Gå til innhold

Lov&Data

2/2024: JusNytt
25/06/2024

Kryptering: EMD lukker bakdøren

Av Halvor Manshaus, leder IP/Media-gruppen i Advokatfirmaet Schjødt AS, Oslo og fast spaltist i Lov&Data.

Den europeiske menneskerettsdomstolen (EMD) behandler tvister knyttet til Den europeiske menneskerettskonvensjonen (EMK). Det er et krav i Europarådet at stater som blir tatt opp som medlem, samtidig ratifiserer EMK. Da Russland trådte inn i Europarådet 28. februar 1996, ble landet dermed underlagt myndigheten til EMD etter ratifiseringen i mai 1998.

Dette utløste en periode med en rekke utfordringer for både domstolen og Russland. EMD ble raskt nedlesset med klagesaker fra russiske borgere. Ved utgangen av 2019 sto Russland for 15.050 av totalt 59.800 saker som lå til behandling. Dette ene landet av i alt 47 medlemsstater i 2019 sto altså for en fjerdedel av klagesakene. Russland har blitt felt i en rekke saker. Et kritisk tilfelle oppsto i 2011 i den såkalte Markin-saken. EMD landet på motsatt konklusjon av Russlands egen konstitusjonsdomstol og felte Russland. Russland svarte med å vedta en ny lov i 2015, samme dag som EMD i en annen sak dømte Russland for inngrep grunnet et system som overvåket kommunikasjon med mobiltelefon. Den nye loven ga den russiske konstitusjonen trinnhøyde over avgjørelser fra EMD, i strid med konvensjonsforpliktelsene. Dette har altså ikke vært et enkelt samarbeid.

En mann som sitter på et mørkt kontor med datamaskiner og et stort kart på veggen, digital illustrasjon.

Halvor Manshaus / Midjourney AI-bilde.

Det har også vært problemer i kjølvannet av Russlands krigshandlinger i Europa. Da Russland annekterte Krim i 2014, svarte Europarådet med å frata Russland stemmeretten i rådets parlamentarikerforsamling. Denne prosessen ble senere omtalt som «Ruxit» av Europarådets daværende leder Thorbjørn Jagland. Etter en avstemning i 2018 ble stemmeretten gitt tilbake til Russland. Dette varte imidlertid ikke lenge, ettersom Russlands representasjonsrett i Europarådet ble suspendert allerede dagen etter invasjonen av Ukraina 24. februar 2022. Russland beholdt imidlertid medlemskapet og en sittende russisk dommer i EMD. Da krigen i Ukraina eskalerte i starten av mars 2022, ble Russland suspendert fra Europarådet. Den 15. mars samme år kom Europarådets parlamentarikerforsamling med en rådgivende uttalelse som konkluderte med følgende oppfordring til Russland:

«The Assembly, therefore, is of the opinion that the Committee of Ministers should request the Russian Federation to immediately withdraw from the Council of Europe. If the Russian Federation does not comply with the request, the Assembly suggests that the Committee of Ministers determine the immediate possible date from which the Russian Federation would cease to be a member of the Council of Europe»

Russland innledet samme dag den formelle prosessen for å trekke seg ut av Europarådet. Europarådet svarte med å ekskludere Russland.(1)https://rm.coe.int/0900001680a5da51 Regelverket innebar at Russland først etter utløpet av en seksmåneders periode trådte ut av EMK, den 16. september 2022.

På dette tidspunktet lå det fortsatt flere saker til behandling mot Russland, og det ble derfor nødvendig å ta stilling til hvordan disse sakene skulle håndteres. En pressemelding fra EMD fra 3. februar 2023(2)https://hudoc.echr.coe.int/app/­conversion/pdf/?library=ECHR&id=003-7559628-­­10388013&­filename=Future%20processing%20of%20applications%20against%20Russia.pdf gjør rede for rettens håndtering av situasjonen. Det forelå på dette tidspunktet 16.730 klager mot Russland til behandling, og det var nylig blitt behandlet to saker mot Russland i storkammer som ga anvisning på håndteringen. Kort oppsummert har EMD lagt til grunn at handlinger eller unnlatelser som fant sted før Russlands uttreden fra EMD 16. september 2022, skal behandles for domstolen.

Dette er bakgrunnen for dommen fra EMD i saken Podchasov vs. Russland (application 33696/19)(3)https://hudoc.echr.coe.int/?i=001-230854 som ble avsagt 13. februar 2024. Avgjørelsen ble dermed ble rettskraftig 13. mai 2024. Saken dreide seg om et russisk påbud rettet mot «Internet Communication Organisers» (ICO). EMD gjengir definsjonen av ICO slik:

«An ICO is defined as a person or an entity that ensures the functioning of information systems and/or programmes for electronic devices, with the aim of receiving, transmitting, delivering and/or processing electronic communications on the Internet (section 10.1(1) of the Information Act)»

Påbudet innebærer at alle kommunikasjonsdata skal lagres i ett år, og innholdet i kommunikasjonen skal lagres i seks måneder. Videre skal nødvendig informasjon og verktøy for å dekryptere kryptert innhold gjøres tilgjengelig for politimyndighetene. Regelverket omfatter alle opptak, tekst, bilder, video, lyd og andre former for elektronisk kommunikasjon som sendes, mottas, formidles eller behandles av brukere på internett. I tillegg til dette skal den aktuelle ICO identifisere brukerne av tjenesten med mobilnummer.

En forskrift med angivelsen 743, datert 31. juli 2014 og senere oppdatert 18. januar 2018, utvider påbudet. Disse endringene innebærer at den avgivende ICO i tillegg må gi myndighetene fjerntilgang til sine informasjonssystemer, slik at myndighetene kan motta den nødvendige informasjonen under påbudet. Etterfølgende tillegg til regelverket presiserer at myndighetene skal ha et grensesnitt for å søke opp og innhente informasjon fra den enkelte ICO, og at denne tilgangen skal være tilgjengelig døgnet rundt. Summen av det opprinnelige påbudet og etterfølgende oppdateringer er et meget omfattende system for å få tilgang til kommunikasjon over en rekke ulike kommunikasjonsplattformer på Internett.

Klageren i saken for EMD var en bruker av tjenesten Telegram. Dette er en chattetjeneste som kan sammenlignes med Messenger og Whatsapp, og som brukes mye i deler av Europa, Afrika og Asia. Per i dag opplyser tjenesten å ha over 900 millioner aktive brukere målt over en måned. Når man først tar i bruk Telegram, gjøres det ingen kryptering. Dette må brukeren selv aktivere. På nettsiden til Telegram beskrives denne funksjonen som en «secret chat»:

«All messages in secret chats use end-to-end encryption. This means only you and the recipient can read those messages – nobody else can decipher them, including us here at Telegram.»

Russiske myndigheter sendte 12. juli 2017 en forespørsel til Telegram om teknisk informasjon som var nødvendig for å dekryptere kommunikasjon relatert til seks mobilnumre og brukerkontoer på Telegram. Informasjon om blant annet IP-adresse, TCP/UDP-port og dekrypteringsdata skulle sendes per e-post direkte til Russlands Federal Security Service (FSB).

Telegram nektet å utlevere informasjonen. Det ble vist til at de aktuelle brukerne hadde aktivert «secret chat», som altså innebar at meldingene ble kryptert fortløpende. Det ville være teknisk umulig å utlevere informasjon for å dekryptere kun disse brukernes meldinger. Slik tilrettelegging ville i praksis utgjøre en bakdør som ville gitt tilgang til kryptert informasjon for alt kryptert trafikk på Telegram. I den etterfølgende internrettslige prosessen tapte Telegram i samtlige instanser. Telegram ble bøtelagt, og domstolen besluttet at Telegram skulle blokkeres i Russland. Det er verdt å merke seg at denne avgjørelsen har vært rettskraftig etter at den ble avsagt 13. april 2018 og deretter opprettholdt av ankeinstansen. Til tross for dette har Telegram etter det jeg har kunnet bringe på det rene, aldri blitt blokkert eller stengt i praksis.

Podchasov og 34 andre personer klaget den siste avgjørelsen inn for en russisk domstol. Det ble vist til at et pålegg om pliktavlevering av verktøy for dekryptering ville innebære et inngrep i deres rett til privatliv og privat kommunikasjon. Videre ble det vist til at regelverket ikke hadde mekanismer for å beskytte mot slik bruk, og at FSB sto fritt til å overvåke all kommunikasjon når det først hadde fått denne «bakdøren». Da klagen ikke førte frem, anket Podchasov saken oppover i systemet helt til den russiske føderale høyesteretten avviste til slutt avviste saken.

Spørsmålet for EMD var om et påbud som beskrevet ovenfor gikk for langt i forhold til klagers rett til privatliv og fri kommunikasjon under EMK artikkel 8. EMD innleder sin analyse med å vise til flere internasjonale organer som har vurdert myndighetenes behov for innsyn opp mot enkeltindividets og samfunnets behov for fortrolig kommunikasjon. Det er ikke overraskende å lese at for eksempel FNs høykommissær for menneskerettigheter viser til at det er nødvendig med kryptering spesielt der ytringsfriheten er under sterkt press:

«In environments of prevalent censorship, encryption enables individuals to maintain a space for holding, expressing and exchanging opinions with others. In specific instances, journalists and human rights defenders cannot do their work without the protection of robust encryption, shielding their sources and sheltering them from the powerful actors under investigation.»

EMD siterer også en resolusjon fra Europarådet fra 2015, som omtaler nettopp bruk av bakdører og andre virkemidler for å sette til side kryptering. I denne rapporten vises det til at slike virkemidler kan tenkes utnyttet av terrorister og kriminelle:

«The Assembly is deeply worried about threats to Internet security by the practices of certain intelligence agencies, disclosed in the Snowden files, of seeking out systematically, using and even creating ‘back doors’ and other weaknesses in security standards and implementation that could easily be exploited by terrorists and cyberterrorists or other criminals.»

Den samme resolusjonen stiller seg også skeptisk til nettopp overvåkningstiltak som er blitt implementert i Russland:

«High-technology surveillance tools are already in use in a number of authoritarian regimes and are used to track down opponents and to suppress freedom of information and expression. In this regard, the Assembly is deeply concerned about recent legislative changes in the Russian Federation which offer opportunities for enhanced mass surveillance through social networks and Internet services.»

Det som virkelig er verdt å ta med seg fra rapportene som EMD viser til, er en felles uttalelse fra Europol (EUs egen politimyndighet) og European Agency for Cybersecurity (ENISA) i en rapport av 20. mai 2016:

«Intercepting an encrypted communication or breaking into a digital service might be considered as proportional with respect to an individual suspect, but breaking the cryptographic mechanisms might cause collateral damage. The focus should be on getting access to the communication or information; not on breaking the protection mechanism»

Denne tilnærmingen vitner om en modning hos politimyndighetene, som har tatt inn over seg de negative konsekvensene ved en slik overvåkning som EMD behandlet i denne saken. Denne rapporten fremhever at for at den krypterte informasjonen skal kunne brukes, må den på et eller annet tidspunkt dekrypteres. Dette åpner igjen for at tradisjonelle etterforskningsmetoder fortsatt vil kunne benyttes, sammen med moderne teknologi og kompetanse som politiet bør ha tilgang til.

Vi ser da også en klar utvikling i retning av at politimyndigheter samarbeider på tvers av landegrenser og har utviklet metoder som delvis baserer seg på tradisjonell etterforskning i kombinasjon med utstrakt bruk av moderne teknologi. Der for eksempel etterforskning i utlandet avdekker kriminelle handlinger, vil det kunne avdekkes bevis som også kan felle personer bosatt i Norge. Høyesterett har langt på vei akseptert at kryptert datatrafikk avlest og innhentet av utenlandske myndigheter kan brukes som bevis i Norge. I saken HR 2022-1314-A (EnroChat-saken) oppstilte Høyesterett i avsnitt 26 tre generelle vilkår for at slik bevisførsel skal tillates i Norge.

  • Bevisene må være innhentet i tråd med regelverket der det dette skjer

  • Tiltalte må ha en rett til innsyn i materialet

  • Innhenting skal ikke ha skjedd på en måte som innebærer at bevisførselen ville stride mot grunnleggende norske verdier

Bakgrunnen for saken var at Fransk og nederlandsk politi fikk tilgang til en dataserver som var plassert i Roubaix i Frankrike. Med bistand fra blant Europol ble det utviklet en teknisk løsning for å dekryptere kommunikasjonen på den aktuelle plattformen EncroChat. Systemet var basert på dedikerte mobiltelefoner som kun fungerte opp mot andre tilsvarende enheter med EncroChat installert. Telefonene ble levert med internasjonalt sim-kort, og inneholdt i tillegg til automatisk kryptering også funksjoner som panikksletting, fjernsletting og automatisk sletting av meldinger etter et gitt tidsintervall. Alle disse funksjonene la spesielt godt til rette for kriminell aktivitet.

Politiet i Frankrike installerte en falsk oppdatering på serveren i Roubaix, som ble spredt i nettverket og gjorde det mulig å forbigå krypteringen av meldingene. På grunn av sikkerhetsgradering av etterforskningsmetoden er det ikke klart om politiet hentet ned informasjon fra serveren eller direkte fra meldingsstrømmen i nettverket. I den etterfølgende straffesaken i Norge som gikk på omgang med en «meget betydelige mengde» narkotika ble det gjort gjeldende at bevisene var ulovlig innhentet. Her kom både tingrett, lagmannsrett og Høyesterett frem til det samme resultatet. Alle tre instanser la til grunn at bevisene var blitt lovlig innhentet i Frankrike og kunne brukes i Norge.

Som eksempel på at innhenting av bevis skjer i strid med grunnleggende norske verdier viser Høyesterett til at bevisene innhentes i et land der straffeprosessen bygger på et annet verdisyn enn det vi finner i Norge. Det vises også til tilfelle der innhenting fremstår som et forsøk på å unngå begrensninger som ellers ville følge av de prosessuelle reglene i norsk straffeprosess. Norske myndigheter kan altså be andre lands myndigheter om å innhente bevis, men ikke med sikte på å unngå sentrale skranker i vår internrett.

Høyesterett oppsummerer problemstillingen i saken presist i avsnitt 39:

«Kryptering er i seg sjølv korkje straffbart eller uynskt. Tvert om er moglegheita for kryptering og konfidensiell kommunikasjon ein viktig føresetnad for informasjons- og ytringsfridomen, jf. mellom anna EU-rådets resolusjon om kryptering 24. november 2020 (13084/1/20). Resolusjonen understrekar at det i statanes plikt til å respektere og sikre ytringsfridomen og retten til privatliv også ligg eit ansvar for å verne kryptert kommunikasjon. Samstundes peikar resolusjonen på at kryptert kommunikasjon er godt eigna til å verne kriminelle nettverk mot overvaking. Som det blir framheva i EU-resolusjonen, må difor omsynet til ytringsfridomen og retten til privatliv balanserast mot styresmaktenes kamp mot alvorleg kriminalitet. På den eine sida står personvernomsyn generelt sterkt som verdi i Noreg. Masseovervaking av borgarane for å avdekke kriminalitet vil lett vera i strid med norske verdiar. På hi sida står omsynet til oppklaring av alvorleg kriminalitet.»

Som vi skal se nedenfor harmonerer dette utgangspunktet godt med avgjørelsen fra EMD som vi ser nærmere på i denne artikkelen. Balanseringen av samfunnets interesse og behov for krypterte tjenester opp mot behovet for å kunne innhente bevis i viktige saker står sentralt i begge sakene.

Tilbake til rapporten fra Europol og Enisa som EMD altså siterer i sin avgjørelse. Denne rapporten går konkret inn på pålegg om pliktavlevering av «bakdører» for å kunne overvåke også kryptert kommunikasjon. Her påpekes igjen de negative konsekvensene i et større samfunnsmessig perspektiv:

«While no practical encryption mechanism is perfect in its design and implementation, decryption appears to be less and less feasible for law enforcement purposes. This has led to proposals to introduce mandatory backdoors or key escrow to weaken encryption. While this would give investigators lawful access in the event of serious crimes or terrorist threats, it would also increase the attack surface for malicious abuse, which, consequently, would have much wider implications for society. Moreover, criminals can easily circumvent such weakened mechanisms and make use of the existing knowledge on cryptography to develop (or buy) their own solutions without backdoors or key escrow. [...]

Solutions that intentionally weaken technical protection mechanisms to support law enforcement will intrinsically weaken the protection against criminals as well, which makes an easy solution impossible.»

Betraktningene som fremmes her, er på linje med det vi kjenner fra EMD og norsk Høyesterett i saker om ytringsfrihet der domstolene har lagt vekt på den såkalte chilling effect. Sitatet fra rapporten fra Europol og ENISA ovenfor viser til at overvåkning kan fremstå proporsjonalt «with respect to an individual suspect», men at dette i et videre perspektiv kan «cause collateral damage». Dette er det samme som Høyesterett er inne på i Runesten-saken, RT-2010-1381, omtalt av undertegnede i LoD-2011-105-15, når førstvoterende skriver:

«I det lange løp er det en risiko for at en mer utstrakt bruk av vitneplikt vil kunne medføre at viktige kilder blir borte. Etter mitt syn tilsier derfor vesentlige samfunnsinteresser at media i størst mulig utstrekning bør kunne bevare anonymitet om sine kilder.»

EMD konstaterer i avgjørelsens avsnitt 50 at bare det å kreve lagring av data som knytter seg til en enkeltpersons privatliv, utgjør et inngrep etter EMK artikkel 8. Dette gjelder uavhengig av en eventuell etterfølgende bruk av denne informasjonen. I vurderingen av hvilken grad av privatliv som foreligger, viser EMD til at det i praksis er lagt vekt på konteksten for tilblivelse og innhenting av informasjonen, informasjonens art, måten informasjonen prosesseres og brukes på, samt resultatet av slik behandling. I dette tilfellet, hvor all klagerens kommunikasjon og tilhørende kommunikasjonsdata skulle lagres, er dette tilstrekkelig til å konstatere inngrep – uavhengig av om informasjonen ble aksessert av myndighetene eller ikke.

Ettersom klagen også tok opp myndighetenes krav på tilgang til og innsyn i den lagrede kommunikasjonen, måtte EMD ta stilling til dette separate spørsmålet. Det forelå ingen bevis for at myndighetene rent faktisk hadde fått tilgang til klagerens informasjon. Spørsmålet var likevel om bare eksistensen av det bakenforliggende påbudet om tilgang var tilstrekkelig til at det forelå inngrep. Dette spørsmålet har EMD tatt stilling til i saken Roman Zakharov vs. Russland (application 47143/06).(4)https://hudoc.echr.coe.int/fre?i=002-10793 I denne avgjørelsen ble det slått fast at de russiske reglene om overvåkning ikke var proporsjonale. Det er der vist til at slik overvåkning gjøres i skjul, har et vidt omfang og rammer samtlige brukere av de aktuelle tjenestene. Samtidig mangler effektive virkemidler for kontroll og rettslig prøving. Til sammen innebærer dette at bare eksistensen av slike regler i seg selv gjør inngrep i privatlivet til det enkelte individ.

Det siste spørsmålet i saken gjaldt plikten til å avlevere verktøy og informasjon for dekryptering. EMD viser i avsnitt 57 til at en slik pliktavlevering ville ramme samtlige brukere av ICO-tjenesten. Det virker ut fra EMDs drøftelse på dette punktet som om anførselen ikke er fremført av klageren direkte for EMD, men at den utledes fra innleggene fra den nasjonale behandlingen i Russland. Det fremheves at Russland ikke har påvist at denne anførselen skulle være feil eller misvisende. Dermed legger EMD til grunn at pålegget vil påvirke samtlige brukere av krypterte tjenester på Telegram ved at krypteringen ikke lenger beskytter innholdet.

EMD oppsummerer deretter kravet til proporsjonalitet når det gjelder lagring og innsyn i data. Utgangspunktet er at slike regler må være nøye balansert opp mot behovet for personvern og privatliv. Disse betraktningene er generelle og oppsummerer altså EMDs syn på rettstilstanden når det gjelder denne typen overvåkning. I avsnitt 62 og 63 kommer dette klart til uttrykk:

«The protection afforded by Article 8 of the Convention would be unacceptably weakened if the use of modern technologies in the criminal-justice system were allowed at any cost and without carefully balancing the potential benefits of the extensive use of such technologies against important private-life interests. […]

The core principles of data protection require the retention of data to be proportionate in relation to the purpose of collection and insist on limited periods of storage.»

I vurderingen av denne konkrete saken viser EMD deretter til at det russiske pålegget er meget omfattende og utgjør et ekstremt vidtrekkende og alvorlig inngrep i artikkel 8. Når det gjelder spørsmålet om proporsjonalitet og balanse i regelverket, hadde Russland vist til at en domstol skulle ha godkjent myndighetenes krav om innsyn i kommunikasjonen for de seks brukerne av Telegram. Det fremgår av saksfremstillingen i avgjørelsens avsnitt 7 at det skulle foreligge seks rettsavgjørelser om innsyn i brukerdata knyttet til de seks brukerkontoene på Telegram. Klageren har imidlertid vist til (gjengitt i avsnitt 39) at disse rettsavgjørelsene aldri ble gjort tilgjengelige for Telegram, for de etterfølgende internrettslige domstolene som behandlet klagesakene, eller for offentligheten.

EMD legger således i avsnitt 72 vekt på at FSB aldri fremla den rettslige prøvingen og godkjenningen av innsynsbegjæringen. I tillegg understreker EMD at de etterfølgende utvidelsene av det underliggende regelverket gir FSB direkte tilgang til de lagrede dataene. I dette ligger at FSB i praksis har full tilgang via fjernpålogging til alle kommunikasjonsdata og alt innhold hos den enkelte ICO. Det ligger i dette at domstolsprøving av den enkelte begjæring fra FSB uansett har liten betydning for den reelle muligheten for overvåkning. EMD understreker i den etterfølgende vurderingen at et slikt system er spesielt sårbart for misbruk fra myndighetenes side.

Et sentralt trekk ved pålegget og dets konsekvenser var hvordan det i praksis ville ramme samtlige brukere av Telegrams krypterte meldingstjeneste. EMD trekker frem nettopp dette i avsnitt 70, der det fremheves hvordan pålegget i realiteten sto fristilt fra proporsjonalitet knyttet til eventuell mistanke om kriminelle handlinger:

«It affects all users of Internet communications, even in the absence of a reasonable suspicion of involvement in criminal activities or activities endangering national security, or of any other reasons to believe that retention of data may contribute to fighting serious crime or protecting national security.»

Når det gjaldt pålegget om å gi myndighetene de nødvendige midler for å dekryptere innhold, legger EMD vekt på at en slik tilnærming fremstår som uproporsjonal når den rammer samtlige brukere av tjenesten. Domstolen slår i avsnitt 76 fast at retten til privat og sikker kommunikasjon er en fundamental rettighet i et digital samfunn:

«…the Court observes that international bodies have argued that encryption provides strong technical safeguards against unlawful access to the content of communications and has therefore been widely used as a means of protecting the right to respect for private life and for the privacy of correspondence online. In the digital age, technical solutions for securing and protecting the privacy of electronic communications, including measures for encryption, contribute to ensuring the enjoyment of other fundamental rights, such as freedom of expression.»

Denne tilnærmingen til kryptering som en grunnleggende del av kommunikasjon og privatliv under artikkel 8 har stor praktisk betydning for myndighetenes adgang til å utføre massekontroll og overvåkning av kommunikasjonstjenester på internett. Når det gjelder myndighetenes adgang til å svekke beskyttelsen som kryptering av innhold innebærer, for eksempel ved å kreve bakdører inn til innhold på generelt grunnlag, er EMD avvisende:

«Weakening encryption by creating backdoors would apparently make it technically possible to perform routine, general and indiscriminate surveillance of personal electronic communications. Backdoors may also be exploited by criminal networks and would seriously compromise the security of all users’ electronic communications.»

EMD viser her til de ulike rapportene og uttalelsene som er gjengitt tidligere i avgjørelsen, og som trekker i retning av at slike tiltak ikke bare vil utfordre retten til ytringsfrihet og privatliv, men også kan ha uoversiktlige konsekvenser. Det påpekes at kriminelle potensielt kan utnytte slike svakheter og bakdører. Dette ville redusere sikkerheten for alle brukere av disse tjenestene. EMD peker deretter tilbake til de samme rapportene, der det er uttalt at myndighetene må utforske alternative tilnærminger for innsyn, i form av lovgivning og ved selv å følge den tekniske utviklingen. I avsnitt 80 konstaterer EMD ikke uventet at inngrepet er uforholdsmessig og ikke kan anses å være nødvendig i et demokratisk samfunn.

EMD fastslår deretter enstemmig at domstolen hadde jurisdiksjon til å behandle klagen for forholdene i saken som inntrådte før 16. september 2022, og at det forelå en krenkelse av privatlivet og retten til fri korrespondanse under artikkel 8.

Mulighetene for at en slik omfattende rett til overvåkning kan misbrukes, er åpenbare. Russland har i tillegg innført en rekke regler som kriminaliserer aktiviteter som vi ellers oppfatter som grunnleggende menneskerettigheter. Eksempelvis er det innført strenge regler rettet mot homofile og begrensninger av retten til å organisere seg og til å demonstrere. Slike forhold vil dermed innebære økt risiko for overvåkning fra myndighetene, ettersom dette kan karakteriseres som kriminell adferd.

Det kan ved første øyekast virke som om denne avgjørelsen har begrenset betydning. Russland vil neppe endre sine regler eller rutiner som følge av dommen. Da Russland trådte ut av og ble ekskludert fra Europarådet, besluttet ministerkomiteen at Russland fortsatt ville være bundet av etterfølgende rettsavgjørelser fra EMK.(5)https://search.coe.int/cm?i=0900001680a5ee2f I praksis håndteres fellende dommer fra EMD overfor den enkelte medlemsstat ved at det avholdes egne møter der dette diskuteres. Ministerkomiteen la i sin uttalelse til grunn i punkt 7 at Russland fortsatt var forpliktet til å delta i disse møtene og å implementere EMDs avgjørelser nasjonalt:

«The Committee of Ministers will continue to supervise the execution of the judgments and friendly settlements concerned and the Russian Federation is required to implement them.»

Dette mener nok ministerkomiteen er i tråd med artikkel 70 i Wien-konvensjonen om traktatretten, som omhandler uttreden fra en traktat. Her heter det at slik uttreden fristiller parten (her Russland) fra plikter under avtalen, men at dette «does not affect any right, obligation or legal situation of the parties created through the execution of the treaty prior to its termination».

Russland på sin side har kuttet all kommunikasjon med EMD og ministerkomiteen siden mars 2022. Russland har heller ikke gitt noen informasjon eller oppdatering om hvorvidt avgjørelser fra EMD overhode følges opp. Dette er ikke overraskende, all den tid Russland heller ikke var den flinkeste i klassen til å følge opp avgjørelser fra EMD i årene de var medlem av Europarådet. I enkelte saker har Russland bare kort uttalt at avgjørelser er umulige å følge opp, mens i en rekke andre tilfeller har det aldri blitt gitt noen oppdatering på oppfølgning eller implementasjon.

Avgjørelsen inneholder likevel en rekke vurderinger og uttalelser som får betydning utover denne ene saken. Selv om vi nærmest kan legge til grunn at Russland vil ignorere utfallet i EMD, legger uttalelsene her føringer for de øvrige medlemsstatene. Dette er den første avgjørelsen som omhandler svekkelse av såkalt end-to-end encryption (E2EE), som har fått stor utbredelse i ulike chat- og delingstjenester på internett. Innhold krypteres på den ene siden før det overføres til mottakeren, som dekrypterer og gjør innholdet fullt tilgjengelig på sin side.

Det er også verdt å merke seg at avgjørelsen legger stor vekt på rapporter og uttalelser fra tunge organer innen menneskerettigheter og politietterforskning. Det er inntatt lange og fullstendige sitater fra disse rapportene. Denne teknikken er åpenbart ment å styrke EMDs argumenter og konklusjoner. Språket i avgjørelsen er også klart og tydelig. EMD uttrykker ikke her mye tvil om hvorvidt det foreligger et inngrep eller ikke, og om hvorvidt dette er «nødvendig i et demokratisk samfunn». EMD avslutter sin vurdering i avsnitt 80 med å påpeke at myndighetenes tilgang til elektronisk kommunikasjon uten noen reelle sikkerhetstiltak «impairs the very essence of the right to respect for private life». På denne måten fremhever EMD at det ikke er mye rom å manøvrere på her.

Dermed har EMD plantet et flagg når det gjelder medlemsstatenes adgang til overvåkning via bakdører inn i kryptert innhold som formidles via kommunikasjonstjenester på internett. Dette vil få betydning i diskusjonen om lovregulering, tiltak og etterforskningsskritt rettet mot kryptert innhold. Samtidig slår ikke EMD fast at all lagring av data på et så omfattende nivå nødvendigvis være konvensjonsstridig. Det ligger i systematikken under artikkel 8 at det først må vurderes om det foreligger et inngrep. Deretter må det vurderes om inngrepet er proporsjonalt og nødvendig i et demokratisk samfunn. Dersom myndighetene eksempelvis etablerer en ordning med uavhengig kontroll som kan overprøve enkeltbegjæringer om innsyn og som i seg selv er gjenstand for en viss grad av kontroll, vil slike tiltak i en samlet vurdering kunne tale for at tiltaket er proporsjonalt.

Avgjørelsen i Podchasov-saken står etter min oppfatning som en viktig avklaring på et område der myndigheter og etterforskningsorganer trenger veiledning og opplæring.

Tilsvarende vil andre momenter kunne spille inn i en slik vurdering. I den omtalte EncroChat-saken la Høyesterett vekt på tjenestens art. Tjenesten og telefonene som ble solgt utelukkende for denne bruken fremsto som spesielt tilrettelagt for kriminalitet. Det fremsto også som om tjenesten i all hovedsak også ble brukt hovedsakelig av kriminelle. Førstvoterende oppsummerer dette slik i avsnitt 42:

«Eg er difor samd med tingretten og lagmannsretten i at bruk av ein kryptert kommunikasjonsplattform som i all hovudsak blir nytta av kriminelle, ikkje har krav på vern. Personar som vel å ta i bruk ei slik teneste, må vera klare over moglegheita for overvaking og etterforsking. I slike tilfelle vil det gjennomgåande ikkje vera i strid med norsk rettskjensle å bruke materiale innhenta på denne måten som prov i ei straffesak.»

Avgjørelsen i Podchasov-saken står etter min oppfatning som en viktig avklaring på et område der myndigheter og etterforskningsorganer trenger veiledning og opplæring. EMD setter her en høy standard. Avgjørelsen fokuserer gjennomgående mer på formelle spørsmål knyttet til lovligheten av det russiske regelverket enn på det materielle spørsmålet om hvorvidt selve overvåkningen i seg selv er et inngrep etter artikkel 8. Dette gir samtidig avgjørelsen større prinsipiell rekkevidde og slagkraft, ved at den er forankret i generelle prinsipper om proporsjonalitet og hensyn til privatlivet. EMD viser i denne saken en god forståelse av de underliggende tekniske spørsmålene, og trekker direkte linjer inn mot hvordan digital kommunikasjon er blitt en integrert del av hverdagen til folk flest.

Noter

  1. https://rm.coe.int/0900001680a5da51
  2. https://hudoc.echr.coe.int/app/­conversion/pdf/?library=ECHR&id=003-7559628-­­10388013&­filename=Future%20processing%20of%20applications%20against%20Russia.pdf
  3. https://hudoc.echr.coe.int/?i=001-230854
  4. https://hudoc.echr.coe.int/fre?i=002-10793
  5. https://search.coe.int/cm?i=0900001680a5ee2f
Halvor Manshaus
Halvor Manshaus, portrett

Halvor Manshaus