På gal kurs med sessionslogning
Leave a CommentJustitsministeren har reageret på branchens vurdering af omkostningerne til sessionslogning ved at sige, at vi vist har haft den ”store lommeregner fremme”. Også teleanalytiker Torben Rune har udtrykt, at han har svært ved at se, hvordan det kan blive så dyrt – og bl.a. fremført, at teleselskaberne jo kan genanvende det udstyr, der tidligere blev brugt til logning.
Vi har i Teleindustrien løbende drøftelser med teleselskaberne om de mulige konsekvenser af Justitsministeriets (JM) bebudede forslag. På baggrund af de drøftelser er det vores vurdering, at omkostningerne for telebranchen til etablering af den nye logning vil komme op i nærheden af en mia. kr.
De højere omkostninger bunder i, at JM nu vil indføre en udvidet og justeret logning og ikke blot genindføre den sessionslogning, vi tidligere havde fra 2007-2014, og som den daværende justitsminister i 2014 måtte erkende var uden værdi.
Men hvorfor er det så dyrt – og hvordan adskiller den nye logning sig fra den tidligere?
Ikke kun oplysninger som allerede genereres eller opbevares i nettene
I de tidligere logningsregler var udgangspunktet (i bkg. § 1), at teleselskaber skulle registrere og opbevare oplysninger om trafik, som genereres eller behandles i nettet. Der var altså tale om et krav om at opsamle allerede tilgængelig data om trafikken i nettene.
Som vi forstår JM, så vil de kommende regler indebære, at denne forudsætning fjernes. Det vil sige, at teleselskaber og udbydere af teletjenester vil skulle udbygge og tilrette systemer til faktisk at generere oplysninger om de enkelte internetsessioner, såfremt de pågældende oplysninger ikke er tilgængelige i nettene.
Det betyder formentlig også, at man fjerner den undtagelse, der var i de tidligere regler, om at en udbyder kunne registrere hver 500. datapakke, såfremt det ikke var teknisk muligt at foretage den fulde sessionslogning i udbyderens net.
Det er en væsentlig ændring i forhold til tidligere og indebærer, at logningsreglerne vil ramme meget bredt for alle aktører, der har et udbud af teletjenester efter telelovgivningens regler. Det gælder både større og mindre teleselskaber, det gælder kollegier og boligforeninger med egne net (med mere end 100 brugere), og det gælder cafeer, hoteller, restauranter, campingpladser og lign. der tilbyder internetadgang til deres brugere via eksempelvis wifi-net.
Ikke længere registrering på kanten af nettet
Sessionslogning kunne efter de tidligere regler ske ved overgangen mellem udbyderens eget net og et andet eller andre net. Det betød, at man som teleudbyder kunne opsamle trafikken og foretage logningen på en række afgrænsede steder.
I det forventede nye forslag kan logning ikke længere ske på kanten af nettet, men skal ske for hver enkelt internetbruger for derved også at registrere net-intern trafik. Det betyder, at logningen skal ske langt flere steder i nettene for at kunne registrere logninger om alle sessioner relateret til hver enkelt bruger.
Denne ændring er en væsentlig årsag til, at omkostningerne bliver så høje. Det betyder nemlig, at teleselskaberne vil skulle opsamle logningsdata på en helt anden måde end tidligere og etablere udstyr til logning mange steder i nettene.
Det betyder også en enorm vækst i omfanget af loggede data, som skal opbevares og håndteres af teleselskaberne med de omkostninger dette indebærer.
Nye oplysninger
I store træk vil selve sessionslogningen i sit indhold ikke ændre sig væsentligt i forhold til tidligere. Der vil fortsat være krav om registrering af IP-adresser, transportprotokoller, portnumre og tidsstempel.
Den foreslåede nye sessionslogning vil dog også blive udbygget, så selskaberne som noget nyt skal registrere omfanget af data, der udveksles i den enkelte session (antal bytes overført). Det kræver tilretninger i den måde logningerne kan ske på i forhold til tidligere.
Endelig er der for lokationsoplysninger tale om væsentlige udvidelser i forhold til tidligere. Med de foreslåede nye logningsregler vil der nu skulle foretages lokationsregistreringer ved både teletrafik og datatrafik i mobilnettene. Som vi forstår det på JM, så er der tale om lokationslogninger ved sessionens start- og sluttidspunkt og logning af celleskift.
Også her er der tale om væsentlige ændringer i kravene, som vi indebære store tilretninger af systemerne og medføre væsentlige omkostninger for selskaberne.
Beløbet på 1 mia. kr. er ikke grebet ud af luften. Det er baseret på helt konkrete vurderinger af konsekvenser af den forventede nye logning fra flere teleselskaber.
Scenarier
Så selv om man kunne ønske, at Torben Rune har ret i sin antagelse om, at gammelt udstyr kan genanvendes, så er det desværre ikke tilfældet. Det er en ny måde logningen skal ske på.
Torben Rune mener også, at der i processen vil kunne indgås kompromisser, så omkostningerne ikke bliver så høje. Det var præcist, hvad der skete sidste gang sessionslogningen blev indført. Der fik man en række opblødninger i reglerne – som vi altså nu må forvente bliver fjernet.
Så de mulige scenarier er altså 1) at man fastholder den nye totale model – med de meget høje omkostninger der følger med eller 2) at man justerer kravene og derved holder omkostningerne lidt nede eller 3) at man indser, at man er ved at gentage en forfejlet logning, som uanset udfaldet vil være meget dyrt at etablere og drive – og som det er vanskeligt at se den store værdi i.
Begrænset værdi af logningen
Justitsministeren og Rigspolitiet har fremført, at man ønsker sessionslogning for at opnå indsigt i kommunikation på internettet – fx Skype.
Nu er Skype ikke et helt nyt fænomen. Skype blev skabt i 2003 og har altså været udbudt og anvendt i stort omfang i hele den periode, hvor den gamle sessionslogning var gældende. Der er dog så vidt vides ikke, i de syv år hvor sessionslogningen blev anvendt, nogen eksempler på, at sessionslogningen gav nogen form for værdi i relation til en sag, hvor kommunikation var sket via internettet – fx via Skype.
Med den nye foreslåede logning er der da heller ikke tale om oplysninger, der vil give et væsentligt ændret indblik i internettrafikken. Der vil blot være tale om langt flere data af samme type som tidligere. Logningen bliver ikke mere værdifuld. Der kommer bare meget mere af den.
Og det vil stadig være meget enkelt at omgå logningen, hvis man ønsker det, fx ved brug af VPN eller TOR-browseren eller ved at bruge internetbaserede tjenester (som ikke er P2P) – fx chatfunktionen i Twitter eller Wordfeud. Dette vil sessionslogningen intet vise om.
Færre investeringer – dyrere og dårligere tjenester
De høje omkostninger til etablering af ny og udvidet logning vil alene kunne findes i de eksisterende investeringsbudgetter. Det betyder altså, at udbygningen af bredbånd og mobildækning vil blive bremset. Det betyder færre arbejdspladser, en dårligere og dyrere digital infrastruktur og negative økonomiske effekter, særligt i udkantsområder i Danmark, hvor udbygningen af den digitale infrastruktur er et vigtigt element til at understøtte bosætning og erhvervsudvikling.
Juridiske betænkeligheder – beskyttelse af privatliv
Der er tale om en logning, som i sit indhold går langt videre end det direktiv, som blev underkendt af EU-domstolen i april 2014. EU-domstolen fandt, at direktivet var i strid med borgernes grundlæggende rettigheder. Med dommen blev der sat alvorligt spørgsmålstegn ved en logning, der omfatter alle borgere, på alle geografiske områder, på alle tidspunkter uden nogen form for differentiering, begrænsning eller undtagelse og uden, at de personer, hvis data lagres, på nogen måde er under mistanke eller selv har en indirekte eller fjern forbindelse til terror eller grov kriminalitet – også selvom der kræves dommerkendelse før udlevering af de loggede data.
Hertil kommer, at der i Europa-Kommissionen pågår vurderinger om konsekvenserne af det nu underkendte direktiv, og at der ved EU-Domstolen behandles sager vedrørende logningsreglerne i andre EU-medlemslande, som er særdeles relevante i forhold til at vurdere grundlaget for en udvidelse af de danske regler. Det gælder bl.a. en sag om vurdering af de svenske logningsregler, som alene indeholder krav om telelogning.
JM skrev følgende om den svenske sag til Folketingets Europaudvalg og Retsudvalg den 24. august 2015:
”Domstolens besvarelse af de af Kammerrätten forelagte præjudicielle spørgsmål har derfor betydning for vurderingen af den danske lovgivnings forenelighed med edatabeskyttelsesdirektivets artikel 15, stk. 1, henset Charterets artikel 7, 8 og 52. stk. 1”.
Det er derfor på baggrund af JMs egen vurdering af sagen gode grunde til at afvente denne sags afgørelse, inden der træffes beslutning om endnu mere vidtgående regler i Danmark.
Proces
Ændringen af logningsreglerne påtænkes gennemført, således at der allerede i marts 2016 vil blive fremsat lovforslag om ændring af logningsreglerne i Folketinget.
Teleindustrien har over for Justitsministeriet anmodet om, at der igangsættes en proces, hvor både de juridiske, tekniske og økonomiske aspekter af forslaget bliver drøftet og belyst grundigt. Planen om fremsættelse af et lovforslag i marts 2016 bør derfor udskydes, så der kan etableres tid til en reel proces med at få belyst de forskellige aspekter.
Når vi fra industriens side sætter spørgsmålstegn ved det forventede forslag til ny logning – så er det jo ikke fordi vi ikke tage ansvar og hjælpe politiet. Det gør vi hver eneste dag. Og vi bakker op om, at politiet har gode redskaber og ressourcer til at beskytte os alle sammen mod kriminalitet og terror. Men det skal stadig ske i respekt for vores rettigheder og være proportionalt i forhold til formålet og den værdi, der skabes.
Med sessionslogning synes vi at være på gal kurs.
/Jakob Willer