Velkommen til «1984», George Orwells dystopiske fremtidsfiksjon om statlig undertrykkelse og masseovervåkning. For den endringen som regjeringen legger opp til for PST burde skremme oss alle, den svekker betraktelig både vårt personvern og ytringsfriheten. Vi er på vei til å bli en politistat. Men mye tyder på at lovforslaget har flertall på Stortinget, ikke minst fordi også Høyre er av samme mening som regjeringen.
Proposisjon (Prop. 31 L, 2022-2023) handler om å gi Politiets sikkerhetstjeneste (PST) utvidede fullmakter. Lovforslaget ble lagt frem i statsråd 2. desember i fjor og ble oversendt Stortingets Justiskomité 6. desember. Høringen var 17. januar og komiteen har frist for å avgi innstilling den 14. mars. Første behandling i Stortinget er 21. mars.
Med andre foregår dette nå, og det må kunne kalles et særdeles «umodent» forslag.
Innenlands etterretningstjeneste
Proposisjon bærer navnet «Endringer i politiloven og politiregisterloven (PSTs etterretningsoppdrag og bruk av åpent tilgjengelig informasjon)». PST skal nå få lovfestet at de har en oppgave som «innenlands etterretningstjeneste» og dette oppdraget skal tydeliggjøres. Forslaget fra regjeringen lyder som følgende:
PST skal utarbeide analyser og etterretningsvurderinger om forhold i Norge som kan true Norges suverenitet, territorielle integritet, demokratiske styreform og andre nasjonale sikkerhetsinteresser.
At PST skal få lovfestet rollen som en nasjonal etterretningstjeneste skal således skille den fra Etterretningstjenesten (E-tjenesten, som har utenlandsetterretningstjeneste). Men som vi ser er PSTs nedslagsfelt likevel omfattende, for det er ikke helt åpenbart hva som for eksempel kan true «demokratisk styreform» eller «andre nasjonale sikkerhetsinteresser». For at PST skal kunne kunne drive innenlands etterretningstjeneste trengs det metoder og verktøy for å ivareta denne oppgaven, og det er her regjeringen går svært fort i svingene, tilsynelatende med den nye E-tjenesteloven som mal.
Tekna, Riksrevisjonen og Datatilsynet var blant instansene som ba regjeringen tråkke hardt på bremsen da de i fjor sommer innførte den nye loven, som gir E-tjenesten rett å lagre metadata om kommunikasjonen som krysser landegrensene.
– Systemet skal brukes til utenlandsetterretning, og ikke til å overvåke egen befolkning. Det er en grunnleggende forutsetning, het det fra forsvarsminister Bjørn Arild Gram i et forsvar for å gi E-tjenesten utvidede fullmakter.
Den «forutsetningen» varte ikke mange månedene før forslaget om å overvåke egen befolkning var et faktum.
Da forslaget om PST ble kjent i begynnelsen av desember, hadde nok de fleste nok med å forberede jula med høye strømregninger og sparetiltak for julegaver og feiring. Det fikk lite omtale og den omtalen som kom var stort sett koseprat fra PST og justisminister Emilie Enger Mehl. Det het at regjeringen åpner internett for PST, og assisterende PST-sjef Hedvig Moe lovte i VG at de ikke skulle bruke sine utvide fullmakter, som de selv har bedt om, til å «snuse i folks privatliv». Mehl påpekte at det som PST åpnes for er allment tilgjengelig for offentligheten som ikke omfatter samtaler på chattetjenester, e-poster, eller kryptert eller privat informasjon. Hos TV2 lød samme budskap og 13. desember kom en kronikk i Nettavisen, signert Mehl, der det het at vi lever stadig mer digitale liv, derfor må vi åpne det digitale rom for PST. I den skjønnmalende kronikken skjønner vi at Mehls holdning til Tiktok langt på vei er overførbart til dette forslaget. Men så ble det stille i offentligheten.
La det være sagt med én gang: De fleste skjønner at PST har behov for nye metoder og verktøy i en digital verden i rasende utvikling. Men her ligger også problemet, for regjeringen og departementet synes ikke å ha den kompetansen som skal til – og på toppen av det hele er dette ettertraktet kompetanse som ikke er enkelt å få tak i. Men enda verre; lovforslaget gir PST hjemmel til å lagre store mengder av informasjon fra åpne kilder uten noen nærmere vurdering av behovet og nødvendigheten – og uten kontroll, for lagringen skal være «sperret».
Vi kan alle bli overvåket
Det er vesentlig å merke seg disse fire forholdene; a) store mengder data, b) åpent tilgjengelig informasjon, c) enkelte opplysning isolert sett ikke er nødvendig og d) informasjonen kan innhentes uten tillatelse eller kontroll fra en uavhengig domstol.
Så skal du merke deg noe annet, for PST skal også gjøres i stand til å analysere endringer i trusselbildet og bidra til at PST kan avdekke ukjente trusselaktører og oppdage nye fenomener som kan medføre nye trusler. Men hva vet vi om slike søk står i saklig sammenheng med det som danner grunnlaget for å utføre slike undersøkelser? Både «ukjente og nye» åpner opp for spekulasjoner. I Prop. 31 L heter det antas å være nødvendig for utarbeidelse av analyser og etterretningsvurderinger. Videre kan PST kan bruke opplysningene i forebyggende sak og i etterforskingen av straffbare handlinger innenfor PSTs ansvarsområde.
For i det hele tatt å makte noe av dette må det samles inn svært mye data, omtalt som innhentet i «bulk» eller metadata. Det vises til at med åpent tilgjengelig informasjon menes informasjon som er allment tilgjengelig for offentligheten, men dette tar regjeringen svært lett på. For det viser seg at åpent tilgjengelig informasjon tolkes svært vidt – særlig når vi vet det er i bulk. Hvordan skal så slike enorme datamengder analyseres? Hold deg fast: ved hjelp av kunstig intelligens (automatiserte analyseverktøy).
Og hvem skal det så samles masse informasjon om? Selv om det heter at bruk av automatiserte analyseverktøy ikke kan skje med det formål å kartlegge enkeltindividers aktivitet på nett, er det flere utsagn i Prop. 31 L som taler mot dette. For eksempel heter det på side 58:
Samtidig vil informasjonen som analysene lages på bakgrunn av, inneholde personopplysninger. Gitt mengden data som kan samles inn, vil det ikke være mulig å anonymisere opplysninger om enkeltpersoner for så å foreta ulike analyser. Analysene vil således berøre enkeltindivider, selv om formålet ikke er å danne grunnlag for beslutninger på individnivå.
Dermed kan enhver person i Norge utsettes for overvåkning, det handler om hva PST vurderer og kanskje de ser deg eller oss som en fremtidig trusselaktør? Hvor lenge kan de så lagre og overvåke? Vanskelig å si, for først var forslaget at informasjonen kunne lagres i 15 år, så justert ned til 5 år, som egentlig er uten betydning da det samtidig foreslås at PST-sjefen kan forlenge lagringstiden til 15 år i to omganger hver på 5 år. Men hva hvis PST i denne perioden fortsetter å samle inn data om deg, når begynner da fristen å løpe? Aner ikke, for det står det ingenting om. Overvåke kan PST holde på med så lenge de mener det er av betydning, men man kan jo ikke si så mye om slikt for da kan jo både kjente og ukjente trusselaktører få kjennskap til hvordan PST jobber.
I proposisjonen kan vi lese at det er bra for oss å bli litt overvåket, eller «i personens egen interesse», som er ordvalget:
En stor del av PSTs arbeid er knyttet til å verifisere informasjon og å ta ned bekymringer om personer som man tror kan utgjøre en trussel. Således kan det være i personens egen interesse at PST har et tilstrekkelig informasjonsgrunnlag til å kunne konkludere med at vedkommende ikke utgjør en trussel eller bør registreres.
Hvilken informasjon gis PST anledning til å hente om oss? Som vi alle vet er det mange som publiserer mye personopplysninger på internett, politisk eller religiøs overbevisning, seksuell orientering, familierelasjoner, ja det finnes knapt grenser, skal PST kunne hente inn alt dette? Og hva med data som er slettet, skal det kunne lagres? Svaret er ja på begge – og faktisk enda verre.
Åpent tilgjengelig informasjon
Nå er det ikke bare vi som ha reagert på regjeringens forslag, da stort sett alle høringsinstansene er negative, utenom PST selv. Gjennomgangstonen er overordnet at det ikke tas høyde for uavhengig forhåndskontroll, eller en forhåndskontroll ved en godkjenningsordning for hvilke opplysninger, søkeord eller andre parametere som kan ligge til grunn for søk i materialet, at det mangler en målrettet begrensning av informasjonsinnhentingen, usikkerhet på hva som faktisk menes med åpent tilgjengelig informasjon, ikke ivaretar den enkeltes rettssikkerhet godt nok, at det ikke er regler for noen reelle eller praktiske begrensninger for PSTs bruk av opplysningene, usikkerhet om lagringstiden, at det er vanskelig å se for seg hvordan PSTs arbeid kan kvalitetssikres (som er EOS-utvalgets oppgave) og at det kan innebære en nedkjølingseffekt på ytringsfriheten: folk vil bli redde for å ytre seg.
La oss se litt nærmere på åpent tilgjengelig informasjon. Den høringsinstansen som kanskje har vært mest presis på dette, er i vår tolkning Datatilsynet. De viser til at Prop. 31 L legger opp til informasjon som er allment tilgjengelig for offentligheten, i hovedsak i det digitale rom. Men, og det er mildt sagt skremmende, det er ikke avgjørende hvor eller på hvilken måte informasjonen er gjort åpent tilgjengelig. Slik åpen informasjon omfatter for eksempel nettavisartikler, åpne offentlige registre, åpne diskusjoner i sosiale medier, kommentarfelt, blogger mv., men ikke informasjon publisert på lukkede nettsteder eller private samtaler på chattetjenester, e-poster eller annen kryptert eller privat kommunikasjon. Men, her er også et men, for hvorvidt et nettsted anses som offentlig tilgjengelig, vil bero på om og i hvilken grad det utøves en reell kontroll med tilgangen til nettstedet.
Datatilsynet påpeker at informasjon regnes derfor som åpen selv om det kreves et abonnement eller registrering for å få tilgang, for eksempel et abonnement på en nettavis eller at det må opprettes en bruker på sosiale medier. For data fra sosiale medier vil det være offentlig tilgjengelig data dersom brukere frivillig har det lagt ut. Men hvordan kan en vite at det er selvpublisert?
Det kan være falske kontoer, beskyldninger og karakteristikker om andre brukere i kommentarfeltet, intim og personlig informasjon som kan bli ulovlig tilgjengeliggjort (kanskje for å diskreditere noen, en slags hevn eller for å fremheve seg selv) og brukere kan bli «doxxet» mot sin vilje (personopplysninger blir samlet inn og publisert for å ramme enkeltpersoner). Det åpnes også for innsamling av opplysninger fra «det mørke nettet». Her påpeker Datatilsynet at selv om deler av «det mørke nettet» er kryptert og krever ulike typer autorisasjon for å få tilgang til informasjon og nettsteder, brukes det også til å fritt utveksle opplysninger til bruk for eksempelvis hackere eller publisering etter løsepengeangrep hvor løsepenger ikke ble betalt.
Så man kan bare tenke seg hvor mye informasjon vi legger igjen i den nye digitale verden, kanskje i særdeleshet de unge som er født inn i denne verden, og som vi ikke aner verken hvorfor det kan havne hos PST eller hvordan informasjonen vil bli tolket. Vil for eksempel kunstig intelligens fange opp ironi? Vil noe du publiserte litt ugjennomtenkt en kveld og raskt slettet likevel være fanget opp? Siden det er i bulk vil det være enorme datamengder som fanges opp, men tar kunstig intelligens det ut av sin kontekst og sammenstilles – på en for deg – ny og ukjent måte? Og med mer data, jo mer maskinell læring vil pågå. Hvordan forhindre misvisende resultater eller andre uønskede utfall ved bruk av slike verktøy, herunder falsk og villedende informasjon? Og hva hvis dette pågår år etter år?
En kjerne i dette er risiko for at PST feilaktig flagger og kategoriserer personer som farlige eller presumptivt kriminelle basert på datainnsamling og -analyse, slik NITO peker på. Og det selv om regjeringen mener at formålet ikke er å kartlegge enkeltindividers aktivitet på nett. Det kan faktisk lett bli slik.
Det omtales som en sentral sikkerhetsmekanisme at den lagrede informasjonen skal «sperres». Dette innebærer at opplysningene kun kan brukes til de konkret angitte formålene og at opplysningene – som faktisk er registrert – ellers ikke anses å være registrert hos PST. Mens opplysningene skal holdes atskilt fra andre opplysninger som behandles hos PST, skal de enorme mengdene data altså ikke anses som noe register. Det høres tilforlatelig ut, men det impliserer samtidig at PST sitter med bukta og begge endene. Du kan ikke be om å «se mappa di», den eksisterer egentlig ikke – i regjeringens tolkning.
Nedkjølende effekt på ytringsfriheten
Det fremkommer at regjeringen er fullstendig klar over at dette lovforslaget kan ha en nedkjølende effekt på ytringsfriheten. Det heter blant annet at «Enkelte kan tenkes å ville modifisere eller sensurere ytringene sine, eller helt unnlate å ytre seg på internett, av frykt for eller kunnskap om at ytringene vil kunne lagres hos PST».
Slik sett er det ikke vanskelig å gi Datatilsynet rett i sine høringsinnspill, der de mener at «forslaget, kombinert med forslaget om bruk av åpent tilgjengelig informasjon, endrer PSTs rolle i en slik grad at det vil få konkrete konsekvenser for personvernet, samt at det bidrar til å gjøre rollefordelingen mellom de ulike etterretnings- og polititjenestene mer uklar. Det gjør kontroll vanskeligere, og kan føre til usikkerhet om i hvor stort omfang norske borgere blir utsatt for overvåking, noe som i seg selv kan bidra til nedkjølingseffekten.»
Også Medietilsynet er bekymret for det samme. «Medietilsynet mener at inngrepet i ytringsfriheten er større enn notatet tar høyde for, og at begrunnelsen for regelverksforslagene ikke står i forhold til inngrepet i ytringsfriheten og privatlivet. Medietilsynet kan derfor ikke støtte forslaget i sin nåværende form. Det er behov for å avklare hvordan kildevernet kan ivaretas, og hvordan risikoen for nedkjølingseffekter, særlig for redaktørstyrte medier, kan reduseres», leses i Prop 31 L.
«IKT-Norge er spesielt opptatt av nødvendigheten av kritiske vurderinger og gode begrunnelser på grunn av faren for redusert tillit og nedkjølingseffekt som overvåking kan ha på bruken av digitale tjenester. Etter deres syn er vurderingen av nedkjølingseffekten for overfladisk. Betydningen forslaget har for tilliten til digitaliserte tjenester, samt betydningen av at frimodige ytringer kan bli sensurert, er ikke drøftet. Faren for nedkjølingseffekt er reell, og slik effekt vil kunne være skadelig for både norsk offentlig debatt og norsk næringsliv», leser vi videre.
NIM og Medietilsynet peker i tillegg på at nedkjølingseffekten kan få betydning for pressens tilgang til kilder og kildevern.
At høringsinstansene mener regjeringen går alt for langt bør være mer enn et varsku. Dersom det åpnes for at PST kan bruke algoritmer på store mengder data om samtlige norske borgere for å lete etter sammenhenger som skal antyde mulige kriminelle handlinger i fremtiden, er det mer enn betenkelig, det øker også faren for at den enkelte borgers rettssikkerhet står i fare. Å bedrive automatisk profilering uten konkret mistanke, uten noen vurdering av hvorvidt «etterforskningen» er nødvendig, gir ikke bare risiko for uberettiget mistanke og diskriminering, men forutsigbar nedkjølingseffekt og redusert tillit i samfunnet.
Vil du selv tørre å søke på kontroversielle temaer dersom du vet at søket kan overvåkes av myndighetenes maktapparat? Vil barna dine tørre å utforske eksempelvis egen psykiske helse, seksualitet eller politiske meninger dersom de vet at de overvåkes eller at de kan bli overvåket der tidligere informasjon om deg også hentes inn? Og vil du i det hele tatt la dem gjøre det, vel vitende om det samme? Hvordan skal meninger dannes dersom du ikke vet hvilke meninger som kan falle inn under mulig fremtidig anti-statlig tankegods? Hvor går grensen mellom kritikk og kriminalitet?
– Målet er ikke masseovervåking av norske borgere, sa assisterende sjef i PST, Hedvig Moe. Nei, det er nok ikke målet, men det er liten tvil om at det er middelet.
Noe av det som synliggjør hvor «umodent» eller uferdig dette forslaget er, fremkommer ved hvordan de tenker når det gjelder EOS-utvalget. Stortingets EOS-utvalg kontrollerer de hemmelige tjenestene, herunder PST. Selv sier EOS-utvalget at de ikke vil makte å kontrollere PSTs innsamling og bruk av slik såkalt åpent tilgjengelig informasjon slik som lovforslaget nå er utformet. På toppen av det hele mener regjeringen at EOS-utvalget skal gjennomføre denne oppgaven (også) uten at de tilføres mer ressurser. Er det noen voksne på Stortinget?