Hva er innhold og hva er trafikkdata? Disse spørsmålene er sentrale i forbindelse med hvilke data som som pålegges lagret og ikke i Datalagringsdirektivet. Rent intuitivt virker det opplagt: innhold er det vi sier på telefon, laster opp og skriver på internett, mens trafikkdata er IP-adresser, telefonnr, epostadresser og lokasjon.
Dersom man går i dybden på dette, er det kanskje ikke så opplagt hva som er innhold og trafikkdata. Uten skarpe definisjoner vil det være lett å flytte grenser i begge retninger.
I løpet av det siste året har lokasjonsbaserte tjenester blitt svært populære, som en naturlig følge av det enorme salget av mobiltelefoner med GPS. I denne forbindelse er lokasjon innhold. Jeg vil tro de fleste oppfatter tittellinjen i en epost som innhold, mens i en del land som har implementert Datalagringsdirektivet er dette faktisk betraktet som trafikkdata. Jeg tror dette skillet kan være svært vanskelig å trekke ettersom teknologien utvikler seg, og nye typer innhold- og trafikkdata oppstår. Hvem skal definere hva som er hva? Teknologiutviklere, myndigheter eller uavhengige instanser? Som med lokasjonsdata vil det helt sikkert komme data som er begge deler.
Datakommunikasjonsfaget omhandler ulike kommunikasjonsprotokoller. På laveste nivå er protokoller for kommunikasjon mellom fysiske enheter over trådløse eller kablet nettverk. Videre så legges lag på lag med protokoller med høyere abstraksjonsnivå. De fleste har vel observert at det står http:// i adresselinjen i nettleseren. Dette står får Hypertext Transfer Protocol. På en gitt enhet i en gitt kommunikasjon ligger denne protokollen seg over de lavere protokollene (TCP/IP mm) og skjuler en hel masse underliggende datatrafikk for at nettleseren skal kunne vise en webside. For de som bruker Twitterklienter, som f.eks. Seesmic eller Tweetdeck er http:// det underliggende transportlaget, mens Twitter APIet er "protokollen" det snakkes over.
Trafikkdata i Twitter APIet er hvilke kall man har gjort mot tjenesten, og hvilke argumenter som ble sendt med. Bruker man Skype defineres skype-ider ikke på lik linje med telefonnr. Skype og andre chat-systemer har protokoller som maskerer hvem som kommuniserer.
Man kan f.eks. trekke en analogi til kjøp av bolig, hvor kjøpet består av en hel rekke kjøps- lånedokumenter og banktransaksjoner. Er det mulig å trekke en grense mellom "trafikk" og "innhold" i en slik sammenheng?
Hva som menes med trafikkdata er ikke så innlysende som man skulle tro. Desto mer det heller mot innhold desto mer sensitivt for personvernet. Desto mer sensitivt desto sterkere sikring av data behøves. Sikring må være lik på tvers av ulike teleoperatører, og vil kreve en betydelig innsats enten det lagres sentralt eller hos operatøren. Begge varianter har svakheter: sentralisering setter enda høyere krav til sikring da mye data lett kan sammenstilles, mens det må settes lit til mange ulike ansatte hos operatørene ved desentral lagring.
Definisjonen av hva som er trafikkdata og innhold er kontekstavhengig. På internett blir det nærmest rent tilfeldig hva som regnes som trafikkdata, siden det er avhengig av hvilke tjenester den enkelte benytter. Dette er ganske tekniske temaer, men likefullt en del av beslutningsgrunnlaget når politikerne skal bestemme om Norge skal implementere Datalagringsdirektivet.
Jeg mener man må sette en skarp grense, slik at eventuelle forslag om nye datatyper som skal pålegges lagring kan behandles skikkelig. Det skal være vanskeligere å legge til enn å trekke fra. Grensene må settes slik at de er lettfattelige, og endringshåndtering blir reell.
Det vil raskt oppstå en misforhold, kanskje særlig sett fra politimyndighetenes side, etter at en skarp grense er trukket og ny teknologi kommer. Endring i hvilke data som skal lagres, vil kunne kreve endring i sikkerhetsrutiner. Sikkerhetsrutinene derimot vil ikke være så lette å endre, og den effekten trafikkdata enkelte påstår vil ha i etterforskning vil etterhvert dreneres.
En rapport fra EUs medlemslands Datatilsyn ble tilgjengelig i dag. Det rådes til at man enten skroter hele direktivet eller endrer det radikalt. Der fremkommer det at implementering er svært ulik, mhp hva som lagres og hvor lenge i medlemslandene. Direktivet har uklare definisjoner på trafikk-, innholdsdata og grov kriminalitet. Det stilles spørsmål om sikring av data er god nok, og det vises også til at det ikke finnes statistikker som viser at man oppnår de mål man ville nå med direktivet. Rapporten er svært verdifull og lesverdig, så bruk tid på den. Særlig de som mener de ikke har noe å skjule bør lese den nøye. Lagring av trafikkdata er ikke så triviellt som en først skulle tro, og konsekvensene kan bli store for demokrati og samhandling.
Hele direktivet virker på meg som en elendig røre av oppkonstruerte tiltak som ikke er målrettede. En Twitter-bruker sa en gang at feilen med Datalagringsdirektivet var "design by comittee". Det tror jeg han har helt rett i. Varsellampene burde blinke faretruende hos politikerne i Norge som snart skal ta stilling til om direktivet skal implementeres.
Jeg foreslår at man begynner fra begynnelsen og ser på reelle behov og veier disse nøye opp mot inngrep i borgernes privatliv. En må huske at det lagres stadig mer data om oss, og behovet for pålagt lagring skulle logisk sett minke, ikke øke. Det er faktisk slik at uten lagring av personopplysninger så stopper AS Norge, og et pålegg blir da smør på flesk når internett og mobilbruk allikevel fører til ganske detaljert lagring som det er (om enn noe tilfeldig).
No comments:
Post a Comment