Komiteen, medlemmene fra Arbeiderpartiet, Martin Henriksen, lederen Lene Vågslid og Maria Aasen-Svensrud, fra Høyre, Ingunn Foss, Peter Frølich og Frida Melvær, fra Fremskrittspartiet, Per-Willy Amundsen og Kjell-Børge Freiberg, fra Senterpartiet, Jan Bøhler og Jenny Klinge, og fra Sosialistisk Venstreparti, Petter Eide, viser til at regjeringen foreslår at det skal innføres en plikt for tilbydere av elektroniske kommunikasjonstjenester til å lagre IP-adresser slik at politiet kan få tilgang til IP-adressene for å bekjempe alvorlig kriminalitet.

Komiteen viser til at Norge er et av verdens mest digitaliserte land og ligger i verdenstoppen når det gjelder bruk av internett. Samfunnet har aldri vært mer avhengig av digital infrastruktur. Bedrifter og forvaltning over hele landet blir stadig mer digitalisert, og ny digital teknologi benyttes til nye funksjoner av folk i alle aldersgrupper. Den teknologiske og markedsmessige utviklingen fortsetter og forventes å akselerere ved innføring av neste generasjons mobilnett (5G). Den digitale utviklingen fører til at stadig mer av aktiviteten til bedrifter og den enkelte foregår via elektroniske kommunikasjonsnett, og at vi i de fleste av våre gjøremål etterlater oss stadig flere elektroniske spor. Komiteen understreker at retten til privatliv og vern av kommunikasjon er grunnleggende forutsetninger for et demokratisk samfunn, som staten har et ansvar for å sikre. Den digitale utviklingen i samfunnet medfører at tiltak som ivaretar personvern og kommunikasjonsvern, blir viktigere.

Komiteen viser samtidig til at den teknologiske utviklingen gjenspeiles i kriminalitetsbildet. Utviklingen har gitt kriminelle nye muligheter både til å utføre kriminalitet og til å unndra seg straffeforfølging. Det er en generell trend at kommunikasjon i økende grad blir internettbasert, for eksempel ved at nettbaserte anrops- og meldingstjenester (slik som Skype eller iMessage) tar over for telefonoppringninger og SMS. Komiteen merker seg at det ofte er av stor betydning for politi og påtalemyndighet å finne frem til hvilken abonnent som har benyttet en gitt IP-adresse. Komiteen viser til at regjeringen foreslår en plikt til å lagre IP-adresser med den begrunnelse at dette blant annet vil kunne bidra til å oppklare nettkriminalitet.

Komiteen registrerer også at departementet ser at det kan være utfordrende å finne en riktig balanse mellom kriminalitetsbekjempelse og behovet for kommunikasjonsvern og personvern. Komiteen er enig med departementet i at det er av betydning for vurderingen av inngrepet i kommunikasjonsvernet at informasjon om hvilke IP-adresser abonnentene er tildelt, ikke i seg selv avslører noe om innholdet i abonnentens internettkommunikasjon eller om hvem abonnenten har kommunisert med. Opplysninger om at en IP-adresse kan knyttes til straffbare forhold, må politi eller påtalemyndighet få fra annet hold. Dette kan for eksempel være fra digitale beslag eller tips fra utlandet om at en norsk IP-adresse er benyttet for eksempel ved deling av overgrepsmateriale. IP-lagringen vil da bidra til å avdekke hvem som står bak aktiviteten.

Komiteen viser til at departementet mener en plikt til å lagre IP-adresser som gir abonnementsopplysninger/brukerdata, er langt mindre inngripende for kommunikasjonsvernet enn en lagringsplikt for alle trafikkdata, som gir langt mer informasjon. Uthenting av abonnementsopplysninger knyttet til en IP-adresse vil like fullt være et svært viktig verktøy i arbeidet mot kriminalitet, ettersom det ofte vil være en forutsetning for at IP-adresser som innhentes på bakgrunn av andre hjemler, har verdi for etterforskingen.

Komiteen registrerer videre at departementet foreslår at lagringstiden for IP-dataene skal være tolv måneder. Etter departementets vurdering vil dette være nødvendig for at politiet og påtalemyndigheten skal kunne nyttiggjøre seg opplysningene på en tilstrekkelig effektiv måte i kriminalitetsbekjempelsen. Samtidig vil lagringstiden ikke være lengre enn strengt nødvendig, slik at kommunikasjonsvernet ivaretas på en god måte.

Komiteen viser til at departementet foreslår at opplysningene bare skal kunne utleveres til politiet for å bekjempe alvorlig kriminalitet. Nærmere bestemt foreslår departementet at opplysningene som lagres i henhold til lovforslaget, bare skal kunne utleveres til politiet eller påtalemyndigheten når det er nødvendig for å etterforske en handling som etter loven kan medføre straff av fengsel i tre år eller mer, eller som rammes av nærmere bestemte straffebud, herunder seksuallovbrudd mot barn eller saker hvor tilgang til IP-adresser vil være av særlig betydning for oppklaring av saken.

Komiteen viser til at det foreslås å ta inn en egen bestemmelse i ekomloven som avskjærer utlevering av IP-adresser lagret etter den nye bestemmelsen til andre formål enn etterforsking av alvorlig kriminalitet. For IP-data som ekomtilbyderne har lagret for eget formål i henhold til ekomloven § 2-7 femte ledd nummer 1, gjøres det ingen endringer i gjeldende rett.

Komiteen viser til at for å sikre person- og kommunikasjonsvernet foreslår departementet også at det fastsettes nærmere krav som legger til rette for tilsyn og kontroll med utlevering av IP-adresser. Komiteen registrerer at departementet foreslår at kostnadene ved ordningen deles mellom tilbyderne av ekomtjenester og staten ved at staten dekker uthentingskostnadene, og at tilbyderne dekker investeringskostnader og faste driftskostnader.

Komiteen viser til slutt til at forslaget her følger opp Stortingets anmodningsvedtak nr. 944, fra 15. juni 2017, som lyder:

«Stortinget ber regjeringen utrede om det rettslige handlingsrommet for generell lagring av IP-adresser og relevant trafikkdata bør utvides, som et nødvendig virkemiddel i kampen mot kriminalitet, herunder overgrep mot barn. Utredningen må inkludere hvordan hensynet til personvern og internasjonale forpliktelser kan ivaretas.»

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet viser til at Telia og Telenor vedgår at mye kriminalitet foregår via digitale plattformer, og mener lagringstiden bør settes til seks måneder. IKT-Norge mener departementet har gjort flere positive justeringer på bakgrunn av høringsrunden, men at lagringstiden bør settes til seks måneder.

Disse medlemmer viser til at det kan være utfordrende å finne en riktig balanse mellom kriminalitetsbekjempelse og behovet for kommunikasjonsvern og personvern. Debatten om lagring av data har vært betydelig i våre naboland de siste årene. Dette har resultert i stor ulikhet når det gjelder hvor lenge data blir lagret. I Sverige lagres IP-adresser i ti måneder, Danmark tolv, Finland ni og Island seks måneder. Det foreliggende forslaget er dermed i øvre del av skalaen i nordisk sammenheng. En lagringstid på seks måneder vil etter disse medlemmers vurdering bedre ivareta kommunikasjonsvernet og personvernet for alle brukere av internett, enn en lagringstid på tolv måneder.

Komiteens medlemmer fra Senterpartiet viser til Riksrevisjonens Dokument 3:5 (2020–2021), hvor det blant annet fremkommer:

«Politiet mangler kompetanse innenfor etterforskning av IKT-kriminalitet. Tiltakene for å styrke politiets kapasitet til etterforskning av IKT-kriminalitet holder ikke tritt med utfordringene. Tips og etterretning om internettrelaterte seksuelle overgrep øker og utfordrer politiets kapasitet (…) I intervju sier Kripos at de ikke har kapasitet til å gå gjennom alle tipsene som kommer inn hvert år. De anslår at det kommer inn om lag 10 000 tips årlig bare fra NCMEC. Kripos estimerer at de gikk gjennom omkring 45 prosent av alle tips som kom inn i 2019.»

Disse medlemmer understreker at politiets kapasitetsproblemer ikke løses gjennom å utvide lagringstiden for IP-adresser. Både politidistriktenes enheter for digitalt politiarbeid samt Kripos har for svak bemanning til å håndtere den kriminalitet som foregår på internett.

Disse medlemmer viser videre til innspill fra en rekke aktører innenfor politi- og påtalemyndigheten som etterlyser lengre lagringstid for IP-adresser. Kripos påpekte i rapporten «Seksuell utnyttelse av barn og unge over internett» fra mars 2019 at dagens regelverk innebærer at informasjon om IP-adresser slettes etter 21 dager:

«Dette regelverket byr på utfordringer for norsk politi, da sporing av IP-adresser ofte vil være den eneste og/eller den mest pålitelige muligheten til å knytte straffbar kommunikasjon til en gjerningsperson. I praksis vil dette si at dersom det er mer enn 21 dager siden det straffbare forholdet fant sted når det anmeldes, og IP-adressen er alt politiet har å gå etter, blir det vanskelig og i noen tilfeller umulig å identifisere gjerningspersonen.»

Disse medlemmer mener det er svært uheldig at kriminalsaker må henlegges fordi politiet ikke klarer å identifisere personer grunnet for kort lagring. Disse medlemmer forslår på denne bakgrunn at opplysningene skal lagres i seks måneder fra den dagen kommunikasjonen avsluttes.

Komiteens flertall, medlemmenefra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti, fremmer følgende forslag:

«Ny § 2-8 a annet ledd skal lyde:

Opplysningene skal lagres i seks måneder fra den dagen kommunikasjonen avsluttes.»

Flertallet er enig i viktigheten av at politiet har effektive virkemidler til å etterforske overgrep mot barn på internett og liknende kriminelle handlinger. Flertallet anerkjenner også behovet for å finne en riktig balanse mellom kriminalitetsbekjempelse og personvern. Det er to sentrale menneskerettigheter som må avveies mot hverandre: retten til privatliv og retten til beskyttelse mot kriminalitet.

Komiteens medlemmer fra Høyre og Fremskrittspartiet fremmer følgende forslag:

«Ny § 2-8 a annet ledd skal lyde:

Opplysningene skal lagres i tolv måneder fra den dagen kommunikasjonen avsluttes.»

Komiteens medlem fra Sosialistisk Venstreparti mener at innrammingen av det fremlagte lovforslaget ikke er restriktiv nok til å sikre en god nok balanse mellom disse rettighetene. Dette medlem viser til at forslaget er svært inngripende i personvernet, da det åpner for å lagre opplysninger om store deler av den norske befolkningen. Dette medlem viser til Datatilsynets bekymring for at dette kan svekke kommunikasjonsvernet, noe som igjen kan medføre en nedkjølingseffekt.

Dette medlem mener derfor det er nødvendig med en evaluering av loven innen fem år, av effekten lagring av IP-adresser har hatt for bekjempelse av alvorlig kriminalitet, hvordan det eventuelt har påvirket ytringsfriheten ved en nedkjølingseffekt, og om formålsutglidning har funnet sted.

Dette medlem vil videre vise til Advokatforeningens høringssvar, som tar opp at generell og udifferensiert lagring av IP adresser, etter EU-domstolens storkammerdom av 6. oktober 2020, kun kan aksepteres når formålet er

«beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed».

Dette medlem forutsetter at en norsk lovendring som innfører en plikt til å lagre IP-adresser, forholder seg til dette strenge kriteriet både når det gjelder sikkerhet for lagring, krav til lagringstid og prosedyrer for krav til utlevering. Dette medlem forutsetter at det etableres teknisk sikre løsninger for lagring som tilfredsstiller nødvendige personverninteresser.

Dette medlem viser til at det i forslaget fremgår at opplysningene som skal utlevere skal være nødvendige for å forebygge eller etterforske en straffbar handling. Slik dette medlem ser det, mangler forslaget imidlertid konkrete angivelser av hva som kreves med tanke på nødvendighetsvurderingen. Det legges til grunn at politi- og påtalemyndighet kan be om utlevering uten referanse til konkrete nødvendighetskriterier og uten at utleveringskravet kan overprøves. Dette medlem mener dette ikke er tilstrekkelig, og at det kan åpne for vilkårlig praksis fra ulike aktører hos påtalemyndighetene.

På denne bakgrunn fremmer komiteens medlemmer fra Arbeiderpartiet og Sosialistisk Venstreparti følgende forslag:

«Stortinget ber regjeringen etablere konkrete angivelser for hva som skal inngå i en nødvendighetsvurdering for politi og påtalemyndighet ved krav om utlevering av IP-adresser.»

Disse medlemmer anerkjenner at det må være plikt til lagring av IP-adresser over en viss tid for å imøtekomme politiets behov for etterforskning. Det vises til at Sverige lagrer opplysningene i ti måneder, Danmark i tolv måneder, Finland i ni måneder og Island i seks måneder.

Komiteens medlem fra Sosialistisk Venstreparti viser til at Datatilsynet mener at forslaget ikke tilfredsstiller kravene som oppstilles i de nylige avsagte EU-dommene Digital Rights/Quadrature om krav til at uavhengig forhåndskontroll må foreligge ved innhenting av IP-adresser knyttet til navn og tidspunkt. Dette medlem mener derfor at regjeringen må legge frem forslag til innretning av en domstolskontroll av politimyndighetenes tilgang til og bruk av lagret data.

Dette medlem mener alminnelige personvernsprinsipper om nødvendighet og minimering tilsier at lagringsplikten, også med hensyn til tidsmessig utstrekning, ikke går lenger enn hva som er strengt nødvendig for formålet. Departementet viser selv til at en lagringstid på seks eller ni måneder bedre vil ivareta kommunikasjonsvernet og personvernet for alle brukere av internett sammenlignet med en lagringstid på tolv måneder. En kort lagringstid vil også utfordre politiet til en rask saksbehandling og etterforskning. Dette medlem vil støtte blant andre Advokatforeningen i at departementet ikke tilstrekkelig har begrunnet at det er strengt nødvendig å pålegge lagring stort lenger enn seks måneder.

Dette medlem mener også at for å begrense inngrepet i personvernet må strafferammen ligge på seks år, og ikke tre år som i det fremlagte forslaget.

Dette medlem støtter ikke tilrådingen.