Datalagring – vad är ett elektroniskt meddelande?

april 4, 2012

Enligt den nya lagen om lagring av trafikdata måste den som är lagringsskyldig bevara trafikdata för något som i lagen benämns meddelandehantering. EU-direktivet kräver endast att trafikdata för e-post, sms och mms lagras men regeringen har utvidgat detta till att gälla trafikdata för:

all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och TV-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilde abonnenten eller användaren av informationen

Överföring av samtal faller under bestämmelser för telefoni istället och undantas. I propositionen står:

Med meddelandehantering ska avses tjänster som använder sig av olika kommunikationsprotokoll, dvs. regler om hur kommunikationen ska ske, som SMTP (Simple Mail Transfer Protocol, RFC 2821 och RFC 2822), som är det vanligaste protokollet för att leverera elektronisk post, och SMPP (Short Message Peer-to-Peer Protocol v5.0) som utgör ett kommunikationsprotokoll för utbyte av sms-meddelanden. (…) Eftersom definitionen av elektroniskt meddelande även omfattar viss information som överförs som del av sändningar av ljudradio- och TV-program måste undantag också göras för sådana sändningar.

Lägg här märke till att protokollen som nämns kan tolkas på två sätt: antingen som exempel på vilka protokoll som täcks, eller som exempel på vad ett kommunikationsprotokoll är för något. I vilket fall så ges ingen fullständig förteckning utan bara några exempel. Lägg också märke till att regeringen uttryckligen undantar sändningar av ljudradio- och TV-program. Om meddelandehantering endast handlade om e-post, sms och mms, varför skulle man då göra det? Är det vanligt med radio- och TV-sändningar via e-post, sms, eller mms?

Slutsatsen som jag dragit är att trafikdata för meddelandehantering är ett helt vidöppet begrepp som kan täcka i princip vad som helst utom samtal och radio- och TV-sändningar. Därför var jag nyfiken på regeringens förordning som tycks ha publicerats igår. Marcus Jerräng var vänlig nog att mejla mig en kopia av förordningen, som han även skriver om i Computer Sweden. I förordningen framgår dock i princip ingenting nytt som inte redan fanns i propositionen eller själva lagtexten. Post- och telestyrelsen har sedan tidigare planerat att komma med föreskrifter om lagringsformer (säkerhetskrav och annat) och ersättningsfrågor den 24:e oktober. I och med att förordningen nu bemyndigar PTS att komma med föreskrifter som vad, rent tekniskt, som ska lagras, är det väl inte osannolikt att inte det heller kommer förrän framemot slutet av året. I praktiken verkar varken PTS eller telekomföretagen bli klara förrän långt efter 1 maj då lagen börjar gälla (”Telecombranschen: Vi hinner inte blir klara i tid”). Att lagen anges börjar gälla nu verkar mest vara ett sätt att undslippa böter.

Men för att återgå till huvudfrågan, är begreppet meddelandehantering så vitt att det även skulle kunna inbegripa sådant som webbsidebesök? I princip ja, tror jag, men i propositionen finns det ett uttryckligt undantag från datalagring just för ”surfning”. Däremot kan jag inte se att det skulle finnas något hinder mot att inbegripa DNS-uppslagningar i meddelandehantering. Om regeringen vill kan den när som helst, utan riksdagens medgivande, göra en sådant ”förtydligande”. Då skulle polisen även få tillgång till information som kan indikera vilka webbsajter människor besöker.

I samband med att den nya lagen röstades igenom lades det till bestämmelser om att regeringen måste få riksdagens godkännande gällande förordningar som rör säkerhetsbestämmelser för lagrad data (ett sådant underställande verkar för övrigt vara ytterst ovanligt). Av någon märklig anledning gäller detta dock inte förordningar om vad som ska lagras utan bara hur.

Förresten, det är många som idag återger Computer Swedens artikel av vad som ska lagras. Det är dock viktigt att poängtera att dessa uppgifter inte ska lagras av alla. Det finns de som inte omfattas av datalagring och behandlar uppgifter på den där listan. De är inte skyldiga att lagra några trafikdata. Ett exempel är företag som tillhandahåller e-posttjänst utan att samtidigt vara internetleverantör. Se mitt tidigare inlägg.