Lækkede svenske overvågningsplaner: Afviser EU-dom om, at logning skal være målrettet

EU-domstolen afgjorde i december, at ikke-differentieret og ikke-målrettet overvågning er i strid med retten til privatliv. Dommen har over en kam fået eksperter til at erklære telelogning for dødsdømt.

Men i Sverige er man ikke klar til at holde begravelsestale.

Den svenske ISP Bahnhof meddelte i sidste uge, at selskabet havde fået adgang til dokumenter fra en kommission, der er nedsat af den svenske regering for at undersøge, hvordan landets logningsregler skal ændres som følge af dommen.

Nu har Bahnhof fremlagt det lækkede materiale, som generelt lægger op til at øge – og ikke begrænse – den svenske logning.

»Det er tilsyneladende en anden og noget mere aggressiv strategi end den, som Justitsministeriet i Danmark arbejder med,« bemærker Jesper Lund, der er formand i IT-Politisk Forening, i en mail til Version2.

»På samrådet i marts sagde Søren Pape, at den nuværende logningsbekendtgørelse skal erstattes med en målrettet logning. Men ... Justitsministeriet kan selvfølgelig skifte mening. Det er set før.«

Det lækkede materiale er kun et brudstykke af kommissionens arbejde, der efter planen skal præsenteres den 9. oktober. Der er derfor en del usikkerheder, understreger Jesper Lund.

SÄPO: Logning kan beholdes

I det lækkede materiale fremgår det, at kommissionen nægter at anerkende dele af EU-dommens indhold.

Navnlig vil de svenske forfattere til rapporten ikke acceptere kravet om, at logningen fremover skal være målrettet.

I en separat kommentar fra den svenske efterretningstjeneste SÄPO – der også er lækket – argumenterer myndigheden for, at EU-dommen bygger på forkerte præmisser:

»For os står det klart, at EU-domstolens afgørelse bygger på fejlagtige antagelser om, hvordan den juridiske kontrol forholder sig til den tekniske virkelighed og den hurtige udvikling i marken,« skriver SÄPO blandt andet.

»Samtidig mener vi, at der er plads til at beholde den nuværende logningsforpligtelse uændret.«

Krampagtig

Jesper Lund giver ikke umiddelbart meget for argumentationen mod EU-dommen:

»Der er nogle krampagtige forsøg på at fortælle EU-Domstolen, at den tager fejl, for eksempel at logningen ikke omfatter alle kommunikationsformer, fordi Skype slet ikke er med.«

»Argumenterne om, at målrettet logning er besværlig (fordi målpersoner ikke kan udpeges på forhånd, red.), er ikke nye. Det samme gælder nice to have-argumentet om at kunne kigge tilbage i metadata for alle abonnenters kommunikation. Men EU-Domstolen var altså rimelig klar i december: En målrettet logning betyder, at personkredsen skal kunne afgrænses ud fra objektive kriterier,« understreger Jesper Lund.

Det er altså ikke nok at argumentere for, at logning er målrettet, fordi den ikke omfatter al tænkelig digital kommunikation.

Potentiel fuld sessionslogning

NAT

Hvis politiet i dag kommer til teleselskaberne med en IP-adresse, kan denne ikke altid knyttes til en specifik person.

Teleselskabernes mangler IP-adresser i den version 4 af internettets adressesystem, som de fleste stadig benytter. Derfor tildeler mange teleudbydere og de fleste mobilselskaber kunderne en intern IP-adresse, mens de deler en fælles adresse udadtil på internettet. Det kaldes også NAT, Network Address Translation, og når det foregår hos et teleselskab, er fagudtrykket carrier grade NAT.

På den måde kan flere hundrede kunder deles om en ekstern IP-adresse. Så hvis politiet kan se, at den adresse har været brugt til kriminelle eller mistænkelige formål, kan den skyldige bruger ikke umiddelbart identificeres.

SÄPO pointerer, at logningsoplysningerne er kritiske for at opklare og forhindre kriminalitet. Den holdning synes at gå igen i kommissionens arbejde – i hvert fald ligger det lækkede materiale op til, at logning øges.

Mest markant foreslås det at indføre en eller anden form for CG-NAT logning. Det er dog ud fra materialet uklart, hvordan denne skulle implementeres, vurderer Jesper Lund.

»Det vil som minimum betyde registrering af source-porte foruden dynamisk IP-tildeling, enten for alle NAT sessioner, eller ved at ISP'erne skal holde hver abonnent inden for bestemte port ranges på WAN-siden af en CG-NAT gateway,« forklarer han.

»Men det kan også være fuld sessionslogning med destination-IP af alle CG-NAT-forbindelser ud fra argumentet om at registrering af source porte i ISP-logning kun hjælper, hvis logfiler hos websites også registrerer source porte.«

Diskussionen om, hvordan man identificerer personer bag en dynamisk IP-adresse, kendes også fra Danmark. Her har planerne dog ligget stille siden EU-dommen kom sidste år.

Sverige har travlt

Det eneste tiltag, der er nævnt i materialet, som hiver i retning af mindre logning, er, at telelogning for fastnettelefoni – herunder IP-telefoni – skal sløjfes. Noget, som SÄPO dog heller ikke er tilfredse med, bemærker Jesper Lund:

»SAPO især gør et stort nummer ud af at problematisere den manglende logning af fastnettelefoner.«

Mobiltelefoner skal fortsat logges, lyder det i forslaget. Lokationsdata skal gemmes i to måneder, samtaler i seks måneder.

I EU-landene og på EU-niveau – både i EU-Kommissionen og arbejdsgrupper under EU-Rådet – foregår der ligeledes diskussioner om, hvordan logning skal ændres for at føje dommen fra EU. Ingen steder er arbejdet dog så langt fremme som i Sverige, vurderer Jesper Lund.

»Når svenskerne har travlt, skyldes det nok, at de svenske teleselskaber mere eller mindre har droppet logningen,« pointerer han med henvisning til at selskaber som Tele2, Telenor Sverige og Bahnhof, der alle valgte at stoppe logning umiddelbart efter dommen fra EU-domstolen.

I de øvrige EU-lande – herunder i Danmark – kører de eksisterende ordninger videre.