Internationale principper om anvendelsen af menneskerettigheder i forbindelse med overvågning af kommunikation
Endelig version 10. juli 2013
Efterhånden som teknologi, der muliggør statslig overvågning af kommunikation, vinder frem, undlader Stater at sikre, at lovgivning og bestemmelser om overvågning af kommunikation overholder de internationale menneskerettigheder og i tilstrækkelig grad beskytter privatlivets fred og ytringsfriheden. Dette dokument forsøger at forklare, hvordan internationale menneskerettighedslove finder anvendelse i det moderne digitale miljø, især set i lyset af udbredelsen af og ændringerne i teknologien og metoderne til overvågning af kommunikation. Disse principper kan give borgerrettighedsorganisationer, erhvervslivet, Stater og andre et udgangspunkt for vurdering af, om nuværende eller fremsat overvågningslovgivning og overvågningspraksis er i overensstemmelse med menneskerettighederne.
Principperne er resultatet af et globalt samarbejde med borgerrettighedsorganisationer, erhvervslivet og internationale eksperter inden for lovgivning, politik og teknologi i forbindelse med kommunikationsovervågning.
Præambel
Privatlivets fred er en grundlæggende menneskerettighed og afgørende for opretholdelsen af demokratiske samfund. Den har stor betydning for menneskeværdighed, den forstærker andre rettigheder som f.eks. ytrings-, informations- og forsamlingsfrihed, og den anerkendes af international menneskerettighedslovgivning.1 Aktiviteter, der begrænser privatlivets fred, herunder kommunikationsovervågning, kan kun retfærdiggøres, når de foreskrives i lovgivningen, er nødvendige af hensyn til legitime formål og er rimelige i forhold til det pågældende formål.2
Før internettets udbredelse i samfundet satte veletablerede retsprincipper og de logistiske udfordringer forbundet med kommunikationsovervågning begrænsninger for den statslige kontrol med udvekslingen af oplysninger. I de seneste årtier er disse logistiske begrænsninger af overvågningen dog blevet mindre, og anvendelsen af retsprincipper i forhold til nye teknologiske sammenhænge er blevet mere uklar. Den voldsomme udbredelse af digitalt kommunikationsindhold og oplysninger om kommunikation eller “kommunikationsmetadata” – oplysninger om enkeltpersoners kommunikation eller brug af elektroniske enheder – de faldende udgifter til omfattende datalagring og data mining samt fremskaffelsen af personligt indhold via tredjepartstjenesteudbydere muliggør statslig overvågning i et hidtil uset omfang.3 Samtidig er konceptualiseringen af den eksisterende menneskerettighedslovgivning ikke fulgt med udviklingen af de moderne og skiftende muligheder for statslig overvågning af kommunikation, Staters muligheder for at sammenholde og organisere oplysninger indsamlet via forskellige overvågningsmetoder, eller den i stigende grad følsomme karakter af de oplysninger, som det er muligt at få adgang til.
Den hyppighed, hvormed Stater søger adgang til både kommunikationsindhold og kommunikationsmetadata, stiger drastisk og uden passende eftersyn.4 Når der opnås adgang til kommunikationsmetadata, og disse data analyseres, er det muligt at skabe en profil af en persons liv, herunder helbredsoplysninger, politisk og religiøs overbevisning, tilhørsforhold, interaktioner og interesser, hvorved der afsløres lige så mange detaljer eller endda endnu flere detaljer, end det ville være muligt ud fra indholdet af kommunikationen.5 På trods af det store potentiale for krænkelse af et menneskes privatliv og den skræmmende indvirkning på politiske og andre tilhørsforhold tilskriver juridiske og politiske instrumenter ofte kommunikationsmetadata et lavt beskyttelsesniveau og anviser ikke tilstrækkelige begrænsninger for, hvordan de efterfølgende kan bruges af agenturer, herunder til data mining, deling og lagring.
Hvis Stater faktisk skal leve op til deres forpligtelser i henhold til international menneskerettighedslovgivning i forbindelse med overvågning af kommunikation, skal de overholde de principper, der beskrives nedenfor. Principperne gælder for overvågning af en Stats egne borgere, som finder sted inden for dens eget territorium, samt for dens overvågning af andre uden for den pågældende Stats grænser. Principperne gælder desuden uanset formålet med overvågningen, hvad enten der er tale om retshåndhævelse, national sikkerhed eller et hvilket som helst andet lovgivningsmæssigt formål. De gælder også både for Statens forpligtelse til at respektere og overholde den enkeltes rettigheder samt forpligtelsen til at beskytte den enkeltes rettigheder imod misbrug fra ikke-statslige aktører, herunder virksomheder.6 Den private sektor er ligeledes ansvarlig for at respektere menneskerettighederne, især i forhold til den centrale rolle denne sektor spiller i forbindelse med design, udvikling og udbredelse af teknologi, understøttelse og udbydelse af kommunikation og – hvor det er påkrævet – samarbejde med statslige overvågningsaktiviteter. Ikke desto mindre er omfanget af de foreliggende Principper begrænset til Statens forpligtelser.
Skiftende teknologi og definitioner
“Kommunikationsovervågning” i det moderne samfund omfatter overvågning, aflytning, indsamling, analyse, brug, opbevaring og bibeholdelse af, indgriben i eller adgang til oplysninger, der inkluderer, afspejler, opstår som følge af eller omhandler en enkeltpersons kommunikation i fortiden, nutiden eller fremtiden. “Kommunikation” omfatter aktiviteter, interaktioner og transaktioner, der transmitteres via elektroniske medier, f.eks. kommunikationsindhold, identiteten af de i kommunikationen involverede parter, oplysninger om sporing af placering, bl.a. IP-adresser, tidspunkt for og varighed af kommunikationen og id for det kommunikationsudstyr, der anvendes i kommunikationen.
Traditionelt set er graden af kommunikationsovervågningens indtrængningblevet vurderet på baggrund af kunstige og formalistiske kategorier. Eksisterende juridiske retningslinjer skelner mellem “indhold” og “ikke-indhold”, “abonnentoplysninger” og “metadata”, lagret data og transitdata, data, der opbevares internt, og data, der er i tredjepartstjenesteudbyders besiddelse.7 Disse forskelle er dog ikke længere brugbare til at vurdere graden af indtrængning, som kommunikationsovervågning udøver i forhold til enkeltpersoners privatliv og tilhørsforhold. Selvom der længe har hersket enighed om, at kommunikationsindhold fortjener betydelig lovgivningsmæssig beskyttelse på grund af dets egenskab til at afsløre følsomme oplysninger, står det nu klart, at andre oplysninger, der fremkommer ved kommunikation – metadata og andre former for ikke-indholdsdata – kan afsløre endnu mere om en person end selve indholdet, og derfor fortjener samme grad af beskyttelse. I dag kan hver af disse typer oplysninger, hvad enten de står alene eller analyseres kollektivt, afsløre en persons identitet, adfærd, tilhørsforhold, fysiske eller helbredsmæssige tilstand, race, hudfarve, seksuelle orientering, afstamning eller holdninger, eller muliggøre kortlægning af en persons placering, færden eller interaktioner over tid, 8 eller af alle personer et givent sted, herunder omkring en offentlig demonstration eller anden politisk begivenhed. Derfor bør alle oplysninger, der inkluderer, afspejler, opstår som følge af eller omhandler en enkeltpersons kommunikation, og som ikke er direkte og let tilgængelige for offentligheden, betragtes som “beskyttede oplysninger” og følgelig tildeles den højest mulige retslige beskyttelse.
Ved evaluering af indtrængningsniveauet for statslig kommunikationsovervågning er det nødvendigt at overveje både sandsynligheden for, at overvågningen vil afsløre beskyttede oplysninger samt det formål, der ligger til grund for Statens ønske om at få adgang til oplysningerne. Kommunikationsovervågning, som sandsynligvis vil føre til afsløring af beskyttede oplysninger, der kan udsætte en person for risiko for efterforskning, diskrimination eller overtrædelse af menneskerettigheder, udgør en alvorlig krænkelse af en persons ret til privatliv og underminerer også andre grundlæggende rettigheder, herunder ytrings- og forsamlingsfrihed samt retten til politisk deltagelse. Det skyldes, at disse rettigheder kræver, at folk skal kunne kommunikere frit uden at føle sig overvåget af regeringen. Det er derfor nødvendigt at fastslå både karakteren af og den potentielle anvendelse af de ønskede oplysninger i hvert enkelt tilfælde.
Ved implementering af nye metoder til overvågning af kommunikation eller ved udvidelse af en eksisterende metodes omfang, bør Staten opnå klarhed over, om de oplysninger, der sandsynligvis tilvejebringes, falder inden for området “beskyttede oplysninger”, inden de tilvejebringes, og lade sig gennemgå af domstolene eller anden demokratisk opsynsfunktion. I overvejelserne om, hvorvidt oplysninger, der fremskaffes via kommunikationsovervågning, kan karakteriseres som “beskyttede oplysninger”, er type samt omfang og varighed af overvågningen relevante faktorer. Fordi intensiv eller systematisk overvågning har potentiale til at afsløre personlige oplysninger, der rækker langt ud over dets enkeltdele, kan overvågningen af ikke-beskyttede oplysninger stige til et indtrængningsniveau, der kræver omfattende beskyttelse.9
Afgørelse af, hvorvidt Staten må udføre kommunikationsovervågning, som antaster beskyttede oplysninger, skal ske i overensstemmelse med følgende principper.
Principperne
Lovlighed
Enhver indskrænkning af privatlivets fred skal være forskrevet af loven. Staten må ikke indføre eller implementere tiltag, der antaster privatlivets fred, i fraværet af en eksisterende offentligt tilgængelig retsakt, som opfylder betingelser for klarhed og præcision, der er tilstrækkelige til at sikre, at folk har forhåndskendskab til og kan forudse dets anvendelsesområde. På grund af de konstante teknologiske ændringer bør lovgivning, der indskrænker privatlivets fred, være underlagt regelmæssig revidering ved hjælp af en lovgivningsmæssig eller regulerende medbestemmelsesproces.
Lovlige formål
Lovgivningen bør kun tillade bestemte statslige myndigheder at udføre kommunikationsovervågning for at sikre et lovligt formål, som er i overensstemmelse med en overvejende vigtig juridisk interesse, som er nødvendig i et demokratisk samfund. Intet tiltag må anvendes på en måde, som diskriminerer på baggrund af race, hudfarve, køn, sprog, religion, poltiske eller andre standpunkter, national eller social afstamning, formue, fødsels- eller anden status.
Nødvendighed
Lovgivning, der tillader statslig overvågning af kommunikation, skal begrænse denne til kun at omfatte overvågning, der er strengt og beviseligt nødvendigt for at opfylde et lovligt formål. Kommunikationsovervågning må kun udføres, når det er den eneste måde at opfylde et lovligt formål på, eller hvis det blandt flere måder er den måde med lavest sandsynlighed for at krænke menneskerettighederne. Bevisbyrden med hensyn til at fastslå denne berettigelse tilfalder Staten, både i juridiske og lovgivningsmæssige processer.
Tilstrækkelighed
Ethvert tilfælde af kommunikationsovervågning, der har lovhjemmel, skal være tilstrækkeligt til at opfylde det bestemte, angivne lovlige formål.
Forholdsmæssighed
Kommunikationsovervågning bør betragtes som en særdeles krænkende handling, som antaster privatlivets fred samt menings- og ytringsfriheden, og derved udgør en trussel mod grundlaget for et demokratisk samfund. Beslutninger om kommunikationsovervågning skal træffes ved at opveje de fordele, der søges opnået, med den overlast, en persons rettigheder vil lide, samt andre konkurrerende interesser og bør indeholde en vurdering af oplysningernes følsomhed og alvorligheden af krænkelsen af privatlivets fred.
Konkret kræver det, at hvis en Stat søger at få adgang til eller bruge beskyttede oplysninger, der er fremskaffet via kommunikationsovervågning i forbindelse med en politimæssig efterforskning, skal den over for den kompetente, uafhængige og uvildige juridiske myndighed bevise, at:
- der er stor sandsynlighed for, at en alvorlig forbrydelse har fundet sted eller vil finde sted;
- der kan fremskaffes beviser for en sådan forbrydelse ved at få adgang til de ønskede beskyttede oplysninger;
- andre tilgængelige og mindre påtrængende efterforskningsmetoder er udtømte;
- de oplysninger, der opnås adgang til, begrænses til dem, der med rimelighed er relevante for den påståede forbrydelse, og at eventuelle øvrige oplysninger, der indsamles, vil blive destrueret eller returneret med det samme, og
- kun den angivne myndighed opnår adgang til oplysningerne og bruger dem netop til det formål, som godkendelsen blev givet til.
Hvis Staten søger adgang til beskyttede oplysninger via kommunikationsovervågning til et formål, som ikke vil udsætte personer for risiko for retsforfølgelse, efterforskning, diskrimination eller krænkelse af menneskerettigheder, skal Staten over for en kompetent, uafhængig og uvildig myndighed bevise, at:
- andre tilgængelige og mindre påtrængende efterforskningsmetoder er blevet overvejet;
- de oplysninger, der opnås adgang til, begrænses til dem, der med rimelighed er relevante, og at eventuelle øvrige oplysninger, der indsamles, vil blive destrueret eller returneret med det samme, og
- kun den angivne myndighed opnår adgang til oplysningerne og bruger dem netop til det formål, som godkendelsen blev givet til.
Kompetent juridisk myndighed
Beslutninger, der relaterer sig til kommunikationsovervågning, skal træffes af en kompetent juridisk myndighed, som er uvildig og uafhængig. Myndigheden skal være:
- adskilt fra de myndigheder, der udfører kommunikationsovervågning;
- fortrolig med emner, der vedrører lovligheden af kommunikationsovervågning og kompatent til at træffe juridiske beslutninger herom, den teknologi, der bruges, samt menneskerettigheder og
- tildelt tilstrækkelige ressourcer til at udføre de funktioner, den er pålagt.
Behørig rettergang
Behørig rettergang foreskriver, at Stater respekterer og garanterer menneskerettighederne ved at sikre, at retsgyldige procedurer, der regulerer indgriben i menneskerettighederne, er behørigt specificeret i loven, konsekvent praktiseret og tilgængelige for den brede offentlighed. Specifikt i sager om beslutninger om sine menneskerettigheder har ethvert menneske ret til en retfærdig og offentlig høring inden for en rimelig tidsperiode ved en uafhængig, kompetent og uvildig domstol, der er fastsat ved lov,,1 med undtagelse af nødstilfælde, hvor der er overhængende fare for tab af menneskeliv. I sådanne tilfælde skal der søges godkendelse med tilbagevirkende kraft inden for en rimelig og praktisk mulig tidsperiode. Risiko for flugt eller ødelæggelse af beviser kan aldrig være tilstrækkelig grund til at retfærdiggøre godkendelse med tilbagevirkende kraft.
Behørig rettergang
Personer bør informeres om en beslutning om godkendelse af kommunikationsovervågning med tilstrækkelig tid og oplysninger til at give dem mulighed for at appellere beslutningen, og de bør desuden have adgang til det materiale, der er fremlagt til understøttelse af ansøgningen om godkendelse. Forsinkelse af underretning herom kan kun retfærdiggøres i følgende tilfælde:
- Underretningen ville bringe formålet med den godkendte overvågning i alvorlig fare, eller der er overhængende fare for menneskeliv, eller
- Den kompetente juridiske myndighed har givet tilladelse til forsinkelse på det tidspunkt, hvor godkendelsen til overvågningen gives, og
- Den berørte person får besked, så snart risikoen er ophævet eller inden for en rimelig og praktisk mulig tidsperiode, alt efter hvad der kommer først, og under alle omstændigheder inden det tidspunkt, hvor overvågningen er blevet gennemført. Staten er pålagt meddelelsespligten, men i tilfælde hvor Staten undlader at give besked, kan kommunikationstjenesteudbyderen frit informere personer om kommunikationsovervågningen, enten frivilligt eller efter anmodning.
Gennemsigtighed
Stater bør udvise gennemsigtighed i forhold til brug og omfang af metoder til overvågning af kommunikation samt sine beføjelser hertil. De skal som minimum offentliggøre de samlede oplysninger om antallet af anmodninger, der er blevet godkendt eller afvist, oplysninger opdelt efter tjenesteudbydernes anmodninger og efter efterforskningstype og formål. Stater bør give folk tilstrækkelige oplysninger til at give dem fuld forståelse af omfanget, arten og anvendelsen af de love, der tillader kommunikationsovervågning. Stater bør give tjenesteudbyderne mulighed for at offentliggøre de procedurer, de anvender ved håndtering af statslig kommunikationsovervågning, overholde disse procedurer og offentliggøre fortegnelser over statslig overvågning af kommunikation.
Offentligt tilsyn
Stater bør oprette uafhængige tilsynsfunktioner for at sikre gennemsigtighed og ansvarlighed i forhold til kommunikationsovervågning.2 Tilsynsfunktionerne bør have bemyndigelse til at få adgang til alle potentielt relevante oplysninger om Statens ageren, herunder om nødvendigt adgang til hemmelige eller fortrolige oplysninger, for at vurdere, om Staten gør lovlig brug af sine lovmæssige muligheder, om Staten på en gennemsigtig og præcis måde har offentliggjort oplysninger om brug og omfang af beføjelser og metoder til overvågning af kommunikation, og for at kunne offentliggøre periodiske rapporter og andre relevante oplysninger om kommunikationsovervågning. Der bør oprettes uafhængige tilsynsfunktioner, uanset om der allerede findes tilsyn via en anden statslig myndighed.
Kommunikations- og systemtintegritet
Af hensyn til sikring af kommunikationssystemers integritet, sikkerhed og databeskyttelse og i anerkendelse af, at sikkerhedsbrud med statslige formål næsten altid er et brud på den generelle sikkerhed, bør Staten ikke tvinge tjenesteudbydere eller hardware- og softwareforhandlere til at bygge overvågnings- eller kontrolfunktioner ind i deres systemer, eller at indsamle og opbevare visse oplysninger udelukkende med statslig overvågning som formål. Der bør aldrig stilles krav til tjenesteudbydere om indsamling eller opbevaring af data a priori . Alle mennesker har ret til at udtrykke sig anonymt. Stater bør derfor afstå fra at fremtvinge brugeridentifikation som en forudsætning for levering af tjenester3
Sikkerhedsforanstaltninger mod internationalt samarbejde
På grund af ændringerne i informationsflowet og i kommunikationsteknologien og -tjenesterne kan Stater være nødsaget til at søge hjælp hos udenlandske tjenesteudbydere. Derfor bør aftaler om gensidig retslig bistand (Mutual Legal Assistance Treaties, MLATs) og andre aftaler mellem Stater sikre, at de tilgængelige standarder med det højeste niveau af beskyttelse af individer anvendes i de situationer, hvor mere end en stats lovgivning kan gælde for kommunikationsovervågningen. Princippet om dobbelt strafbarhed bør gælde, når Stater søger hjælp til retshåndhævelsesformål. Stater må ikke bruge procedurer til gensidig retslig bistand eller anmode udlandet om beskyttede oplysninger for at omgå hjemlige lovmæssige begrænsninger af kommunikationsovervågning. Procedurer til gensidig retslig bistand og andre aftaler bør dokumenteres tydeligt, være offentligt tilgængelige og underlagt garantier om retfærdig rettergang.
Sikkerhedsforanstaltninger mod ulovlig adgang
Stater bør vedtage lovgivning, som kriminaliserer ulovlig overvågning af kommunikation, der udføres af offentlige eller private aktører. Loven bør give tilstrækkelige og omfattende civile og strafferetlige straffe, yde beskyttelse af whistleblowere og mulighed for oprejsning for de berørte personer. Lovgivningen bør foreskrive, at alle oplysninger, der er tilvejebragt på en måde, der er i uoverenstemmelse med disse principper, ikke kan godtages som bevis i nogen som helst retssag, og det samme gælder bevismateriale, som er afledt af sådanne oplysninger. Stater bør også vedtage lovgivning, der forudsætter, at materiale, der er tilvejebragt via kommunikationsovervågning, destrueres eller returneres til den pågældende person, når det har været brugt til det formål, som der blev givet oplysninger om.
-
Begrebet “behørig rettergang” kan bruges i flæng med “retfærdig rettergang” og “naturret” og er grundigt beskrevet i artikel 6(1) i Den Europæiske Menneskerettighedskonvention og artikel 8 i American Convention on Human Rights. ↩︎
-
Interception of Communications Commissioner i Storbritannien er et eksempel på en sådan uafhængig tilsynsfunktion. ICO udgiver en rapport, som indeholder nogle samlede data, men den giver ikke tilstrækkeligt med data til at granske de forskellige typer anmodninger, omfanget af adgang, der anmodes om, formålet med anmodningerne og den undersøgelse, de underkastes. Se http://www.iocco-uk.info/sections.asp?sectionID=2&type=top. ↩︎
-
Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue, 16. maj 2011, A/HRC/17/27, stk. 84. ↩︎