Datalagringsdirektivet – vilka måste lagra vad?

Riksdagen har röstat igenom införandet av Datalagringsdirektivet i Sverige, och nu börjar det stora arbetet med att implementera lagring av trafikdata hos operatörerna. “Operatörerna” ja – vilka är egentligen det? Och vad ska lagras? Det är mycket som inte är tydligt i den här debatten och jag bestämde mig för att åtminstone försöka reda ut på egen hand hur det ligger till. Vilka måste egentligen lagra vad?

Jag började med att leta efter information hos PTS – Myndigheten Post- och telestyrelsen, som har bra information (i den mån information finns) om vad som gäller. De har en informationssida om datalagringsdirektivet och jag hittade där ett par formuleringar som var intressanta, bland annat under “Dessa är skyldiga att lagra uppgifter”:

Enligt lagen är de aktörer som bedriver anmälningspliktig verksamhet enligt Lagen om elektronisk kommunikation, LEK, skyldiga att lagra uppgifter i sex månader.

Det är alltså endast de som har verksamhet som enligt Lagen om elektronisk kommunikation, LEK, är anmälningspliktig som måste lagra uppgifter enligt den svenska implementationen. Jag började således att läsa LEK för att se om jag kunde hitta informationen om vilka som är anmälningspliktiga, men det visade sig vara minst lika luddigt där, för i Kap 2, §1 står det:

Allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster får endast tillhandahållas efter anmälan till den myndighet som regeringen bestämmer.

Det här är nästan rena grekiskan för mig. Jag är (bevisligen) inte jurist och jag får först vänja mig vid tanken på att det alltså finns en svensk lag som säger att den som tillhandahåller elektroniska kommunikationstjänster har en anmälningsplikt till myndigheten som måste fullgöras innan man tillåts leverera tjänster. Så den som vill starta en ISP måste alltså anmäla sig hos myndigheterna först. Varför? Jag har ingen aning, och det hela känns rätt märkligt. Kan det vara en kvarleva från sändningstillstånden som infördes när man startade med radio- och tevesändningar?

Hursomhelst, nyckelorden här verkar vara “mot ersättning” och “allmänt tillgängliga elektroniska kommunikationstjänster”. Dessa har anmälningsplikt och borde därför, enligt PTS, vara de som också måste lagra och leverera trafikdata till polisen på begäran. Men exakt vilka är det då? Den som driver en egen e-postserver för sig och sin familj, måste han också lagra data? Jag måste alltså gräva vidare, och efter att ha ställt ett par frågor på Twitter får jag några länkar som svar.

Oscar Swartz tipsar om ett par rapporter från PTS som ska berätta mer. Jag börjar med att läsa “Lagring av uppgifter för brottsbekämpning enligt EU-direktiv 2006/24/EG – Internationell utblick m.m. ?? PTS-ER-2011:1” vilket för övrigt är en fantastisk titel som jag ska överväga till min nästa skiva. Det här är en rapport från 2011 som PTS gjort i väntan på implementationsbeslut från riksdagen. Den tittar främst på hur andra EU-länder gjort vid implementation av direktivet och drar några försiktiga slutsatser för svensk del kring hur det kan tänkas gå till här hemma. Här står uttryckligen att “Skyldigheten att lagra uppgifter gäller enbart elektroniska kommunikationstjänster” vilket åter syftar på de som enligt LEK har anmälningsplikt.

Sen blir det lite mer spännande, för sen kommer en lista på de som INTE behöver lagra trafikdata. Här finns en gränsdragning mellan det som då kallas “elektronisk kommunikationstjänst” och de tjänster som inte omfattas av LEK, som istället kallas “informationssamhällets tjänster”. Här står det till exempel gällande “Webbpost (webmail) och webbaserad messaging”:

Följaktligen omfattas tillhandahållare av webbpost och webbaserade meddelandetjänster av direktivet om de samtidigt är tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät.

Det här tolkar jag som att de som erbjuder webbmejl eller andra webbaserade meddelandetjänster endast omfattas av direktivet om de också har tjänster som omfattas av anmälningsplikten i LEK. Det här skulle då medföra att de företag som säljer Internetkapacitet och därför har anmälningsplikt måste lagra trafikdata för de tjänster de erbjuder, medan andra företag som kanske bara har en webbmejltjänst slipper undan förutsatt att de inte också är Internetleverantörer.

Rörigt? Lite. Skulle detta betyda att exempelvis Telia måste lagra trafikdata för sin webbmejltjänst medan Loopia slipper? Telia är klart och tydligt en operatör som omfattas av LEK, medan Loopia enligt nuvarande tolkning inte är det. Nu börjar det bli intressant!

Av Torbjörn Eklöv får jag en länk till en förteckning hos PTS på de som är registrerade efter anmälan enligt plikten i LEK. Här återfinns mycket riktigt Telia i listan medan Loopia saknas. Här saknas faktiskt alla svenska webbhotell jag letar efter, förutom ett par som jag känner igen eftersom jag varit/är kund där: ipeer och Glesys. Efter en fråga till  Glesys får jag veta att Glesys faktiskt säljer Internetkapacitet och därför omfattas av anmälningsplikten. Men alla webbhotell då? De saknas i listan, och förvirringen är total! Binero svarar mig på Twitter att de absolut omfattas, fast de är inte anmälda till PTS enligt LEK, så det verkar konstigt i såna fall.

Jag läser vidare i PTS-rapporten och ser att

När tillhandahållaren av en webbplats gör det möjligt för en användare att t.ex. lämna en kommentar till tillhandahållaren eller beställa en vara klassas det normalt som informationssamhällets tjänster och omfattas inte av direktivet.

Så webbplatser kommentarsfunktioner omfattas inte av DLD. Men sen blir det snårigt igen, för nu börjar jag fundera på sånt som Facebook eller andra webbplatser (varav jag själv driver åtminstone en) som låter användare skicka privata meddelanden till varandra:

När en webbplats skickar en notifiering till en användare för att tala om att användaren har ett meddelande som väntar på webbplatsen kan det göras i form av t.ex. e-post eller ett SMS. Om meddelandet passerar en leverantör av allmänt tillgänglig kommunikationstjänst omfattas det normalt av direktivet.

Meddelandet som lämnats inom webbplatsen anses däremot vara en informationssamhällets tjänster. Meddelandet omfattas då inte av direktivet.

Nu blev det ju jobbigt igen. Själva notifieringsmeddelandet som går som SMS eller e-post omfattas av direktivet förutsatt att det går via en “leverantör av allmänt tillgänglig kommunikationstjänst”. Man får anta att det då inte gäller om webbplatsen i fråga driver sin egen SMTP-server till exempel? Jag blir osäker. Men sen står det också:

När en webbplats skickar ett meddelande (inklusive innehåll) till en e-postadress på traditionellt sätt har det betydelse om webbplatsleverantören använder det egna nätet och sin egen mailserver eller inte. Det är stor sannolikhet att meddelandet hanteras av allmänt tillgängliga kommunikationstjänster och det omfattas då av direktivet. Används tillhandahållarens privata nät och den egna mailservern omfattas det inte av direktivet eftersom det då räknas som informationssamhällets tjänster såvida det inte gäller en tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster och som använder sig av dessa.

Att tolka detta kräver lite tankekraft. Hur ett e-postmeddelande skickas från en webbtjänst till en användare e-postadress har alltså betydelse för huruvida meddelandet omfattas av direktivet eller inte. Om tjänsten har sin egen mailserver verkar man klara sig utan att lagra, men om man använder mailserver hos en “operatör” måste det lagras. Lagras av webbtjänsten? Lagras av operatören? Oklart.

Nästa stycke är lättare att begripa:

Besök på webbsidor, användning av sökmotorer, chatt, E-handel och on-line spel omfattas inte av direktivet eftersom dessa anses vara informationssamhällets tjänster.

All vanlig surfning omfattas inte av direktivet. Det betyder att din webbhistorik inte behöver lagras hos din operatör, vilket det tidigare varit tal om. Det står också att FTP och “spam som aldrig levereras till mottagarens e-postkonto” ska undantas från lagring. Däremot ska IP-telefoni lagras, men i dokumentet nämns bara “Internettelefonitjänst som startar och terminerar som en PSTN- telefonitjänst”, det vill säga där ena, andra eller båda parterna i samtalet använder sig av en klassisk “fast telefon” med jack.

Just IP-telefoni är lite extra intressant, för i den andra PTS-rapporten jag läser, “Vilka tjänster och nät omfattas av LEK? – PTS-ER-2009:12” tittade man ju på hur andra EU- och EES-länder bedömer vad som är eller inte är en “elektronisk kommunikationstjänst” och därför bör omfattas av datalagringsdirektivet (sid 16). Där finns en lista på de länder som granskats, nämligen Finland, Danmark, Lettland, Norge, Nederländerna, Tyskland, Spanien och England. Här har alla länder gjort samma sak och bestämt att P2P-VoIP inte är att betrakta som en sådan tjänst, vilket alltså skulle betyda att till exempel Skype helt undandas från trafikdatalagring!

Det är ju rätt häpnadsväckande egentligen. Tanken med direktivet är att polisen ska kunna få tillgång till trafikdata för att lösa terrorbrott, men så länge skurkarna använder Skype klarar de sig alltså. De kan också uppenbarligen använda Twitter eller Facebook för att prata med varandra utan att kommunikationen ska lagras alls! I princip verkar det endast handla om kommunikation som sker över kanaler som när direktivet införs nästan är helt omoderna. “Vanlig” telefoni, “vanlig” mobiltelefoni, SMS och e-post som skickas via registrerade Internetoperatörers e-postservrar. Om jag fattat detta rätt skulle skurkarna alltså i lugn och ro kunna använda iMessage i sina mobiltelefoner för att texta, Skype för att prata med varandra och e-post via en “icke-operatör” (t.ex. ett webbhotell) eller någon av alla hundratals andra e-posttjänster som finns, exempelvis GMail eller Hotmail.

Frågan man måste ställa sig blir till slut om det egentligen är någon brottslighet som kommer att infångas via trafikdatalagring om det är så här snävt det hela ska tolkas. ? andra sidan, om man ska vidga tolkningen blir det nästan löjligt mycket som måste lagras – alla anslutningar till alla webbtjänster i hela världen (för de skulle ju kunna vara e-mail/meddelandetjänster), ja egentligen alla IP-paket överhuvudtaget, eftersom det är mycket svårt utan att göra en ordentlig analys av paketens innehåll att veta om det är “mänsklig” kommunikation som gömmer sig där eller inte.

Till sist det här med VPN. Om man är det minsta orolig för att bli “datalagrad” – kan man då använda sig av en VPN-tjänst för att kryptera trafiken från sin egen dator till Internet och på köpet bli anonymiserad, eller kommer även VPN-tjänster att omfattas av direktivet och därmed tvingas lagra information om sina kunder och deras trafik? Daniel Westman svarar på Twitter att han tycker att det är oklart. Så den nöten återstår att knäcka, även om jag efter att ha läst igenom PTS rapporter tycker det ser tveksamt ut.

Som jag sa inledningsvis: Jag är inte jurist. Jag har säkert fel i massor av ovanstående slutsatser och en hel del är ju rena gissningar från min del (och andras). Om du som läser detta har möjlighet att sprida mer ljus över frågan, skriv gärna en kommentar!

/M;