Regeringskansliet

Faktapromemoria 2004/05:FPM23

Rambeslut om bevarande av uppgifter relaterade till Internet- och telefontrafik

Justitiedepartementet

2004-11-11

Dokumentbeteckning

KOM (2004) 8959

Utkast till rambeslut om bevarande av uppgifter som har behandlats och lagrats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller uppgifter i allmänna kommunikationsnät för förebyggande, utredning, upptäckt och lagföring av brott och straffbara gärningar, inklusive terrorism.

Sammanfattning

Förslaget går ut på att uppgifter om trafiken mellan uppkopplingar (t.ex. hur de stått i förbindelse med varandra vid en viss tidpunkt) skall bevaras av tele- och Internetoperatörer under en viss tid, så att dessa uppgifter finns tillgängliga för de brottsbekämpande myndigheterna i det internationella straffrättsliga samarbetet. I avsnitt 3.3 i denna promemoria ges en förklaring av flera tillämpliga fackuttryck.

1Förslaget

Bakgrund

Varje gång någon ringer ett telefonsamtal eller kopplar upp sig på Internet genereras en mängd trafikuppgifter hos den eller de operatörer som tillhandahåller kommunikationsnäten och kommunikationstjänsterna. Uppgifterna genereras hos operatörerna, som i många fall sparar dessa under en viss tid, till exempel för att kunna fakturera användaren. De uppgifter som operatörerna har om trafiken, kan härledas till en viss dator eller en viss telefon. Dessa uppgifter, som talar om vilka telefoner eller datorer som varit i kontakt med varandra, och vilka som i sin tur äger de aktuella telefon- eller Internetabonnemangen, kan vara ett viktigt spår för polisen i utredningen av brott. Tillgången till information om vem en misstänkt person haft kontakt med i samband med ett brott, eller varifrån han eller hon har ringt, kan vara av stor betydelse för polisen i utredningen av brottet, och kan även vara utgöra bevis i en domstolsförhandling.

Allmänt om förslaget

Förslaget till rambeslut har presenterats för rådet av fyra medlemsstater gemensamt, Sverige, Frankrike, Förenade kungariket och Irland. I EG-direktivet 2002/58/EG om integritetsskydd och elektronisk kommunikation stadgas som huvudregel att trafikuppgifter om abonnenter och användare som behandlas och lagras av den som levererar ett allmänt kommunikationsnät (t.ex. ett telenät) eller en allmänt tillgänglig elektronisk kommunikationstjänst (t.ex. ett telefonabonnemang) skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra kommunikationen. Det finns några undantag från denna huvudregel, till exempel får operatörer lagra data som de behöver i faktureringssyfte.

I direktivet ges även en möjlighet till undantag från huvudregeln i syfte att förebygga, undersöka, avslöja och åtala för brott. Detta måste i så fall föreskrivas i lag och vara nödvändigt, lämpligt och proportionellt i ett demokratiskt samhälle, i förhållande till syftet. EU:s medlemsstater har i olika mån valt att använda sig av möjligheten att lagstadga om obligatorisk lagring av trafikuppgifter för brottsbekämpningsändamål. I vissa medlemsstater finns därför krav på lagring under en viss period, medan sådant krav saknas i andra medlemsstater.

Det föreslagna rambeslutet syftar till att komma till rätta med den situationen, så att regleringen tillnärmas mer inom EU. Tanken är att de brottsförebyggande myndigheterna skall kunna vända sig till andra EU-länder med förfrågningar om tillgång till lagrad information t.ex. om vilka telefoner som stått i kontakt med varandra vid en viss tidpunkt, när detta behövs i utredningen av ett brott.

Rambeslutet lades fram som ett svar på den uppmaning som EU:s stats- och regeringschefer gav vid toppmötet i Bryssel i mars 2004, i förklaringen om kampen mot terrorism. I förklaringen uppmanas rådet att med prioritet undersöka möjligheten till åtgärder för att fastställa regler för bevarande av trafikuppgifter från kommunikation.

1.1Innehåll

Förslaget har nio artiklar.

Syftet med rambeslutet (artikel 1) är att underlätta straffrättsligt samarbete genom att säkra att trafikuppgifter som finns hos en operatör inte raderas när de behövs för att förebygga, utreda, upptäcka och åtala för brott. Viktigt att notera är att rambeslutet inte omfattar innehållet i meddelanden som utväxlats, utan bara information av typen vem ringde vem vid vilken tidpunkt. I konsekvens med detta omfattar rambeslutet inte regler om straffrättsligt samarbete som rör teleavlyssning. Vidare faller åtgärder beträffande allmän säkerhet, försvar och nationell säkerhet och nationella regler som rör lagring av typer av uppgifter som inte lagras av operatörer för deras egen verksamhet utanför rambeslutets tillämpningsområde.

I vissa medlemsstater kan polisen få tillgång till trafikuppgifter även i förebyggande syfte. I andra medlemsstater får trafikuppgifter enbart användas av polisen då ett brott redan är begånget. Direktiv 2002/58/EG som omnämnts ovan, ger medlemsstaterna möjlighet att välja om brottsförebyggande ändamål skall kunna ligga till grund för ett lagstadgat krav på operatörer att lagra trafikuppgifter. Förevarande rambeslut låter den valmöjligheten kvarstå. De länder som inte vill lagra trafikuppgifter för brottsförebyggande ändamål kan välja att inte tillämpa rambeslutet på brottsförebyggande verksamhet, men måste då informera rådet och kommissionen om detta.

Eftersom rambeslutet härleds från ovan nämnda direktiv, så har man strävat efter att behålla samma definitioner som i direktivet (artikel 2). Således inkluderar uppgifter i rambeslutet trafikuppgifter och lokaliserings-uppgifter så som dessa definieras i artikel 2 i direktivet. Det innebär att trafikuppgifter är alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera kommunikationen. Lokaliseringsuppgifter är alla uppgifter som behandlas i ett elektroniskt kommunikationsnät och som visar den geografiska positionen för terminalutrustningen för en användare av en allmänt tillgänglig elektronisk kommunikationstjänst. Slutligen anges i rambeslutet att abonnentuppgifter och användaruppgifter kopplade till trafik- och lokaliseringsuppgifter också skall inkluderas i termen uppgifter. Med användaruppgifter avses uppgifter som är kopplade till en person som använder en allmänt tillgänglig elektronisk kommunikationstjänst även om personen inte abonnerar på tjänsten, medan abonnentuppgifter avser uppgifter kopplade till en person som abonnerar på en allmänt tillgänglig elektronisk kommunikationstjänst även om man inte använt tjänsten.

Termen uppgifter skall i rambeslutet omfatta

uppgifter som behövs för att kunna spåra och identifiera kommunikationens ursprung, inklusive användar- och anslutningsuppgifter samt uppgifter som identifierar abonnerade tjänster

uppgifter som behövs för att kunna identifiera kommunikationens rutt och destination

uppgifter som behövs för att kunna identifiera datum och tid för kommunikationen och hur länge den varade

uppgifter som behövs för att kunna identifiera telekommunikationen (t.ex. storlek och format på ett e-postmeddelande)

uppgifter som behövs för att kunna identifiera vilken typ av kommunikationsverktyg som används

uppgifter för att kunna identifiera den geografiska positionen, från start och genom hela kommunikationen.

Ovan nämnda uppgifter som alltså omfattas av rambeslutet genereras bland annat genom telefoni (inklusive SMS, EMS och MMS) och Internetprotokoll (t.ex. e-post, VoIP, www, ftp, ntp och http). Eftersom utvecklingen snabbt för tekniken framåt på detta område anger rambeslutet även att framtida teknisk utveckling som underlättar överförandet av kommunikation skall omfattas av rambeslutet.

Med rambeslutet åtar sig medlemsstaterna att, i syfte att kunna erbjuda straffrättsligt samarbete, vidta de åtgärder som krävs för att sådana uppgifter som behandlats och lagrats av operatörer lagras i enlighet med rambeslutet (artikel 3). Tiden för hur länge uppgifterna skall lagras varierar beroende på vilken typ av uppgift det är fråga om (artikel 4). Uppgifter som rör telefoni (vem har ringt vem vid vilken tidpunkt) skall lagras minst 12 och högst 36 månader, men längre lagringstider kan komma på fråga om sådan lagring är nödvändig, lämplig och proportionerlig. Medlemsstaterna ges däremot möjlighet att göra undantag från den fastställda lagringstiden beträffande uppgifter som rör tjänster kopplade till telefoni (SMS, EMS, MMS) och uppgifter som genererats genom Internetprotokoll. Ett sådant undantag måste anmälas till rådet och kommissionen där alternativa tidsperioder anges och undantaget skall ses över årligen.

Om en medlemsstat behöver tillgång till trafikuppgifter från en annan medlemsstat så skall en förfrågan göras och besvaras i enlighet med befintliga instrument om rättsligt samarbete som antagits under kapitel 6 i Fördraget om Europeiska unionen (artikel 6). Det innebär att rambeslutet inte skapar några nya samarbetsinstrument, utan att den EU-konvention om ömsesidig rättslig hjälp i brottmål som antogs 2000 skall gälla, liksom den Europarådskonvention från 1959 som EU-konventionen bygger på. Den tillfrågade medlemsstaten kan ställa samma krav för att ge tillgång till uppgifter som man skulle ha ställt i ett liknande nationellt fall och det är även den tillfrågade statens nationella rätt som bestämmer proceduren för att beredas tillgång till de lagrade uppgifterna.

Alla medlemsstater skall se till att uppgifter som lagras inom ramen för rambeslutet skall som ett minimum vara föremål för ett antal dataskyddsbestämmelser (artikel 6).

Medlemsstaterna åtar sig också att inrätta rättsmedel i enlighet med bestämmelserna i kapitel III om rättslig prövning, ansvar och sanktioner i direktiv 95/46/EG. Detta innebär att medlemsstaterna skall föreskriva att var och en har rätt att föra talan inför domstol över kränkningar, liksom rätt till skadestånd. Medlemsstaterna skall även besluta om sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra rambeslutet.

Förutom dataskyddsbestämmelserna skall medlemsstaterna även se till att uppgifter som lagras inom ramen för rambeslutet som minimum är föremål för ett antal säkerhetsbestämmelser. Dessa syftar till att skydda uppgifterna från att bli förstörda eller ändrade. Medlemsstaterna skall därvid se till att:

En hänvisning görs även till artikel 4 i direktiv 2002/58/EG som stipulerar skyldigheter för operatörer att vidta lämpliga åtgärder för att uppnå en lämplig säkerhetsnivå.

Rambeslutet skall genomföras inom två år från det att det har antagits och ett år senare skall kommissionen avge en rapport till rådet som utvärderar i vilken utsträckning medlemsstaterna har vidtagit de nödvändiga åtgärderna för att leva upp till rambeslutet. Rambeslutet skall träda i kraft den tjugonde dagen efter dess publicering i Europeiska unionens officiella tidning.

1.2Gällande svenska regler och förslagets effekt på dessa

För närvarande uppställs i Sverige inga krav på operatörer, att dessa skall lagra trafikuppgifter för brottsbekämpningsändamål. Operatörer har dock rätt att lagra trafikuppgifter för vissa andra ändamål (t.ex. fakturering) och om sådana uppgifter finns tillgängliga så har polisen viss lagstadgad rätt att få tillgång till uppgifterna. I regel betalar polisen en avgift till operatören för att få sådan tillgång, men detta varierar från operatör till operatör.

Rambeslutet kommer att innebära att Sverige måste införa obligatorisk lagring av vissa trafikuppgifter för brottsbekämpningsändamål.

1.3Budgetära konsekvenser

Det är svårt att i dagsläget överblicka de budgetära konsekvenserna. För närvarande bekostar operatörerna själva lagring av uppgifter som sker för den egna verksamhetens behov medan polisen i de flesta fall betalar operatören för att få tillgång till uppgifterna. Frågan om vem som skall bära eventuella kostnader som kan uppkomma för operatörerna regleras inte i rambeslutet. Rambeslutet reglerar heller inte kostnadsfördelning medlemsstaterna emellan (frågande och verkställande stat). Eventuella merkostnader med anledning av förslaget skall finansieras inom ramen för befintliga anslag.

2Ståndpunkter

2.1Svensk ståndpunkt

I enlighet med Europeiska rådets förklaring om kampen mot terrorism verkar Sverige för ett antagande senast i juni 2005. I denna process skall en ansvarsfull avvägning mellan kolliderande intressen göras, så att kravet på lagring motsvarar vad som är nödvändigt, lämpligt och proportionerligt.

Det är viktigt att finna en balans mellan de integritetsaspekter som bl.a. kommer till uttryck i direktiv 2002/58/EG och brottsbekämpande myndigheters möjlighet att utreda och lagföra brott.

2.2Medlemsstaternas ståndpunkter

Vid behandling inom rådet har framkommit att medlemsstaterna i huvudsak är positiva till initiativet men att rambeslutet behöver förtydligas på vissa punkter, t.ex. rörande vilken typ av uppgifter som skall lagras.

2.3Institutionernas ståndpunkter

Europaparlamentet har ännu inte tagit ställning till förslaget. Kommissionen konstaterar i ett konsultationsdokument (30 juli 2004) att en proportionerlig och konsekvent inställning i frågan om lagring av trafikuppgifter skulle gynna den inre marknaden. Detta för att de som tillhandahåller elektroniska kommunikationstjänster skall slippa mötas av olika tekniska och rättsliga miljöer i olika medlemsstater.

2.4Remissinstansernas ståndpunkter

Någon formell remissbehandling av det föreslagna rambeslutet har inte skett nationellt. Information om ställningstaganden från olika grupper har dock inkommit.

Polisen har såväl nationellt som internationellt betonat vikten av tillgång till trafikuppgifter i brottsutredningar. Det har även framhållits att möjligheten att utreda de brott som harmoniserats med anledning av rambeslutet om angrepp mot informationssystem är avhängig tillgången till trafikuppgifter.

Artikel 29-kommittén är inrättad inom EU för att ge råd i frågor om skyddet av den personliga integriteten vid elektronisk kommunikation och består av representanter från medlemsstaternas dataskyddsmyndigheter. Kommittén har vid tidigare tillfällen kommenterat lagring av trafikuppgifter. Man har därvid kommit till den slutsatsen att systematiskt bevarande av varje typ av uppgifter för en tid om ett år eller mer skulle vara oproportionerligt och oacceptabelt. Kommittén granskar för närvarande liggande utkast till rambeslut och förväntas publicera ett yttrande inom kort.

Kommissionen har vid två tillfällen anordnat möten där flera stora operatörer varit representerade. Bl.a. vid dessa möten har framkommit att dessa oroar sig över tillkommande kostnader i samband med obligatorisk lagring. Beroende på hur lagringsskyldigheten utformas kan kostnaderna bli betydande. Polisens behov av lagrade trafikuppgifter och effektiviteten av sådan lagring har ifrågasatts. De anser även att staten bör stå för tillkommande kostnader för att kunna lagra och förse polisen med trafikuppgifter. Detta då brottsbekämpning är en statlig angelägenhet och kostnaderna bör synliggöras och bäras av den som efterfrågar åtgärderna. Åliggandena riskerar även att hämma marknadens utveckling och företagens globala konkurrenskraft hotas. Frågan om skyddet av den personliga integriteten förs fram som viktig även ur företagsperspektiv då frågan om hur trafikuppgifter hanteras påverkar kunders tillit.

3Övrigt

3.1Fortsatt behandling av ärendet

Förhandlingar förs i arbetsgruppen för straffrättsligt samarbete. Andra relevanta arbetsgrupper hålls informerade om utvecklingen. Den antiterrorismförklaring som EU:s stats- och regeringschefer antog i mars 2004 förutser ett antagande av rambeslutet senast i juni 2005

3.2Rättslig grund och beslutsförfarande

Artiklarna 31(1) c (straffrättsligt samarbete) och 34(2) b (rambeslut) är rättslig grund. Beslut fattas med enhällighet efter att ha konsulterat parlamentet.

3.3Fackuttryck/termer

Short Message Services (SMS) är den funktionen som gör att man kan skicka korta text meddelanden med sin mobiltelefon.

Multi Media Messaging Services (MMS) är samma som SMS men med MMS kan man även bifoga ljud- och bildfiler.

Electronic Media Services (EMS) är den funktion som möjliggör Internetsurfande via mobilen (t.ex. WAP).

Protocol är lite förenklat det språk som talas mellan datorer för att hjälpa dem att utbyta information. Rent tekniskt är det en formell beskrivning av ett meddelandeformat och de regler som två datorer måste följa för att få utbyta dessa meddelanden.

Internet Protocol (IP) är en uppsättning regler för kommunikation mellan datorer på Internet.

IP-adress är en adress som är kopplad till en värddator. Varje resurs på Internet har en unik numerisk IP-adress som återges med prickade decimalmarkeringar (t.ex. 123.456.789). IP-adresser är det närmaste Internet kommer telefonnummer. När man ringer det numret ansluts man till den dator som äger den IP-adressen.

World Wide Web (www) är en funktion på Internet eller på ett intranät som medger att man enkelt kan hämta sammanlänkad information i form av text, bild och ljud.

Voice over Internet Protocols (VoIP) innebär att man använder Internet för överföring av telefonsamtal.

Voice over Broad Band innebär att man använder en bredbandsuppkoppling för överföring av telefonsamtal.

File Transfer Protocols (FTP) är ett protokoll som används för filöverföring, d.v.s. att ladda ner och ladda upp filer över en Internetanslutning.

Network Transfer Protocols (NTP) Skall troligtvis rätteligen vara Network Time Protocols, vilket är ett protokoll som används för att synkronisera olika operatörers system för tidsangivelser enligt en global standard.

Hyper Text Transfer Protocols (http) är den metod som används för överföring av dokument från en värddator eller server till web-läsare och individuella användare.

Network Address Translation Data är de uppgifter som visar att nätverksadresser har konverterats mellan olika nätverk, t.ex. mellan VoIP och vanlig telefoni.