Uttalelsen er gitt av E-tjenesten i brev 4. mai 2016
til EOS-utvalget.
«E-tjenesten mener det er faglige mangler ved resonnementet
som ligger til grunn for en konklusjon [EOS-utvalgets
merknad; E-tjenestens sammenfatning av Professor Husabøs konklusjon]
om at rettsgrunnlaget er vagt og står i et tvilsomt forhold til
menneskerettighetene. E-tjenesten vektlegger rettslig forutsigbarhet
for alle deler av vår virksomhet, og deler EOS-utvalgets konstatering
av at innsamling av informasjon om enkeltindivider er innenfor legalitetsprinsippets
sfære. Vi er også av den oppfatning at menneskerettighetene er styrende
for all vår virksomhet i utlandet. Virksomheten er regulert av menneskerettsloven,
personopplysningsloven og lov om Etterretningstjenesten, og disse
lovene må sees i sammenheng. De fleste lands lovgivning er ikke
mer spesifikke eller detaljerte når det gjelder metodebruk og behandling
av personopplysninger. Oppgavesettet vårt er like detaljert lovregulert
som for PST, og behandling av personopplysninger er prinsipielt like
klart regulert i personopplysningsloven for E-tjenesten som i politiregisterloven
for PST. Kontrollbestemmelsene er ikke mer begrenset enn for PST.
E-tjenesten har overfor EOS-utvalget etterlyst en redegjørelse for
hvilke konkrete mangler utvalget eventuelt anser gjeldende rettsgrunnlag
å ha, uten å ha fått svar.
Heller ikke PSTs metodebruk
er fullt ut lovregulert. Det ligger dessuten i dagen at politimetoder
for en innenlands sikkerhetstjeneste er betydelig mer regelstyrt
enn metodebruken for en utenlandsetterretningstjeneste. Metodene
kan ikke beskrives i detalj i et åpent regelverk. Det var en veloverveid
vurdering ved vedtakelsen av lov om Etterretningstjenesten å gjøre
innhentingshjemmelen metode- og teknologinøytral, og dette er også
normen for sammenlignbare staters tilsvarende lovregulering. Å sammenligne
strategisk utenlandsetterretning med innenlands politivirksomhet
med et straffeforebyggelses- og bekjempelsesformål demonstrerer
manglende kunnskap om de prinsipielle forskjellene mellom disse
to virksomhetene. Mens politiorganer fokuserer på å bygge opp en
juridisk sak relatert til en kriminell handling som er begått eller
forberedes begått (historisk perspektiv med stor vekt på beviskjede),
er etterretningstjenesters fokus å redusere usikkerhet hos viktige
beslutningstakere, med et særlig fokus på å predikere fremtiden
– vurdere fremmede trender og handlinger hos stater, organisasjoner
og personer, uten tanke på hvorvidt disse har begått straffbare handlinger
eller vil gjøre noe straffbart, og uten tanke på å beskytte informasjonens
integritet på en slik måte at den kan benyttes i en rettslig prosess.
En utenlandsetterretningstjeneste må nødvendigvis gå bredt ut (målsøking)
for å få svar på overordnede myndigheters informasjonsbehov. Det
ligger i etterretningens natur å innsamle og analysere store mengder
informasjon. Fokus er på informasjon og ikke på individer, og i
utgangspunktet er det intet stigmatiserende for en person å bli
gjenstand for E-tjenestens søkelys.
Dersom lov om
Etterretningstjenesten ikke tilfredsstiller menneskerettighetene,
gjelder det samme langt de fleste stater i Europa. Når E-tjenesten
likevel er positiv til at rettsgrunnlaget vårt gjennomgås med sikte
på en oppdatering og modernisering, skyldes det blant annet at påstander
i det offentlige rom om et mangelfullt rettsgrunnlag i seg selv
representerer en utfordring. Det er også problematisk at det parallelt
med slike påstander utredes prinsipielle problemstillinger knyttet
til digitalt grenseforsvar, fordi Lysne II-utvalget vanskelig kan
åpne for å gi tjenesten ny aksess dersom rammebetingelsene for tjenesten
ellers oppfattes å være i strid med gjeldende menneskerettighetskrav.
E-tjenesten ser derfor positivt på at rettsgrunnlaget gjennomgås
med sikte på å foreta de justeringer som er nødvendig for å unngå
tilsvarende påstander i fremtiden. Det er også et argument for lovrevisjon
at den faktiske, teknologiske og rettslige utviklingen krever en
kontinuerlig vurdering av E-tjenestens rettsgrunnlag.»
Uttalelsen er gitt av E-tjenesten i brev 4. mai 2016
til EOS-utvalget.
«Det er ikke til å komme forbi at innhenting mot lovlige
utenlandske mål vil medføre at tjenesten også lovlig må kunne behandle
opplysninger om norske personer. Dette er forutsatt i § 4 annet ledd
i lov om Etterretningstjenesten. Det som er forbudt, er å gjennomføre
aktiv og fordekt innhenting rettet mot norske personer I Norge.
For å være forbudt, må tjenesten ha kunnskap om eller vurdere det
som mest sannsynlig at innhentingen er rettet mot en slik person.
I motsatt fall vil all (overskudds)informasjon om norske personer
som tjenesten mottar som ledd i innhenting mot ikke-norske personer
innebære et brudd på E-loven § 4 første ledd. En slik tolkning vil
også innebære at lagring av metadata (som også kan være knyttet
til norske personer) i seg selv vil innebære et brudd på E-loven
§ 4 første ledd. Dette er i så tilfelle en rettsforståelse som ingen
har tatt til orde for, og som vil ha dramatiske konsekvenser for
tjenestens eksisterende virksomhet. Blant annet
vil det måtte medføre at all målsøkingsvirksomhet må opphøre og
at all metadatalagring må opphøre. Dette vil i praksis innebære
at det ikke blir mulig å utøve utenlandsetterretningstjeneste i
Norge, fordi all etterretningstjeneste bygger på prinsippet om at
det er legitimt og nødvendig å ha aksess til store mengder data
for å kunne finne ukjente trusler og relevant informasjon, og at
det er legitimt og nødvendig å kunne lagre utvalgte datamengder
for å kunne gjennomføre retrospektiv analyse. Sagt på en annen
måte: Man finner aldri nålen i høystakken dersom man ikke har tilgang
til relevante deler av høystakken, og etterretningsarbeid kan aldri
utelukkende baseres på øyeblikksbilder. E-tjenesten må også lagre informasjon
over tid for å kunne danne seg et normalbilde, som grunnlag for
å kunne evne å oppdage forhold som avviker fra normalen. Denne delen
av etterretningsprosessen, som starter med målsøking, skiller seg
vesentlig fra – og kan ikke på noe vis sammenlignes med – politiets
kriminaletterretning som krever en direkte og kontekstuell sammenheng
med konkrete (potensielle) straffbare forhold før personopplysninger
kan lagres.
En slik rettsforståelse står også i
kontrast til tidligere uttalelser fra EOS-utvalget, blant annet i
EOS-utvalgets avsluttende brev til tjenesten i den såkalte kildearkivsaken,
hvor det ble lagt vekt på at registrering av kildeopplysninger om norske
tredjepersoner ikke hadde overvåkingshensikt.
Målutvikling
er en av E-tjenestens viktigste aktiviteter. Metadatasøk i målutviklingsøyemed
gir E-tjenesten en unik mulighet til å avdekke nye trusselaktører
i utlandet som kommuniserer med norske personer, slik at E-tjenesten
kan fremskaffe kritisk informasjon for å verne Norge og norske interesser
mot ytre trusler. I tråd med tjenestens lovpålagte oppdrag samles
det daglig inn kommunikasjonsdata som lagres i tjenesten. Innsamlingen
er målrettet og basert på kriterier for å selektere ut relevant
informasjon med et utenlandsetterretningsfokus. Metadatalagringen er
etterretningsmessig både relevant og nødvendig. En nærmere beskrivelse
av hvilke typer kommunikasjonsdata som lagres og hvordan disse velges
ut, kan ikke gis i en offentlig fremstilling.
E-tjenesten
vil innledningsvis anføre at vi ser argumenter som kan tale for
at metadatalagring og søk i slike data bør omtales i et åpent tilgjengelig regelverk.
I tjenestens interne juridiske vurdering av 21. juli 2014 ble det
konkludert med at det '[bør] vurderes om elementer kan formidles
offentlig eller inngå i ugradert regelverk'. Men samtidig anser
vi det som lite sannsynlig og hensiktsmessig at Stortinget skal
lovgi om detaljer knyttet til tjenestens ulike loggsøk i ulike typer data
som lagres av tjenesten. Dette vil legge lovreguleringen for tjenesten
på et detaljnivå vedrørende informasjonsforvaltning som langt overskrider
det som gjelder for PST eller andre offentlige myndigheter i Norge.
Vi mener derfor at det vil være mer formålstjenlig at dette reguleres
i underliggende, men gjerne offentlig tilgjengelig, regelverk. Vi
ser ikke grunn til å avvike fra de sedvanlige prinsipper om hva
som tradisjonelt hører hjemme i formell lov og hva som hører hjemme
i forskrifter/tilsvarende.
E-tjenesten understreker
at loggsøk ikke fører til at det fordekt innsamles ytterligere informasjon enn
det tjenesten allerede besitter; slike søk selekterer kun ut relevante
metadata fra en stor samling allerede lagrede kommunikasjonsdata som
tjenesten allerede oppbevarer. Det som er sakens kjerne, er hvilken
søkemetodikk tjenesten skal benytte når den søker etter utenlandsetterretningsrelevant
informasjon i ulike typer datagrunnlag som tjenesten lovlig allerede
besitter. Men målet for søket – hva tjenesten søker etter –
ligger alltid innenfor oppgavesettet etter E-loven § 3. I motsatt
fall – dersom søket var rettet mot å innhente opplysninger om norske
personer i Norge – ville det vært et åpenbart brudd på forbudet
I E-loven § 4 første ledd.
Følgende eksempel kan
illustrere søkemetoden:
lnformasjonsbehovet som
E-tjenesten arbeider for å oppfylle er 'Fremskaff
ukjente selektorer (telefonnummer, e-postadresse eller lignende) tilhørende
en kjent terrorist i konfliktområde X.' E-tjenesten har mottatt
indikasjoner fra andre kilder om at terroristen kommuniserer med bekjente
i Oslo, og tjenesten har mottatt informasjon fra PST eller andre
myndigheter om hvilke bekjente dette er og hvilke selektorer disse benytter.
Det er ingen selektorer som settes på innsamling i et slikt tilfelle.
Svaret på informasjonsbehovet kan imidlertid allerede befinne seg
i trafikkdata som E-tjenesten tidligere har lagret for utenlandsetterretningsformål.
Søk i slike data kan enten foregå med utgangspunkt i utenlandske
selektorer, gjennom utallige spørringer av typen 'Har selektor A
i konfliktområde X hatt kontakt med selektor i Oslo?', 'Har selektor
B i konfliktområde X hatt kontakt med selektor i Oslo?', osv. Ved
treff på selektor i Oslo, blir neste spørring: 'Er selektoren i
Oslo identisk med selektoren tilhørende den bekjente av terroristen?'
Ved denne søkemetoden tar man utgangspunkt i den utenlandske selektoren.
Den mer tidseffektive alternative søkemetoden er å ta utgangspunkt
i den norske selektoren og spørre 'Har selektoren tilhørende den
bekjente av terroristen kommunisert med selektorer i konfliktområde
X?'. I dette tilfellet tar man utgangspunkt i den norske selektoren,
men får samme svar raskere sammenlignet med å ta utgangspunkt i
utenlandske selektorer. I begge tilfeller er E-tjenesten uinteressert
i den norske bekjente.
Det viktigste landet for
en norsk utenlandsetterretningstjeneste er Norge, både generelt
og i et trusselperspektiv. For å kunne varsle om ytre trusler mot
Norge, er utenlandske trusselaktørers aktivitet i og mot Norge av
åpenbar utenlandsetterretningsinteresse. Det inkluderer kommunikasjon
mellom utenlandske aktører av interesse og norske personer.
Lovgiver
forutså allerede i 1998 at E-tjenesten måtte behandle opplysninger
om norske borgere for å kunne løse sine lovbestemte oppgaver. Lov om
Etterretningstjenesten § 4 annet ledd hviler på denne forutsetningen.
Det fremgår også av E-loven § 3 at tjenesten skal innhente informasjon 'som
angår norske interesser' sett i forhold til fremmede stater, organisasjoner
og individer. Linken mellom norske interesser og det utenlandske
etterretningsmålet vil derfor være av interesse for en utenlandsetterretningstjeneste.
I enkelte tilfeller fordrer det at E-tjenesten i sin målsøking etter
utenlandske etterretningsmål kan benytte informasjon som tjenesten
allerede besitter om norske personer som utgangspunkt for målsøkingen,
f eks å kartlegge utenlandske forbindelser av etterretningsmessig
interesse som kommuniserer med norske personer. Det er kun de utenlandske
forbindelsene som har videre etterretningsverdi, og som det eventuelt
vil bli iverksatt fordekt innhenting mot. Som nevnt ovenfor er det
verken tale om innhenting av ny informasjon om den norske personen
ved fordekte metoder, eller innhenting/informasjonsbehandling som
er rettet mot å kartlegge innenlandske forhold eller forhold knyttet
til den norske personen. E-tjenesten mener derfor slike søk går
klar av forbudet i E-loven § 4 annet ledd. Tjenesten konkluderte
i sin juridiske vurdering av 21. juli 2014 med at metoden ikke strider
mot det regelverket som gjelder for tjenestens virksomhet, og at
metadatasøk med utgangspunkt i norsk persons selektor ikke på generelt
grunnlag anses som fordekt innhenting i strid med E-loven § 4 første
ledd. Vi påpekte imidlertid at det er knyttet enkelte rettslige
usikkerhetsmomenter til slike søk, særlig dersom det er et uklart
formål med søket. For å bedre situasjonen utformet tjenesten 13. august
2014 et internt regelverk (Bestemmelser for
metadatasøk som kan berøre norske rettssubjekter) som oppstilte
klare kriterier for når metoden kan benyttes, og hvordan den skal
inspiseres av EOS-utvalget. Målutvikling ved søk i metadata med
utgangspunkt i selektor tilhørende identifisert norsk person gjennomføres
kun etter godkjenning av sjefen for E-tjenesten, og kun der det
foreligger tungtveiende operative grunner for det.
Målutvikling
med utgangspunkt i en norsk selektor er av stor verdi på en rekke
områder, også utenfor kontraterrorarbeidet. Et eksempel kan være
å benytte en norsk IP adresse som tjenesten kjenner til har vært
utsatt for en alvorlig cyberhendelse, som inngangsverdi for å forsøke
å finne kommunikasjon til og fra adressen som kan identifisere fremmed
stats spionasje og denne aktørens modus operandi.
Man
kan spørre om hvorfor tilsvarende data ikke kan innhentes av PST
i medhold av deres rettsgrunnlag. Svaret er enkelt: PST er ingen
utenlandsetterretningstjeneste, og har verken som oppgave eller
noen rettslig mulighet til å innhente metadata som antas å kunne
frembringe utenlandsetterretningsrelevant informasjon. Målutvikling
fra E-tjenestens side som beskrevet innebærer således ingen omgåelse,
ettersom PST verken kan eller skal gi svar på slike informasjonsbehov.
Dette er utelukkende E-tjenestens oppgave. Bortfall
av denne muligheten vil ha alvorlige konsekvenser for tjenestens
evne til å løse lovpålagte oppdrag, særlig innenfor kontraterror,
kontraproliferasjon og SIGINT støtte til cyberforsvar. Det
avgjørende argumentet for å bibeholde metoden er imidlertid ikke
det operative behovet, men at metoden ikke
har noen overvåkingshensikt i forhold til norske personer i
Norge og således ikke er å anse som fordekt innhenting om norske
personer på norsk territorium. Fordekt-begrepet relaterer seg til innsamlingsmetoden
og fokuset for innsamlingen, ikke til etterfølgende analyse og sammenstilling
av allerede innsamlet informasjon. Selve innsamlingen av metadata
er tilstrekkelig hjemlet i E-loven § 3. Tjenesten vektlegger både
at søkene ikke er rettet mot den norske personen, men kun tar utgangspunkt
i vedkommendes selektor, og at søkene ikke har noen overvåkningshensikt
overfor vedkommende. Både med tanke på hvilken type innhenting det
dreier seg om, måten metadatasøk utføres på, antallet søk det er
tale om, prosedyrene for og reguleringen av søkene, samt at søk
og informasjonsbehov og dermed etterfølgende analyse og rapportering utelukkende
er rettet mot legitime utenlandske etterretningsmål, tilsier at
tolkningsalternativ 2 er en riktig og forsvarlig tolkning av E-loven
og at tjenestens praksis knyttet til metadatasøk er både legitim
og nødvendig.»