De flesta av EU:s medlemsstater vill ha datalagring – det vill säga lagring av data om medborgarnas telekommunikationer, e-post, uppkopplingar, mobilpositioner m.m.
Samtidigt har EU-domstolen upprepade gånger sagt nej till svepande lagring av allas teledata utan misstanke om brott.
I ett internt arbetsdokument (PDF) från EU-kommissionen till ministerrådet gör man nu ett försök att hitta vägar runt EU-domstolens domar.
Man skissar på tre olka möjligheter:
- Att inte göra något, utan låta varje medlemsstat brottas med sin egen lagstiftning och EU-domstolen. (Nationell säkerhet är trots allt medlemsstaternas kompetens.)
- En »EU-special« – det vill säga att komma överens om ett gemensamt förhållningssätt som sedan tillämpas av medlemsstaterna direkt – utan tidsödande och krånglig lagstiftning eller demokratisk process.
- Ny EU-lagstiftning i form av ett nytt datalagringsdirektiv.
Man tittar även närmare på EU-domstolens domar, som kan tillåta datalagring med begränsat syfte eller i begränsad omfattning, om det finns rimliga skäl.
I sammanhanget är »nationell säkerhet« något av en fribiljett. Här är en formulering ur dokumentet, som enkelt kan användas för att motivera datalagring hur länge som helst:
»The threat to national security must be serious, genuine and present or foreseeable as assessed by national authorities according to Member States’ individual threat/risk assessment taking into account national specificities.«
I punkt 3b blir det intressant. Här talar man om att datalagringen skall kunna inriktas mot vissa personer eller vissa geografiska områden. Det vill säga att det faktiskt skall finnas något slags misstanke eller risk i botten.
»In relation to categories of persons, the Court indicates that targeted retention legislation based on objective evidence can be directed at persons whose traffic and location data are likely to reveal a link, at least an indirect one, with serious criminal offences, to contribute in one way or another to combating serious crime or to preventing a serious risk to public security or a risk to national security.«
»Geographical targeting measures may include areas where the competent national authorities consider, based on objective and non-discriminatory factors, that there exists, in one or more geographical areas, a situation characterised by a high risk of preparation for or commission of serious criminal offences. Those areas may include places with a high incidence of serious crime, places that are particularly vulnerable to the commission of serious criminal offences, such as places or infrastructure which regularly receive a very high volume of visitors, or strategic locations, such as airports, stations or tollbooth areas.«
Vilket naturligtvis är en förbättring jämfört med idag, då data om allas alla telekommunikationer lagras.
Dock blir man lite betänksam när dokumentet utvecklar sitt resonemang om målinriktad datalagring. Vad gäller geografiska mål skriver nämner man bland annat följande exempel:
»…sensitive critical infrastructure sites, transport hubs, areas with above average crime rates or that may be a target for serious crime or are high security risk e.g. affluent neighbourhoods, places of worship, schools, cultural and sports venues, political gatherings and international summits, houses of parliament, law courts, shopping malls etc.«
Till exempel kan man ifrågasätta det lämpliga i att samla in metadata som kan identifiera deltagarna på ett politiskt möte.
Här talar man även om att utöka datalagringen till att även gälla OTT communication services, det vill säga meddelande-appar och meddelandetjänster online. Förmodligen avses även sociala media.
Ett annat alternativ är »quick freeze«:
»The CJEU held that competent authorities may issue an order, subject to effective judicial review, requiring electronic communications service providers to carry out, for a specified (renewable) period of time, the expedited retention of traffic and location data in their possession, subject to strict access safeguards. This resembles the so-called “quick freeze” or “data preservation” mechanism.«
Men det bygger på att man redan i ruta ett samlar in telekommunikationsdata om alla medborgare, oavsett om det finns misstanke eller ej. Vilket EU-domstolen alltså säger nej till.
Ett annat alternativ som föreslås är »generalised retention of IP addresses assigned to the source of an Internet connection for serious crime and serious threats to public security«. Men för att kunna göra det som tänkt behöver man förbjuda VPN-uppkopplingar, vilket är något man helst inte vill peta i.
Slutligen talar man även om möjligheten att ägna sig åt allmän datalagring, men bara av »civil identity data«.
»The term “data related to civil identity” is described by the Court as data that should not make it possible to get to know the date, time, duration and addressees of the communications, nor the places where they took place, or how often this happened with specific persons within a given period. Apart from “contact details of [those] users”, it is not, however, specified what this term encompasses and to what extent, if any, it is different data compared with “subscriber data”16. In the digital environment, the notion of civil identity should cover data identifying the subscribers.«
Vilken väg ministerrådet kommer att förorda är än så länge oklart. Men här kommer ett stalltips, som bygger på följande fråga i dokumentet:
»Do Member States consider there is merit in revisiting the ‘data matrix’ exercise initiated by Europol in 2018 to try to find ways to devise a targeted retention system that fulfils the Court’s requirements?«
Man öppnar alltså för att låta Europol sköta ett målinriktat system för datalagring. Vilket passar som hand i handske med att EU redan givit Europol rätt att använda sig av privata företags olika datasystem och register. Det vill säga att man ger Europol en direktlina in till datalagringen hos de olika operatörerna och tjänsteleverantörerna.
Vilket – ur medlemsstaternas perspektiv – är det enklaste.
• Dokumentet: Non-paper on the way forward on data retention – Presentation by the Commission and exchange of views (PDF) »