigheter enn politi og påtalemyndighet, kreves det lovhjemmel som gjør unntak fra taushetsplikten, jf. § 2-9 tredje ledd tredje punktum. Et eksempel på en slik lovhjemmel er skatteforvaltningsloven § 10-6, som åpner for å pålegge utlevering av abonnementsopplysninger dersom særlige hensyn gjør det nødvendig, og det foreligger mistanke om overtredelse av bestemmelser gitt i eller i medhold av loven.
7.2 Forslaget i høringsnotatet
I høringsnotatet foreslo departementene å innføre en plikt for tilbydere av ekomtjenester til å lagre IP-adresser, slik at politiet kan få tilgang til informasjon som er nødvendig for å kunne identifisere abonnenten, for å bekjempe alvorlig kriminalitet. Forslaget innebærer at ekomtilbyderne får en plikt til å lagre IP-adresser i en bestemt tidsperiode, i stedet for å ha en plikt til å slette opplysningene, så snart de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål, slik reglene er i dag. Sletting gjøres normalt innen tre uker.
For at tiltaket skal bli mer effektivt og målrettet, også når en tilbyder tildeler samme IP-adresse til flere abonnenter samtidig, ble det foreslått at tilbyder i slike tilfeller også skal lagre informasjon om hvilke portnumre på abonnentsiden som er benyttet ved kommunikasjonen.
Departementene foreslo videre innstramninger i reglene for når de lagrede opplysningene skulle kunne utleveres til politi og påtalemyndighet. Departementene foreslo ikke en eksakt strafferamme, men det ble antydet at strafferammekravet burde settes til minimum ett eller to års fengsel, eventuelt i kombinasjon med unntak for spesifikke straffebud der IP-informasjon er av særlig stor betydning.
Departementene foreslo at lagringstiden for IP-data skulle være enten seks, ni eller tolv måneder fra den dagen kommunikasjonen avsluttes, og det ble bedt om høringsinstansenes syn på dette. Det ble videre foreslått at lagringen skulle gjelde for samtlige tilbydere som tilbyr tjenester hvor sluttbruker gis tilgang til internett, og at det skulle være opp til tilbyderne hvor og hvordan opplysningene skulle lagres.
7.3 Høringsinstansenes syn
7.3.1 Oppsummering
Følgende høringsinstanser støtter forslaget om innføring av en plikt til å lagre IP-adresser mv.: KS, Norwaco, Rettighetsalliansen, Riksadvokaten, Det nasjonale statsadvokatembetet, Oslo statsadvokatembeter, Politiets Sikkerhetstjeneste (PST), Politiets Fellesforbund, Statens sivilrettsforvaltning, Redd Barna, Stine Sofies Stiftelse samt Politidirektoratet som har innhentet innspill fra Kripos, ØKOKRIM, Politiets utlendingsenhet, Politihøgskolen samt politidistriktene Sør-Øst, Innlandet, Sør-Vest, Nordland, Øst, Oslo og Trøndelag.
Følgende høringsinstanser er imot forslaget om innføring av en plikt til å lagre IP-adresser mv.: Datatilsynet, EL og IT Forbundet, Elektronisk Forpost Norge, Tekna, NRK, Norsk Journalistlag, Norsk Presseforbund og Norsk Redaktørforening.
Flere andre høringsinstanser tar ikke eksplisitt stilling til hvorvidt de støtter eller er imot å innføre en plikt til å lagre IP-adresser mv., men mener at forslaget slik det foreligger, ikke er i tråd med EMK eller EØS-retten, og/eller at det har andre mangler. Flere viser til at det bør foretas nærmere utredninger før forslaget kan fremmes, og at forslaget bør ses i sammenheng med andre forslag om lagring av data samt Personvernkommisjonens arbeid. Enkelte viser samtidig til at de ser behovet for å innføre en plikt til å lagre IP-adresser. Noen høringsinstanser viser til at lagring og sporing av IP-adresser enkelt kan omgås ved hjelp av VPN, Dark Web eller TOR, og de stiller spørsmål om effektiviteten av forslaget. Noen mener også at nytten av lagringsplikten ikke er tilstrekkelig dokumentert. Det redegjøres nærmere for de enkelte innspillene under kapittel 7.3.2.
7.3.2 Nærmere om innspillene
Riksadvokaten peker på at tilgang til opplysninger om IP-adresser er et viktig virkemiddel ved oppklaring av kriminalitet som begås, planlegges, muliggjøres eller formidles via internett. Riksadvokaten mener departementenes forslag ivaretar behovet for kriminalitetsbekjempelse og er svært positiv til forslaget.
Det nasjonale statsadvokatembetet støtter forslaget om at det innføres en plikt til å lagre IP-adresser, herunder en plikt til å lagre portnumre på abonnentssiden. Det bemerkes at Norge er det siste landet i Europa som eventuelt innfører en slik plikt. Sletting av data etter 21 dager har hatt direkte innvirkning på de muligheter norsk politi har hatt til å avdekke gjerningspersoner som står bak til dels svært grov kriminalitet. Det vises også til at utvidet lagringsplikt vil få positiv betydning for norsk politis mulighet til å bistå andre land gjennom internasjonalt rettslig samarbeid; med dagens regler er det i praksis ofte for sent å innhente denne informasjonen når forespørsel om bistand kommer fra andre land.
Det nasjonale statsadvokatembetet peker på at opplysningene det er snakk om, er lagret kryptert og på et meget høyt sikkerhetsnivå hos teleselskapene. Opplysningene må bearbeides i dataprogram hos politiet og ses i sammenheng med øvrig etterforskningsmateriale for å kunne nyttiggjøres. Forespørselen til teleselskapene vil normalt være målrettet, og risikoen for misbruk er minimal. På denne bakgrunn støttes høringsnotatets overordnede vurdering om at IP-lagring ikke er et så stort inngrep i kommunikasjonsvernet at det bør hindre politiets tilgang til informasjonen i forbindelse med kriminalitetsbekjempelse.
Oslo statsadvokatembeter peker på at den tekniske utviklingen har vært betydelig siden høringen om implementeringen av datalagringsdirektivet i 2010. Det er ingen grunn til å betvile at politiet eller påtalemyndigheten i større grad enn i dag vil etterspørre opplysninger knyttet til IP-adresser når lagringstiden økes.
Politidirektoratet – som har innhentet innspill fra Kripos, ØKOKRIM, Politiets utlendingsenhet, Politihøgskolen samt politidistriktene Sør-Øst, Innlandet, Sør-Vest, Nordland, Øst, Oslo og Trøndelag – slutter seg til de vurderinger og forslag som fremmes i høringsnotatet. Det er bred støtte til de foreslåtte endringer i de mottatte høringsinnspillene fra etaten. Det påpekes at lengre lagringstid av abonnementsinformasjon for IP-adresser har vært et savn hos politiet lenge, og en lovfesting i samsvar med forslaget vil medføre en tilpasning til regelverkene i de fleste europeiske land. Endringene vil bidra til en mer effektiv etterforsking av straffbare forhold, der sentrale bevis i stadig større grad er å finne på nettet. Lagring av IP-adresser i inntil 21 dager er ikke tilstrekkelig for å kunne benytte slik informasjon til kriminalitetsbekjempelse i dagens digitaliserte samfunn.
Politidirektoratet har særskilt trukket frem høringsinnspillet fra Kripos, der det innledningsvis vises til at det i dag knapt finnes straffesakstyper hvor IP-adresser ikke kan ha betydning. I stadig flere etterforskinger får politiet kjennskap til IP-adresser som kunne ha løst saken dersom disse dataene kunne berikes med abonnementsinformasjon. Svært ofte er dette imidlertid ikke mulig, da dataene som kunne identifisert brukerne, er slettet eller ikke lagret i det hele tatt.
ØKOKRIM peker på at sikring av digitale spor er stadig viktigere for en effektiv kriminalitetsbekjempelse, og de slutter seg til departementenes argumentasjon om behovet for å lovregulere lagringsplikt for IP-adresser og portnumre. Det bemerkes at digitalisering av kriminaliteten er tiltagende, herunder vises det til bruk av digitale betalingstjenester etc. som verktøy for å begå kriminalitet. Det er også vist til konkrete straffesaker der manglende lagring av IP-adresser har vanskeliggjort etterforskingen.
Politiets Sikkerhetstjeneste (PST) er svært positive til forslaget. Informasjon om tilknytning mellom abonnent og IP-adresse vil være av stor betydning for å bekjempe alvorlig kriminalitet, både med sikte på etterforsking, avverging og forebygging av lovbrudd. Behovet gjør seg gjeldende for hele PSTs portefølje, som omfatter de mest alvorlige truslene mot riket.
Politiets Fellesforbund mener at forslaget om å styrke politiets mulighet til å forfølge digital kriminalitet, er en positiv utvikling, som forbundet ønsker å støtte opp om. Forslaget er særskilt viktig for de av forbundets medlemmer som arbeider med overgrep mot barn, og som opplever at barn som er utsatt for overgrep kunne vært reddet om tilbyderne var pålagt å lagre informasjon om brukerne. Det er vist til at selv om det er viktig å ta i betraktning personvern er også rettssikkerhet og muligheten til å avdekke grov seksualisering av blant annet barn, noe som må prioriteres. Den foreslåtte lovendringen vil bidra til dette viktige arbeidet.
Statens sivilrettsforvaltning (SRF) stiller seg positive til departementenes forslag. Påbud om lagring av IP-adresser vil styrke etterforskingen i straffesaker hvor det er begått alvorlige overgrep og/eller trusler/tvang over internett. I tillegg kan forslaget ha positive konsekvenser for statens adgang til å fremme regresskrav mot skadevolder etter utbetalt voldsoffererstatning.
Redd Barna støtter forslaget om å åpne for plikt til lagring av IP-adresser, slik at disse kan brukes for å etterforske seksuell utnyttelse og overgrep mot barn over internett, og liknende kriminalitet rettet mot barn. For at barns rettsvern skal være reelt, må politiet ha etterforskingsmidler som står i forhold til den økende tilgangen til internett og risikoene dette utgjør for barn. Det er i den sammenheng vist til Kripos’ rapport «Seksuell utnyttelse av barn og unge over internett» der det ble fremhevet at manglende krav til lagring av abonnementsinformasjon for IP-adresser er en utfordring for politi og påtalemyndighet ved etterforsking og iretteføring av seksuallovbrudd begått ved bruk av internett. At politiet og påtalemyndigheten selv mener manglende lagringsplikt utgjør et hinder for etterforsking og iretteføring, er etter Redd Barnas syn et vektig argument i favør av å innføre en lagringsplikt. Redd Barna skriver også at de materielle vilkårene for utlevering av lagrede opplysninger må være strenge nok til å være i tråd med menneskerettslige krav.
Stine Sofies Stiftelse stiller seg bak forslaget om å innføre en plikt til lagring av IP-adresser, da dette er viktig både for å kunne identifisere gjerningspersoner, fornærmede og vitner.
Datatilsynet mener det ikke bør innføres en plikt til å lagre IP-adresser. Dersom det innføres en slik plikt, må denne begrenses til de sakene hvor det har størst betydning, som nettovergrep og deling av overgrepsbilder. I tillegg må reglene om bevisinnhenting i straffeprosessloven følges, og det må foretas en uavhengig forhåndskontroll av om vilkårene for innhenting er oppfylt. Forslaget om lagring av IP-adresser innebærer at alle tilbyderne må etablere en ny database over tildelte IP-adresser for politiets bruk. Den registrerte i databasen har dermed en rekke rettigheter som retten til innsyn, sletting, korrigering, dataminimering etc., i henhold til kravene i personopplysningsloven og personvernforordningen. Datatilsynet viser videre til at forslaget vil gjøre det mulig å tegne et bilde av hvor den enkelte befinner seg rent fysisk, nærmest til enhver tid. Slik sett vil forslaget utfordre retten til anonym ferdsel. Forslaget drøfter i liten grad forholdsmessigheten og nødvendigheten av at nesten alle norske borgere skal registreres. Datatilsynet viser også til at det aller meste av det som skal lagres vil være å anse som overskuddsinformasjon, og at det er forbudt å behandle andre eller flere personopplysninger enn det som er nødvendig for å nå formålet med behandlingen. Datatilsynet mener oppsummert at forslaget ikke er godt nok utredet i og med at sentrale menneskerettslige spørsmål og personvernkonsekvensene av lovforslaget ikke er tilstrekkelig vurdert i notatet. Et tiltak av dette omfanget kan ikke oversendes Stortinget uten at dette har blitt utredet grundigere og sendt på ny høring. Datatilsynet vil også bemerke at Stortinget i anmodningsvedtak nr. 944, 15. juni 2017 spesielt ba om at hensynet til personvern skulle ivaretas.
Norges institusjon for menneskerettigheter (NIM) er i utgangspunktet positiv til forslaget om lagring av IP-adresser, men mener forslaget er mer inngripende enn hva departementene legger til grunn. Etter NIMs vurdering vil strafferammekravet på 1–2 år for å kunne utlevere IP-adresser til politiet samt manglende rettssikkerhetsgarantier utgjøre et uforholdsmessig inngrep i retten til privatliv. De viser til at rettsikkerhetsmekanismene i forslaget må styrkes betydelig for å ivareta prosessuelle krav etter EMK artikkel 8. Forslaget om utlevering av IP-adresser vil også kunne gripe inn i kildevernet, og denne problemstillingen bør utredes nærmere.
Advokatforeningen viser til at generell og udifferensiert lagring av IP-adresser, etter EU-domstolens storkammerdom av 6. oktober i 2020 i saken La Quadrature du Net, kun kan aksepteres når formålet er (i dansk oversettelse) «beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed». Etter Advokatforeningens syn vil det neppe være forenlig med EU-domstolens dom å utlevere de nevnte dataene til andre formål enn dem EU-domstolen har forutsatt.
Den internasjonale juristkommisjon – norsk avdeling (ICJ) viser til at en lovbestemmelse som foreslått, forutsetter en utredning av personvernkonsekvenser i henhold til personvernforordningen artikkel 6 tredje ledd og utredningsinstruksen. Lagringsplikt vil bare være tillatt såfremt inngrepet ivaretar et legitimt formål, har tilstrekkelig hjemmel og er forholdsmessig. ICJ stiller også spørsmål om departementet har utredet problemstillingen vedrørende lovligheten av en plikt til å lagre IP-adresser grundig nok, og ICJ etterlyser særlig en utredning av forholdet mellom La Quadrature du Net-dommen og Tele2-dommen, herunder hvorvidt Tele2-dommens krav om at en lovlig datalagring må være begrenset med hensyn til personer, kommunikasjonsmidler, kategorier av data som lagres og lagringstid, innebærer kumulative vilkår som alle må være oppfylt for at slik lagring kan være lovlig. ICJ viser til at det er argumentert for en slik forståelse i litteraturen.
ICJ stiller også spørsmål om lagring av IP-adresser for å bekjempe kriminalitet er et effektivt virkemiddel, ettersom det er enkelt å skjule seg bak kryptering, for eksempel VPN. For at det skal kunne rettferdiggjøres å gjøre et så stort inngrep i personvernet som en generell og udifferensiert lagring av alle IP-adresser er, må det være forholdsmessig og nødvendig i et demokratisk samfunn. Effektiviteten av virkemidlet vil stå sentralt i vurderingen. Et ineffektivt virkemiddel vil fort kunne bli ansett som uforholdsmessig inngripende.
Elektronisk Forpost Norge (EFN) er en digital rettighetsorganisasjon, og en del av European Digital Rights. EFN mener departementenes forslag i realiteten representerer kartlegging av en stor del av nett- og mobilbrukers nettaktiviteter. Samlingen av trafikkdata som foreslås, vil i realiteten gi oversikt over hvem som snakker med hvem eller hvem som gjør hva, hvor og når. Det må derfor anses som et svært strengt inngrep i privatlivet. EFN kan ikke se at fordelene ved slik bevissikring er større enn ulempene de gir. Lovforslaget er diffust siden konkrete bestemmelser om hva som skal lagres, skal gis ved forskrift. EFN viser også til at formålet med lagringen omfatter alt fra kriminalitetsforebygging til sivile rettssaker, og den foreslåtte strafferammen som skal brukes for å avgrense denne typen bevissikring, er svært lav, ett til to år. Det spesifiseres heller ingen krav til lagringen eller hvordan dataene om brukerne kan benyttes, da det ikke er krav om domstolskontroll eller andre krav, utover at politiet selv er ansvarlig for hva de mener de trenger.
Abelia tar ikke stilling til hvorvidt forslaget til lagringsplikt for IP-adresser bør innføres, men mener forslaget må ses i sammenheng med andre krav til lagring og utlevering av informasjon til myndighetene. Leverandører av digital infrastruktur og tjenester er avhengige av forutsigbare og stabile rammevilkår for å kunne planlegge og gjøre investeringer for fremtiden. Forslaget bør blant annet vurderes i lys av Personvernkommisjonens arbeid, og eventuelle lovendringer bør vurderes utsatt frem til disse vurderingene foreligger, for å unngå potensielle nye endringer i etterkant av dette.
EL og IT Forbundet er prinsipielt imot lagring av IP-adresser som foreslått, og de mener at hensynet til alles rett til privatliv skal vektes tyngre enn potensiell nytte i kriminalitetsbekjempelse og etterretningsarbeid. De viser til at det vil kunne skje en formålsglidning, og at aksepten for overvåkning forskyves med små skritt av gangen. EL og IT Forbundet påpeker at det er et viktig prinsipp at det ikke er kontrolltiltaket alene som bør vurderes i spørsmål om inngripen i personvern, men derimot totaliteten av alle kontrolltiltak. EL og IT Forbundet mener det er et paradoks at det mangler dokumentasjon på at tiltak som lagring av IP-adresser har en direkte og reduserende effekt på alvorlig kriminalitet. De viser også til at lagring av mer informasjon også betyr at mer informasjon kan lekkes og misbrukes. EL og IT Forbundet viser for øvrig til at lagring og sporing av IP-adresser enkelt kan omgås for de som er ute etter å skjule sine spor. En relativt enkel måte å omgå dette på vil være å bruke Dark Web eller TOR-tjenester til å skjule datatrafikken.
Altibox viser til at de forstår viktigheten av at politiet må kunne manøvrere i den digitale verden, og de har en positiv holdning til dette. Det er likevel viktig for tilbydere av ekomtjenester at kostnadsdekning og ansvar håndteres på en korrekt og utfyllende måte. Det må være klart hvilke opplysninger som skal lagres for å oppnå formålet, og hvem som skal lagre dataene. Det minst inngripende alternativet må velges for lagringstid. I tillegg må vilkårene for utlevering være klare og enkle å overholde, og kostnadsdekning må i hovedsak bæres av staten. Lovgiver bør også tenke helhetlig i spørsmålene om utlevering av denne type informasjon til forskjellige samfunnsaktører slik som politiet, E-tjenesten osv.
GlobalConnect viser til at en vidtrekkende plikt til å lagre IP-adresser om alle, uavhengig av konkret mistanke, er et stort inngrep i befolkningens personvern. Omfattende lagring av denne typen data vil både kunne føre til en «nedkjølingseffekt» og åpne for en formålsutglidning. Departementenes beskrivelse av sivile søksmål er et godt eksempel på det. GlobalConnect forventer dessuten at politiet og påtalemyndigheten i fremtiden vil skaffe seg ny programvare og funksjonalitet som gjør det mulig å bruke IP-adresser på en langt mer inngripende måte enn i dag, for eksempel gjennom stordataanalyser i kombinasjon med andre data. GlobalConnect er bekymret for om Norge har det nødvendige rettslige handlingsrommet til å gjennomføre lovendringen, og de viser til at det ikke legges opp til noen form for uavhengig domstolsprøving av pålegg om utlevering. Videre vil informasjon om IP-adresser kombinert med tidspunkt kunne avsløre mer enn kun identiteten på abonnent eller bruker. GlobalConnect har samtidig forståelse for påtalemyndighetenes legitime behov for å etablere mekanismer som gjør det mulig å avdekke identiteten til gjerningspersoner. GlobalConnect oppfordrer for øvrig departementene til gjennomgående å velge de løsningene som skaper minst mulig rom for fortolkning, og som avklarer innholdet i forslaget, ansvarsforholdene og kostnadsfordeling når hjemmelsloven vedtas.
IKT-Norge, Bredbåndsfylket (Troms) AS og Enivest AS viser til at det er avgjørende at de grunnlovsmessige og menneskerettslige rammene for inngrep i borgernes rettigheter respekteres, og at man innenfor rammene har en restriktiv tilnærming for å unngå utilsiktede og uheldige virkninger på befolkningens tillit til og bruk av kommunikasjonsteknologi. Bransjen ønsker å bidra for å finne gode løsninger som balanserer hensynet til kommunikasjonsvern med hensynet til å bekjempe alvorlig kriminalitet. Målet må være at politi og påtalemyndighet skal få bedre verktøy til kriminalitetsbekjempelse, mens inngrepene i brukernes rettigheter minimeres. Det er viktig å unngå at det lagres og utleveres flere opplysninger enn hva som er nødvendig for å oppfylle formålet, og minimere risiko for at opplysninger misbrukes eller havner på avveie. For å opprettholde tilliten til elektroniske kommunikasjonstjenester, er det videre av stor betydning at ansvaret for ordninger med innsyn i abonnementsopplysninger er tydelig plassert hos myndighetene. Disse høringsinstansene mener også at det er viktig å ha klart for seg hvilke begrensninger som ligger i en lagringsplikt som foreslått, for eksempel ved at bruk av VPN vil kunne vanskeliggjøre identifiseringen. Det vises også til problemet med å kunne identifisere hvem som har vært faktisk bruker av en forbindelse i tilfeller der flere brukere er knyttet til det samme abonnementet på offentlige WiFi-nettverk.
Telenor viser til at det gjennom ulike krypterings- og anonymiseringsløsninger er mulig å skjule sin identitet på nettet. En lagringsplikt som foreslått, vil dermed kunne omgås og ha begrenset verdi for formålet. Telenor viser videre til at summen av ekominformasjon som lagres, og som kan spores til den enkelte borger, etter hvert er betydelig. Det er avgjørende at departementene i det videre arbeidet med saken ser dette i sammenheng, også i lys av arbeidet til personvernkommisjonen. Telenor ønsker ikke å lagre mer informasjon om kundenes data- og telefonbruk enn hva de trenger for eget formål. Det vil være skadelig for Telenors virksomhet dersom deres tjenester oppfattes å utfordre person- og kommunikasjonsvernet, og det er heller ikke ønskelig i et samfunnsperspektiv. Samtidig erkjenner Telenor politiets behov for oppdaterte verktøy i en digital hverdag. Telenor understreker at et eventuelt forslag om IP-lagring må rammes tydelig inn, blant annet med hensyn til person- og kommunikasjonsvern, utlevering av opplysninger samt en kostnadsfordelingsmodell som ikke legger en urimelig byrde på den enkelte Internet Service Provider (ISP). Det må ikke lagres og utleveres flere opplysninger enn hva som er nødvendig for å oppfylle formålet. Telenor bemerker også at det alltid er en viss risiko for at data som ekomtilbydere utleverer til politiet, kan være beheftet med feil eller mangler, både fordi data ikke er samlet inn for dette formålet og fordi ulike typer av feil kan oppstå.
Telia viser til at kommunikasjons- og personvernhensyn må vektlegges, og at det må tas høyde for at blant annet journalisters og advokaters kommunikasjon kan være underlagt et særskilt vern. Telia erkjenner imidlertid at disse hensynene må veies opp mot at digitale spor kan være av essensiell betydning for at politiet skal kunne beskytte samfunnet og borgerne. Telia bemerker at forslaget om lagring av IP-adresser med fordel burde vurderes i sammenheng med den foreslåtte tilretteleggingsplikten i ny lov om etterretningstjenesten, så vel som arbeidet som nå utføres av personvernkommisjonen. Telia viser til at det må unngås at det lagres og utleveres flere opplysninger enn nødvendig, eller at opplysningene benyttes til andre formål enn å bekjempe alvorlig kriminalitet. Kravene til hvilke opplysninger som skal lagres og gjøres tilgjengelig, må være eksakte og entydige, og reglene må utformes slik at tilbyderne ikke risikerer å bryte konfidensialitetskrav i ekomloven og personopplysningsloven når de responderer på utleveringsbegjæringer fra politiet.
Tekna – Teknisk-naturvitenskapelig forening er skeptisk til forslaget om at IP-adresser og person-ID skal kunne lagres lenger enn dagens rammer på tre uker. Forslaget gir vide rammer til politiet, og det innebærer blant annet muligheter til å samle inn tidsserier med IP-adresser fra alle nettbaserte enheter til en gitt person. Det betyr at de foreslåtte IP-adresseregistrene kan gi omfattende oversikt over hvor vi er og hva vi gjør. Tekna bemerker også at forslaget mangler krav til domstolsbehandling for uthenting av informasjon, og at et strafferammekrav for uthenting av informasjon ikke er tilstrekkelig. Tekna viser videre til at digitaliseringen av stadig nye tjenester i samfunnet fører til at personvernutfordringene ved å kunne identifisere personer bak IP-adresser, blir større. Departementenes sammenligning av IP-adresser med et telefonnummer halter, og det leder inn i en blindsone hvor reelle personvernutfordringer og faren for formålsutglidning underkommuniseres.
KS viser til at en plikt til å lagre IP-adresser som gir abonnementsopplysninger/brukerdata, er langt mindre inngripende for kommunikasjonsvernet enn en lagringsplikt for alle trafikkdata. KS deler også departementenes oppfatning av at uthenting av lagrede IP-adresser like fullt vil være et svært viktig verktøy i arbeidet mot kriminalitet. Slik KS vurderer det, har departementene i lovforslaget balansert hensynene til kriminalitetsbekjempelse og person- og kommunikasjonsvern på en god måte.
Norsk Journalistlag (NJ) mener de foreslåtte endringene i ekomloven innebærer en omgåelse av de reglene som i dag oppstiller et vern om anonyme kilders identitet. Hvilke konsekvenser forslaget vil kunne få for journalisters vern av anonyme kilder, er svært tynt utredet. NJ mener departementene ikke har funnet riktig balanse mellom kriminalitetsbekjempelse og behovet for kommunikasjonsvern, og at forslaget går ut over kildevernet. Politiet vil ved forslaget kunne gjennomføre etterforsking før gjeldende vilkår for å ta i bruk ordinære metoder er oppfylt. Skal lovforslaget i det hele tatt vurderes, må en korrekt forståelse av hva dette vil kunne innebære for journalisters vern av anonyme kilder, legges til grunn. Dette er ikke gjort fra departementenes side, og følgelig må konsekvensen av dette etter NJs syn være at det foreliggende forslaget forkastes.
Norsk Presseforbund og Norsk Redaktørforening viser til at de har overordnet forståelse for bakgrunnen for forslaget, men mener forslaget tar for lett på konsekvensene for kildevernet, da disse verken er kartlagt eller ordentlig drøftet. Forslaget vil åpenbart kunne ha en nedkjølende effekt på kildevernet og ytringsfriheten. Norsk Presseforbund og Norsk Redaktørforening viser videre til at det er fare for at for mye og for detaljerte data lagres, og at det inkluderer lagring av data som gjør at det ligger utenfor føringene fra EU-domstolen om hva som vil være forholdsmessig. De mener at forslaget slik det nå foreligger, ikke kan innføres, da det har for store mangler, og konsekvensene for kildevernet og ytringsfriheten vil være for store.
NRK er bekymret for lovforslagets konsekvenser for kildevernet. Hensynet til ytrings- og informasjonsfriheten – og kildevernet spesielt – er etter NRKs mening ikke tilstrekkelig ivaretatt. Slik forslaget nå er utformet, er det også i strid med de skranker som er trukket opp i rettspraksis for denne type masselagring og utlevering av opplysninger. NRK påpeker for øvrig faren for at IP-data kommer på avveie, og bemerker at det ikke er lagt opp til noen særskilte sikkerhetsmekanismer når det gjelder lagring av disse dataene. NRK stiller også spørsmål ved hvor stor nytte lovforslaget reelt vil få for kriminalitetsbekjempelse, siden de som driver kriminell virksomhet antakelig allerede benytter krypterte løsninger i stor grad. På denne bakgrunn mener NRK at lovforslaget bør skrinlegges. Alternativt må det foretas en ny gjennomgang av lovforslaget hvor et minimumskrav må være at forslaget ikke åpner for lagring eller utlevering av metadata, og at det begrenses til å omfatte bekjempelse av alvorlig kriminalitet på nivå med beskyttelse av nasjonal sikkerhet og avverging av alvorlige trusler mot befolkningens sikkerhet.
Norwaco er en kollektiv forvaltningsorganisasjon for rettigheter etter åndsverkloven. Norwaco viser til at ulovlig bruk av verk på internett utgjør en stor trussel mot vederlaget til opphavere, utøvende kunstnere og produsenter, og at det er viktig for rettighetshaverne å kunne håndheve sine rettigheter også på internett. Norwaco støtter derfor forslaget om innføring av en plikt for tilbydere av ekomtjenester til å lagre IP-adresser.
7.4 Departementets vurdering
7.4.1 Vurdering av de rettslige rammene for å kunne innføre en plikt til å lagre IP-adresser
En plikt til å lagre IP-adresser vil som nevnt innebære et inngrep i den enkeltes person- og kommunikasjonsvern. Det må legges til grunn at en lovfestet plikt til å lagre koblingen mellom IP-adresser og abonnenter vil utgjøre et inngrep i retten til privatliv etter Grunnloven § 102 og EMK artikkel 8. Lagringsplikt vil derfor bare være tillatt såfremt inngrepet ivaretar et legitimt formål, har tilstrekkelig hjemmel og er forholdsmessig.
Det kan legges til grunn at en plikt til å lagre IP-adresser for å bekjempe alvorlig kriminalitet, vil ivareta et legitimt formål, ettersom EMK artikkel 8 nr. 2 åpner for inngrep blant annet for å ivareta offentlig trygghet, forebygging av uorden eller kriminalitet og beskyttelse av andres rettigheter og friheter. Departementet viser til at EMK artikkel 8 også innebærer en positiv forpliktelse til å muliggjøre etterforsking av lovbrudd, jf. K.U. mot Finland, der EMK artikkel 8 ble ansett for å ha blitt krenket fordi den finske lovgivningen ikke i tilstrekkelig grad åpnet for utlevering av IP-informasjon. Det må imidlertid foretas en konkret vurdering av om en plikt til lagring av IP-adresser vil være et proporsjonalt inngrep. Blant annet må det vurderes om inngrepet er begrenset til det nødvendige med hensyn til lagringstid og vilkår for utlevering, og om det i tilstrekkelig grad sikres «nødvendige garantier», blant annet hva gjelder tilsyn og kontroll, jf. Breyer mot Tyskland og Benedik mot Slovenia. Den nærmere utformingen av reglene vil være avgjørende for at tiltaket samlet sett skal oppfylle kravene i Grunnloven § 102 og EMK artikkel 8.
EØS-retten setter også viktige rammer for hvordan forslag om plikt til å lagre IP-adresser kan innrettes.
EU-domstolens avgjørelse i La Quadrature du Net omhandler blant annet lagring av IP-adresser. En rekke høringsinstanser har i sine innspill særlig tatt opp betydningen av denne dommen, og de har stilt spørsmål ved om forslaget om lagring av IP-adresser og portnummer er i tråd med dommen.
La Quadrature du Net fastslår at en generell og udifferensiert lagring av IP-adresser i prinsippet ikke er i strid med kommunikasjonsverndirektivet og EU-pakten. Det er imidlertid en forutsetning at de materielle og prosessuelle vilkårene som skal regulere bruken av disse dataene, overholdes strengt. Dommen legger samtidig til grunn at lagring må begrunnes ut ifra formål om å bekjempe alvorlig kriminalitet, forebygge alvorlige trusler mot offentlig sikkerhet eller ivareta nasjonal sikkerhet. Videre legges det til grunn at lagringstiden ikke må overstige det som er strengt nødvendig for å oppnå formålet, og at det må etableres strenge vilkår og garantier vedrørende bruk av dataene.
Departementet legger i lys av dommen til grunn at generell og udifferensiert lagring av IP-adresser på nærmere vilkår vil være tillatt etter EØS-retten så lenge forutsetningene oppstilt i dommen ivaretas. Det redegjøres nærmere for vurderingen av vilkårene i kapittel 8.
7.4.2 Vurdering av behovet for å innføre en lagringsplikt for IP-adresser mv.
Etter departementets syn er dagens lagringstid for IP-adresser, som er begrenset til den lagringstiden som er nødvendig for kommunikasjons- eller faktureringsformål, for kort til å kunne være et effektivt virkemiddel for kriminalitetsbekjempelse. Av hensyn til å kunne bekjempe kriminalitet på en effektiv måte, mener departementet at internettilbydere bør pålegges en lagringsplikt som går utover dagens regulering.
Departementet viser til at informasjon om hvilken IP-adresse en abonnent er blitt tildelt, ikke i seg selv gir informasjon om innholdet i abonnentens internettkommunikasjon, om hvem abonnenten har vært i kontakt med eller geografisk posisjon. Eventuelle opplysninger om at en IP-adresse kan knyttes til straffbare forhold, må derfor politiet eller påtalemyndigheten få fra annet hold, for eksempel ved digitale beslag, eller tips om at en bestemt IP-adresse er benyttet i forbindelse med kriminell virksomhet. En lagringsplikt for IP-adresser vil ikke i seg selv kunne muliggjøre omfattende overvåking av enkeltpersoners nettbruk.
Som redegjort for i kapittel 4, har mangelen på globale IP-adresser ført til at IP-adresser deles mellom abonnenter ved hjelp av NAT-teknologi. Abonnentenes individuelle kommunikasjon skilles da fra hverandre ved hjelp av portnumre, som gjør det mulig at kommunikasjonen kommer frem til rett destinasjon. En kombinasjon av IP-adresse og portnummer på et gitt tidspunkt vil være unik for den enkelte abonnent. Dersom internettilbyderen logger både hvilke IP-adresser og portnumre som er benyttet, samt tidspunktene for dette, vil det ved deling av IP-adresser være mulig å identifisere én enkeltabonnent. For at en plikt til lagring av IP-adresser skal imøtekomme politiets behov, bør derfor lagringsplikten etter departementets syn også omfatte en plikt til å lagre portnumre på abonnentsiden. En lagringsplikt for portinformasjon vil imidlertid gi noe mer informasjon, jf. nærmere redegjørelse under kapittel 8.2.
Departementet gjør oppmerksom på at selv om lagring av portinformasjon på abonnentsiden vil gjøre det mulig å identifisere den konkrete abonnenten, vil det i mange tilfeller likevel ikke være mulig å identifisere en konkret bruker gjennom å koble en IP-adresse og portnummer til en abonnent. IP-adresser deles ofte av et stort antall brukere, for eksempel dersom abonnenten er en arbeidsplass, en skole, et universitet eller et serveringssted. Man kan dermed ikke uten videre legge til grunn at brukeren og abonnenten er den samme. Innhenting av abonnementsinformasjonen vil da være et steg på veien mot ytterligere etterforsking, og det vil kunne være avgjørende informasjon for hvor den videre etterforskingen i saken bør rettes.
Departementet viser for øvrig til at flere av høringsinstansene har stilt spørsmål ved effekten av å innføre en lagringsplikt for IP-adresser, siden mange som begår lovbrudd over internett vil kunne forsøke å skjule sin identitet gjennom krypterings- og anonymiseringsløsninger, slik som VPN-teknologi eller TOR. Departementet er oppmerksom på problemstillingen, men legger til grunn at en lagringsplikt likevel samlet sett vil ha stor verdi for kriminalitetsbekjempelse. Det vises her til politiets egne vurderinger av behovet. At det finnes krypterings- og anonymiseringsløsninger bør derfor ikke tillegges avgjørende vekt.
Departementet foreslår etter dette at det innføres en lagringsplikt for IP-adresser. For at lagringen skal nå sitt formål, bør lagringsplikten gjelde for alle abonnenter, og den bør ikke begrenses ut fra for eksempel konkret mistanke om straffbare forhold. Den enkeltes person- og kommunikasjonsvern vil ivaretas gjennom krav til at lagringstiden ikke skal være lengre enn nødvendig, samt strenge vilkår for når opplysninger om IP-adresser skal kunne utleveres til politi- og påtalemyndighet. Departementet foreslår også at det fastsettes nærmere krav som legger til rette for tilsyn og kontroll.