Afnám gagnageymdar

Þingmenn PírataPíratar hafa lagt fram frumvarp um afnám gagnageymdar. Samkvæmt 3. mgr. 42. gr. laga um fjarskipti er fjarskiptafyrirtækjum gert skylt að varðveita lágmarksskráningu gagna um fjarskiptaumferð notenda í sex mánuði, í þágu sakamálarannsókna. Lágmarksskráningin skal tryggja að fjarskiptafyrirtæki geti upplýst hver af viðskiptavinum þess var notandi tiltekins símanúmers, IP-tölu eða notendanafns, jafnframt því að upplýsa um allar tengingar sem notandinn hefur gert, dagsetningar þeirra, hverjum var tengst og magn gagnaflutnings til viðkomandi notanda. Ákvæðið á sér fyrirmynd í tilskipun frá Evrópusambandinu sem Evrópudómstóllinn dæmdi ógilda fyrir tæpu ári síðan þar sem hún þótti fara í bága við grundvallarreglur um skerðingar á friðhelgi einkalífs og meðalhóf.

Í greinargerð með frumvarpinu segir meðal annars:

Gagnageymd er í raun forvirk rannsóknarheimild sem skapar alvarlega hættu fyrir friðhelgi einkalífsins. Þessi hætta hefur verið gerð ljós af ýmsum aðilum, t.d. í umsögn persónuverndarfulltrúa Evrópusambandsins 31. maí 2011, þar sem segir að ekki hafi verið sýnt með nægilega skýrum hætti fram á nauðsyn gagnageymdar, að gagnageymd hefði verið framkvæmanleg á vegu sem gengi síður gegn persónuverndarsjónarmiðum, og að tilskipunin hafi skilið eftir of mikið svigrúm fyrir túlkun af hálfu ákæruvaldsins. Það er ekki hægt að sjá annað en að öll þessi atriði eigi líka við í íslenska tilfellinu.

Nú hefur komið í ljós að friðhelgi einkalífs íslenskra borgara er engan veginn nægilega trygg og gagnageymdarákvæði laganna hefur boðið alvarlegri hættu heim sem raungerðist í kjölfar stærstu og alvarlegustu tölvuárásar í sögu landsins sem gerð var 30. nóvember 2013 á vefsíðu fjarskiptafyrirtækisins Vodafone. Í kjölfarið var persónuupplýsingum um tugi þúsunda viðskiptavina Vodafone lekið á internetið. Þar á meðal voru bankaupplýsingar, lykilorð og sms-skilaboð. Meðal upplýsinga sem lekið var voru upplýsingar sem ekki heyra undir gagnageymd, svo sem efni sms-skilaboða. Þá var einnig um að ræða upplýsingar sem átti að hafa verið eytt í samræmi við gagnageymdarákvæði fjarskiptalaga. Vodafone hefur gengist við því að hafa gert mistök við varðveislu og eyðingu umræddra gagna. Íslenskar eftirlitsstofnanir virðast ekki hafa bolmagn til að annast eftirlit með fjarskiptafyrirtækjum og því að lagafyrirmælum sé hlítt. Verði gagnageymd ekki afnumin er ljóst að stórauka þarf eftirlit með framkvæmd hennar og verja mun meira fé til eftirlitsstofnana í þeim tilgangi.

Með lögum um fjölmiðla, nr. 38/2011, kom til sögunnar í 25. gr. skylda starfsmanna fjölmiðlaveitna, sem hafa hlotið skráningu hjá fjölmiðlanefnd, til að vernda heimildarmenn sína hafi þeir óskað nafnleyndar. Þar sem heimildarmenn fjölmiðla hafa mjög oft samskipti við fjölmiðlaveiturnar gegnum síma eða internet er ljóst að hægt er að sniðganga vernd heimildarmanna vegna gagnageymdar. Evrópsku blaðamannasamtökin hafa lýst því yfir að gagnageymd ógni öryggi heimildarmanna með því að skapa aðstæður þar sem tölfræðilega mundi reynast auðvelt að átta sig á hver heimildarmaður væri í mörgum tilvikum. Þessi yfirgripsmikla gagnageymd ógni þá tjáningarfrelsi heimildarmanna sem og lögvörðum rétti fjölmiðla.

Í fyrrgreindum dómi Evrópudómstólsins er vikið sérstaklega að tveimur grundvallarréttindum Evrópusambandsins, annars vegar friðhelgi einkalífs og hins vegar vernd persónuupplýsinga. Í dómi Evrópudómstólsins kemur m.a. fram að „gögn sem geyma skal gera það kleift, að persónugreina við hverja áskrifandi eða skráður notandi á samskipti við og á hvaða hátt, að greina tíma samskipta og staðsetningu samskipta; og ákvarða tíðni samskipta áskrifenda eða skráðra notenda við ákveðna einstaklinga yfir ákveðinn tíma.“ Enn fremur segir í dóminum: „Þessi gögn, sem heild, geta gefið mjög nákvæmar upplýsingar um einkalíf þeirra einstaklinga hverra gögn eru geymd, svo sem hversdagslegar venjur, fast eða ótímabundið aðsetur, daglegar eða aðrar ferðir, erindagjörðir, félagsleg samskipti og félagslegt umhverfi. Dómurinn lítur svo varðveisla gagnanna og afhending þeirra til yfirvalda eftir atvikum, hafi tilskipunin alvarleg áhrif á þau grunnréttindi rétt til einkalífs og vernd persónugagna. Ennfremur er sú staðreynd að gögn eru geymd og í framhaldi notuð án vitneskju áskrifanda eða skráðs notanda líkleg til þess að vekja upp þá tilfinningu hjá þeim persónum er málið varðar að einkalíf þeirra séu undir stöðugu eftirliti.“ Það var niðurstaða dómsins að tilskipunin bryti gegn meðalhófsreglu Evrópuréttarins í ljósi alvarleika þess inngrips í friðhelgi einkalífs sem hún felur í sér og að ekki sé kveðið á um nægilegar varúðarráðstafanir til að tryggja að tilskipunin gangi ekki lengra en nauðsyn ber til.

Um meinta gagnsemi gagnageymdar

Ein helstu rökin fyrir gagnageymd hafa verið meint gagnsemi hennar við rannsóknir á hryðjuverkum. Í samþykkt Evrópuráðs MCM(2009)0114 er lýst yfir töluverðum áhyggjum af því að við ýmsa lagasetningu í kjölfar hryðjuverkaárásanna í Madríd 2003 og London 2004 hafi ekki verið tekið nægilega mikið tillit til grundvallarmannréttinda á borð við tjáningarfrelsi og meðalhófsreglu. Samkvæmt samþykktinni ber að endurskoða slík lög reglulega. Samkvæmt upplýsingum frá ríkissaksóknara hafa þau gögn sem fjarskiptafyrirtækjum ber að varðveita fyrst og fremst verið nýtt í þágu rannsókna á fíkniefnabrotum. Þrátt fyrir að þessar rannsóknir séu tvímælalaust mikilvægar vakna upp spurningar um hvort meðalhófsreglu sé nægilega vel sinnt með þessari nálgun. Tölfræði frá þýsku lögreglunni5 sýna að gagnageymd hafi ekki haft nein marktæk áhrif á fjölda upplýstra mála og sér í lagi ekki á fjölda upplýstra alvarlegra glæpa.6 Rannsókn sem gerð var við Erasmusháskóla í Rotterdam sýnir að í 65 málum sem upp komu var hægt að nálgast nægilegar upplýsingar um fjarskipti í þeim gögnum sem fjarskiptafyrirtæki geyma vegna innra bókhalds án sérstakrar gagnageymdar.7 Skýrsla sem samtökin European Digital Rights (EDRi) unnu sýndi að af 6 milljónum glæparannsókna á ári í Þýskalandi voru innan við 0,01% mála þar sem rannsóknir breyttust verulega vegna skorts á geymdum gögnum.8Rannsóknin sýndi að áður en gagnageymd kom til sögunnar upplýstust 71% mála þar sem fjarskipti eða internetnotkun komu við sögu, sem var þó þegar mun meira en þau mál sem upplýstust þar sem engin fjarskipti komu við sögu, eða um 55%. Ekki hafa fengist viðlíka gögn frá embætti ríkislögreglustjóra.

Í skýrslu sem lak frá framkvæmdastjórn Evrópusambandsins 18. apríl 2011 var því haldið fram að gagnageymd væri mikilvægur liður í glæparannsóknum. 9 En hvergi í sömu skýrslu komu fram sannanir fyrir því að svo væri í raun og veru að áliti Helen Darbishire, framkvæmdastjóra samtakanna Access Info Europe, sem hefur reynt að afla upplýsinga um nýtingu slíkra ákvæða frá öllum þeim löndum sem hafa útfært gagnageymd. Að sögn samtakanna hafa stjórnvöld hvergi getað fært nægjanleg rök fyrir stórfelldum og stöðugum njósnum um alla 500 milljón íbúa Evrópusambandsins, svo ekki sé minnst á hina rúmlega 300.000 íbúa Íslands. Að meðaltali var sérhver Evrópubúi skráður vegna gagnageymdar einu sinni á sex mínútna fresti árið 2010. Samkvæmt danskri tölfræði er sérhver danskur ríkisborgari skrásettur að meðaltali 225 sinnum á dag.10

Efni frumvarpsins.   

Með frumvarpinu er lagt til að ákvæði fjarskiptalaga um gagnageymd verði fellt brott og fjarskiptafyrirtækjum verði ekki lengur gert að varðveita lágmarksskráningu gagna um fjarskiptaumferð í sex mánuði. Þrátt fyrir afnám gagnageymdar hafa fjarskiptafyrirtækin áfram heimild til að varðveita gögn annars vegar um fjarskiptaumferð til að geta afgreitt fjarskiptasendingar og hins vegar gögn um fjarskiptanotkun í þágu reikningsgerðar. Við undirbúning frumvarpsins kom til greina að skilgreina nákvæmlega hvaða gögn skyldi heimilt að varðveita og hve lengi. Við nánari skoðun var ekki talið ráðlegt að fara þá leið enda getur reynst mjög flókið að telja það upp í lagatexta. Fjarskiptafyrirtæki geta haft ólíkan hátt á í starfsemi sinni og þá getur landslagið í þessum geira breyst verulega. Ekki þykir því rétt að setja fjarskiptafyrirtækjum of þröngan lagaramma við ákvörðun um hvernig þau haga reikningagerð sinni og gjaldskrám. Flutningsmenn telja hins vegar rétt að tiltaka áfram í 1. og 2. mgr. 42. gr. laganna að fjarskiptafyrirtækin skuli aðeins varðveita þau gögn sem nauðsynleg eru fyrir annars vegar fjarskiptasendingar og hins vegar reikningsgerð og eyða slíkum gögnum um leið og ekki er lengur þörf fyrir þau.Til að tryggja að fjarskiptafyrirtæki fari eftir þessum reglum um nauðsyn verði þeim gert að upplýsa notendur um hvaða gögn séu varðveitt samkvæmt heimild annars vegar í 1. og hins vegar í 2. mgr. 42. gr. og tímabilið sem þau eru varðveitt. Þá verði fjarskiptafyrirtækjunum einnig gert skylt að upplýsa viðskiptavini sína um hvaða gögnum er eytt og hvenær.

Fjarskiptafyrirtæki gætu t.d. tekið fram í notendaskilmálum hvernig gagnavarðveislu er háttað og hve lengi hún stendur yfir. Kostur þessarar leiðar er sá að viðskiptavinir og eftirlitsaðilar, eftir atvikum Póst- og fjarskiptastofnun og/eða Persónuvernd, geta haft eftirlit með því að upplýsingar og verklagsreglur fjarskiptafyrirtækjanna um gagnavarðveislu og eyðingu standist ákvæði laganna um „nauðsyn varðveislunnar“.

Þá er það mat flutningsmanna að nauðsynlegt sé að taka afstöðu til þess hvort áfram eigi að vera heimilt að nýta þau gögn sem fjarskiptafyrirtæki varðveita í þágu rannsókna sakamála. Að mati flutningsmanna er nauðsynlegt að gera nokkrar breytingar á XI. kafla laga um meðferð sakamála sem fjallar um símahlustun og sambærileg úrræði. Helst er þar um að ræða breytingar sem tryggja að upplýsingar sem fást með þessum hætti skipti miklu fyrir rannsókn sakamáls og hins vegar að brotið sem til rannsóknar er sé mjög alvarlegs eðlis. Í frumvarpi á þingskjali 1129, sem lagt er fram samhliða þessu frumvarpi, er lagt til að aðeins megi veita aðgang að fjarskiptagögnum ef brot sem til rannsóknar er geti varðað átta ára fangelsi.

Hér má nálgast frumvarpið og upplýsingar um feril þess á Alþingi.