Datalagring – omfattas anonymiseringstjänster?

april 6, 2012

Johan Pehrson (fp) skapade en del uppståndelse nyligen när han öppnade upp för att förbjuda krypteringstjänster. Uttalandet, som för övrigt Prisjakts algoritmer förtjänstfullt kategoriserat, har Pehrson senare försökt tona ned. Jämför förresten också vad moderaterna och centerpartiet sagt i frågan. Men hur förhåller det sig då med t.ex. anonymiseringstjänster? Omfattas de av datalagringsdirektivet så som ibland påståtts? Det verkar råda viss osäkerhet om det, så jag tänkte försöka reda ut det litet i detta inlägg.

Det hänger på om de kan definieras som ”allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster”. Såväl den svenska lagen som själva direktivet använder dessa två begrepp som definieras i ett annat EU-direktiv från 2002 för att avgränsa vilka som måste lagra trafikdata. Om något så är det kommunikationstjänst som kan komma i fråga – nät torde det knappast vara. Det sistnämnda direktivet uttalar att en sådan tjänst ”helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät” och inte omfattar ”tjänster i form av tillhandahållande av innehåll som överförts med hjälp av elektroniska kommunikationsnät och kommunikationstjänster”. Begreppet signaler tolkar PTS som radiovågor, ljusvågor, elektriska impulser etc. som överför  informationen mellan sändare och mottagare. Även om jag sett vissa EU-länder också inbegripa ren datatrafik framstår PTS tolkning som mer riktigt med tanke på hur ordet används i direktivet.

En VPN-tjänst består av överföring av innehåll med hjälp av ett elektroniskt kommunikationsnät (jämför denna text, del 6.1; om det handlar om ”tillhandahållande av innehåll” är dock naturligtvis en tolkningsfråga) och dessutom utgörs den inte huvudsakligen av överföring av radiovågor, ljusvågor eller elektriska impulser. Redan härav finns det skäl att anse att den inte omfattas. Enligt en PTS-rapport från 2009 krävs också att tjänsteleverantören har rådighet över signalerna – rent fysiskt eller via avtal. För den övervägande delen av överföringen, den som sker över det öppna internet, har VPN-tjänsten inte någon som helst kontroll över signalöverföringen.

PTS skriver i rapporten:

”Det konstateras att s.k. virtuella privata nät (VPN) kan använda en del av det allmänna kommunikationsnätets resurser för en organisations interna kommunikation, men att det även kan avse säker uppkoppling genom t.ex. kryptering över ett allmänt kommunikationsnät för anställda eller kunder på platser utanför organisationens egna nät. Enligt förarbetena är den som tillhandahåller VPN inte anmälningspliktig, däremot den som tillhandahåller det allmänna kommunikationsnätet, om det tillhandahålls mot ersättning”

Inte anmälningspliktig betyder här att tjänsten inte omfattas av någon skyldighet att lagra trafikdata. Lettland anges göra följande bedömning:

”Aktörer som levererar tjänster som endast agerar i den övre delen av [OSI-]modellen bör inte anses vara inblandade i själva överföringen av signaler och tillhandahåller därmed inte en elektronisk kommunikationstjänst.”

Med andra ord, operatören som förser VPN-tjänsten med internettillgång är skyldig att lagra trafikdata, men själva VPN-tjänsten omfattas inte. Även om inte PTS direkt uttalar detsamma får jag intryck av att myndigheten i huvudsak delar Lettlands inställning. Möjligtvis med ett undantag: att den som t.ex. hyr förutsättningarna för en elektronisk kommunikationstjänst och är den som erbjuder den till slutkund är den som ska anses tillhandahålla den. I rapporten står vidare:

Som exempel på tjänster som inte själva utgör en elektronisk kommunikationstjänst enligt LEK kan nämnas Skype Classic och communities på Internet. Denna typ av tjänster innebär endast kommunikation över en redan föreliggande elektronisk kommunikationstjänst. Här sker kommunikationen via slutanvändarens befintliga Internettjänst, vilken möjliggör och har inflytande över överföringen av signaler (transport av IP-paket).  [min understrykning]

Enligt EU-direktivet ovan undantas också ”de av informationssamhällets tjänster enligt definitionen i artikel 1 i direktiv 98/34/EG som inte helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät”. Informationssamhällets tjänster är ett brett begrepp som definieras som ”tjänster som normalt utförs mot ersättning och som tillhandahålls på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare”. I en hovrättsdom bedömdes TPB vara en informationsamhällets tjänst, för att nämna ett exempel.

Europakommissionen skrev förra året i en utvärderingsrapport (pdf):

A number of increasingly common forms of communication are outside the scope of the Directive. Virtual Private Networks (VPNs) in, for example, universities or large corporations, allow several users to access the internet via a single gateway using the same IP address.

Sammantaget framstår det som högst sannolikt att anonymiseringstjänster, i varje fall i Sverige, inte omfattas av datalagringsdirektivet såvida inte företaget samtidigt tillhandahåller en annan tjänst som är anmälningspliktig, och kanske inte ens då. Här skulle man t.ex. kunna lyfta fram Bahnhof som omfattas av lagen eftersom de också är internetleverantör. Datalagringsdirektivet skapar dock ingen skyldighet att lagra information som inte ”genereras eller behandlas”, så de försöker kanske komma runt lagringsskyldigheten genom att undvika att generera eller behandla viss data. Ett annat sätt är att lägga ut vissa tjänster på andra företag. En internetleverantör borde t.ex. undgå kravet på lagring av trafikdata för e-post genom att lägga ut sin e-posttjänst på en underleverantör som inte omfattas av datalagringslagen.

Bahnhof verkar inte ha några planer på det varken för e-post eller för den anonymisering av datatrafik som de planerar att erbjuda. I ett mejl skriver deras kundtjänst ”Då all information (som det ser ut nu) kommer gå via vår egen VPN-tjänst som kommer vara integrerad med bredbandet så skall även det som ni skickar över e-posten skyddas”. Hur VPN skulle kunna användas för att undgå att behandla trafikdata för e-post förstår jag inte. Men det kanske beror på att inte heller personen som svarade mig förstår det…

Jag hörde mig för hos ett par VPN-tjänster som har servrar i många olika EU-länder om hur de ser på frågan:

PureVPN: meddelar att de inte omfattas av implementationer av datalagringsdirektivet i något annat EU-land än Storbritannien. Detta av den anledning att VPN inte utgör en allmänt tillgänglig elektronisk kommunikationstjänst. PureVPN har såvitt jag kan se servrar i praktiskt taget alla EU-länder.

Kryptotel: anser märkligt nog inte att de omfattas av EU-direktiv eftersom företaget inte är registrerat i ett EU-land. Det tycker jag verkar helt galet eftersom de har många servrar i EU-länder.

IAPS: uppger att deras verksamhet är undantagen från reglerna om datalagring.

HMA: säger att de inte omfattas av direktivet eftersom det är inriktat på internetleverantörer och inte ”varje tjänsteleverantörer på nätet”. Däremot följer de nationella riktlinjer och loggar viss trafikdata ändå.

StrongVPN: anger att de inte omfattas eftersom de är ett amerikanskt företag. När jag invänder att de har servrar i EU får jag till svar att de inte har hört någonting från sina leverantörer uppströms.

Cyberghost: anger att de så länge datalagringsdirektivet finns måste lagra trafikdata, men att endast kund-id som inte innehåller några personuppgifter lagras och dessutom delar flera personer på en och samma ip-adress. Kunden kan också i deras administrationsgränssnitt ange att informationen inte ska lagras.

VPN Tunnel: säger att de snart kommer att meddela sin syn på sin blogg.

Anonine: har släppt en pressrelease där de säger att situationen är oklar men att de är fast beslutna att på något sätt fortsätta att leverera en tjänst som inte lagrar loggar.

Mullvad: säger att datalagringsdirektivet ”gäller inte oss utan bara internetleverantörer och telefonbolag”.

Ipredator: verkar ge uttryck för ungefär samma sak som Anonine – osäkerhet men beslutsamhet att inte logga.

För den som vill djupdyka i ämnet kommer här några användbara länkar: lagen om lagring av trafikdata, datalagringsdirektivet, lagen om elektronisk kommunikation, regeringens förordning om vad som ska lagras, PTS: rapport (vilka omfattas?), rapport (internationell utblick), presentation, tidsplan, lista över operatörer som anmält sig och därmed omfattas av den nya lagen. Oscar Swartz ger i ett gammalt inlägg en bra översikt. Detsamma gör Måns Jonasson. Missa inte Lakes länksamling om trafikdatalagring.

Se även tidigare inlägg om datalagringsdirektivet på den här bloggen.

15 Responses to “Datalagring – omfattas anonymiseringstjänster?”


  1. Det som är viktigt är att komma ihåg vad syftet är med datalagringen, det viktiga är att detta syfte uppnås. Uppnår man inte detta syfte pga kryphål i lagen så måste lagen ändras.

    Det är uppenbart att både internetleverantörer och andra tjänsteleverantörer försöker bedriva kommersiell verksamhet under skydd av sådana kryphål.

    • Pontus Says:

      Hur ser du på Tor då, det är helt lagligt och omfattas inte av DLD, så även om man ändrar lagen så kommer Tor vara en lucka som lagen aldrig någonsin kan täcka upp….


    • ”Det som är viktigt är att komma ihåg vad syftet är med datalagringen, det viktiga är att detta syfte uppnås. Uppnår man inte detta syfte pga kryphål i lagen så måste lagen ändras.”

      D.v.s. förbjud krypterade och anonymiserade länkar?
      Man kan också tänka sig att lagringsskyldigheten flyttas från operatörerna till svarta lådor hos användarna, gärna kopplade i hårdvaran så att de ligger före ev. program som fixar anonymisering och avlyssningsskydd…

    • Tor M Says:

      Det huvudsakliga syftet med direktivet är enligt EU-parlamentet och rådet att undanröja hinder för den inre marknaden (se skäl 6 i direktivet). Kan du peka ut någon rapport som kommit fram till att det målet nåtts?
      I målet C‑301/06 står i EU-domstolens domskäl:

      Härav följer att det materiella innehållet i direktiv 2006/24 huvudsakligen avser tjänsteleverantörernas verksamhet inom den berörda sektorn av den inre marknaden (…).

      Mot bakgrund av det materiella innehållet finner domstolen att direktiv 2006/24 huvudsakligen avser den inre marknadens funktion.”

      Nu tycker jag visserligen att detta är svepskäl (inte minst då direktivet inte reglerar ersättningsfrågor och utkastet till rambeslut som Bodström låg bakom inte sade någonting om detta), men om det nu ska vara den offentliga versionen så måste också politikerna förhålla sig till den.

      För övrigt anges i artikel 1.1 tydligt att direktivet syftar till att omfatta just ”allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät”. Det går knappast att hävda att direktivet syftar till att gå längre än så när det står så klart och tydligt vad som gäller.

      Och om vi nu ska tala om syfte så sägs det i direktivet att målet med det är att underlätta utredning av allvarliga brott. Det borde då enligt ditt resonemang innebära att prop. 2011/12:55 som sänker tröskeln till bötesbrott går emot syftet och därmed förtjänar att röstas ned.


      • Enligt Justitiedepartementet:

        ”Direktivet syftar till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra trafik- och lokaliseringsuppgifter, samt uppgifter som behövs för att identifiera en abonnent eller användare för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott.

        På vilket sätt skulle användning av VPN-tjänster gynna detta syfte? Det kan väl endast missgynna.

        • Tor M Says:

          Det där är en helt annan och mycket märklig fråga. Istället för att direktivet ska uppnå sitt syfte verkar du mena att tjänster som inte omfattas av det ska uppnå det underordnade syfte som hänvisar till. Du skulle lika gärna kunna fråga hur skype-samtal eller webbmailanvändning gynnar detta syfte. Eller hur investeringar i värdepapper istället för fastigheter gynnar syftet med fastighetsskatten.

          Om direktivet nu har som (underordnat) syfte att underlätta utredning av allvarliga brott, varför föreslår då regeringen att den svenska implementationen ska omfatta bötesbrott? Med tanke på att det ökar integritetskränkningarna och människors vilja att skydda sin integritet torde ju det motverka syftet.

  2. ehj Says:

    Fantastisk grundforskning!

    Det som du kallar ”annat EU-direktiv från 2002” är ett av de 5 som ingår/ingick i telekompaketet:

    http://euwiki.org/Telecoms_Package/diff/sv

    Nu när paketet blivit antaget heter direktiven:

    http://euwiki.org/2009/136/EC
    http://euwiki.org/2009/140/EC

    Pippi skulle kunna veta mer om hur den svenska implementationen motsvarar 136 o 140 om nån matade henne med lagboken🙂

    http://pippi.euwiki.org/doc/CELEX:32009L0136:SV:HTML
    http://pippi.euwiki.org/doc/CELEX:32009L0140:SV:HTML

    //Erik

  3. Jens Says:

    Tack för artikeln, den reder ut vissa frågetecken. Enligt PTS så har det aldrig blivit prövat i domstol hur “allmänt tillgängliga elektroniska kommunikationstjänster” skall tolkas, och här ligger mycket av svårigheterna med att veta vad som gäller. Jag vet operatörer som inte är registrerade hos PTS, men antagligen är skyldiga att anmäla sig. Kanske är det bättre för operatörerna att avregistrera sig.

  4. Jon Karlung Says:

    Bahnhof kommer förstås INTE att sitta på två stolar samtidigt. Man kan inte ha rådighet över accessnätet, och samtidigt tillhandahålla anonymiserings och vpn-tjänster som går bortom datalagringsdirektivets räckvidd. Vår strategi bygger därför istället på ett pussel – där olika parter kommer att ansvara för olika delar av kommunikationen. Det kan även innefatta mejl. Utgångspunkten för det vi gör är den enskildes rätt till en privat kommunikation som inte är avlyssnad (eller lagrad) av staten eller privata intressen. För att åstadkomma det här krävs såväl tekniska lösningar som juridiska. Närmare omständigheter kan jag tyvärr inte bjuda på i förväg. Jag tror också den lösning som erbjuds måste innehålla en stor del av opinionsbildning, och inte bara reduceras till en kommersiell tjänst. / Jon Karlung, Bahnhof

    • Tor M Says:

      Hej Jon,
      I svaret från Bahnhofs kundtjänst stod det att er e-posttjänst skulle drivas internt även fortsättningsvis och ”skyddas” av er ”egen VPN-tjänst”. Eftersom min fråga gällde just trafikdata och innehöll ett förslag som gick ut på att lägga ut funktioner som e-post på externa parter så framstod det för mig som att även VPN-tjänsten skulle drivas internt. Nu ser jag dock att ni samarbetar med Anonine, så kundtjänstens svar var kanske inte avsett att tolkas på det sättet. Oavsett vilket så har jag svårt att se hur Bahnhof skulle undgå att behöva lagra trafikdata för e-post så länge e-postservrar drivs internt.

      Men jag avvaktar gärna tills ni har er lösning klar. Med Bahnhofs track-record så är det ju i vart fall ingen tvekan om att ambitionen finns där.

      ”Jag tror också den lösning som erbjuds måste innehålla en stor del av opinionsbildning, och inte bara reduceras till en kommersiell tjänst.”

      Så är det absolut (se förresten gärna kommentarerna till Annie Johanssons uttalande som anknyter till detta).

      Det var också litet av syftet med mina inlägg om datalagringsdirektivet – att undvika en framtida situation där överdrivna reaktioner på att inte alla omfattas (vilket ju hela tiden stått klart) leder till oigenomtänkta och farliga krav på att även det som kallas informationssamhällets tjänster ska inkluderas.

      Lycka till med pusslet och stort tack för allt engagemang i integritetsfrågor!

  5. Niclas Says:

    Någon som vet om det finns något senare ställningstagande huruvida VPN-tjänster omfattas av lagringsskyldigheten, utöver VPN-tjänsteleverantörernas egna tolkningar?


Kommentarer inaktiverade.