KOMMUNIKATIONSUTSKOTTETS UTLÅTANDE 17/2004 rd

KoUU 17/2004 rd - U 42/2004 rd

Granskad version 2.0

Statsrådets skrivelse angående ett utkast till rådets rambeslut (om bevarande av uppgifter som har behandlats och lagrats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller uppgifter i allmänna kommunikationsnät för förebyggande, utredning, upptäckt och lagföring av brott och straffbara gärningar, inklusive terrorism)

Till stora utskottet

INLEDNING

Remiss

Riksdagens talman sände den 8 september 2004 statsrådets skrivelse angående ett utkast till rådets rambeslut (om bevarande av uppgifter som har behandlats och lagrats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller uppgifter i allmänna kommunikationsnät för förebyggande, utredning, upptäckt och lagföring av brott och straffbara gärningar, inklusive terrorism) (U 42/2004 rd) till stora utskottet för behandling och bestämde samtidigt att kommunikationsutskottet ska lämna utlåtande till stora utskottet.

Sakkunniga

Utskottet har hört

lagstiftningsråd Kimmo Hakonen, inrikesministeriet

konsultativ tjänsteman Juhapekka Ristola, kommunikationsministeriet

kriminalöverkommissarie Veli-Pekka Loikala och överinspektör Sari Kajantie, Centralkriminalpolisen

jurist Heli Malmi och systemexpert Riku Kalinen, skyddspolisen

dataombudsman Reijo Aarnio, Dataombudsmannens byrå

chef för enheten för informationssäkerhet Timo Lehtimäki, Kommunikationsverket

avdelningsdirektör Kari Wirman, Elisa Communications

utvecklingsdirektör Marja-Liisa Virtanen, TeliaSonera Oyj

chef för juridiska ärenden Jukka Rahikkala, Finnet-förbundet rf

ordförande, juris kandidat Ville Oksanen, Electronic Frontier Finland EFFI ry

verkställande direktör Reijo Svento, FiCom

SKRIVELSEN

Förslaget

Enligt rambeslutet ska varje medlemsstat i syfte att tillhandahålla straffrättsligt samarbete vidta nödvändiga åtgärder för att se till att bevarade uppgifter som har behandlats och lagrats av leverantörer av ett allmänt kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster bevaras minst 12 och högst 36 månader. På nationella kriterier får medlemsstaterna ha längre tider för bevarande av uppgifter och under vissa förutsättningar göra undantag från tidsgränser.

Regeringens ståndpunkt

Regeringen konstaterar att Europeiska rådet i det uttalande om bekämpande av terrorism som det gav efter bombattackerna i Madrid uppmanade medlemsstaterna att då det gäller utvecklandet av lagstiftningsåtgärder prioritera sådana förslag som gäller bevarande av trafikuppgifter så att de kan antas senast i juni 2005. Medlemsstaterna i Europeiska rådet förband sig även att stärka det rättsliga samarbetet.

Regeringen ställer sig positiv till en sådan lagstiftning i Europeiska unionen vars syfte är att erbjuda en hög skyddsnivå inom ett område med frihet, säkerhet och rättvisa genom att förebygga, utreda, upptäcka och lagföra brott och straffbara gärningar. Regleringen av skyldigheten att bevara identifieringsuppgifter bidrar också till att målet kan nås, eftersom den möjliggör att teleövervakning enligt tillstånd av domstol genomförs effektivare än för närvarande.

Bland brott som absolut kräver tillgång till bevarade identifieringsuppgifter för att kunna undersökas och bekämpas effektivare kan nämnas olika ekonomiska brott, informations- och kommunikationsbrott samt olika brott som har att göra med olagligt innehåll, såsom spridning av barnpornografi och hets mot folkgrupp. Vid gäldenärsbrott samt olika skattebrott sker det ofta att egendom göms eller skingras långt innan myndigheterna har möjlighet att ingripa eller överhuvudtaget får kännedom om sådan verksamhet. Informations- och kommunikationsbrott, dataintrång, olovlig användning och kränkning av kommunikationshemlighet har ofta pågått t.o.m. flera månader innan målsägandena upptäckt brottet och utredningen överförs till myndigheterna. Brott som hänför sig till olagligt innehåll kommer mycket sporadiskt till myndigheternas kännedom och för att gärningsmannens hela verksamhet ska kunna utredas och medbrottslingarna avslöjas är det viktigt att i efterhand kunna klarlägga vidden av gärningen bl.a. med hjälp av identifieringsuppgifter.

Vid narkotikabrott och grova narkotikabrott utreds ofta inte bara införseln av beslagtagna narkotikapartier i realtid, utan också tidigare införsel eller narkotikadistribution av samma personer som misstänks för brott. Också vid utredning av sådana äldre fall har man ofta stor hjälp av identifieringsuppgifter antingen för att styra undersökningen i rätt riktning eller för att skaffa fram bevis.

Bevarandet av kommunikationsuppgifter stöder inte bara bekämpandet av brottslighet utan också annan polisverksamhet. Som sådan verksamhet kan t.ex. nämnas utredning i efterhand av orsakerna till att en person försvunnit och beredskap mot allvarliga brott som hotar samhällets säkerhet, såsom terrorism.

Av ovan nämnda orsaker bör utkastet till rambeslut om bevarande av identifieringsuppgifter i princip bemötas positivt. Regeringen anser en ändamålsenlig utgångspunkt vid den fortsatta beredningen av utkastet vara att en eventuell förpliktelse att bevara identifieringsuppgifter från elektronisk kommunikation ska gälla sådana identifieringsuppgifter hos teleföretagen som redan bevaras i flera månader som en del av den lagliga nät- och kommunikationstjänsten och vars bevaringstid kan harmoniseras i enlighet med det föreslagna rambeslutet.

Bevaringsförpliktelsen bör kunna genomföras till skäliga kostnader och med existerande tekniska lösningar. Regleringen bör vara teknikneutral i fråga om de uppgiftstyper som bevaras och sådan att den kan tillämpas även i framtiden i takt med den tekniska utvecklingen.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Allmänt

Utskottet konstaterar att syftet med förslaget är att erbjuda en hög skyddsnivå inom ett område med frihet, säkerhet och rättvisa, vilket förutsätter att brott och straffbara gärningar kan förebyggas, utredas, upptäckas och lagföras på lämpligt sätt. I förslaget konstateras att det ska föreskrivas i lag om intrång i privatlivet och att intrånget ska vara nödvändigt för att förebygga, utreda, upptäcka och lagföra brott och straffbara gärningar, inklusive terrorism. Det ska vidare vara lämpligt, i strikt proportion till det avsedda ändamålet och nödvändigt i ett demokratiskt samhälle, med lämpliga skyddsmekanismer. Syftet med den föreslagna lagringsskyldigheten är att uppgifter som är nödvändiga för brottsutredning och åtalsprövning ska kunna överföras från en medlemsstat till en annan. Av identifieringsuppgifter som avses i utkastet framgår bl.a. vem som har ringt med telefon eller skickat ett e-postmeddelande och till vem och vilka Internetsidor någon varit inne på.

Utskottet anser att principiellt bedömt är det viktigt att alla användares uppgifter lagras för kommande myndighetsbehov. För närvarande kan bl.a. teleövervakningen bara riktas mot brottsmisstänkta. Utskottet anser att det bör bedömas om lagringsskyldigheten står i rätt proportion till de eftersträvade målen.

Lagringsskyldighet

Omfattning

Utskottet konstaterar att utkastet är otydligt till sitt centrala innehåll. Förpliktelsen att bevara uppgifter verkar gälla endast uppgifter som redan är i ett teleföretags besittning och som har inhämtats i lagligt affärsintresse. Sådana uppgifter uppstår bl.a. vid fakturering eller vid utredning av fel och störningar. Förpliktelsen att bevara uppgifter skulle gälla endast teleföretag och inte andra som erbjuder tjänster eller samfund som använder kommunikationstjänster som teleföretag erbjuder, dvs. samfundsabonnenter.

Under sakkunnigutfrågningen påpekades det att innehållet i bevaringsskyldigheten sannolikt preciseras i den fortsatta beredningen av förslaget och att skyldigheten torde komma att gälla sådana identifieringsuppgifter hos teleföretagen som redan nu bevaras i flera månader som en del av den lagliga nät- och kommunikationstjänsten. Faktureringsgrunderna för tjänster och modellerna för företagens affärsverksamhet kan dock ändras för att motsvara kraven på affärsmiljö. I framtiden kan detta påverka teleföretagens behov att bevara identifieringsuppgifter för fakturering. Enligt utredning till utskottet baserar sig förslaget från fyra medlemsstater på nuvarande faktureringspraxis som varje teleföretag har ansett vara ändamålsenlig och inte på eventuella framtida ändringar i dem. Utskottet understryker att begränsningarna av de grundläggande fri- och rätttigheterna ska vara exakt avgränsade och att de inte får vara mer omfattande än vad som är nödvändigt för att det önskade målet ska kunna tryggas. Därför bör rambeslutet innehålla en exakt och väl avgränsad definition på vad bevaringsskyldigheten gäller.

Utskottet påpekar att enligt förslaget ska framtida teknisk utveckling som underlättar överföring av kommunikationer omfattas av rambeslutet. Tillämpningsområdet för rambeslutet ska inte utvidgas med hänvisning till framtida teknisk utveckling utan samma avgränsningar ska gälla såväl nuvarande som kommande anordningar och uppgifter, anser utskottet.

Under sakkunnigförhöret påpekades för utskottet att i fråga om Internettrafiken skulle bevarandet gälla tillfälligt också innehåll, eftersom data i den trafiken överförs i form av paket med både identifieringsuppgifter och innehåll huller om buller. Sålunda borde Internettrafiken rimligen först lagras som sådan i något lager, varefter innehållet avskiljs och förstörs medan identifieringsuppgifterna bevaras. Därför vill utskottet fästa allvarlig uppmärksamhet vid att lagring av IP-trafik åtminstone tillfälligt också skulle leda till lagring av innehållet i kommunikationen trots att förslaget uttryckligen säger något annat. Utskottet anser att detta missförhållande bör tas upp i den fortsatta behandlingen av ärendet.

Bevarande

Det har påpekats för utskottet att bevarande av uppgifter förutsätter att uppgifterna lagras på ett separat lagringsmedium för en eventuell senare användning. Detta leder inte bara till ett behov av större lagringskapacitet utan utgör också en betydande teknisk utmaning, eftersom uppgifterna måste bevaras så att de är användbara under hela förvaringen. Detta innebär i praktiken att man måste göra upp särskilda planer för hur informationsmassan ska bevaras, skapa arkiveringssystem för information och kunna hantera under olika tider lagrade informationsmassor som ingår i dessa system. Dagens lagringsmedier är huvudsakligen avsedda för att återställa datasystem i funktionsdugligt skick och duger inte nödvändigtvis utan särskilda tilllämpningar för bevarande av uppgifter i enlighet med lagringsskyldigheten.

Enligt gällande lag har teleföretagen rätt att behandla identifieringsuppgifter endast för de syften som avses i lagen och uppgifterna ska förstöras omedelbart när det inte längre finns bruk för dem. I praktiken bevaras identifieringsuppgifter för telemeddelanden från några sekunder till månader. Enligt utkastet till rambeslut är teleföretagen skyldiga att bevara identifieringsuppgifter från 12 till 36 månader. Sakkunniga har understrukit att detta skulle leda till betydande tilläggskostnader och äventyra konfidentialiteten vid kommunikation.

Utskottet understryker att tiden för bevarande av uppgifterna inte ska vara längre än vad som är nödvändigt och i varje fall inte längre än 12 månader.

Sökning och utnyttjande

Det har påpekats för utskottet att användning i efterhand av bevarade uppgifter förutsätter att det skapas helt nya tillämpningar som teleföretagen får tillgång till. Detta beror på att de nuvarande systemen är avsedda för att säkra att datakommunikationssystem och motsvarande system fungerar och kan efter eventuella störningar fås att fungera igen så snabbt som möjligt.

Återställande av lagrade uppgifter för bruk ska ske i ett från teleföretagens produktionsmiljö separat system som företagen i fråga sannolikt inte har. Systemet måste också utvecklas kontinuerligt för att man med dess hjälp ska kunna återställa uppgifter och olika versioner av dem från olika tidsperioder. Tiden för bevarande av uppgifter ska vara så kort som möjligt i och med att förfarandena för utnyttjande av uppgifterna då sannolikt blir betydligt enklare jämfört med långa bevaringstider.

Utskottet konstaterar att bestämmelser om lämnande av lagrade uppgifter ingår i den nationella lagstiftningen och enligt regeringen påverkar rambeslutet inte dessa bestämmelser.

Kostnader för lagringsskyldighet

Kommunikationsministeriet har försökt göra en uppskattning om hur stora kostnader en eventuell förpliktelse skulle medföra i Finland. På grund av förslagets otydlighet visade det sig omöjligt att göra en exakt och tillförlitlig uppskattning. På ministeriets begäran gjorde Kommunikationsverket dock upp en preliminär kostnadskalkyl. Enligt kalkylen skulle en förlängning till ett år av lagringstiden för uppgifter som ett teleföretag redan tidigare lagligt bevarat i det fasta nätet och mobiltelefonnätet vara tekniskt möjligt och kosta cirka två miljoner euro per år (lagringskapacitet 20 000 GB/år). Men om skyldigheten i enlighet med definitionsdelen i förslaget blir mera omfattande än för närvarande skulle kostnaderna för lagring av de i förslaget uppräknade IP-uppgifterna vara minst 250 miljoner euro per år (lagringskapacitet 50 miljoner GB/år).

Utskottet fäster uppmärksamhet vid att enligt 98 § 2 mom. i kommunikationsmarknadslagen (393/2003) har teleföretagen rätt att av statens medel få ersättning för kostnader för vissa anskaffningar som gjorts enbart för de behov som myndigheterna uppgett. Enligt statsrådet är de nu aktuella åtgärderna sådana att de ska ersättas av statens medel.

Rambeslutets effekter

Utvecklingen mot informationssamhälle

Att skyldigheten gäller nya uppgifter och nya bevaringssätt skulle enligt utskottets uppfattning inte bara leda till en försämrad samhällsekonomisk konkurrensförmåga utan också avsevärt försämra skyddet för privatlivet. Varken finländska eller andra europeiska poliser har hittills i tillräcklig utsträckning kunnat motivera den nytta som en mera omfattande lagring skulle ha för utredning av brott. Därför måste lagringsskyldigheten i förslaget anses vara överdimensionerad i förhållande till de rättsobjekt som ska skyddas.

Utskottet känner oro för när man med olika åtgärder överskrider en gräns där medborgarna börjar tappa förtroendet för nät- och kommunikationstjänsterna och de informationssamhällstjänster som baserar sig på dem. En allmän lagringsskyldighet med vidhängande idéer om kontroll av medborgare kan vara en betydande faktor som försvagar det allmänna förtroendet.

Medborgarnas rättsskydd

Utskottet konstaterar att en central fråga med tanke på förslaget är i vilken omfattning det leder till behandling av identifieringsuppgifter för telemeddelanden som teleföretaget inte har något behov av eller rättslig grund i sin egen verksamhet. Om förslaget överskrider dessa gränser står det i konflikt med de grundläggande principerna för det nuvarande dataskyddet för televerksamhet och skyddet för konfidentiella meddelanden, eftersom kravet på lagringsskyldighet inte ligger i operatörernas omedelbara intresse. Enligt sakkunniga genomförs inte principerna för bundenheten till användningssyftet och relevanskravet i vår lagstiftning.

Det har påpekats för utskottet att i förarbetena borde finnas en riskbedömning där förslaget avvägs med avseende på bekämpning och utredning av brott, konfidentialiteten vid kommunikation och kostnaderna. Problematiskt är att i förslaget inte bedöms vilken nytta systemet får för bekämpning och utredning av brott. I bedömningen borde också närmare preciseras i vilken typ av brott identifieringsuppgifter för telemeddelanden över huvud taget är till gagn för utredningen. Man bör också göra en bedömning av gränser för rätten att hantera identifieringsuppgifter och lägga fram en kalkyl över hanteringskostnaderna.

Under sakkunnigutfrågningen konstaterades att bättre än den föreslagna skyldigheten att bevara uppgifter vore förbudet mot förstöring av uppgifter enligt Europarådets konvention mot IT-relaterad brottslighet (Cyber Crime Convention). En förlängning av tiden för bevarande av uppgifter skulle då ske på myndigheternas specificerade begäran från fall för fall. Utskottet anser att det föreslagna förbudet att förstöra uppgifter skulle vara mera exakt och ha mindre principiell betydelse än den nu aktuella generella skyldigheten att bevara uppgifter. Enligt sakkunniga består dock problemet i att förbudet att förstöra uppgifter inte har ansetts vara tillräckligt i bekämpningen av gränsöverskridande brottslighet, vilket enligt de sakkunniga i fråga har kunnat ses både i de fyra medlemsstaternas förslag och i Europarådets slutsatser från den 18 juni 2004 som ligger bakom förslaget.

Bedömning av regeringens ståndpunkt

I statsrådets skrivelse till riksdagen konstateras att förslaget till rambeslut om bevarande av identifieringsuppgifter i princip kan bemötas positivt. Regeringen kommer dock med sex viktiga reservationer.

Regeringen anser en ändamålsenlig utgångspunkt i den fortsatta beredningen av förslaget vara att en eventuell förpliktelse att bevara identifieringsuppgifter från elektronisk kommunikation ska gälla sådana identifieringsuppgifter hos teleföretagen som redan nu bevaras i flera månader som en del av den lagliga nät- och kommunikationstjänsten och vars bevaringstid kan harmoniseras i enlighet med det föreslagna rambeslutet. Utskottet konstaterar dock att regeringens avgränsning till identifieringsuppgifter hos teleföretagen som redan bevaras i flera månader är diffus. Den ändras för det första när teleföretagens faktureringspraxis ändras, vilket blir aktuellt i och med Internetsamtal. Den kan dessutom innehålla Internetuppgifter såsom GPRS-uppgifter. Utskottet anser vidare att bevaringstiden inte ska vara längre än vad som behövs och i varje fall inte längre än 12 månader.

Regeringen anser vidare att bevaringsförpliktelsen bör kunna genomföras till skäliga kostnader och med existerande tekniska lösningar. Utskottet menar att lagringen måste kunna ske med existerande tekniska lösningar och anser att så skapade databaser och register om möjligt ska hanteras med hjälp av nuvarande tekniska lösningar. Utskottet påpekar i detta sammanhang att teleföretagen blir skyldiga att hålla databaser och register och att frågan om det behövs nationell reglering i fråga om registerhållarens rättsliga ställning bör utredas.

Regeringen konstaterar dessutom att regleringen bör vara teknikneutral i fråga om de uppgiftstyper som bevaras och kunna tillämpas även i framtiden i takt med den tekniska utvecklingen. Utskottet anser att tillämpningen av reglerna på nya tekniska anordningar förutsätter att de är lika exakta som för nuvarande anordningar och att nya anordningar inte får användas för att onödigt utvidga reglerna på bekostnad av medborgarnas grundläggande fri- och rättigheter.

Med tanke på de föreslagna övervakningsåtgärdernas proportionalitet i förslaget anser utskottet det vara acceptabelt att skyldigheten att bevara uppgifter, precis som regeringen påpekat, ska gälla sådana identifieringsuppgifter hos teleföretag som de redan bevarar i flera månader som en del av den lagliga nät- och kommunikationstjänsten. Om uppgifterna nu lagligt bevaras i åtta månader för faktureringsändamål, skulle det alltså i praktiken innebära att samma uppgifter bevaras på samma sätt fyra månader längre. Det handlar inte om nya uppgifter eller nya sätt att bevara uppgifterna, något som bör beaktas i bedömningen av hur förslaget försvagar skyddet för privatlivet. Frågan är också mycket relevant med hänsyn till kostnaderna för samhället.

Av ovan nämnda skäl anser utskottet att regeringens ståndpunkt är nationellt och europeiskt hållbar. Regeringens sex viktiga reservationer utgör enligt utskottet en helhet och förslaget kan inte godkännas utan dem. Därför anser utskottet att utgångspunken bör vara att Finland i den fortsatta beredningen ställer som villkor för godkännande av förslaget att alla sex reservationer antas.

Utlåtande

Kommunikationsutskottet meddelar

att utskottet omfattar regeringens ståndpunkt under förutsättning,

- att Finland i den fortsatta beredningen förutsätter att förslaget inte godkänns, om inte alla sex reservationer som regeringen lagt fram antas, och

- att statsrådet med reservationer ser till att det inte fattas beslut som är bindande för Finland förrän utskottet har haft tillfälle att på nytt uttala sig i frågan.

Helsingfors den 28 oktober 2004

I den avgörande behandlingen deltog

  • ordf. Markku Laukkanen /cent
  • vordf. Matti Kangas /vänst
  • medl. Mikko Alatalo /cent
  • Leena Harkimo /saml
  • Saara Karhu /sd
  • Inkeri Kerola /cent
  • Risto Kuisma /sd
  • Reino Ojala /sd
  • Erkki Pulliainen /gröna
  • Pertti Salovaara /cent
  • Arto Seppälä /sd
  • Timo Seppälä /saml
  • Lasse Virén /saml
  • Raimo Vistbacka /saf
  • ers. Lyly Rajala /saml

Sekreterare var

utskottsråd Mika Boedeker