Umsagnir
Umsögn um drög að reglugerð um starf netöryggissveitar
Efni: Umsögn Persónuverndar um drög að reglugerð um starf netöryggissveitar
Persónuvernd vísar til bréfs innanríkisráðuneytisins, dags. 5. apríl 2013, þar sem óskað er umsagnar stofnunarinnar um drög að reglugerð um málefni CERT-ÍS-netöryggissveitar, sbr. lagastoð fyrir setningu slíkrar reglugerðar í 6. mgr. 47. gr. a í fjarskiptalögum nr. 81/2003. Stofnunin gerir eftirfarandi athugasemdir:
1. Valdsvið netöryggissveitarinnar
Samkvæmt 2. mgr. 3. gr. reglugerðardraganna tekur valdsvið netöryggissveitarinnar, þ.e. svonefnt netumdæmi, til ómissandi net- og tæknikerfa íslenskra fjarskiptakerfa og samkvæmt sérstökum þjónustusamningum til ómissandi upplýsingainnviða landsins. Er þessi skilgreining á valdsviði í samræmi við 1. og 2. mgr. 47. gr. a í fjarskiptalögum, en þar kemur fram að sveitin gegni hlutverki öryggis- og viðbragðshóps til verndar ómissandi upplýsingainnviðum gegn netárásum, sem og að hún skuli leitast við að greina öryggisatvik á frumstigi og fyrirbyggja að þau breiðist út og valdi tjóni á ómissandi upplýsingainnviðum sem falla undir netumdæmi hópsins.
Í 3. mgr. 3. gr. reglugerðardraganna kemur hins vegar fram að íslensk netlögsaga í heild sinni utan netumdæmisins geti fallið undir lögsögu nefndarinnar. Svo virðist af orðalagi ákvæðisins að það eigi einkum að ná til fræðslu um öryggismál, ábendinga um öryggisógnir og þess háttar. Í ljósi þess að reglugerðardrögin hafa að geyma ýmis ákvæði, sem fela í sér víðtæka íhlutun í friðhelgi einkalífs, telur Persónuvernd hins vegar að framangreint þurfi að koma ótvírætt fram í ákvæðinu. Þá minnir Persónuvernd á að skýrar lagaheimildir þarf til ef t.d. á að skoða innihald fjarskiptasendinga. Ákvæði 1. og 2. mgr. 47. gr. a í fjarskiptalögum veitir aðeins slíkar heimildir þegar um ræðir ómissandi upplýsingainnviði og verða ákvæði reglugerðar að afmarkast af því.
2. Öryggisvottanir lögreglu
Í 5. gr. er fjallað um hæfiskröfur starfsmanna netöryggissveitar. Segir þar m.a. að um öryggisvottanir af hálfu Ríkislögreglustjóra fari samkvæmt lögum þar um. Slík lög um öryggisvottanir hafa ekki verið sett. Telur Persónuvernd eðlilegt að ákvæði um öryggisvottanir séu ekki færð í reglugerðir nema fullnægjandi lagastoð liggi fyrir. Þá áréttar stofnunin þá afstöðu sína að gætt skuli meðalhófs við setningu sérstakra lagaheimilda um vinnslu persónuupplýsinga og framkvæmd á grundvelli þeirra.
3. Leynd um verklag
Samkvæmt 2. mgr. 6. gr. er netöryggissveitinni ekki skylt að gera verklag sitt opinbert, enda geti upplýsingar þar að lútandi ella komist í hendur óæskilegra aðila. Vísað er til 1. tölul. 10. gr. upplýsingalaga nr. 140/2012 í því sambandi, þess efnis að takmarka megi aðgang almennings að gögnum þegar mikilvægir almannahagsmunir krefjast, enda hafi þau að geyma upplýsingar um öryggi ríkisins eða varnarmál.
Líta verður til þess að umrætt ákvæði reglugerðarinnar gæti skert möguleika skráðra einstaklinga á að fá vitneskju um vinnslu persónuupplýsinga um sig. Samkvæmt 2. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda ákvæði þar að lútandi í þeim lögum ekki um vinnslu sem varðar m.a. almannaöryggi, landvarnir og starfsemi ríkisins á sviði refsivörslu. Engu að síður telur stofnunin eðlilegt, í ljósi grunnreglu stjórnarskrárinnar um friðhelgi einkalífs, að metið sé í hvert sinn hvort einstakir þættir vinnslu persónuupplýsinga, sem slíkt varða, séu þess eðlis að synja bæri beiðni hins skráða um vitneskju um þá. Í orðalagi umrædds ákvæðis reglugerðardraganna mætti taka tillit til þessa, s.s. með því að fella brott orðin „Með tilliti til“ í 2. málsl. ákvæðisins en setja þar í staðinn „Að því marki sem nauðsynlegt er vegna“.
4. Samhæfing aðgerða aðila utan þjónustuhóps
Í 8. gr. er fjallað um það hlutverk netöryggissveitarinnar að samhæfa aðgerðir aðila í svokölluðum þjónustuhópi, þ.e. þeirra sem ábyrgir eru fyrir ómissandi upplýsingainnviðum. Þá kemur fram að sveitin geti haft sama hlutverk með höndum fyrir aðila utan þjónustuhópsins samkvæmt sérstökum þjónustusamningum. Af þessu tilefni er áréttað það sem greinir í 1. lið hér að framan að þær heimildir þjónustuhópsins, sem fela í sér íhlutun í friðhelgi einkalífs, geta aðeins átt við að því marki sem fyrir þeim er skýr lagaheimild. Þá ber einnig að hafa í huga hina almennu lögmætisreglu stjórnsýsluréttarins sem felur í sér að athafnir stjórnvalda skulu byggjast á lögum. Meðal annars í ljósi þess hvernig valdsvið sveitarinnar er afmarkað í 47. gr. a í fjarskiptalögum telur Persónuvernd ekki með öllu ljóst hvað umrætt ákvæði á að fela í sér.
5. Heimild til að greina innihald gagna
Samkvæmt 1. mgr. 15. gr. er netöryggissveitinni heimilt að greina innihald gagna sem tengjast meintum öryggisatvikum. Ekki eru í ákvæðinu orðaðar neinar takmarkanir við þessari heimild. Af því tilefni minnir Persónuvernd á að í 3. mgr. 47. gr. a í fjarskiptalögum er það gert að skilyrði fyrir skimun stýrigagna fjarskiptapakka að uppi sé grunur um stórfellda netárárás. Þá segir í 4. mgr. sömu greinar að rökstuddur grunur þurfi að vera um að sending innihaldi spillikóta til að heimilt sé að greina efni einstakra fjarskiptasendinga. Þá er gerð krafa um samþykki rekstraraðila einstakra ómissandi upplýsingainnviða, auk þess sem ekki er heimilt að skoða sendingar í almennum fjarskiptanetum fjarskiptafyrirtækja. Persónuvernd telur orðalag 1. mgr. 15. gr. reglugerðardraganna ekki taka nægt tillit til þessa og að því þurfi að gera á því viðeigandi breytingar. Í tengslum við þær yrði einnig að hafa í huga þær athugasemdir sem fram koma í 9. lið hér á eftir þar sem fjallað er um tilkynningar til sendenda og móttakenda sendinga um að þær verði skoðaðar.
6. Heimild til samkeyrslu og uppflettinga
Í 3. mgr. 16. gr. draganna segir að heimilt sé að vinna með og meðhöndla IP-tölur o.fl. sem fram koma í haus IP-fjarskiptapakka og samkeyra slík gögn. Sömuleiðis sé heimilt að fletta tilsvarandi nöfnum aðila eða þjónustu og öðru sem að notum geti komið í aðgerðum gegn meintum öryggisatvikum í opinberum skrám, t.d. lénaskráningu og rekstraraðila IP-talna. Af þessu tilefni minnir Persónuvernd á bann 3. mgr. 47. gr. a í fjarskiptalögum við persónugreiningu gagna, en af 4. mgr. sömu greinar verður ráðið að frá því banni megi aðeins víkja þegar rökstuddur grunur leikur á um að fjarskiptasending innihaldi spillikóta.
Persónuvernd telur ekki tekið nægt tillit til framangreinds í umræddu ákvæði draganna. Þá bendir Persónuvernd á að í ákvæðinu er ekki að finna skýringu á því við hvaða upplýsingar samkeyra megi upplýsingar í haus IP-fjarskiptapakka. Slíkar samkeyrslur yrðu ávallt að virða þau mörk sem grundvallarregla 71. gr. stjórnarskrárinnar um friðhelgi einkalífs setur, en einn liðurinn í að tryggja það er að afmarka skilmerkilega í löggjöf til hvers samkeyrsluheimild nái.
7. Miðlun upplýsinga úr landi
Í 2. mgr. 15. gr. og 18. gr. draganna er fjallað um heimildir til að miðla gögnum, sem til verða við eftirlit netöryggissveitarinnar, til erlendra samstarfsaðila. Persónuvernd minnir á að ef um ræðir aðila í löndum utan EES, sem ekki hafa fengið viðurkenningu framkvæmdastjórnar ESB sem örugg þriðju lönd, þ.e. lönd sem veita fullnægjandi persónuupplýsingavernd, sbr. 29. gr. laga nr. 77/2000, má ekki miðla slíkum upplýsingum þangað nema einhverju af skilyrðum 30. gr. sömu laga sé fullnægt. Í umræddum ákvæðum mætti vísa til þeirrar lagagreinar með orðalagi á borð við að miðlun sé heimil innan ramma hennar. Það ákvæði, sem þar gæti einkum átt við í ljósi aðstæðna, er 7. tölul. 1. mgr., þess efnis að miðlun sé heimil sé hún nauðsynleg eða fyrirskipuð samkvæmt lögum vegna þess að brýnir almannahagsmunir krefjast þess eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.
8. Heimild til að skoða lifandi umferðargögn
Í 20. gr. fjallað um heimild netöryggissveitar til að fá tímabundinn aðgang að lifandi umferðargögnum varðandi alvarlega netárás sem rökstuddur grunur leikur á um að sé á ferðinni, s.s. gögn um á hvaða IP-vistföng mestri umferð sé beint hverju sinni og hvaðan mest af þeirri umferð komi. Ekki er tilefni til athugasemda við að sveitinni sé veitt umrædd heimild í ljósi þess hvernig valdsvið hennar er afmarkað í fjarskiptalögum. Hins vegar telur Persónuvernd eðlilegt að í umræddu ákvæði komi fram tilvísun til þeirrar kröfu að sendanda og móttakanda sendingar sé gert viðvart og veitt færi á að vera viðstaddir ef greina á efni viðkomandi fjarskiptasendingar, sbr. 4. mgr. 47. gr. a í fjarskiptalögum sem nánar er fjallað um í 9. lið hér á eftir.
9. Heimild til að skoða innihald fjarskiptasendinga
Samkvæmt 23. gr. draganna er heimilt að setja upp nema sem greina innihald fjarskiptasendinga við tengihlið ómissandi upplýsingainnviða. Þá er þar fjallað um skilyrði þess að slíkar upplýsingar séu skoðaðar, þ.e. að í verklagsreglum netöryggissveitar skuli m.a. koma fram hvernig eigi að láta ábyrgðaraðila sendinga vita áður en skoðun fer fram. Af þessu tilefni minnir Persónuvernd á að samkvæmt 4. mgr. 47. gr. a í fjarskiptalögum á ekki aðeins að láta sendanda fjarskiptasendingar vita þegar skoða á innihald hennar heldur einnig móttakanda. Þá er þar tekið fram að þeim skuli gefið tækifæri á að vera viðstaddir skoðun sé slíkt mögulegt. Orðalag umrædds ákvæðis draganna tekur ekki nægt tillit til þessa.
- - - - - - - - - -
Að svo stöddu gerir Persónuvernd ekki frekari athugasemdir við ákvæði umræddra reglugerðardraga.
1. Valdsvið netöryggissveitarinnar
Samkvæmt 2. mgr. 3. gr. reglugerðardraganna tekur valdsvið netöryggissveitarinnar, þ.e. svonefnt netumdæmi, til ómissandi net- og tæknikerfa íslenskra fjarskiptakerfa og samkvæmt sérstökum þjónustusamningum til ómissandi upplýsingainnviða landsins. Er þessi skilgreining á valdsviði í samræmi við 1. og 2. mgr. 47. gr. a í fjarskiptalögum, en þar kemur fram að sveitin gegni hlutverki öryggis- og viðbragðshóps til verndar ómissandi upplýsingainnviðum gegn netárásum, sem og að hún skuli leitast við að greina öryggisatvik á frumstigi og fyrirbyggja að þau breiðist út og valdi tjóni á ómissandi upplýsingainnviðum sem falla undir netumdæmi hópsins.
Í 3. mgr. 3. gr. reglugerðardraganna kemur hins vegar fram að íslensk netlögsaga í heild sinni utan netumdæmisins geti fallið undir lögsögu nefndarinnar. Svo virðist af orðalagi ákvæðisins að það eigi einkum að ná til fræðslu um öryggismál, ábendinga um öryggisógnir og þess háttar. Í ljósi þess að reglugerðardrögin hafa að geyma ýmis ákvæði, sem fela í sér víðtæka íhlutun í friðhelgi einkalífs, telur Persónuvernd hins vegar að framangreint þurfi að koma ótvírætt fram í ákvæðinu. Þá minnir Persónuvernd á að skýrar lagaheimildir þarf til ef t.d. á að skoða innihald fjarskiptasendinga. Ákvæði 1. og 2. mgr. 47. gr. a í fjarskiptalögum veitir aðeins slíkar heimildir þegar um ræðir ómissandi upplýsingainnviði og verða ákvæði reglugerðar að afmarkast af því.
2. Öryggisvottanir lögreglu
Í 5. gr. er fjallað um hæfiskröfur starfsmanna netöryggissveitar. Segir þar m.a. að um öryggisvottanir af hálfu Ríkislögreglustjóra fari samkvæmt lögum þar um. Slík lög um öryggisvottanir hafa ekki verið sett. Telur Persónuvernd eðlilegt að ákvæði um öryggisvottanir séu ekki færð í reglugerðir nema fullnægjandi lagastoð liggi fyrir. Þá áréttar stofnunin þá afstöðu sína að gætt skuli meðalhófs við setningu sérstakra lagaheimilda um vinnslu persónuupplýsinga og framkvæmd á grundvelli þeirra.
3. Leynd um verklag
Samkvæmt 2. mgr. 6. gr. er netöryggissveitinni ekki skylt að gera verklag sitt opinbert, enda geti upplýsingar þar að lútandi ella komist í hendur óæskilegra aðila. Vísað er til 1. tölul. 10. gr. upplýsingalaga nr. 140/2012 í því sambandi, þess efnis að takmarka megi aðgang almennings að gögnum þegar mikilvægir almannahagsmunir krefjast, enda hafi þau að geyma upplýsingar um öryggi ríkisins eða varnarmál.
Líta verður til þess að umrætt ákvæði reglugerðarinnar gæti skert möguleika skráðra einstaklinga á að fá vitneskju um vinnslu persónuupplýsinga um sig. Samkvæmt 2. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda ákvæði þar að lútandi í þeim lögum ekki um vinnslu sem varðar m.a. almannaöryggi, landvarnir og starfsemi ríkisins á sviði refsivörslu. Engu að síður telur stofnunin eðlilegt, í ljósi grunnreglu stjórnarskrárinnar um friðhelgi einkalífs, að metið sé í hvert sinn hvort einstakir þættir vinnslu persónuupplýsinga, sem slíkt varða, séu þess eðlis að synja bæri beiðni hins skráða um vitneskju um þá. Í orðalagi umrædds ákvæðis reglugerðardraganna mætti taka tillit til þessa, s.s. með því að fella brott orðin „Með tilliti til“ í 2. málsl. ákvæðisins en setja þar í staðinn „Að því marki sem nauðsynlegt er vegna“.
4. Samhæfing aðgerða aðila utan þjónustuhóps
Í 8. gr. er fjallað um það hlutverk netöryggissveitarinnar að samhæfa aðgerðir aðila í svokölluðum þjónustuhópi, þ.e. þeirra sem ábyrgir eru fyrir ómissandi upplýsingainnviðum. Þá kemur fram að sveitin geti haft sama hlutverk með höndum fyrir aðila utan þjónustuhópsins samkvæmt sérstökum þjónustusamningum. Af þessu tilefni er áréttað það sem greinir í 1. lið hér að framan að þær heimildir þjónustuhópsins, sem fela í sér íhlutun í friðhelgi einkalífs, geta aðeins átt við að því marki sem fyrir þeim er skýr lagaheimild. Þá ber einnig að hafa í huga hina almennu lögmætisreglu stjórnsýsluréttarins sem felur í sér að athafnir stjórnvalda skulu byggjast á lögum. Meðal annars í ljósi þess hvernig valdsvið sveitarinnar er afmarkað í 47. gr. a í fjarskiptalögum telur Persónuvernd ekki með öllu ljóst hvað umrætt ákvæði á að fela í sér.
5. Heimild til að greina innihald gagna
Samkvæmt 1. mgr. 15. gr. er netöryggissveitinni heimilt að greina innihald gagna sem tengjast meintum öryggisatvikum. Ekki eru í ákvæðinu orðaðar neinar takmarkanir við þessari heimild. Af því tilefni minnir Persónuvernd á að í 3. mgr. 47. gr. a í fjarskiptalögum er það gert að skilyrði fyrir skimun stýrigagna fjarskiptapakka að uppi sé grunur um stórfellda netárárás. Þá segir í 4. mgr. sömu greinar að rökstuddur grunur þurfi að vera um að sending innihaldi spillikóta til að heimilt sé að greina efni einstakra fjarskiptasendinga. Þá er gerð krafa um samþykki rekstraraðila einstakra ómissandi upplýsingainnviða, auk þess sem ekki er heimilt að skoða sendingar í almennum fjarskiptanetum fjarskiptafyrirtækja. Persónuvernd telur orðalag 1. mgr. 15. gr. reglugerðardraganna ekki taka nægt tillit til þessa og að því þurfi að gera á því viðeigandi breytingar. Í tengslum við þær yrði einnig að hafa í huga þær athugasemdir sem fram koma í 9. lið hér á eftir þar sem fjallað er um tilkynningar til sendenda og móttakenda sendinga um að þær verði skoðaðar.
6. Heimild til samkeyrslu og uppflettinga
Í 3. mgr. 16. gr. draganna segir að heimilt sé að vinna með og meðhöndla IP-tölur o.fl. sem fram koma í haus IP-fjarskiptapakka og samkeyra slík gögn. Sömuleiðis sé heimilt að fletta tilsvarandi nöfnum aðila eða þjónustu og öðru sem að notum geti komið í aðgerðum gegn meintum öryggisatvikum í opinberum skrám, t.d. lénaskráningu og rekstraraðila IP-talna. Af þessu tilefni minnir Persónuvernd á bann 3. mgr. 47. gr. a í fjarskiptalögum við persónugreiningu gagna, en af 4. mgr. sömu greinar verður ráðið að frá því banni megi aðeins víkja þegar rökstuddur grunur leikur á um að fjarskiptasending innihaldi spillikóta.
Persónuvernd telur ekki tekið nægt tillit til framangreinds í umræddu ákvæði draganna. Þá bendir Persónuvernd á að í ákvæðinu er ekki að finna skýringu á því við hvaða upplýsingar samkeyra megi upplýsingar í haus IP-fjarskiptapakka. Slíkar samkeyrslur yrðu ávallt að virða þau mörk sem grundvallarregla 71. gr. stjórnarskrárinnar um friðhelgi einkalífs setur, en einn liðurinn í að tryggja það er að afmarka skilmerkilega í löggjöf til hvers samkeyrsluheimild nái.
7. Miðlun upplýsinga úr landi
Í 2. mgr. 15. gr. og 18. gr. draganna er fjallað um heimildir til að miðla gögnum, sem til verða við eftirlit netöryggissveitarinnar, til erlendra samstarfsaðila. Persónuvernd minnir á að ef um ræðir aðila í löndum utan EES, sem ekki hafa fengið viðurkenningu framkvæmdastjórnar ESB sem örugg þriðju lönd, þ.e. lönd sem veita fullnægjandi persónuupplýsingavernd, sbr. 29. gr. laga nr. 77/2000, má ekki miðla slíkum upplýsingum þangað nema einhverju af skilyrðum 30. gr. sömu laga sé fullnægt. Í umræddum ákvæðum mætti vísa til þeirrar lagagreinar með orðalagi á borð við að miðlun sé heimil innan ramma hennar. Það ákvæði, sem þar gæti einkum átt við í ljósi aðstæðna, er 7. tölul. 1. mgr., þess efnis að miðlun sé heimil sé hún nauðsynleg eða fyrirskipuð samkvæmt lögum vegna þess að brýnir almannahagsmunir krefjast þess eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.
8. Heimild til að skoða lifandi umferðargögn
Í 20. gr. fjallað um heimild netöryggissveitar til að fá tímabundinn aðgang að lifandi umferðargögnum varðandi alvarlega netárás sem rökstuddur grunur leikur á um að sé á ferðinni, s.s. gögn um á hvaða IP-vistföng mestri umferð sé beint hverju sinni og hvaðan mest af þeirri umferð komi. Ekki er tilefni til athugasemda við að sveitinni sé veitt umrædd heimild í ljósi þess hvernig valdsvið hennar er afmarkað í fjarskiptalögum. Hins vegar telur Persónuvernd eðlilegt að í umræddu ákvæði komi fram tilvísun til þeirrar kröfu að sendanda og móttakanda sendingar sé gert viðvart og veitt færi á að vera viðstaddir ef greina á efni viðkomandi fjarskiptasendingar, sbr. 4. mgr. 47. gr. a í fjarskiptalögum sem nánar er fjallað um í 9. lið hér á eftir.
9. Heimild til að skoða innihald fjarskiptasendinga
Samkvæmt 23. gr. draganna er heimilt að setja upp nema sem greina innihald fjarskiptasendinga við tengihlið ómissandi upplýsingainnviða. Þá er þar fjallað um skilyrði þess að slíkar upplýsingar séu skoðaðar, þ.e. að í verklagsreglum netöryggissveitar skuli m.a. koma fram hvernig eigi að láta ábyrgðaraðila sendinga vita áður en skoðun fer fram. Af þessu tilefni minnir Persónuvernd á að samkvæmt 4. mgr. 47. gr. a í fjarskiptalögum á ekki aðeins að láta sendanda fjarskiptasendingar vita þegar skoða á innihald hennar heldur einnig móttakanda. Þá er þar tekið fram að þeim skuli gefið tækifæri á að vera viðstaddir skoðun sé slíkt mögulegt. Orðalag umrædds ákvæðis draganna tekur ekki nægt tillit til þessa.
- - - - - - - - - -
Að svo stöddu gerir Persónuvernd ekki frekari athugasemdir við ákvæði umræddra reglugerðardraga.