Apologeter for amerikanske myndigheters datafangst fra tele- og nettoperatører anfører gjerne – i likhet med forsvarere av EUs datalagringsdirektiv – med at det dreier seg om trafikk- og andre typer metadata, ikke om innholdet i selve meldingene.
Er det virkelig «ikke så ille» at etterretningsagenter nøyer seg med å kartlegge hvem du kommuniserer med, samt når og hvor lenge, samt registrerer løpende spor fra den mobiltelefon, framfor å lese din e-post og dine tekstmeldinger eller avlytte dine samtaler?
Ekspertuttalelser og annet materiale offentliggjort i amerikansk presse etter lekkasjene om PRISM-programmet og registrering av trafikkdata fra teleoperatører tyder på trafikkdata og annen metadata gir langt bedre innsikt enn avlytting.
Dette bekrefter observasjoner lekfolk har kunnet gjøre i Norge. Den omfattende, og i hovedsak ulovlig, avlyttingen av venstreradikale fra krigens slutt og ut 1980-tallet ga ingen uttelling. Ingen av de store spionsakene – Arne Treholt, Gunvor Galtung Haavik – hvilte på materiale samlet gjennom avlytting. Flere timers opptak av telefonsamtalene til Arfan Bhatti ga ingen holdbare bevis på at han hadde planlagt terror.
En forklaring er at avlytting ikke gir anledning til å vurdere sammenhengen eller omstendighetene rundt uttalelsene. Løsrevne sitater gir ikke etterforskere reell innsikt, og i en eventuell rettssak duger de ikke som bevis.
Trafikkdata, metadata og andre elektroniske spor utgjør derimot objektive opplysninger.
Hittil har teknologien begrenset disse opplysningenes nytteverdi. Utviklingen innen «big data», i-minne-teknologi, beslutningsstøtte og analyse de siste årene tyder på at denne begrensningen er i ferd med å oppheves. I USA har etterretningsorganisasjonen NSA (National Security Agency) satset stort på å holde seg i spissen for denne utviklingen, se artikkelen Slik ser storebror alle amerikanere. Inntrykket er at evnen til å utnytte spor er utviklet så langt at tilfeldige individer kan følges i sanntid, og at deres bevegelser kan følges så langt tilbake i tid som lagrede teletrafikkdata tillater.
Forholdet mellom metadata og innhold innen etterretning illustreres godt av et eksempel amerikanske myndigheter har brukt for å rettferdiggjøre sine hemmelige sporings- og avlyttingsprogrammer.
I artikkelen Administration Says Mining of Data Is Crucial to Fight Terror vises det til et eksempel fra september 2009. Amerikanske overvåkningssystemer fanget opp at en e-post var blitt sendt til en adresse knyttet til Al Qaida, som ikke var blitt brukt på mange måneder. Meldingen ble sporet tilbake til Najibullah Zazi, bosatt i Aurora i delstaten Colorado. Den inneholdt en forespørsel om en oppskrift for å lage sprengstoff. Siden fulgte en kryptisk melding fra Zazi til den samme e-postadressen: «Bryllupet er klart». Det ble tolket som et signal om at et attentat var i gjære. Zazi ble arrestert. I rettssaken erklærte han seg skyldig i å planlegge en terrorhandling.
Poenget her er at metadataene ikke bare ga grunnlaget for en korrekt tolkning av innholdet i meldingene. Det var også de som utløste alarmer i den automatiske overvåkningen.
Forespørsler om bombeoppskrifter og meldinger om bryllup er dagligdags. Nøkkelen til forståelse var hvem som kommuniserte, og når.
I USA er lovgivningen tilpasset denne prioriteringen av kommunikasjonsmetadata framfor innhold. Metadata er ikke vernet, i motsetning til innholdet i private meldinger.
– Amerikanske lover og amerikansk politikk ser på innholdet i kommunikasjon som det mest private og det mest verdifulle, men i dag er dette et utdatert syn, sier Marc Rotenberg til New York Times.
Rotenberg er sjef for aktivistgruppen Electronic Privacy Information Center. Han legger til:
– Informasjon knyttet til kommunikasjonen er i dag ofte mer betydningsfull en selve innholdet i kommunikasjonen. Folkene som utfører datagjenvinningen vet det.
De vet det så godt at kjensgjerningen er enkel: Det er i dag mulig for USAs agenter å spore folk hvor som helst i verden. De behøver ikke følge dem fysisk. De behøver ikke iverksette avlytting før det strengt tatt er nødvendig.
Denne erkjennelsen må legges til grunn for en vurdering av PRISM-programmet som Edward Snowden har avslørt og som amerikanske myndigheter har bekreftet.
Det sentrale med PRISM-programmet er ikke muligheten for å fange opp innholdet i enhver kommunikasjon over nettet. Det er muligheten for å samle metadata fra kommunikasjon over nettet på samme måte som fra telekommunikasjon, og så bruke det til eventuelt å vurdere innholdet i e-post og lynmeldinger.
PRISM-programmets lovhjemmel er en lov fra 2008, FISA Amendments Act («Foreign Intelligence Surveillance), altså under president George W. Bush, og som ble fornyet i 2012, altså under president Barack Obama. Her får NSA tilgang til metadata og innhold i nettkommunikasjon som krysser USAs grense, forutsatt at man kan sannsynliggjøre (grensen er 52 prosent) at den ene parten i kommunikasjon ikke er amerikansk statsborger. De lekkede dokumentene om PRISM viser til et parallelt program, BLARNEY, som samler opp trafikkdata og annen metadata, blant annet om benyttet apparatur. BLARNEY knyttes til ikke-oppgitte «kommersielle partnerskap».
De private selskapene som settes i forbindelse med PRISM, det vil si Microsoft, Yahoo, Google, Facebook, PalTalk, Youtube, Skype, AOL og Apple, nekter for at NSA har fri tilgang til deres data. Samtidig innrømmer de at de utleverer data i samsvar med lover og regler. Gitt at myndighetene bekrefter PRISM-programmets eksistens og at den er lovhjemlet i FISA Amendments Act, er det ingen grunn til å tro annet enn at NSA får tilgang til det de vil.
Norske myndigheter bør merke seg at norske statsborgere ikke er gjenstand for noe kjent unntak fra FISA Amendments Act.
I artiklene i Guardian og Washington Post beskrives NSA-agentenes tilgang til data – både metadata og innhold – som forholdsvis ubesværet. Fatter de mistanke til en nordmann, vil de lese vedkommendes kommunikasjon over de store nettjenestene, uten hensyn til norske personvernregler.
Sett fra NSAs side har PRISM en stor svakhet: Den gir ikke tilgang til metadata eller innhold fra nettkommunikasjon amerikanere i mellom.
Vi vet ikke om det finnes en hemmelig domstol for å gi adgang til slikt, på samme måte som den hemmelige domstolen i Verizon-saken, «Foreign Intelligence Surveillance Court» (som sorterer under Patriot Act, ikke Foreign Intelligence Surveillance Act), gir tilgang til trafikkdata amerikanere i mellom.
Guardian har varslet flere avsløringer rundt dette temaet de nærmeste månedene. Kanskje det dukker opp en PRISM for nettkommunikasjon amerikanere imellom, og enda en hemmelig domstol.
Erkjennelsen av sporingsteknologiens utvidede muligheter de siste årene gjør det påkrevet med en revurdering av EUs datalagringsdirektiv: Det potensielle overgrepet mot personvernet blir bare større og større. Trøsten er at europeisk politi og etterretning mangler det som gjør deres amerikanske kolleger i stand til å nyttiggjøre seg historiske og aktuelle trafikk data. Det bidrar igjen til å svekke argumentasjonen for å det hele tatt å innføre selve direktivet.