Datalagring – vilka är skyldiga att lagra trafikdata?

mars 22, 2012

För den som undrar vilka som omfattas av den nystiftade lagen om trafikdatalagring gav Post- och telestyrelsen (PTS) ut en vägledning 2009: Vilka tjänster och nät omfattas av LEK?.

Enligt den nya lagen är det de som är anmälningspliktiga enligt lagen om elektronisk kommunikation (LEK) som tvingas lagra trafikdata. För att en kommunikationstjänst ska vara anmälningspliktig krävs att:

  • tjänsten tillhandahålls till en annan (extern) part, på kommersiella grunder och
  • tjänsten huvudsakligen utgörs av överföring av signaler (radiovågor, ljusvågor, elektriska impulser etc. som överför  informationen mellan sändare och mottagare) och
  • tjänsteleverantören har rådighet över överföringen (antingen fysiskt eller via avtal med en annan part)

Rapporten innehåller en ganska intressant tabell över hur olika länder bedömer ett urval av tjänstetyper:

Så mycket för samordningen i EU. Det är ändå intressant med samstämmigheten om att ren IP-telefoni inte omfattas (tredje kolumnen). Som jag tolkar PTS rapport kommer lagringsskyldighet att drabba tjänsteleverantörer som erbjuder både internetaccess och andra tjänster som t ex. e-post, men inte ett svenska företag som endast erbjuder en e-posttjänst (det är dock litet osäkert hur paketerbjudanden kommer att bedömas).

Konsekvensen blir alltså att ju mer vertikal integration av tjänster vi får desto mer trafikdatalagring, och vice versa. Dessutom har medborgarna ett visst inflytande över utvecklingen i den mån de som konsumenter av integritetsskäl undviker paketlösningar (såvida nu inte tillsynsmyndigheten eller regeringen ändrar förutsättningarna).

Det här med rådigheten över överföringen är inte helt tydligt i min mening. Den som driver en webbtjänst har ju (i vart fall avtalsmässig) rådighet över sin egen internetuppkoppling, men inte över de signalvägar ute på det vida internet som kunderna använder få att få kontakt med tjänsten. Frågan är alltså om det måste föreligga rådighet över kommunikationen som helhet, eller om det räcker med partiell kontroll.

PTS har förresten en förteckning över de företag som idag har anmält sig (och således omfattas av trafikdatalagring).

Uppdatering: se även Måns Jonasson som försöker reda ut vad som gäller.

10 Responses to “Datalagring – vilka är skyldiga att lagra trafikdata?”

  1. Mary Says:

    Såg du också det här. Det är inte ens lika i alla länder så frågan är om vi hade behöt böja oss.

    https://upphovstratan.wordpress.com/2012/03/22/datalagring-vilka-ar-skyldiga-att-lagra-trafikdata/

    • Tor M Says:

      Hej Mary,

      jag får intrycket av din kommentar att du närmast hade tänkt posta den på någon annan blogg och tipsa om mitt inlägg…
      Annars är ju länken litet överflödig menar jag, men tack ändå för länken😉


  2. För att ha ”rådighet” över överföringen räcker det knappast att man har en fysisk anslutning till något nät; i begreppet ”elektronisk kommunikationstjänst” ingår liksom att man vidarebefordrar signaler mellan andra parter. Ett företag som tillhandahåller en webbtjänst (om du med det menar till exempel ett webbhotell) är bara en abonnent på kommunikationstjänster, precis som en privatperson med telefon hemma. Att du bestämmer vem du skall ringa och vad du skall säga i telefon innebär inte att du har ”rådighet” över signalerna mellan telefonen och närmaste telefonstation.

    Webbtjänsten utgör en förädling av kommunikationstjänsten, men eftersom den handlar om informationen som skickas i nätet omfattas den inte av LEK (annat än om företaget dessutom skulle tillhandahålla en kommunikationstjänst). Informationen får inte avlyssnas och utnyttjas på annat sätt än för att överföra den till mottagaren (6 kap. 17 § LEK) vare sig det görs manuellt eller automatiskt; filtrering med avseende på portnummer eller annat trafikinnehåll är således förbjuden om inte den ena av de kommunicerande parterna har medgivit sådana åtgärder.

    • Tor M Says:

      Webbtjänst var kanske litet dumt ord eftersom jag egentligen inte ville inskränka mig till http. Låt oss kalla det internetförmedlad tjänst – en tjänst som tillhandahålls över IP och som i det här fallet möjliggör för människor att kommunicera med varandra men som förutsätter att det finns en internetinfrastruktur över vars övervägande del tjänsteleverantören inte har något inflytande.

      Det skulle kunna handla om tjänster som erbjuds på olika typer av kommunikationslager, t ex. ett webbforum (hög nivå) eller en VPN-tjänst (relativt låg nivå).

      ”Att du bestämmer vem du skall ringa och vad du skall säga i telefon innebär inte att du har “rådighet” över signalerna mellan telefonen och närmaste telefonstation”

      Nej, inte att jag bestämmer vem jag ska ringa eller vad jag ska säga. Men enligt PTS tolkning har jag svårt att utesluta att jag skulle kunna sägas ha avtalsmässig rådighet över signalerna mellan telefonen och närmaste telefonstation om jag har ett avtal med den part som tillhandahåller signalöverföringen men själv är den som erbjuder en allmän tjänst. Säg till exempel att jag erbjuder en röstbrevlåda – en tjänst med vilken människor kan kommunicera med varandra och utbyta meddelanden.

      Sedan vet jag inte vilken relevans det faktum att man eventuellt skulle ha rådighet över en liten liten del av signalöverföringen skulle ha. Liten relevans hoppas jag.


      • Jag tolkar inte LEK som att varje tjänst som förmedlas via Internet potentiellt är en ”elektronisk kommunikationstjänst”, och jag tror inte att PTS gör det heller (som jag läser rapporten från 2009). Bastjänsten ”Internet” (eller bara IP, till exempel i ett privat fysiskt nät eller ett VPN) är den elektroniska kommunikationstjänsten, och allt som läggs ovanpå det utgör innehåll med vilket lagen intet har att skaffa.

        Jag ser en tydlig gräns mellan å ena sidan en nättjänst (inklusive VPN) och å andra sidan allehanda kommunikationstillämpningar som DHCP, DNS, klocksynkronicering, e-post, chatt, diskussionsforum, ”molnet” osv även om de senare iofs också kan sägas ligga på olika ”nivåer” ur användarsynpunkt. DHCP, DNS och e-post räknas dock ofta som tillhörande tjänster när nätoperatören tillhandahåller dem, till exempel genom att anvisa kunden en nameserver (men om jag sedan pratar DNS direkt med en server på andra sidan jorden, då skall min operatör endast förmedla trafiken och inte bry sig om innehållet).

        Alternativet, att också en e-posttjänst som tillhandahålls av ett företag utan eget nät skulle räknas som en ”elektronisk kommunikationstjänst” enligt LEK, skulle innebära att en mängd företag blir skyldiga att anmäla sig till PTS. Att de inte är anmälda i dag tyder på att min lagtolkning är riktig.

        Huruvida en abonnent på en elektronisk kommunikationstjänst anses ha ”rådighet” över signalerna mellan sin egen utrustning och operatörens är kanske en akademisk fråga; det innebär hur som helst inte att abonnenten själv blir nätoperatör enligt LEK bara för att han förmedlar en annan tjänst ovanpå den han abonnerar på. En röstbrevlåda är inte anmälningspliktig.

        • Tor M Says:

          Jag ser det som ganska troligt att din bedömning är riktig. Vad jag skulle vilja efterfråga är större säkerhet och formuleringar som bara inte går att missförstå. Gärna med fler exempel från PTS sida.

          I LEK-propositionen (s. 362) står t.ex.::
          ”Såväl VPN som innebär reservering av överföringskapacitet som VPN för säker uppkoppling med hjälp av kryptering kan ske över ett allmänt kommunikationsnät. Det gör inte att den som tillhandahåller ett VPN är skyldig att särskilt anmäla denna verksamhet. Den som tillhandahåller det allmänna kommunikationsnätet är dock anmälningspliktig för detta, om det tillhandahålls mot ersättning.”

          Kruxet är ju bara att PTS i sin rapport skriver:
          ”Den aktör som genom avtal ser till att överföring av signaler sker i ett
          kommunikationsnät för att denne ska kunna tillhandahålla sin tjänst ska
          bedömas vara en tillhandahållare av elektronisk kommunikationstjänst. Detta
          gäller även om denne inte själv äger nätet eller ens förfogar över hela ledet i
          kommunikationen.”

          Det går att ana hur detta är tänkt att tillämpas, men det vore välgörande med några exempel för att tydliggöra gränsdragningen.

  3. anderstroberg Says:

    ”tjänsten tillhandahålls till en annan (extern) part”

    Där har vi kryphålet. Vad händer om man skapar en ISP, där man, istället för vanlig abonnemangsavgift, köper ett delägarskap? Då är man inte längre en extern part, och behöver alltså inte loggas.

    • Tor M Says:

      nja, det finns nog enklare sätt som är mer skalbara i sådana fall skulle jag tro.


    • Det har genom åren skapats flera olika former av näringsverksamhet under okonventionella namn, möjligen i syfte att kringgå en del obekväma regelverk inom konsumenträtten och liknande, men kanske oftare i marknadsföringssyfte. Ett exempel är bokklubbarna, där benämningen kan föra tankarna till en närmast ideell föreningsverksamhet, men som i verkligheten är vanliga kommersiella företag där kunderna tituleras ”medlemmar” utan att ha något som helst medlemsinflytande.

      Det du beskriver är uppenbarligen något annat, ett bolag med äkta delägare och därmed förknippat inflytande över verksamheten. Jag befarar dock att ett dylikt arrangemang av myndigheterna skulle betraktas som en sofistikerad täckmantel för en konventionell relation mellan företag och kund, här uppenbart tillkommen för att undgå lagens bokstav. Därför är det angeläget att kunna visa att delägarskapet och inflytandet över bolaget också är reellt, och inte bara formulerat på papper.

      Ett snarlikt arrangemang är att man i stället för delägarskap erbjuder ett jämlikt partsförhållande, alltså peer-to-peer på kommersiell basis mellan en massa enmansföretag. Om vi alla är våra egna operatörer men inte har några ”abonnenter” i vanlig mening, omfattas vi då av LEK? Se på Teracom; behöver de lagra några trafikdata? Tänk en miljon företag som Teracom, och välj sedan den teknik de behöver för att kommunicera inbördes.

      En ideell motsvarighet till detta kan implementeras ovanpå existerande kommunikationstjänster (se Tor); visserligen behöver operatören av det fysiska nätet spara sina trafikdata, men uppgifterna begränsas då till upprättandet och avslutandet av P2P-förbindelser, och inom dessa kan man förmedla mängder av indirekta förbindelser (vilka tillsammans klassas som ”innehåll”).

      HELO mta1.se.nonprofit.org
      MAIL FROM:<jennifer@government.name>
      RCPT TO:<santa@north.pole.biz>
      DATA
      From: <jennifer@government.name>
      To: <santa@north.pole.biz>
      Subject: Xmas wishlist

      Innehåll!
      .
      QUIT

      Vad i detta inlägg är ”innehåll”, och vad är det inte? Behöver någon logga brevet ovan?

      • anderstroberg Says:

        Tja, det finns ju redan sådana operatörer i form av de så kallade byanäten, dvs samfällighetsanläggningar där en by gått samman och byggt sitt eget nät, gemensamt ägt, och sedan ansluter detta via en anslutningspunkt till en trafikleverantör.

        De sitter ju redan i precis denna situation, och borde vara ett klockrent exempel om någon skulle vilja pröva konceptet.


Kommentarer inaktiverade.