Umsögn um frumvarp til fjarskiptalaga
Persónuvernd hefur veitt umsögn um frumvarp til laga um breytingu á fjarskiptalögum. Í frumvarpinu er m.a. gert ráð fyrir að starfræktur verði starfshópur (CERT-ÍS) sem myndi hafa víðtækar heimildir til að skoða samskipti á Netinu án dómsúrskurðar. Persónuvernd telur að ávallt skuli afla dómsúrskurðar áður en slík skoðun fer fram. Þá telur hún of margt óljóst varðandi hina tæknilegu framkvæmd, og að í þeim efnum þarfnist frumvarpið frekari skoðunar.
Umsögn um frumvarp til laga um breytingu á lögum um fjarskipti og lögum um Póst- og fjarskiptastofnun
Persónuvernd vísar til tölvubréfs Aþingis frá 13. desember 2011 þar sem óskað er umsagnar stofnunarinnar um frumvarp til laga um breytingu á lögum nr. 81/2003 um fjarskipti og lögum nr. 69/2003 um Póst- og fjarskiptastofnun. Þau ákvæði frumvarpsins, sem einkum varða meðferð persónuupplýsinga, er að finna í 8. gr. þess og afmarkast eftirfarandi umfjöllun Persónuverndar við þau ákvæði. Nánar tiltekið er þar um að ræða tillögu frumvarpsins að nýrri grein í fjarskiptalögum, þ.e. 47. gr. a, sem hafi að geyma ákvæði um sérstakan öryggis- og viðbragðshóp til verndar ómissandi upplýsingainnviðum.
Segir í tillögu að 1. mgr. 47. gr. a að meginmarkmiðið með starfsemi hópsins, sem nefndur er CERT-ÍS, sé að fyrirbyggja og draga úr hættu á netárásum og öðrum öryggisatvikum á netumdæmi eins og kostur er og sporna við og lágmarka tjón á ómissandi upplýsingainnviðum sem af slíku kann að hljótast. Nánar tiltekið er þar um að ræða „upplýsingakerfi sem tryggja eiga þjóðaröryggi, almannaheill og margs konar öflun aðfanga í þróuðu og tæknivæddu þjóðfélagi,“ sbr. tillögu 2. gr. frumvarpsins að nýrri hugtaksskilgreiningu í 3. gr. fjarskiptalaga.
Frumvarpið svarar ekki þeirri grundvallarspurningu hvernig hópurinn eigi að vera skipaður. Hins vegar gerir það ráð fyrir að honum séu fengnar mjög víðtækar heimildir, sbr. tillögu frumvarpsins að ákvæðum 2.–4. mgr. 47. gr. a í fjarskiptalögum þar sem gert ráð fyrir að hópurinn geti vaktað fjarskiptaumferð til að greina hættur og bregðast við þeim. Ekki á að vera um að ræða persónugreinanlegar upplýsingar, sbr. þó 4. mgr., en þar segir:
„Sé rökstuddur grunur um að einstakar sendingar innihaldi spillikóta er CERT-ÍS heimilt, með samþykki rekstraraðila einstakra ómissandi upplýsingainnviða, að undanskildum almennum fjarskiptanetum fjarskiptafyrirtækjanna, að greina efni einstakra fjarskiptasendinga til og frá viðkomandi neti. Tilkynna skal sendanda sendingarinnar um að hún verði skoðuð og gefa honum tækifæri á því að vera viðstaddur skoðunina ef það er mögulegt. Að öðru leyti skal CERT-ÍS starfa í samræmi við skilyrði sem Persónuvernd kann að setja fyrir vinnslunni.“
Í athugasemdum í greinargerð með frumvarpinu, bæði í III. kafla almennra athugasemda og athugasemdum við 8. gr., kemur fram að erlendis séu starfræktir viðbragðshópar sambærilegir við CERT-ÍS. Ekkert er hins vegar vikið að því hvort þeir hafi slíkar heimildir til skoðunar á netumferð, þ. á m. til að skoða innihald sendinga, sem að framan er lýst.
Persónuvernd vekur athygli á að í tilvitnuðu ákvæði frumvarpsins felst að CERT-ÍS sé fengin heimild til að skoða samskipti á Netinu án dómsúrskurðar. Í athugasemdum við ákvæðið virðist litið svo á að slíkt sé réttlætanlegt þar sem um sé að ræða eftirlit sambærilegt við það þegar vinnuveitandi skoðar tölvupóst eða netnotkun starfsmanns, en vinnuveitandi hefur svigrúm til þess, enda fari hann að tilteknum skilyrðum, sbr. m.a. 9. gr. reglna Persónuverndar nr. 837/2006 um rafræna vöktun, sbr. 5. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Hér er hins vegar ekki að neinu leyti um að ræða sambærileg tilvik. Heimild vinnuveitanda til netvöktunar afmarkast við upplýsingakerfi vinnuveitandans sjálfs. Skoðun CERT-ÍS á netsamskiptum fæli hins vegar í sér eftirlit utanaðkomandi aðila. Því er eðlilegt, í ljósi 71. gr. stjórnarskrárinnar, að gerð sé sú krafa að CERT-ÍS afli dómsúrskurðar til að skoða innihald netsamskipta, rétt eins og þegar lögregla viðhefur slíka skoðun.
Einnig bendir Persónuvernd á að ekki liggur fyrir hvernig vöktun á vegum CERT-ÍS feli að öðru leyti aðeins í sér meðferð ópersónugreinanlegra upplýsinga, sem og hvernig hún fari fram tæknilega. Þannig liggur m.a. ekki fyrir hvort eftirlitsbúnaður verði stöðugt tengdur og undir stjórn CERT-ÍS sem geti þá skimað umferð hvenær sem er án vitundar fjarskiptafyrirtækis; hvernig komið verður í veg fyrir að gögn, sem ekki þarfnast skoðunar, séu undanþegin eftirliti; og hvaða upplýsingum skimun beinist að, s.s. hvort hún beinist að uppruna og viðtökustað sendinga eða, eftir atvikum, frekari upplýsingum. Í því sambandi kemur ekki fram hvort innihald verði skimað með einhverjum hætti án þess þó að skeyti séu beinlínis opnuð, sbr. tillögu frumvarpsins að 4. mgr. 47. gr. a í fjarskiptalögum.
Í tillögu að 3. mgr. 47. gr. a er gert ráð fyrir að upplýsingar, sem CERT-ÍS aflar, séu varðveittar í sex mánuði, án þess þó að fram komi hver hafi varðveisluna með höndun og hvernig aðgangi að gögnum verði háttað. Ekki er að finna rökstuðning fyrir framangreindum varðveislutíma í frumvarpinu þrátt fyrir að um verulegt gagnamagn geti verið að ræða. Í ljósi þeirrar miklu íhlutunar í friðhelgi einkalífs, sem varðveislan felur í sér, telur Persónuvernd vafa leika á um hvort hún fái samrýmst 71. gr. stjórnarskrárinnar.