Internationella principer för tillämpningen av de mänskliga rättigheterna när det gäller kommunikationsövervakning

Slutgiltig version 10 juli 2013

Statens möjligheter att övervaka kommunikation med hjälp av teknik blir alltmer avancerad. I dag kan länderna inte säkerställa att de lagar och bestämmelser som gäller kommunikationsövervakning följer internationella mänskliga rättigheter och skyddar individens rätt till personlig integritet och yttrandefrihet. Med hjälp av det här dokumentet vill vi förklara hur internationell människorättslagstiftning gäller i den digitala miljön som den ser ut i dag. Det gäller särskilt ökningen av, och förändringarna inom, tekniken för kommunikationsövervakning. Dessa principer kan fungera som ett ramverk när organisationer från civilsamhället, näringslivet, stater och andra utvärderar huruvida befintliga eller föreslagna lagar och metoder för övervakning är förenliga med de mänskliga rättigheterna.

Principerna är resultatet av ett globalt samråd mellan organisationer från civilsamhället, näringslivet och internationella juridiska experter inom övervakning, policy och teknik för kommunikationsövervakning.

Ingress

Personlig integritet är en grundläggande mänsklig rättighet och spelar en central roll i det demokratiska samhället. Integriteten är avgörande för människans värdighet och den förstärker andra rättigheter som yttrande- och informationsfrihet samt föreningsfrihet. Den erkänns också av internationell människorättslagstiftning.[1] Handlingar som begränsar individens rätt till personlig integritet, inklusive kommunikationsövervakning, kan endast rättfärdigas när de föreskrivs av lagen, när de är nödvändiga för ett legitimt syfte och när de står i proportion till det mål som eftersträvas.[2]

Innan internet sattes gränserna för statens kommunikationsövervakning av väletablerade juridiska principer och logistiska svårigheter i övervakningen. Under de senaste årtiondena har dessa logistiska svårigheter minskat och det är inte längre lika tydligt hur de juridiska principerna ska användas för de nya tekniska möjligheterna. Explosionen av den digitala kommunikationen samt informationen om kommunikation (eller "kommunikationsmetadata” – information om en individs kommunikation eller användning av elektroniska enheter), den minskade kostnaden för lagring och utvinning av stora mängder data samt tillhandahållandet av privat innehåll via tredjepartsleverantörer gör den statliga övervakningen möjlig i en helt ny utsträckning.[3] Samtidigt har den befintliga människorättslagstiftningen inte följt med vad gäller statens moderna och föränderliga övervakningsmöjligheter, möjligheten att kombinera och organisera information som hämtats med olika övervakningstekniker eller den ökade känsligheten hos den information som finns tillgänglig.

Antalet tillfällen när stater försöker få tillgång till både kommunikationsinnehåll och -metadata ökar drastiskt, utan adekvat granskning.[4] När kommunikationsmetadata visas och analyseras kan de användas för att skapa en profil över en individs liv, inklusive hälsotillstånd, politiska och religiösa åsikter, kontakter, interaktion och intressen. Uppgifterna avslöjar lika mycket, om inte ännu mer, än vad som skulle kunna gå att få fram av kommunikationsinnehållet.[5] Trots den höga risken för intrång i en individs privatliv och den dämpande effekt det har på politiska och andra föreningar ger juridiska medel och policyinstrument ofta kommunikationsmetadata en lägre nivå av skydd. Det är vanligt att det inte finns tillräckliga restriktioner för hur metadata får användas av instanser, inklusive hur uppgifterna utvinns, delas och förvaras.

I staternas strävan att efterleva den människorättsliga lagstiftningen vad gäller kommunikationsövervakning måste de följa nedanstående principer. Dessa principer gäller övervakning av landets egna medborgare och övervakning som sker inom landets gränser eller utanför. Dessa principer gäller övervakning som bedrivs inom en stat eller extraterritoriellt. De gäller även både statens skyldighet att respektera och fullgöra individens rättigheter och dess skyldighet att skydda individens rättigheter från kränkning av andra än staten såsom näringsverksamheter.[6] Den privata sektorn har ett jämbördigt ansvar i att respektera de mänskliga rättigheterna, särskilt med tanke på dess nyckelroll i att ta fram, utveckla och sprida tekniken. Den privata sektorn möjliggör och tillhandahåller kommunikation och samarbetar, när så krävs, med statens övervakning. Trots det är dessa principer begränsade till statens skyldigheter.

Föränderlig teknik och definitioner

“Kommunikationsövervakning” i den moderna miljön innefattar övervakning, avlyssning, insamling, analys, användning, bevarande, upptagning av, interferens med eller åtkomst till information som innehåller, speglar, hämtats från eller handlar om en persons kommunikation i det förflutna, nutiden eller framtiden. “Kommunikation” innefattar aktiviteter, interaktioner och transaktioner som skickas med elektroniska medel. Det kan vara kommunikationsinnehåll, identitet på parterna i kommunikationen, platsspårningsinformation inklusive IP-adresser, tid och längd på kommunikationen samt identifierare av den kommunikationsutrustning som används.

Traditionellt sett har intrångsgraden på kommunikationsövervakningen bedömts utifrån artificiella och formalistiska kategorier. Befintliga juridiska ramverk skiljer mellan “innehåll” och “icke-innehåll”, “prenumerationsinformation” eller “metadata”, lagrade uppgifter eller tillfälliga uppgifter samt data i hemmet eller hos en tredjepartsleverantör.[7] Dessa skillnader är dock inte längre lämpliga när det gäller att mäta hur kommunikationsövervakningen gör intrång i individers privatliv och föreningar. Det är fastslaget sedan länge att kommunikationsinnehåll måste skyddas ordentligt genom lagstiftning på grund av att det utgör en hög risk vad gäller att avslöja känsliga uppgifter. Nu står det även klart att andra uppgifter som hämtas från kommunikation – metadata och andra former av data som inte är innehåll – kan avslöja mer om individen än det faktiska innehållet gör. Därmed krävs proportionerligt skydd. I dag kan dessa typer av uppgifter, granskade var för sig eller tillsammans, avslöja en persons identitet, beteende, föreningar, psykiska tillstånd, hälsotillstånd, etniskt ursprung, hudfärg, sexuell läggning och åsikter. De kan även användas i syfte att kartlägga var personen befinner sig, hur han eller hon rör sig eller interagerar under en period.[8]Detsamma gäller för alla människor på en given plats, till exempel en demonstration eller någon annan politisk händelse. Det innebär att all information som innehåller, speglar, hämtas från eller handlar om en persons kommunikation, och som inte är tillgänglig och lättåtkomlig för allmänheten ska klassas som “skyddad information”. Den ska därmed ha högsta möjliga skydd av lagen.

I bedömningen av vilken intrångsgrad statens kommunikationsövervakning utgör är det nödvändigt att beakta såväl övervakningens potential att avslöja skyddad information som orsaken till att staten vill komma åt den. Kommunikationsövervakning som sannolikt leder till att skyddad information avslöjas som kan göra att personen kan riskera utredning, diskriminering eller kränkning av de mänskliga rättigheterna, utgör ett allvarligt intrång på individens rätt till integritet. Dessutom underminerar det andra grundläggande rättigheter som yttrandefrihet, föreningsfrihet och politisk aktivitet.Det beror på att dessa rättigheter kräver att människor kan kommunicera fritt från den dämpande effekt som statlig övervakning har. En bedömning av både typen på den eftersökta informationen och hur den potentiellt kan användas måste därför göras i varje enskilt fall.

När ny teknik för kommunikationsövervakning ska användas eller befintlig teknik ska utökas, måste staten säkerställa om den information som ska samlas in faller inom kategorin “skyddad information”. Detta ska göras innan övervakningen startar och det ska granskas av domstol eller annan tillsynsmyndighet. I bedömningen av huruvida information som hämtas genom kommunikationsövervakning är “skyddad information” är såväl formen som tidslängden för övervakningen relevanta faktorer. Eftersom inträngande och systematisk övervakning kan avslöja privat information som överskrider dess beståndsdelar kan även övervakning av icke-skyddad information räknas som ett intrång som kräver ökat skydd.[9]

Bedömningen av huruvida staten får utföra kommunikationsövervakning som utgör intrång i skyddad information måste göras i enlighet med följande principer.

Principerna

LegalitetEventuella begränsningar av individens rätt till integritet måste föreskrivas av lagar. Staten får inte använda eller implementera metoder som gör intrång på rätten till integritet utan befintliga lagar. Dessa ska finnas tillgängliga för allmänheten och vara tydliga och precisa. Medborgarna måste kunna förstå dessa lagar och förutse hur de tillämpas. Med tanke på hur snabbt tekniken förändras måste lagar som på något sätt begränsar rätten till integritet granskas regelbundet med hjälp av processer för reglering eller medborgarnas medverkan i lagstiftning.

Legitimt mål:Lagen ska tillåta kommunikationsövervakning endast av specifika statliga myndigheter. Det ska finnas ett legitimt mål för ett övervägande viktigt juridiskt intresse som är nödvändigt i ett demokratiskt samhälle. Metoderna får inte användas på ett sätt som diskriminerar utifrån ras, hudfärg, kön, språk, religion, politiska eller andra åsikter, nationalitet, socialt ursprung, ekonomiska förutsättningar, medfödda eller andra besvär.

Krav: Lagar som tillåter kommunikationsövervakning av staten måste begränsa övervakningen till det som är absolut och bevisligen nödvändigt för ett legitimt mål. Kommunikationsövervakning får ske enbart när det är det enda sättet att nå ett legitimt mål, eller när det av flera metoder är den som sannolikt bryter mot de mänskliga rättigheterna minst. Staten bär bevisbördan i denna fråga, såväl i rättsliga som lagstiftande processer.

Lämplighet:Alla exempel på kommunikationsövervakning som godkänns av lagen måste uppfylla det specifika legitima mål som identifierats.

Proportionalitet:Kommunikationsövervakning ska anses vara en ytterst inkräktande handling som gör intrång på rätten till integritet och åsikts- och yttrandefrihet. Övervakningen utgör ett hot mot grunderna i det demokratiska samhället. Beslut om kommunikationsövervakning måste gälla såväl nyttan av övervakningen som den skada den gör på individens rättigheter och andra jämförbara intressen. Hur känslig informationen är, och hur allvarligt intrånget på rätten till integritet är, måste övervägas när beslutet ska fattas.

Det innebär att om en stat försöker komma åt eller använda skyddad information med hjälp av kommunikationsövervakning inom ramen för en brottsutredning, måste staten visa för en behörig, oberoende och opartisk rättslig myndighet att:

  1. det föreligger hög risk att ett allvarligt brott har begåtts eller kommer att begås;
  2. bevis för ett sådant brott kan insamlas genom tillgång till den skyddade information som eftersöks;
  3. övriga tillgängliga utredningstekniker som är mindre inkräktande har utnyttjats i största möjliga mån;
  4. informationen som hämtas begränsas till vad som är relevant för det påstådda brottet och all övrig information som samlas in kommer att förstöras eller återlämnas omedelbart;
  5. information samlas enbart in av den specificerade myndigheten och används endast för det syfte som godkänts.

Om staten söker åtkomst till skyddad information med hjälp av kommunikationsövervakning för ett syfte som inte försätter en person i risk för allmänt åtal, utredning, diskriminering eller inkräktande på de mänskliga rättigheterna, måste staten bevisa för en oberoende, opartisk och behörig myndighet att:

  1. andra, mindre inkräktande tekniker har övervägts;
  2. information som samlas in begränsas till vad som är relevant och all övrig insamlad information kommer att förstöras eller återlämnas omedelbart till den berörda individen
  3. informationen är tillgänglig enbart för den specifika myndigheten och används endast för det syfte som godkänts.

Behörig rättslig myndighet: Avgöranden som gäller kommunikationsövervakning måste göras av en behörig rättslig myndighet som är opartisk och oberoende. Myndigheten måste vara:

  1. en annan än den som utför kommunikationsövervakning;
  2. Den måste vara behörig att fatta juridiska beslut om legaliteten i kommunikationsövervakning och ha kunskap om de tekniker som används samt om de mänskliga rättigheterna. Dessutom
  3. måste den rättsliga myndigheten ha adekvata resurser för de funktioner den tilldelats.

Korrekt rättsförfarande:Det korrekta rättsförfarandet kräver att staten respekterar och garanterar de mänskliga rättigheterna. Det görs genom att säkerställa att de lagenliga metoderna som används för att övervaka intrång på de mänskliga rättigheterna nämns i lagen, utövas konsekvent och är tillgängliga för allmänheten. Enligt de mänskliga rättigheterna har varje individ rätt till en rättvis och offentlig prövning inom rimlig tid. Den ska skötas av en oberoende, behörig och opartisk rättslig domstol.[10]Denna bestämmelse kan frångås i akuta fall när det finns ett överhängande hot mot människoliv. I sådana fall måste retroaktiv auktorisation sökas inom en rimlig och praktiskt möjlig tidsperiod. Enbart risk för flykt eller förstörande av bevis är inte tillräckligt för att motivera retroaktiv auktorisation.

Användningsavisering: Medborgarna ska aviseras om ett beslut som gäller auktorisering av kommunikationsövervakning i lagom tid, och med tillräcklig information, så att de kan överklaga beslutet. De ska även få tillgångtill det material som använts som stöd för auktoriseringsansökan. Dröjsmål med aviseringen är endast motiverat under följande omständigheter:

  1. Aviseringen skulle innebära ett allvarligt hot mot målet för övervakningen, eller så finns det ett övervägande hot mot ett människoliv.
  2. Auktorisering för dröjsmål med aviseringen görs av den behöriga rättsliga myndigheten vid det tillfälle då övervakningen auktoriseras.
  3. Den påverkade individen aviseras så snart som risken har passerat eller inom en rimlig och praktiskt möjlig tidsperiod. Det ska ske så snart som möjligt och senast då kommunikationsövervakningen har slutförts. Aviseringskravet åligger staten men i fall då staten inte uppfyller det är leverantörer av kommunikationstjänster fria att avisera individer om kommunikationsövervakning, på eget bevåg eller på annans uppdrag.

Öppenhet:Staterna ska vara öppna om användningen och omfattningen av tekniker och medel för kommunikationsövervakning.De ska åtminstone publicera samlad information om antalet beviljade och avvisade begäranden med en uppdelad redogörelse för begäranden av tjänsteleverantörer och av utredningstyp och mål. Staten ska ge medborgarna tillräckligt med information så att de fullt ut kan förstå omfattningen, typen och tillämpningen av de lagar som tillåter kommunikationsövervakning. Staten ska ge tjänsteleverantörerna möjlighet att publicera de metoder som används för statlig kommunikationsövervakning, följa dessa metoder samt publicera register över statlig kommunikationsövervakning.

Allmän tillsyn: States should establish independent oversight mechanisms to ensure transparency and accountability of communications surveillance.[11]Tillsynsmekanismerna ska ha åtkomst till all information som kan vara relevant om staternas handlande, inklusive hemlig och hemligstämplad information där så är lämpligt. Det måste gå att bedöma om staten använder sina rättsliga möjligheter på ett legitimt sätt samt utvärdera om staten har varit tydlig och på lämpligt sätt publicerat information om användningen och omfattningen av tekniker och metoder för kommunikationsövervakning. Tillsynsmekanismerna ska även ha rätt att publicera periodiska rapporter och annan information som är relevant för kommunikationsövervakningen. Oberoende tillsynsmekanismer ska etableras jämte eventuell tillsyn som redan sköts av en annan statlig del.

Kommunikations- och systemintegritet: I syfte att säkerställa integriteten, säkerheten och sekretessen i kommunikationssystem ska staten inte driva tjänsteleverantörer eller skapare av maskin- och programvara att bygga in kapacitet för övervakning och avlyssning i sina system. En annan orsak är att om säkerheten äventyras för statliga mål äventyras den nästan alltid även mer allmänt. A priori-datalagring eller -insamling ska aldrig krävas av tjänsteleverantörer. Medborgarna har rätt att säga sin mening anonymt. Staten ska därför inte kräva att användare identifierar sig för användning av tjänster.[12]

Säkerhetskontroller för internationellt samarbete: På grund av förändringar i informationsflödet och i tekniker och tjänster för kommunikation kan staterna behöva söka hjälp från en utländsk tjänsteleverantör. Mutual legal assistance treaties (Ömsesidiga avtal om juridisk assistans), även kallat MLAT, och andra avtal som stater ingår måste säkerställa att i fall då lagar från flera länder kan gälla för kommunikationsövervakning ska den standard med högst skyddsnivå för medborgarna användas. Då stater söker assistans för brottsbekämpning ska principen om dubbel straffbarhet tillämpas. Staten får inte använda processer för ömsesidig juridisk assistans eller utländska begäranden för skyddad information i syfte att kringgå inhemska juridiska begränsningar för kommunikationsövervakning. Processer för ömsesidig juridisk assistans och övriga avtal ska dokumenteras på ett tydligt sätt och offentliggöras. Det ska även säkerställas att de är rättvisa procedurmässigt sett.

Säkerhetskontroller för obehörig åtkomst: Staten ska anta lagar som kriminaliserar obehörig kommunikationsövervakning som görs av offentliga eller privata aktörer. Lagen ska tillhandahålla tillräckliga och betydande civila och straffrättsliga påföljder, skydd för den som anmäler samt möjlighet till upprättelse för de påverkade individerna. Lagen ska stipulera att all information som hämtas på ett sätt som är oförenligt med dessa principer är ogiltig som bevis i förhandlingar. Det gäller även för bevis som går att härleda till sådan information. Staten ska också anta lagar som fastställer att när material som samlats in genom kommunikationsövervakning har använts i uppsatt syfte ska det förstöras eller återlämnas till individen.

Undertecknat

[[signatories]]


[1]Den allmänna deklarationen om de mänskliga rättigheterna artikel 12, FN:s konvention om migrantarbetares rättigheter artikel 14, FN.s konvention om barns rättigheter artikel 16, Konventionen om medborgerliga och politiska rättigheter, Konventionen om medborgerliga och politiska rättigheter artikel 17; regionala konventioner, inklusive artikel 10 i den afrikanska stadgan om barnets rättigheter och barnets bästa, artikel 11 i den afrikanska stadgan om mänskliga och folkens rättigheter, artikel 4 i Afrikanska unionens principer om yttrandefrihet, artikel 5 i den amerikanska deklarationen om mänskliga rättigheter och skyldigheter, artikel 21 i den arabiska stadgan om mänskliga rättigheter och artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, Johannesburgsprinciperna om nationell säkerhet, yttrandefrihet och tillgång till information, Camdenprinciperna för yttrandefrihet och jämlikhet.

[2]Den allmänna deklarationen om de mänskliga rättigheterna artikel 29; Allmän kommentar nr 27, antagen av Kommittén för mänskliga rättigheter under artikel 40, stycke 4, i Konventionen om medborgerliga och politiska rättigheter, CCPR/C/21/Rev.1/Add.9, 2 november, 1999; se även “Specialrapportören för mänskliga rättigheter och grundläggande friheter i kampen mot terrorismen,” 2009, A/HRC/17/34 av Martin Scheinin.

[3]Kommunikationsmetadata kan innefatta information om vår identitet (prenumerationsinformation, enhetsinformation), och interaktion (ursprung och destinationer). Det gäller särskilt de data som visar besökta webbplatser, böcker och annat material vi har läst, människor vi har kommunicerat med, vänner, släkt, bekanta, genomförda sökningar och använda resurser. Dessa metadata kan även innefatta läge (platser och tidpunkter, närhet till andra). Kort sagt ger de oss ett fönster till nästan allt vi gör i det moderna livet, vårt mentaltillstånd, våra intressen och våra innersta tankar.

[4]Till exempel görs det nu enbart i Storbritannien ungefär 500 000 begäranden om kommunikationsmetadata varje år. Dessa faller för närvarande under självstyrande brottsbekämpande instanser som kan auktorisera sina egna begäranden om tillgång till information från tjänsteleverantörer. Samtidigt visar data ur Googles insynsrapporter att begäranden om användardata bara i USA steg från 8 888 år 2010 till 12 271 år 2011. I Korea gjordes ungefär 6 miljoner begäranden av information om prenumeranter/människor som gjort inlägg, och ungefär 30 miljoner begäranden av andra former av kommunikationsmetadata under 2011–2012. I princip alla dessa beviljades och fullföljdes. Uppgifterna för 2012 finns påhttp://www.kcc.go.kr/user.do?mode=view&page=A02060400&dc=K02060400&boardId=1030&cp=1&boardSeq=35586

[5]Som exempel kan nämnas en granskning av Sandy Petlands arbete, "Reality Mining", i MIT:s Technology Review, 2008, som finns påhttp://www2.technologyreview.com/article/409598/tr10-reality-mining/.Se även Alberto Escudero-Pascual och Gus Hoseins, "Questioning lawful access to traffic data", Communications of the ACM, volym 47 nummer 3, mars 2004, sid. 77–82.

[6] Rapport av FN:s specialrapportör för yttrandefrihet, Frank La Rue, 16 maj 2011, finns tillgänglig på http://www2.ohchr.org/english/bodies/hrcouncil/docs/17session/a.hrc.17.27_en.pdf

[7]"Människor avslöjar vilka telefonnummer de ringer eller skickar sms till för sina mobiloperatörer, vilka webbadresser de besöker och vilka e-postadresser de kommunicerar med för sina internetleverantörer samt vilka böcker, varor och mediciner de köper för onlinehandlare ... Jag utgår ifrån att alla uppgifter som vi lämnar ut frivilligt till någon offentligt med ett begränsat syfte har rätt till skydd enligt fjärde tillägget i den amerikanska konstitutionen, som gäller individens rätt till personlig integritet." Förenta staterna mot Jones, 565 U.S. ___, 132 S. Ct. 945, 957 (2012) (Sotomayor, J., medverkande).

[8]“Korttidsövervakning av en persons förehavanden på allmänna platser sker i enlighet med förmodad personlig integritet” men “användandet av GPS-övervakning på längre sikt för utredningar av de flesta brott inkräktar på den förmodade personliga integriteten.” Förenta staterna mot Jones, 565 U.S., 132 S. Ct. 945, 964 (2012) (Alito, J. medverkande).

[9]"Längre övervakning avslöjar information som inte kommer fram genom korttidsövervakning, till exempel vad en människa gör upprepade gånger, vad hon inte gör och vad hon utför. Den här typen av information kan avslöja mer om en person än vad ett enskilt misstag gör. Upprepade besök hos en kyrka, ett gym, en bar eller en bookmaker ger information som inte går att få genom ett enskilt besök. Detsamma gäller för en person som inte besöker någon av dessa platser under loppet av en månad. Följden av en persons förehavanden kan avslöja ännu mer. Ett enstaka besök hos en gynekolog säger inte mycket om en kvinna, men den där resan som några veckor senare följs av ett besök i en barnbutik berättar en helt annan historia.* En person som vet allt om en annan människas resor kan härleda om hon går till kyrkan varje vecka, dricker mycket, tränar regelbundet, är otrogen, är patient i öppenvården och får medicinering, umgås med underliga individer eller är med i politiska grupper. Det är inte bara en sådan uppgift om människan, utan alla sådana uppgifter." Förenta staterna mot Maynard, 615 F.3d 544 (U.S., D.C. Circ., C.A.)s. 562; Förenta staterna mot Jones, 565 U.S. __, (2012), Alito, J., medverkande.“Dessutom kan offentliga uppgifter som systematiskt samlas in och lagras röra en människas privatliv. Det gäller i ännu högre grad när sådana uppgifter rör en människas förflutna … Enligt domstolen faller sådana uppgifter, som systematiskt samlas in och lagras i en fil som förvaras hos representanter för staten, under benämningen "privatliv" i enlighet med artikel 8(1) i Konventionen.” (Rotaru mot Rumänien, [2000] Europadomstolen 28341/95, s. 43–44.

[10]Termen "korrekt rättsförfarande" kan användas omväxlande med "procedurmässigt rättvist" och "naturlig rättvisa". Detta beskrivs bra i den europeiska konventionen för mänskliga rättigheter artikel 6(1) och artikel 8 i den amerikanska konventionen för mänskliga rättigheter.

[11]Den brittiska tillsynsinstansen för kommunikationsövervakning (ICO) är ett exempel på en sådan oberoende tillsynsmekanism. ICO publicerar en rapport som innehåller vissa sammanställda uppgifter. Det är dock inte tillräckligt för en ordentlig kontroll av vilken typ av begäranden det handlar om, omfattningen på varje åtkomstbegäran, syftet med varje begäran eller granskningen som har gjorts av den. Läs mer härhttp://www.iocco-uk.info/sections.asp?sectionID=2&type=top.

[12]Rapport av FN:s specialrapportör för yttrandefrihet, Frank La Rue, 16 maj 2011, A/HRC/17/27, stycke 84.