EU ønsker å lage reguleringer som er i forkant av den hurtige digitale utviklingen, hvilket er fornuftig.
Samtidig er det flere rettsakter på det digitale området i EU, som er en trussel mot det demokratiet de sier seg å skulle forsvare – og av og til i strid med EUs egne traktater.
Gode intensjoner har en tendens til å bli utvannet – eller i verste fall få motsatt effekt – når ulike lobbygrupper og regjeringer påvirker prosessene i EU-systemet. Utenfor EU har Norge mulighet til å sortere vekk lovendringer som på kort eller lang sikt kan true demokratiet og mediemangfoldet.
6.1 Intensjoner møter utfordringer
Typisk for EU/EØS-lovgivning er at tilsynelatende gode intensjoner drukner i et sett av regler som reelt motvirker det uttalte formålet. Dette er særlig tydelig når EU skal møte digitale utfordringer på stadig nye områder.
Like typisk er at norske politikere kritikkløst omfavner initiativer som kommer fra Brussel. Datalagringsdirektivet ble i 2011 inkorporert i norsk lov etter at Arbeiderpartiet og et delvis splittet Høyre overhørte og overkjørte alle innvendinger fra en bred opposisjon.
Nei til EU uttalte i den forbindelse at «innføringen av datalagringsdirektivet åpner for et overvåkingsregime av alle norske borgeres lovlige aktiviteter på nett og via telefon. Stortingsflertallet kunne valgt en norsk løsning med mindre inngripen i folks privatliv, slik personvernalliansen på Stortinget, Stopp DLD og Datatilsynet foreslo».[129]
I ettertid havnet Arbeiderpartiet og Høyre i en særdeles pinlig situasjon, en situasjon de kunne unngått dersom vetoretten hadde vært benytta. EU-domstolen kom nemlig i 2014 til at datalagringsdirektivet var så grovt inngripende mot personvernet at det ble erklært ugyldig og for å være i strid med EUs charter om grunnleggende rettigheter.[130] Dermed trådte direktivet ikke i kraft fra 1. januar 2015 i Norge, slik planen var.
De senere årene har EU vedtatt en serie direktiver og forordninger, mange av dem med elementer fra det gamle datalagringsdirektivet. Rettsaktene inngår i en digital strategi for det indre markedet, og de fleste av dem er merket EØS-relevante.
Den digitale tjenestepakken av 2020 skal på den ene siden sette grenser for nettgigantenes bruk av sensitive europeiske data og personopplysninger, som i stor grad er amerikanskeide selskaper, og på den andre siden gi pålegg om kontroll av hva slags informasjon som bør tilflyte vanlige innbyggere – og hva de bør «skånes» for. Personvernforordningen (GDPR)[131] er et eksempel på det første, og er generelt godt mottatt. Forordningene om digitale markeder (DMA)[132] og digitale tjenester (DSA)[133] er langt mer omstridte kombinasjoner av personvern, overvåking og sensur. Også i USA og internasjonalt er det en betydelig debatt og utvikling av reguleringer for nettgigantene.
Et annet eksempel på digitale utfordringer ser vi i utviklingen og bruken av kunstig intelligens (KI). Dette er et hjelpemiddel som omfavnes av mange, men som åpenbart har utfordringer på flere plan, også med hensyn til personvern, sikkerhet og misbruk. Solberg-regjeringen la i 2020 la fram en «Nasjonal strategi for kunstig intelligens»[134]. Som navnet antyder, representerer strategien en nokså ukritisk tilnærming til KI. Utfordringer med misbruk og feilbruk har fått større plass i debatten, men fremdeles saknes en samfunnsmessig innramming og regulering. Det finnes ingen norsk KI-lov, men bestemmelser blant annet i Grunnloven, menneskerettsloven, likestillings- og diskrimineringsloven samt forvaltningsloven setter en del rammer for bruk og utvikling av KI.
EU oppnådde i desember 2023 politisk enighet om den såkalte AI Act[135], som representerer et første generasjons forsøk på å ramme inn KI (AI). Også dette regelverket har sine personvernutfordringer. EU-forordningen er EØS-relevant, og mye tyder på at norske myndigheter vil følge etter EU.
6.2 Masseovervåking eller personvern
Paradokset er at flere av rettsaktene som skal skjerme nettbrukerne innebærer at både Meta, Google, Apple med flere må drive kontinuerlig overvåking av lagret innhold og all kommunikasjon som foregår via sosiale medier, meldingstjenester og så videre. Sammen med skylagringstjenester og internettleverandører er de pålagt å være «portvoktere» som skal filtrere bort såkalt uønsket innhold. Definisjonen er særdeles vid; det dreier seg om innhold som kan ha «reell eller forventet negativ innvirkning på samfunnsdebatten».[136]
Myndigheter i mange land vil nok mene at kritikk og avsløringer av makthaverne i eget eller allierte land kan ha «negativ innvirkning» på samfunnsdebatten. For ikke å trå feil og risikere store bøter, vil portvokterne heller sile vekk for mye informasjon enn for lite.
Medlemsstatene i EU skal opprette uavhengige tilsynsorganer og koordinatorer for digitale tjenester, som igjen vokter selskapenes egne overvåkingsavdelinger. Et EU-land kan kreve at nettinnhold som formidles av online-tjenester i en annen medlemsstat (og eventuelt EØS-stat) skal fjernes.
EU-kommisjonen vil innføre en plattform kalt AGORA[137] som verktøy for å overvåke og undersøke etterlevelsen av forordningen for digitale tjenester. AGORA skal sikre kommunikasjonsutveksling mellom EU-kommisjonen og koordinatorene av digitale tjenester i medlemslanda.
EFTA-statene i EØS stiller seg generelt positive til forordningen om digitale tjenester, men har en rekke reservasjoner særlig når det gjelder fraværende sikringsmekanismer mot at portvokterne modererer, fjerner eller på annen måte blander seg i det redaksjonelle innholdet.[138]
6.3 Påvirkning og tankekontroll
EU er opptatt av det unionen betegner som desinformasjon. Store nettaktører (som Google) og annonseringsplattformer er blitt presset til å skrive under på såkalte kjøreregler som innebærer ikke mindre enn 44 forpliktelser og 128 spesifikke tiltak[139] for å avverge ulike former for påvirkning. De skal blant annet samarbeide tett med EUs egne faktasjekkere. I 2022 ble denne adferdskodeksen strammet inn ytterligere.
Noen faktasjekkere, som eufactcheck.eu, er overveiende seriøse og drevet av journalistorganisasjoner. Andre, som «flaggskipet» til EUs utenrikstjeneste (EUvsdisinfo.eu) kan vanskelig oppfattes som annet enn en propagandakanal. Erfaringene med EUvsdisinfo.eu inngir ikke tillit til at EU-oppnevnte institusjoner er i stand til å være balanserte voktere av informasjonsfrihet og usensurerte nyheter.
6.4 Chat Control 2.0
Forslaget til forordning til forebygging og bekjempelse av seksuelle overgrep mot barn på nettet (CSAM-forordningen)[140] er nok et eksempel på at midlene ikke tjener formålet. Forordningen har fått tilnavnet Chat Control 2.0.
EU-kommisjonen foreslår at det som til nå har vært tjenesteleverandørenes mer eller mindre frivillige granskning av innhold i sosiale medier og direktemeldinger (Chat Control 1.0) skal gjøres obligatorisk (Chat Control 2.0). Ved hjelp av kunstig intelligens (AI) og biometri ligger teknologien som kan utføre enda mer effektiv masseovervåking rett rundt hjørnet.
Hvis det hele bare dreide seg om å beskytte barn mot overgrep, ville det ikke vært noen debatt. Forslaget er imidlertid også i strid med FNs barnekonvensjon. Konvensjonens artikkel 13 slår fast barnets rett til å ytre seg på en hvilken som helst måte barnet måtte velge, mens artikkel 16 sier: «Ingen barn skal utsettes for vilkårlig eller ulovlig innblanding i sitt privatliv, sin familie, sitt hjem eller sin korrespondanse, eller for ulovlige angrep mot sin ære eller sitt omdømme». I ytterste konsekvens kan forslaget føre til at overgrepsutsatte barn ikke våger å søke råd og hjelp på internett eller i sosiale kanaler.
Jurister, IT-industrien, akademia, sivilsamfunnet og tilsynsorganene har ropt varsko i kor. Det norske Datatilsynet bidro til et seminar i oktober 2023 i regi av Det europeiske datatilsynet EDPS. Her var det tilnærmet full enighet om at CSAM «ikke bare er ineffektivt, men også skadelig» som virkemiddel for å bekjempe overgrep mot barn. Advarselen i notatet fra EDPS er ikke til å misforstå:
«I sin nåværende form, vil CSAM-forslaget fundamentalt endre internett og digital kommunikasjon slik vi kjenner det, og det vil være umulig å snu i ettertid (point of no return)».[141]
Det europeiske datatilsynet spør retorisk om unionen og medlemsstatene er beredt til å akseptere storstilt overvåking av kommunikasjoner og dermed viske ut skillet mellom demokratiske land og autoritære regimer.
Forslaget har allerede vært på høring i Norge. I sitt høringssvar skriver Datatilsynet blant annet at «den omfattende overvåkingsplikten som forslaget vil innebære for tjenesteytere kan i praksis føre til at inngrep i retten til privat kommunikasjon blir regelen i stedet for å forbli unntaket. Dette vil være i strid med europeisk rettspraksis».[142] Tilsynet bemerker også at en eventuell norsk implementering ikke må få påvirke Datatilsynets myndighet og kompetanse i henhold til personvernforordningen.
Motstanden kommer også fra EUs egne organer. Kommisjonens og ministerrådets juridiske avdelinger, EU-parlamentets utredningstjeneste og EUs personvernmyndighet advarer om at forslaget er i strid med menneskerettighetene.
6.5 Mediefrihet og kildevern
EUs nye lovgivning om mediefrihet (European Media Freedom Act) er i ferd med å sluttbehandles. Forordningen tar sikte på å gi en «felles ramme for medietjenester i det indre marked».
Ambisjonen om å sikre mediefrihet og redaksjonell uavhengighet fra mektige eierinteresser og mediehus, kan virke lovende. Men nettopp disse medieaktørene har, sammen med flere europeiske regjeringer, drevet aktiv lobbyvirksomhet for å utvanne alle forpliktelser som skulle garantere for uavhengige medier.
Journalister og forleggere er særlig opprørte over at vern av journalister mot bruk av spionvare i praksis blir annullert, ved en tilføyelse i direktivets artikkel 4 om at dette ikke berører «medlemsstatenes ansvar for nasjonal sikkerhet».
Bakgrunnen er flere tilfeller av overvåking av journalister og kildene deres. Sommeren 2023 ble det avdekket at spionvare som Predator og Pegasus, utviklet av israelske selskaper, er brukt til å overvåke 92 greske ministre, politikere og journalister. Skandalen betegnes som et gresk Watergate.
80 pressefaglige og faglige organisasjoner advarte i et åpent brev sommeren 2023 de europeiske regjeringene mot å utvanne forordningen om mediemangfold og kaller det et tilbakeslag.[143] De nasjonale sikkerhetsunntakene som Rådet har lagt inn i artikkel 4 i EMFA er et slag mot medienes frihet, mener de. Rådet har foreslått et tilleggspunkt som sier at medlemsstatenes ansvar for å verne om sin nasjonale sikkerhet veier tyngre enn journalist- og kildevernet mot overvåkingsteknologi.
Norge og Norden topper fremdeles listen over land med størst pressefrihet. Men personvernet og frie medier er også under press i Norge. Det er dessverre ikke uvanlig at Norge kommer EU i forkjøpet på enkelte områder. Først etter krass kritikk fra mange hold valgte Justisdepartementet i september 2023 å trekke tilbake sitt forslag om å endre offentlighetsloven. Endringsforslagene ville betydd begrensning av retten til innsyn i offentlige journaler og departemental saksbehandling.
Over hele Europa viser myndighetene til sikkerhetssituasjonen og nye hybride trusler når de gir statlige maktorganer friere tøyler. Også i Norge. Politiets Sikkerhetstjeneste og Forsvarets Etterretningstjeneste har de siste årene fått sine fullmakter kraftig utvidet, blant annet med rett til å overvåke all nett-trafikk som går via utenlandske servere. Det vil si det aller meste.
I noen tilfeller kan EU-lovgivning gjennom EØS gi et visst personvern, som i tilfellet GDPR. Men hovedtendensen i EU går i retning av mer og mer omfattende masseovervåking av innbyggerne, mediefolk inkludert. I den grad lovtekstene gir innbyggere og journalister et rettslig vern, er det gjerne lagt til klausuler der enkeltstatene kan ignorere bestemmelsene ved å påberope seg nasjonale sikkerhetsinteresser.
Hvis strømmen av digitale rettsakter fra EU ukritisk blir inkorporert i norsk lov, får Stortinget stadig snevrere rammer for mottiltak der hensynet til innbyggernes personvern og pressefriheten veier tyngst.
Noter
[129] Uttalelse fra Nei til EUs råd, 3. april 2011, http://www.neitileu.no/aktuelt/nytt_fra_nei_til_eu/erna_pisker_eus_overvaakingsdirektiv_paa_plass_hensynet_til_eu_ble_viktigst_til_slutt
[130] JUDGMENT OF THE COURT (Grand Chamber) 8 April 2014, https://www.scribd.com/doc/216980523/Judgment-of-the-ECJ-in-Digital-Rights-Ireland-data-retention-challenge
[131] GDPR Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning), http://eur-lex.europa.eu/legal-content/DA/TXT/?uri=uriserv%3AOJ.L_.2016.119.01.0001.01.DAN&toc=OJ%3AL%3A2016%3A119%3ATOC
[132] DMA Europaparlaments- og rådsforordning (EU) 2022/1925 av 14. september 2022 om åpne og rettferdige markeder i den digitale sektoren og om endring av direktivene (EU) 2019/1937 og (EU) 2020/1828 (forordningen om digitale markeder), https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=uriserv%3AOJ.L_.2022.265.01.0001.01.DAN
[133] DSA Europaparlaments- og rådsforordning (EU) 2022/2065 av 19. oktober 2022 om digitale tjenester i det indre marked og om endring av direktiv 2000/31/EF, https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32022R2065
[134] Kommunal- og moderniseringsdepartementet, 14.01.2020, https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-kunstig-intelligens/id2685594/
[135] Artificial intelligence act: Council and Parliament strike a deal on the first rules for AI in the world, 09.12.2023, https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/
[136] DSA-forordningen artikkel 34 c).
[137] Digital Services Act: Public consultation on data-sharing platform between Member States and the Commission, https://digital-strategy.ec.europa.eu/en/news/digital-services-act-public-consultation-data-sharing-platform-between-member-states-and-commission
[138] EEA EFTA COMMENT on the Commission Proposal for a Regulation of the European Parliament and of the Council on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC - (COM(2020) 825), https://www.efta.int/sites/default/files/documents/eea/eea-efta-comments/2021/EEA_EFTA_Comment_on_the_Digital_Services_Act.pdf
[139] The 2022 Code of Practice on Disinformation, https://digital-strategy.ec.europa.eu/en/policies/code-practice-disinformation
[140] Forslag til forordning om bekjempelse av seksuelle overgrep mot barn på nettet, https://europalov.no/rettsakt/bekjempelse-av-seksuelle-overgrep-mot-barn-pa-nettet/id-28858
[141] Briefing note. EDPS Seminar on the CSAM proposal - The Point of No Return? 23 October 2023, https://edps.europa.eu/system/files/2023-10/edsp_briefing-note_csam_proposal-the_point_of_no_return_0.pdf
[142] Høringssvar fra Datatilsynet, 09.02.2023, https://www.regjeringen.no/no/dokumenter/horing-eueos.-forslag-til-forordning-for-a-forebygge-og-bekjempe-seksuelle-overgrep-mot-barn/id2950344/Download/?vedleggId=817061f0-306e-4573-873d-142ef3fdc413
[143] Civil society and journalists associations urge the Council to protect journalists against spyware and surveillance in the European Media Freedom Act (EMFA), https://edri.org/wp-content/uploads/2023/04/Open-Letter-Council-Protection-of-Journalists-Against-Spyware-in-EMFA.pdf