FÖRVALTNINGSUTSKOTTETS UTLÅTANDE 19/2005 rd

FvUU 19/2005 rd - U 42/2004 rd

Granskad version 2.0

Statsrådets skrivelse angående ett utkast till rådets rambeslut (om bevarande av uppgifter som har behandlats och lagrats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller uppgifter i allmänna kommunikationsnät för förebyggande, utredning, upptäckt och lagföring av brott och straffbara gärningar, inklusive terrorism)

Till stora utskottet

INLEDNING

Remiss

Stora utskottet sände den 16 september 2005 en kompletterande skrivelse 1. SM 16.09.2005 i ärende U 42/2004 rd till förvaltningsutskottet för eventuella åtgärder.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Jouko Huhtamäki, inrikesministeriet

kommunikationsråd Juhapekka Ristola, kommunikationsministeriet

överinspektör Leena Rantalankila, justitieministeriet

dataombudsman Reijo Aarnio

avdelningsdirektör Kari Wirman, Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry

Samband med andra handlingar

Utskottet har den 5 oktober 2004 lämnat utlåtande FvUU 22/2004 rd i ärendet.

SKRIVELSEN

Förslagets huvudsakliga innehåll

Republiken Frankrike, Irland, Konungariket Sverige och Förenade kungariket har den 28 april 2004 lagt fram ett förslag till antagande av rådets rambeslut om bevarande av uppgifter som har behandlats och lagrats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller uppgifter i allmänna kommunikationsnät för förebyggande, utredning, upptäckt och lagföring av brott och straffbara gärningar, inklusive terrorism. Syftet är att underlätta det straffrättsliga samarbetet genom tillnärmning av medlemsstaternas lagstiftning om bevarande av uppgifter som behandlats och lagrats av elektroniska kommunikationstjänster och allmänna kommunikationsnät. Förslaget omfattar bestämmelser om rambeslutets tillämpningsområde, definitioner, bevarande av uppgifter och tidsgränser för bevarande av uppgifter, tillgång till uppgifter samt uppgiftsskydd och uppgiftssäkerhet.

Regeringens ståndpunkt

Allmänt

Finland har under beredningen av förslaget ansett att en eventuell skyldighet att bevara identifieringsuppgifter från elektronisk kommunikation lämpligen bör gälla sådana identifieringsuppgifter som teleföretagen som redan nu bevarar i flera månader som en del av den lagliga nät-och kommunikationstjänsten. Skyldigheten bör kunna genomföras till skäliga kostnader och utifrån existerande tekniska lösningar. Regleringen bör vara teknikneutral i fråga om de uppgiftstyper som bevaras och sådan att den kan tillämpas även i framtiden med hänsyn till den tekniska utvecklingen.

Under beredningen har Finland också framfört att de eventuella kostnadseffekterna av den föreslagna regleringen och dess inverkan på skyddet för privatlivet är så betydande att de skyldigheter som införs enligt rambeslutet bör vara uttömmande och exakt formulerade. Förslagets kostnadseffekter är mycket olika i de olika medlemsländerna. Enligt utredning är det exceptionellt med ett system där staten svarar för alla kostnaderna.

Förslag till rambeslut (COPEN 115)

Förslaget har nu gjorts tydligare och tekniskt begripligare. Det ser emellertid fortfarande ut att innehålla överlappningar och element som inte verkar tekniskt genomförbara. Dessutom ingår där element som är påfallande dyra att genomföra eller oskäliga med tanke på skyddet för privatlivet. Dessa synpunkter bör ytterligare granskas innan den slutliga ståndpunkten formuleras.

Förteckning över uppgifter som ska lagras (artikel 2, 3. och 8.3.)

Utifrån en preliminär genomgång anser Finland att åtminstone följande punkter ytterligare bör utredas:

1) Enligt definitionen i förslaget till rambeslut avser internetkommunikationstjänster internet-e-post och internettelefoni (artikel.2.4). Eftersom tjänsterna tillhandahålls av instanser av många olika slag bör skyldigheten enbart gälla internettelefoni och e-post som tillhandahålls av teleföretag. Förslaget säger inte entydigt ut detta, även om det kanske är vad som avses.

2) Definition av uppgifter som ska lagras som genererade eller behandlade av leverantörer av tjänster (artikel 3.1). I detta sammanhang bör ordet "eller" ersättas med ordet "och". På det viset begränsas skyldigheten tydligt till de identifieringsuppgifter som bevaras som en del av den lagliga nät- och kommunikationstjänsten. Alla operatörer är tvungna att också behandla uppgifter som genereras av andra, till exempel när kommunikationen routas, och de bör inte omfattas av skyldigheten att lagra uppgifter.

Regeringen anser det vara mycket viktigt att skyldigheten att lagra uppgifter uttryckligen gäller bara de uppgifter som också annars lagras i samband med teleföretagets egna tjänster. Med andra ord bör det tydligare framgå att tanken är "if available".

Skyldigheten att bevara uppgifter som är nödvändiga för att fastställa slutmål för en kommunikation skapar också problem (artikel 3.3aii, 3.3bii och 3.3cii). En finländsk operatör kan till exempel inte ha uppgifter om namn och adresser när slutmålet för en kommunikation är belägen på en annan kontinent. Formuleringen måste i alla fall preciseras om den ska vara genomförbar i praktiken. Också av den anledningen bör tanken "if available" genomgående lyftas fram i förslaget.

Dessutom bör teleföretagens skyldigheter endast omfatta de sektorer som kan sortera och lagra uppgifter, dvs. tjänsteoperatörer, inte nätverksoperatörer. Om skyldigheten gällde nätverksoperatörer skulle det innebära att operatören i praktiken måste lagra all IP-trafik eftersom en nätverksoperatör inte kan sortera IP-trafiken.

3) Uppgifter som är nödvändiga för att spåra och identifiera källan till en kommunikation när det gäller internetåtkomst och internetkommunikationstjänster (artikel. 3.2c).

Det bör noteras att det inte är vanligt med identifiering av användaren inom nätverken Internet Access. Till exempel vid ASDL-anslutningar är det inte vanligt åtminstone med användarnamn. Uppgiften lagras och används egentligen inte i Finland och skulle därför ge upphov till extra kostnader. Kravet begränsar på förhand användningen av olika modeller för affärsverksamhet.

4) Uppgifter som är nödvändiga för att fastställa datum, tidpunkt och varaktighet för en kommunikation när det gäller internetåtkomst och internetkommunikationstjänster (artikel 3.4).

Tiden för en session och förbindelse kan inte nödvändigtvis lagras. I slutmålets system (t.ex. e-post) efterlämnas en uppgift om inloggning och utloggning, men kommunikationstjänsten kan också vara påkopplad fastän den inte används. Inloggning används inte nödvändigtvis i alla tjänster, t.ex. bredbandsanslutningar, och operatören kan endast se om trafik varit möjlig.

5) Uppgifter som är nödvändiga för att fastställa platsen för mobil utrustning när en kommunikation börjar och medan den pågår (artikel 3.7).

Det är svårt och dyrt att genomföra detta krav. I förhållande till skyddet för privatlivet gäller kravet också åtgärdens proportionalitet. Location label, eller den uppgift som utgör grund för fakturering eller lokalisering, lagras endast antingen i början eller slutet av en kommunikation, inte både och. Bestämmelsen ökar avsevärt mängden uppgifter som ska lagras och därmed också kostnaderna. Till och med en orörd telefon kan ge upphov till flera adresser från olika basstationer

Under beredningen har det visat sig vara svårt att formulera skyldigheten att bevara uppgifter med sådana tekniska termer som är gemensamma för alla medlemsländer, som är tydliga och som inte lämnar utrymme för tolkning. I vissa fall kan denna situation uppstå även om det grundläggande målet är gemensamt. Därför anser Finland att det är ett bra förslag att medlemsstaterna ska vidta lämpliga åtgärder som är nödvändiga och proportionerliga för det tekniska genomförandet av bestämmelsen (artikel 3.8). Trots detta bör förteckningen över uppgifter som ska lagras vara lätt att genomföra i praktiken och tillräckligt noga avgränsad innan den godkänns.

Tidsstämpling/Time-stamping

Frågan om tidsstämpling har blivit aktuell först vid den senaste behandlingen i arbetsgrupp den 12 september 2005 och ingår inte i handlingarna. Enligt tekniska experter är det inte säkert att skyldigheten att lagra uppgifter leder till önskat resultat om inte klockorna i alla nätverk och datasystem är fullkomligt synkroniserade. I dagsläget är klockorna inte tillräckligt synkroniserade eftersom operatörerna inte har behov av detta. Skyldigheten att lagra uppgifter förutsätter emellertid synkronisering.

Stora mängder IP-trafik förmedlas i nätverken och om man är tvungen att spåra upp ett meddelande kan det vara omöjligt att kombinera uppgifterna till exempel i segmenten mellan operatörerna om klockorna inte är exakt synkroniserade. Tekniska experter anser att det kan bli svårt att utnyttja de lagrade uppgifterna om inte tidsstämplingen beaktas. Kostnaderna ökar givetvis också till följd av detta. Finland har inte räknat med kostnaderna i sina kalkyler.

Tidsgränser för bevarande av uppgifter (artikel 4)

Bevarandetiden är beroende av rambeslutets tilllämpningsområde och vilka typer av uppgifter som ska lagras. De här frågorna är fortfarande öppna. Artikel 4 kan inte godkännas förrän artikel 3 har formulerats så att den kan godkännas. Om det är möjligt att nå en överenskommelse om rambeslutets tillämpningsområde och vilka typer av uppgifter som ska lagras på ett sätt som är acceptabelt för Finland, med andra ord att skyldigheten att lagra omfattar uppgifter som ett teleföretag i varje fall lagrar i sina egna tjänster i samband med affärsverksamheten, har det varken med tanke på kostnaderna eller skyddet av privatlivet speciellt stor betydelse om uppgifterna bevaras 12 månader i stället för 8. Om däremot skyldigheten utvidgas till att gälla IP-trafik i vid bemärkelse, måste nya system byggas upp för att lagra och bevara den enorma mängden uppgifter. Redan inom några veckor skulle kravet att lagra uppgifter bli orimligt.

Genomförande (artikel 8)

Finland anser att möjligheten att skjuta fram tilllämpningen av rambeslutet i fråga om vissa kommunikationsuppgifter bör övervägas efter att formuleringen av skyldigheten att bevara uppgifter har antagits. Möjligheten att skjuta fram genomförandet av bestämmelsen kan inte omfatta uppgifter i fråga om vilka det är oklart om tidsförlängningen löser problemen med att lagra just dem.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Allmänt

Det framgår av regeringens ursprungliga skrivelse och förvaltningsutskottets utlåtande FvUU 22/2004 rd att regeringen ställer sig positivt till en sådan EU-lagstiftning som garanterar en hög skyddsnivå inom området med frihet, säkerhet och rättvisa genom att förebygga, utreda, upptäcka och lagföra brott och straffbara gärningar. Enligt skrivelsen stöder en reglering av skyldigheten att bevara identifieringsuppgifter dessa mål.

Utifrån den ursprungliga skrivelsen har riksdagens stora utskott, grundlagsutskott (GrUU 35/2004 rd), förvaltningsutskott (FvUU 22/2004 rd) och kommunikationsutskott (KoUU 27/2004 rd) omfattat regeringens ståndpunkt att förslaget till rambeslut om bevarande av identifieringsuppgifter i princip kan bemötas positivt. Utskotten har dessutom i överensstämmelse med regeringens ståndpunkt framhållit att en eventuell förpliktelse att bevara uppgifter ska omfatta sådana identifieringsuppgifter hos teleföretagen 1) som också annars bevaras i flera månader som en del av den lagliga nät- och kommunikationstjänsten och 2) för vilka bevaringstiden kan harmoniseras i enlighet med det föreslagna rambeslutet. Dessutom bör bevaringsförpliktelsen kunna genomföras 3) till skäliga kostnader, 4) utifrån existerande tekniska lösningar, 5) teknikneutralt och 6) så att den går att tillämpa även i framtiden med hänsyn till den tekniska utvecklingen. Dessutom betonas betydelsen av omständigheter som anknyter till uppgiftsskydd och uppgiftssäkerhet.

Uppgifter som ska bevaras

Enligt utredning kommer den föreslagna formuleringen att inte bara öka antalet uppgifter som ska lagras, utan kommer till och med att förutsätta att de tekniska lösningar som allmänt tillämpas i Finland harmoniseras med vissa teleföretags kommersiella utformning i ett antal stora medlemsländer. Ett exempel på detta är bestämmelsen i artikel 3 "Uppgifter som är nödvändiga för att fastställa datum, tidpunkt och varaktighet för en kommunikation" och "datum och tidpunkt för inloggning i och utloggning från Internet inom en bestämd tidszon". I princip behövs dessa uppgifter inte i de tekniska och kommersiella bredbandsanslutningar som används i Finland. I statsrådets kompletterande skrivelse (SM 16.9.2005) behandlas andra nackdelar i förslaget till rambeslut.

Kostnaderna för att lagra uppgifter

Rambeslutet innehåller tvetydigheter som kan få stor betydelse för kostnaderna för att lagra uppgifter. Eftersom till exempel definitionen av "Internettelefoni" i artikel 2 omfattar telefontjänster typ Skype, kommer de årliga kostnaderna att mångdubblas jämfört med kommunikationsverkets senaste bedömning (10—40 miljoner euro). Kostnaderna kan till och med gå upp till flera hundra miljoner euro. I dagsläget är en bedömning av de ekonomiska effekterna över lag mycket osäker.

Existerande tekniska lösningar

I sin nuvarande form förutsätter förslaget till rambeslut otaliga nya tekniska lösningar. Operatörer i Finland har till exempel inte tillgång till uppgifter om andra operatörers abonnenter. Enligt förslaget ska dessa uppgifter emellertid lagras.

Bestämmelserna i förslaget till rambeslut förutsätter dessutom ändring av vissa tekniska lösningar i Finland. Utskottet har behandlat frågan i samband med de uppgifter som ska bevaras.

Teknikneutralitet

Förslaget till rambeslut är helt beroende av gällande tekniska lösningar: fasta nätverk, mobilnätverk, internetförbindelser och internettjänster.

Enligt utredning är indelningen i kategorier oklar och leder till tolkningssvårigheter. Man kan till exempel fråga sig till vilken kategori de internetförbindelser hör som helt och hållet förmedlas via den tredje generationens mobilnätverk (3G-nätverken bygger helt på internettekniken).

Uppgiftsskydd

Förslaget till rambeslut om bevarande av identifieringsuppgifter i samband med elektronisk kommunikation tar inte närmare upp frågor som gäller uppgiftsskydd och skydd för personuppgifter. Men frågorna kräver en ingående behandling. Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottet och förvaltningsutskottet har ansett att det med tanke på skyddet för personuppgifter vid registrering är viktigt att reglera åtminstone syftet, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål, inbegripet uppgifternas tillförlitlighet, och förvaringstiden för uppgifterna i personregistren samt den registrerades rättsskydd. Regleringen av de här faktorerna på lagnivå ska dessutom vara omfattande och detaljerad.

Avslutningsvis

Sammanfattningsvis konstaterar utskottet att förhandlingarna om förslaget till rambeslut nu ligger närmare Finlands mål. Men det finns olösta frågor kvar som kan skapa problem när det gäller samtliga av Finlands ursprungliga förhandlingsmål och som kan anses vara minimikrav. Detta framgår också tydligt av statsrådets kompletterande skrivelse.

Samtidigt betonar utskottet att förslaget om skyldigheten att bevara uppgifter i detalj bör bedömas mot de mål man vill nå och de verkliga effekter som kan åstadkommas. Nyttan av att bevara identifieringsuppgifter i samband med elektronisk kommunikation för utredning, upptäckt och lagföring av brott måste stå i acceptabel proportion till kostnaderna för den omfattande skyldigheten att bevara uppgifter och de risker detta medför för skyddet av privatlivet. I det här sammanhanget påpekar utskottet att det är viktigt att man i beredningen och behandlingen av förslaget till rambeslut utnyttjar expertisen inom datakommunikation och datateknik.

Med stöd av det ovan sagda och med hänvisning till statsrådets kompletterande skrivelse anser utskottet att förslaget till rambeslut är ofullständigt och att det därför inte kan understödjas i sin nuvarande form.

Utlåtande

Förvaltningsutskottet meddelar

med hänvisning till statsrådets kompletterande skrivelse att förslaget till rambeslut är ofullständigt och därför inte kan understödjas i sin nuvarande form.

Helsingfors den 7 oktober 2005

I den avgörande behandlingen deltog

  • ordf. Matti Väistö /cent
  • vordf. Veijo Puhjo /vänst
  • medl. Sirpa Asko-Seljavaara /saml
  • Nils-Anders Granvik /sv
  • Rakel Hiltunen /sd
  • Jyrki Kasvi /gröna
  • Esko Kurvinen /saml
  • Lauri Kähkönen /sd
  • Kari Kärkkäinen /kd
  • Lauri Oinonen /cent
  • Heli Paasio /sd
  • Satu Taiveaho /sd
  • Tapani Tölli /cent
  • Ahti Vielma /saml
  • Tuula Väätäinen /sd

Sekreterare var

utskottsråd Ossi Lantto