7. Vedlegg
- 7.1 Vedlegg 1 – E tjenestens overordnede uttalelse
- 7.2 Vedlegg 2 – E-tjenestens uttalelse. Innhenting av og søk i metadata
Uttalelsen er gitt av E-tjenesten i brev 4. mai 2016 til EOS-utvalget.
«E-tjenesten mener det er faglige mangler ved resonnementet som ligger til grunn for en konklusjon [EOS-utvalgets merknad; E-tjenestens sammenfatning av Professor Husabøs konklusjon] om at rettsgrunnlaget er vagt og står i et tvilsomt forhold til menneskerettighetene. E-tjenesten vektlegger rettslig forutsigbarhet for alle deler av vår virksomhet, og deler EOS-utvalgets konstatering av at innsamling av informasjon om enkeltindivider er innenfor legalitetsprinsippets sfære. Vi er også av den oppfatning at menneskerettighetene er styrende for all vår virksomhet i utlandet. Virksomheten er regulert av menneskerettsloven, personopplysningsloven og lov om Etterretningstjenesten, og disse lovene må sees i sammenheng. De fleste lands lovgivning er ikke mer spesifikke eller detaljerte når det gjelder metodebruk og behandling av personopplysninger. Oppgavesettet vårt er like detaljert lovregulert som for PST, og behandling av personopplysninger er prinsipielt like klart regulert i personopplysningsloven for E-tjenesten som i politiregisterloven for PST. Kontrollbestemmelsene er ikke mer begrenset enn for PST. E-tjenesten har overfor EOS-utvalget etterlyst en redegjørelse for hvilke konkrete mangler utvalget eventuelt anser gjeldende rettsgrunnlag å ha, uten å ha fått svar.
Heller ikke PSTs metodebruk er fullt ut lovregulert. Det ligger dessuten i dagen at politimetoder for en innenlands sikkerhetstjeneste er betydelig mer regelstyrt enn metodebruken for en utenlandsetterretningstjeneste. Metodene kan ikke beskrives i detalj i et åpent regelverk. Det var en veloverveid vurdering ved vedtakelsen av lov om Etterretningstjenesten å gjøre innhentingshjemmelen metode- og teknologinøytral, og dette er også normen for sammenlignbare staters tilsvarende lovregulering. Å sammenligne strategisk utenlandsetterretning med innenlands politivirksomhet med et straffeforebyggelses- og bekjempelsesformål demonstrerer manglende kunnskap om de prinsipielle forskjellene mellom disse to virksomhetene. Mens politiorganer fokuserer på å bygge opp en juridisk sak relatert til en kriminell handling som er begått eller forberedes begått (historisk perspektiv med stor vekt på beviskjede), er etterretningstjenesters fokus å redusere usikkerhet hos viktige beslutningstakere, med et særlig fokus på å predikere fremtiden – vurdere fremmede trender og handlinger hos stater, organisasjoner og personer, uten tanke på hvorvidt disse har begått straffbare handlinger eller vil gjøre noe straffbart, og uten tanke på å beskytte informasjonens integritet på en slik måte at den kan benyttes i en rettslig prosess. En utenlandsetterretningstjeneste må nødvendigvis gå bredt ut (målsøking) for å få svar på overordnede myndigheters informasjonsbehov. Det ligger i etterretningens natur å innsamle og analysere store mengder informasjon. Fokus er på informasjon og ikke på individer, og i utgangspunktet er det intet stigmatiserende for en person å bli gjenstand for E-tjenestens søkelys.
Dersom lov om Etterretningstjenesten ikke tilfredsstiller menneskerettighetene, gjelder det samme langt de fleste stater i Europa. Når E-tjenesten likevel er positiv til at rettsgrunnlaget vårt gjennomgås med sikte på en oppdatering og modernisering, skyldes det blant annet at påstander i det offentlige rom om et mangelfullt rettsgrunnlag i seg selv representerer en utfordring. Det er også problematisk at det parallelt med slike påstander utredes prinsipielle problemstillinger knyttet til digitalt grenseforsvar, fordi Lysne II-utvalget vanskelig kan åpne for å gi tjenesten ny aksess dersom rammebetingelsene for tjenesten ellers oppfattes å være i strid med gjeldende menneskerettighetskrav. E-tjenesten ser derfor positivt på at rettsgrunnlaget gjennomgås med sikte på å foreta de justeringer som er nødvendig for å unngå tilsvarende påstander i fremtiden. Det er også et argument for lovrevisjon at den faktiske, teknologiske og rettslige utviklingen krever en kontinuerlig vurdering av E-tjenestens rettsgrunnlag.»
Uttalelsen er gitt av E-tjenesten i brev 4. mai 2016 til EOS-utvalget.
«Det er ikke til å komme forbi at innhenting mot lovlige utenlandske mål vil medføre at tjenesten også lovlig må kunne behandle opplysninger om norske personer. Dette er forutsatt i § 4 annet ledd i lov om Etterretningstjenesten. Det som er forbudt, er å gjennomføre aktiv og fordekt innhenting rettet mot norske personer I Norge. For å være forbudt, må tjenesten ha kunnskap om eller vurdere det som mest sannsynlig at innhentingen er rettet mot en slik person. I motsatt fall vil all (overskudds)informasjon om norske personer som tjenesten mottar som ledd i innhenting mot ikke-norske personer innebære et brudd på E-loven § 4 første ledd. En slik tolkning vil også innebære at lagring av metadata (som også kan være knyttet til norske personer) i seg selv vil innebære et brudd på E-loven § 4 første ledd. Dette er i så tilfelle en rettsforståelse som ingen har tatt til orde for, og som vil ha dramatiske konsekvenser for tjenestens eksisterende virksomhet. Blant annet vil det måtte medføre at all målsøkingsvirksomhet må opphøre og at all metadatalagring må opphøre. Dette vil i praksis innebære at det ikke blir mulig å utøve utenlandsetterretningstjeneste i Norge, fordi all etterretningstjeneste bygger på prinsippet om at det er legitimt og nødvendig å ha aksess til store mengder data for å kunne finne ukjente trusler og relevant informasjon, og at det er legitimt og nødvendig å kunne lagre utvalgte datamengder for å kunne gjennomføre retrospektiv analyse. Sagt på en annen måte: Man finner aldri nålen i høystakken dersom man ikke har tilgang til relevante deler av høystakken, og etterretningsarbeid kan aldri utelukkende baseres på øyeblikksbilder. E-tjenesten må også lagre informasjon over tid for å kunne danne seg et normalbilde, som grunnlag for å kunne evne å oppdage forhold som avviker fra normalen. Denne delen av etterretningsprosessen, som starter med målsøking, skiller seg vesentlig fra – og kan ikke på noe vis sammenlignes med – politiets kriminaletterretning som krever en direkte og kontekstuell sammenheng med konkrete (potensielle) straffbare forhold før personopplysninger kan lagres.
En slik rettsforståelse står også i kontrast til tidligere uttalelser fra EOS-utvalget, blant annet i EOS-utvalgets avsluttende brev til tjenesten i den såkalte kildearkivsaken, hvor det ble lagt vekt på at registrering av kildeopplysninger om norske tredjepersoner ikke hadde overvåkingshensikt.
Målutvikling er en av E-tjenestens viktigste aktiviteter. Metadatasøk i målutviklingsøyemed gir E-tjenesten en unik mulighet til å avdekke nye trusselaktører i utlandet som kommuniserer med norske personer, slik at E-tjenesten kan fremskaffe kritisk informasjon for å verne Norge og norske interesser mot ytre trusler. I tråd med tjenestens lovpålagte oppdrag samles det daglig inn kommunikasjonsdata som lagres i tjenesten. Innsamlingen er målrettet og basert på kriterier for å selektere ut relevant informasjon med et utenlandsetterretningsfokus. Metadatalagringen er etterretningsmessig både relevant og nødvendig. En nærmere beskrivelse av hvilke typer kommunikasjonsdata som lagres og hvordan disse velges ut, kan ikke gis i en offentlig fremstilling.
E-tjenesten vil innledningsvis anføre at vi ser argumenter som kan tale for at metadatalagring og søk i slike data bør omtales i et åpent tilgjengelig regelverk. I tjenestens interne juridiske vurdering av 21. juli 2014 ble det konkludert med at det '[bør] vurderes om elementer kan formidles offentlig eller inngå i ugradert regelverk'. Men samtidig anser vi det som lite sannsynlig og hensiktsmessig at Stortinget skal lovgi om detaljer knyttet til tjenestens ulike loggsøk i ulike typer data som lagres av tjenesten. Dette vil legge lovreguleringen for tjenesten på et detaljnivå vedrørende informasjonsforvaltning som langt overskrider det som gjelder for PST eller andre offentlige myndigheter i Norge. Vi mener derfor at det vil være mer formålstjenlig at dette reguleres i underliggende, men gjerne offentlig tilgjengelig, regelverk. Vi ser ikke grunn til å avvike fra de sedvanlige prinsipper om hva som tradisjonelt hører hjemme i formell lov og hva som hører hjemme i forskrifter/tilsvarende.
E-tjenesten understreker at loggsøk ikke fører til at det fordekt innsamles ytterligere informasjon enn det tjenesten allerede besitter; slike søk selekterer kun ut relevante metadata fra en stor samling allerede lagrede kommunikasjonsdata som tjenesten allerede oppbevarer. Det som er sakens kjerne, er hvilken søkemetodikk tjenesten skal benytte når den søker etter utenlandsetterretningsrelevant informasjon i ulike typer datagrunnlag som tjenesten lovlig allerede besitter. Men målet for søket – hva tjenesten søker etter – ligger alltid innenfor oppgavesettet etter E-loven § 3. I motsatt fall – dersom søket var rettet mot å innhente opplysninger om norske personer i Norge – ville det vært et åpenbart brudd på forbudet I E-loven § 4 første ledd.
Følgende eksempel kan illustrere søkemetoden:
lnformasjonsbehovet som E-tjenesten arbeider for å oppfylle er 'Fremskaff ukjente selektorer (telefonnummer, e-postadresse eller lignende) tilhørende en kjent terrorist i konfliktområde X.' E-tjenesten har mottatt indikasjoner fra andre kilder om at terroristen kommuniserer med bekjente i Oslo, og tjenesten har mottatt informasjon fra PST eller andre myndigheter om hvilke bekjente dette er og hvilke selektorer disse benytter. Det er ingen selektorer som settes på innsamling i et slikt tilfelle. Svaret på informasjonsbehovet kan imidlertid allerede befinne seg i trafikkdata som E-tjenesten tidligere har lagret for utenlandsetterretningsformål. Søk i slike data kan enten foregå med utgangspunkt i utenlandske selektorer, gjennom utallige spørringer av typen 'Har selektor A i konfliktområde X hatt kontakt med selektor i Oslo?', 'Har selektor B i konfliktområde X hatt kontakt med selektor i Oslo?', osv. Ved treff på selektor i Oslo, blir neste spørring: 'Er selektoren i Oslo identisk med selektoren tilhørende den bekjente av terroristen?' Ved denne søkemetoden tar man utgangspunkt i den utenlandske selektoren. Den mer tidseffektive alternative søkemetoden er å ta utgangspunkt i den norske selektoren og spørre 'Har selektoren tilhørende den bekjente av terroristen kommunisert med selektorer i konfliktområde X?'. I dette tilfellet tar man utgangspunkt i den norske selektoren, men får samme svar raskere sammenlignet med å ta utgangspunkt i utenlandske selektorer. I begge tilfeller er E-tjenesten uinteressert i den norske bekjente.
Det viktigste landet for en norsk utenlandsetterretningstjeneste er Norge, både generelt og i et trusselperspektiv. For å kunne varsle om ytre trusler mot Norge, er utenlandske trusselaktørers aktivitet i og mot Norge av åpenbar utenlandsetterretningsinteresse. Det inkluderer kommunikasjon mellom utenlandske aktører av interesse og norske personer.
Lovgiver forutså allerede i 1998 at E-tjenesten måtte behandle opplysninger om norske borgere for å kunne løse sine lovbestemte oppgaver. Lov om Etterretningstjenesten § 4 annet ledd hviler på denne forutsetningen. Det fremgår også av E-loven § 3 at tjenesten skal innhente informasjon 'som angår norske interesser' sett i forhold til fremmede stater, organisasjoner og individer. Linken mellom norske interesser og det utenlandske etterretningsmålet vil derfor være av interesse for en utenlandsetterretningstjeneste. I enkelte tilfeller fordrer det at E-tjenesten i sin målsøking etter utenlandske etterretningsmål kan benytte informasjon som tjenesten allerede besitter om norske personer som utgangspunkt for målsøkingen, f eks å kartlegge utenlandske forbindelser av etterretningsmessig interesse som kommuniserer med norske personer. Det er kun de utenlandske forbindelsene som har videre etterretningsverdi, og som det eventuelt vil bli iverksatt fordekt innhenting mot. Som nevnt ovenfor er det verken tale om innhenting av ny informasjon om den norske personen ved fordekte metoder, eller innhenting/informasjonsbehandling som er rettet mot å kartlegge innenlandske forhold eller forhold knyttet til den norske personen. E-tjenesten mener derfor slike søk går klar av forbudet i E-loven § 4 annet ledd. Tjenesten konkluderte i sin juridiske vurdering av 21. juli 2014 med at metoden ikke strider mot det regelverket som gjelder for tjenestens virksomhet, og at metadatasøk med utgangspunkt i norsk persons selektor ikke på generelt grunnlag anses som fordekt innhenting i strid med E-loven § 4 første ledd. Vi påpekte imidlertid at det er knyttet enkelte rettslige usikkerhetsmomenter til slike søk, særlig dersom det er et uklart formål med søket. For å bedre situasjonen utformet tjenesten 13. august 2014 et internt regelverk (Bestemmelser for metadatasøk som kan berøre norske rettssubjekter) som oppstilte klare kriterier for når metoden kan benyttes, og hvordan den skal inspiseres av EOS-utvalget. Målutvikling ved søk i metadata med utgangspunkt i selektor tilhørende identifisert norsk person gjennomføres kun etter godkjenning av sjefen for E-tjenesten, og kun der det foreligger tungtveiende operative grunner for det.
Målutvikling med utgangspunkt i en norsk selektor er av stor verdi på en rekke områder, også utenfor kontraterrorarbeidet. Et eksempel kan være å benytte en norsk IP adresse som tjenesten kjenner til har vært utsatt for en alvorlig cyberhendelse, som inngangsverdi for å forsøke å finne kommunikasjon til og fra adressen som kan identifisere fremmed stats spionasje og denne aktørens modus operandi.
Man kan spørre om hvorfor tilsvarende data ikke kan innhentes av PST i medhold av deres rettsgrunnlag. Svaret er enkelt: PST er ingen utenlandsetterretningstjeneste, og har verken som oppgave eller noen rettslig mulighet til å innhente metadata som antas å kunne frembringe utenlandsetterretningsrelevant informasjon. Målutvikling fra E-tjenestens side som beskrevet innebærer således ingen omgåelse, ettersom PST verken kan eller skal gi svar på slike informasjonsbehov. Dette er utelukkende E-tjenestens oppgave. Bortfall av denne muligheten vil ha alvorlige konsekvenser for tjenestens evne til å løse lovpålagte oppdrag, særlig innenfor kontraterror, kontraproliferasjon og SIGINT støtte til cyberforsvar. Det avgjørende argumentet for å bibeholde metoden er imidlertid ikke det operative behovet, men at metoden ikke har noen overvåkingshensikt i forhold til norske personer i Norge og således ikke er å anse som fordekt innhenting om norske personer på norsk territorium. Fordekt-begrepet relaterer seg til innsamlingsmetoden og fokuset for innsamlingen, ikke til etterfølgende analyse og sammenstilling av allerede innsamlet informasjon. Selve innsamlingen av metadata er tilstrekkelig hjemlet i E-loven § 3. Tjenesten vektlegger både at søkene ikke er rettet mot den norske personen, men kun tar utgangspunkt i vedkommendes selektor, og at søkene ikke har noen overvåkningshensikt overfor vedkommende. Både med tanke på hvilken type innhenting det dreier seg om, måten metadatasøk utføres på, antallet søk det er tale om, prosedyrene for og reguleringen av søkene, samt at søk og informasjonsbehov og dermed etterfølgende analyse og rapportering utelukkende er rettet mot legitime utenlandske etterretningsmål, tilsier at tolkningsalternativ 2 er en riktig og forsvarlig tolkning av E-loven og at tjenestens praksis knyttet til metadatasøk er både legitim og nødvendig.»