IRI: Elektronisk marked - Personvern i et elektronisk marked

Av cand. jur. Inger Elise Mey

Innledning

Det tilbys tjenester gjennom nettet hvor problemer både kan knyttes til innholdet og til selve formidlingen av tjenesten. Vi skal hovedsaklig belyse de personvernrettslige spørsmål som knytter seg til registrering og bruk av personopplysninger som genereres gjennom anvendelse av teknologien i et elektronisk marked. Det som er særlig interessant i denne forbindelsen er hvilke personvernrettslige problemer som knytter seg til nettopp betalingstransaksjonen innen for rammen av et elektronisk marked. I denne sammenheng skal vi analysere de to konkrete betalingssystemer/modeller "Online Express" og "Online bankaxept"

 

Definisjon av personvern

Som et utgangspunkt kan begrepet personvern defineres som den enkeltes interesse i å ha best mulig herredømme/kontroll over den informasjon som beskriver ham eller henne.[1] Denne interessen kan anses som et knippe delinteresser som ofte blir beskrevet ved hjelp av en modell.[2] Her presenteres gjerne personvernbegrepet som bestående av tre individorienterte og tre samfunnsorienterte interesser. De individorienterte interessene utgjør selve essensen i personvernbegrepet gjennom det at de omfatter den enkeltes rett til å kontrollere opplysninger om seg selv. Dette skjer med utgangspunkt i interessen i diskresjon, som har å gjøre med taushetsplikt og ulovlig utlevering av personopplysninger, fullstendighet, som henspeiler på et korrekt og fullstendig beslutningsgrunnlag ved avgjørelser, og tilslutt innsyn,som omhandler den enkeltes rett til å føre kontroll med de opplysninger som er registrert om en selv. De samfunnsorienterte interessene beskrives som interessen i en borgervennlig forvaltning, som er et uttrykk for at administrasjon og forvaltning skal møte borgeren med et menneskelig ansikt, et robust samfunn som dreier seg om sikkerhet mot sammenbrudd i forvaltningens databehandling, samt et vern mot urimelig overvåking/maktkontroll, som er begrunnet i frykten for et gjennomsiktig kontrollsamfunn.

Begrepet personvern samler rettsreglene som beskytter enkeltindividet mot overgrep eller krenkelser av ikke-økonomisk art og er ment å omfatte det området som personregisterloven regulerer. Imidlertid er området for personvernbegrepet blitt utvidet ettersom det bl.a. også inkluderer det ulovfestede personvernet.

Behandling av personopplysninger er underlagt restriksjoner etter personregisterloven av 9 juni 1978 nr. 48 (pregl.) samt i Forskrift om personregistre av 21 des. 1979 nr. 22. Personregisterloven hjemler også opprettelssen av et sentralt kontrollorgan, Datatilsynet, jfr. pregl. kapittel 2. Datatilsynets oppgave er å føre tilsyn med og ta stilling til konsesjonsspørsmål i forbindelse med opprettelse av personregistre.

Norsk personvernlovgivning bygger imidlertid også på en avveining av motstridende interesser hvor personverninteressen representerer en av flere interesser. Disse interessene må veies opp mot de hensyn som åpner for at andre skal kunne foreta oppsamling, lagring og bruk av personopplysninger i forskjellig øyemed.

 

Personregisterlovens anvendelsesområde

Personregisterloven (pregl.) er det mest sentrale regelverk for ivaretakelse av ulike personvernhensyn som vil kunne oppstå i et elektronisk marked. Pregl. §1 angir at loven gjelder for "personregistre og for annen bruk av personopplysninger i visse typer virksomhet." Her skal det sondres mellom begrepene personopplysning og personregister, som begge er definert i bestemmelsens andre ledd. Med personopplysninger menes informasjon som kan knyttes direkte eller indirekte til en identifiserbar person, jfr. Personregisterloven (pregl.) § 1,2.ledd. En personopplysning vil fortelle noe om den enkelte person, og gjelder så vel juridiske som fysiske personer. Et personregister vil være et systematisk register hvor personopplysninger er lagret på en slik måte at de kan finnes igjen, jfr. pregl. §1, 2. ledd, 2. pkt. Personregisterloven stiller således et gjenfinningskrav til et personregister jfr. pregl.§ 1, 2. ledd.

Etter pregl. kan et personregister både føres manuelt og elektronisk (edb-basert[3]). Pregl. gjelder således også for edb-registre og konsesjonsplikten for disse er regulert i pregl. § 9. 1.ledd Videre gjelder loven bruk av personopplysninger såvel i offentlig som privat sektor, jfr. § 1, 3 ledd.

For å opprette et edb-basert personregister trenger man altså som utgangspunkt en konsesjon fra Datatilsynet, jfr. pregl. § 9, som slår fast at "det kreves samtykke fra Kongen (konsesjon) for å opprette personregistre som skal gjøre bruk av elektroniske virkemidler".

Hvilke registre som er unntatt fra konsesjonsplikten i pregl. § 9,2.ledd vil avhenge av hvilke typer elektroniske spor som blir registrert og i hvilken grad vilkårene for slik registrering overholdes, jfr. forskrift. § 2-1 om formål, utlevering og oppbevaring/behandling. Hvis vi tar utgangspunkt i et register som opprettes elektronisk for salgsformål/avregning mv. vil denne type register være konsesjonspliktig p.g.a. sin elektroniske form, jfr. pregl. §9. Forskriftene unntar deretter enkelte registre fra konsesjonsplikt, jfr. feks. forskrft. §2-3 om kunde-, abonnent- eller leverandørregistre. Her slås det fast at disse registre "unntas fra konsesjonsplikten etter personregisterlovens §9 første ledd. Med et slikt register menes register over kunder/abonnenter og/eller leverandører som ikke inneholder andre enn de personopplysninger som angis i forskriften. Denne bestemmelsen er uttømmende i den forstand at registrering av andre typer opplysninger enn det som fremgår av forskriften vil medføre en konsesjonsplikt. Registret vil bla. være konsesjonspliktig uansett om det etableres v.h.a. elektroniske hjelpemidler, hvis det inneholder sensitive opplysninger i henhold til pregl. §9,1.ledd, 2.pkt. Hvorvidt et register inneholder slike opplysninger som nevnt i denne bestemmelse vil avhenge av hvordan og hvorfra disse opplysninger er samlet. Det som her vil være interessant å se, er i hvilken grad det samles inn potensielle sensitive opplysninger i slike kunderegistre som kan gi grunnlag for en mulig konsesjonsvurdering på tross av konsesjonsfritaket i forskriftens kap. 2.

Videre kan andre typer edb-baserte personregistre unntas fra konsesjonsplikten i pregl. §9, 1. ledd, jfr. § 41, om registre opprettet ved egen lov, hvis de oppfyller kravene til innhold som angitt i forskr. §§ 2-2 til og med 2-15, og reglene om registerets formål i § 2-1 er overholdt. Dette medfører at registrering av enkelte spesifiserte personopplysninger etter disse forskrifter kan foretas uten Datatilsynets forhåndstillatelse, jfr. forskr. kap. 2.

Spørsmålet må være om de data som genereres gjennom bruk av de to typer betalingssystemer som vi skal analysere i sammenheng med et elektronisk marked vil medføre et register som etter Datatilsynets vurdering er konsesjonspliktig. Vurderingen om hvilke typer opplysninger som faller inn under konsesjonsplikten vil bli drøftet nærmere under avsnittet om de konkrete modeller.

 

Personvernproblemer knyttet til et elektronisk marked

Personvernproblemene vil oppstå ved aktiv bruk av tilbudte tjenester i nettet. Det er hovedsaklig registrering, lagring og bruk av personopplysninger som skaper problemer. Her vil det være viktig å skille mellom faste opplysinger ved feks. abonnementforhold på den ene side, og registrerte opplysninger ved enkeltkjøp på den annen side. Normalt vil det skje en registrering fordi det skal kunne foretas en avregning av tjenesten/handelen i ettertid, evt. at man gjør opp handelen etterskuddsvis. Her vil kunden i abonnementsforhold vanskelig kunne være anonym i systemet og spørsmålet om personvern vil gjøre seg gjeldende i tilfeller hvor den registrerte informasjonen lagres og evt. brukes/benyttes i strid med intensjonene i pregl. § 6. Ved enkeltkjøp vil det være et poeng å muliggjøre en viss beskyttelse av parten/kjøpers identitet i selve transaksjonen. Dette fordi det er viktig å hindre en oppsamling av data om personens kjøpsvaner og mønstre samt hvilken type informasjon/varer som kjøpes, men for å foreta avregning og fakturering kreves det likevel en rekke opplysninger fra den enkelte kjøper. Spørsmålet om personvern vil således knytte seg til hva som skal tillates registrert og hvordan denne informasjonen skal brukes videre.

 

Datatilsynet

Personregisterloven inneholder bestemmelser om etablering/organisering av det forvaltningsorgan som skal administrere lovens regler, jfr pregl. kap. 2. Datatilsynet fungerer både som frittstående kontrollorgan og tilsynsmyndighet med adgang til å treffe enkeltvedtak. I konsesjonssaker vil Datatilsynet gi en detaljert vurdering over hva slags opplysninger som kan tillates registrert, hvor lenge informasjonen kan lagres, hvilke sikkerhetstiltak som må iverksettes, samt hvem som skal få tilgang til opplysningene og hvem som har tilgang til eventuelle identifiseringsnøkler. Visse typer virksomhet er underlagt konsesjonsplikt etter pregl. kap.5-8, og omfatter bla. kredittopplysningsvirksomhet, opinions- og markedsundersøkelser, og forskjellige typer adresseringsvirksomhet. Disse områder er særlig utsatt sett fra et personvernperspektiv, men det skal ikke behandles her.[4] Datatilsynets egen praksis har stor betydning ved behandlingen av slike konsesjonssøknader, og de har en tendens til å legge meget stor vekt på sine tidligere avgjørelser.[5]

Det oppstår ganske ofte tilfeller som lett vil kunne havne i en gråsone mellom hva som er mulig å spore tilbake og hva som er hundre prosent anonymisert. Her vil Datatilsynets vurdering i det enkelte tilfelle basere seg på enkelte grunnleggende syn vedrørende personvernaspektet. Dette kan komme til uttrykk gjennom de ulike vilkår som knyttes til konsesjonen, jfr. pregl. §11 hvor det gis anledning til nettopp dette. Her bestemmes det at "når det blir gitt samtykke etter § 9, skal det fastsettes regler for personregisteret som angir hvilke typer opplysninger registeret kan inneholde, og hva registeret kan brukes til." Videre gjelder det i §11, annet ledd, første pkt. flg.: "I reglene kan det dessuten fastsettes slike vilkår som har betyding for bruken av registeret eller kan begrense de ulempene opprettelsen og bruken av registeret ellers kunne medføre". Dette er vilkår som dreier seg om hvilke typer opplysninger som skal tillates registrert, hvor lenge opplysningene skal kunne lagres, hvem som har tilgang til opplysningene samt krav til nøkkeladministrasjon.

 

Datasikkerhet?

Hvis man ser hvordan informasjon blir lagret i de ulike elektroniske transaksjoner vil man oppdage at små biter av informasjon (elektroniske spor) kan overvåkes av forskjellige deltagere og observatører. I en slik transaksjon vil det alltid være minimum to deltagere. Denne informasjonen vil bestå av tid(dato), sted, og mengden av overført informasjon, samt gjerne identiteten til deltagerne, hva som blir overført, og kanskje til og med deltakernes "oppførsel".

Datasikkerhetsregler kan etableres enten som ledd i avtaleregulert forhold, eller fordi det er pålagt med hjemmel i lov, jfr. pregl. § 8b, om regler for sikring av personopplysninger. Personregisterlovens forskrifter om fritak fra konsesjonsplikt jfr. § 2-1, med hjemmel i pregl. § 9 annet ledd, er et eksempel på regler som aktivt pålegger registereier å treffe tiltak for å styrke datasikkerheten. Dette er regler som angir hvordan personopplysninger i registre som er unntatt fra konsesjonsplikten skal sikres. Pregl. § 11 har videre bestemmelser om hvilke typer opplysninger som registeret etter Datatilsynets vurdering kan inneholde og hva registeret kan brukes til når det er gitt konsesjon til opprettelse av personregister etter § 9.

Elektronisk lagrede registre lar seg lettere frembringe og gjennomlese enn manuelle registre.

Dataovervåkning vil være et tema i denne sammenheng fordi et elektronisk marked medfører maskinlesbare registre over transaksjoner innenfor rammen av dette marked. Det blir lettere å distribuere og overføre registre jo tettere man knytter sammen de elektroniske informasjonssystemene. Dette vil kunne øke aggregeringen av dataopplysninger, uautorisert adgang, misbruk og offentliggjøring av personopplysninger. I verste fall vil man få tilfeller av usikre nettverk hvor informasjon, som er knyttet direkte til en identifisert person/bruker, kan overvåkes elektronisk av en ukjent/uvedkommende tredjepart.

I en slik transaksjon vil det være av interesse for partene å kunne holde informasjonen anonym på en måte som gjør det umulig å knytte opplysningene direkte til dem. Forskjellige deler av en transaksjon kan rangeres ulikt i forhold til graden av "verneverdige" opplysninger.

Hvilken "verneverdi" en opplysning har vil kunne avhenge av hvor den kan observeres i nettet, hvem som har tilgang til den, og i hvilken grad den kan kamufleres fullstendig for andre parter.

 

Personregisterlovens anvendelse i et elektronisk betalingssystem

Sporing av meldingsstrømmen

Personvernet omfatter den enkeltes rett til å verne om sin integritet på en slik måte som best mulig kan beskytte mot tredjemanns innsikt og kontroll.[7] Den informasjon som genereres gjennom et elektronisk betalingssystem kan medføre en utilsiktet registrering av den enkeltes handling og tjeneste/sosiale profil som ikke er relevant for andre enn parten selv. Gjennom denne type overvåking av transaksjonshandlinger kan det settes sammen et elektronisk skyggebilde av brukeren som kan være lett å misbruke. Formidling av opplysninger vil ofte være underlagt regler om taushetsplikt og bestemmelser om opplysningsplikt, men det skal ikke drøftes her. I tillegg må de registrerte opplysningene være innhentet/oppsamlet ut fra et relevant saklighetskrav (jfr. pregl. § 6). I noen tilfelle vil slike genererte registre likevel kunne være unntatt fra konsesjonsplikten i pregl.

 

Typer data

I en transaksjon gjennom nettet ser man hvordan forskjellige typer data/informasjon blir synlig for de ulike parter innvolvert, samt for observatører. Det kan være mange ulike biter av informasjon som hver for seg virker lite interessante, men som hvis man setter dem sammen vil kunne fortelle mye om hva som faktisk har skjedd i løpet av denne transaksjonen. Det kan dreie seg om tidspunkt, dato, brukersted/server, hvilken mengde data som har passert gjennom nettet, osv. Ofte vil man også kunne observere de enkelte parter i en slik transaksjon og se hva slags type data som har gått gjennom nettet. Forskjellige typer informasjon har ulik "vernegrad[8]" på ulike stadier av transaksjonen, hvilket har betydning for graden av anonymitet og muligheten for etablere en identifikasjon av partene involvert.

Bruken av datanettet skaper opplysninger/informasjon om den eller de som bruker nettet f.eks ved å sende eller motta opplysningene. Disse data er av ulik karakter alt etter hvor og i hvilken sammenheng de er fremkommet. Ved en gjennomgang av de ulike typer data må det skilles mellom hva slags informasjon som kan bli registrert:

  • abonnementsdata, som er den informasjon som blir registret ved etableringen av et kundeforhold, men som ikke nødvendigvis trenger å være knyttet til selve brukeren av tjenesten/kunden men som refererer seg til den som har etablert kundeforholdet. Det vil typisk være informasjon som navn, adresse og hvilke tjenester kunden/abonenten har tilgang til. abonnementsdata lagres i selgers/tjenestetilbyders kundesystem.
  • trafikkdata, som er den data som skapes gjennom bruk av nettet. Når man kobler seg opp og gjennomfører en kommunikasjon blir det sendt/transmittert signaler mellom sentralene i telenettet. Disse data kan fortelle noe om bruken av nettet og vil kunne utnyttes både i fakturerings- og driftsmessige forhold. Trafikkdata inneholder opplysninger om hvilken type tjeneste som benyttes, start og slutttidspunkt for bruken og opp- og nedkoblingsdata mv. samt loggingsdata i et adgangssystem som medfører at man senere kan gå tilbake og finne tidspunkt, dato og identifikasjon av avgiver og mottaker av de overførte opplysningene.
  • kommunikasjonsinnholdet, som er informasjon om selve innholdet av transaksjonen, som f.eks innholdet av den konkrete dataoverføring som har funnet sted. Som hovedregel blir ikke denne type informasjon lagret i nettet, og byr således ikke på umiddelbare problemer i denne sammenheng.

Denne informasjon som er beskrevet ovenfor vil være skapt/generert ved selve bruken av telekommunikasjonen. Det er en utvidet form for elektroniske spor i den forstand at begrepet vil inneholde et bredere spekter av telekommunikasjonstjenester og ikke bare dreie seg om de spor som genereres ved bruk av elektroniske kort. Hvis man kombinerer flere informasjonselementer vil det kunne oppstå ny informasjon som i mange tilfelle kan være sensitiv i henhold til pregl. bestemmelser. Sålenge opplysningene kan spores tilbake til en bestemt fysisk eller juridisk person vil denne type spor også være personopplysninger.

 

Av-identifisering/anonymisering og kryptering

Hvis de data som genereres ved bruk av elektroniske nettverkssystemer er søkbare eller kan identifiseres eller knyttes til en bestemt person, vil dette være å anse som personopplysninger, og det må søkes konsesjon fra Datatilsynet i de tilfeller der denne informasjonen vil bli lagret. Informasjon lagret i et systematisk, søkbart register, som gjør det mulig å finne igjen opplysninger om fysiske eller juridiske personer, vil være å betrakte som et personregister.[9] Gjenfinning er et sentralt begrep hvor mulighetene til å finne opplysninger om den enkelte i et register er mer avgjørende enn selve registerets eventuelle systematikk. Likeledes legges det vekt på hvor store kostnader/ulemper en gjenfinningsprosess byr på. Er det uforholdsmessig høye kostnader knyttet til slik gjenfinning, vil dette være et viktig moment i vurderingen av om konsesjon skal gis. Det eksisterer ulike typer verktøy til av-identifisering av opplysninger lagret i slike registre. Et viktig verktøy vil være kryptering. Spørsmålet blir derfor om kryptering anses som god nok anonymisering slik at konsesjon ikke anses nødvendig. Og videre i hvor stor grad det er mulig å gjenopprette/"knekke" krypterte opplysninger slik at de blir gjenstand for eventuelle søk. I en slik vurdering vil noe av det viktigste være hvor mange personer som i etterhånd kan få tilgang til den av-identifiserte informasjonen.

At opplysninger er av-identifisert innebærer slett ikke at de dermed også er anonymisert. Dette vil nettopp avhenge av hvor lett det er å gå tilbake og opprette identiteten til registersubjektet. I vurderingen om noe er anonymisert ligger derfor et krav om at det ikke skal være mulig å gjenopprette identiteten til subjektet eller knytte opplysningene til identifiserbare enkeltpersoner. Her skal alle individualiserende kjennetegn være strøket. Dette betyr at de identifiserende opplysningene må slettes/fjernes for at kravet til anonymisering skal være oppfylt. Opplysningene vil således ikke være anonymisert hvis det går an å gjenopprette den originale/opprinnelige informasjon. Kryptering gir derfor etter Datatilsynets vurdering ikke tilstrekkelig god sikkerhet i denne sammenheng.

Men anonymitet kan som nevnt oppnås på forskjellig vis. Vi ser at kryptering ikke er et godt nok verktøy i denne sammenheng, da krypterte opplysninger ifølge Datatilsynets vurderinger ikke er å anse som anononyme, men bare av-identifiserte. Dette fordi det foreligger krav om at anonymiserte opplysninger ikke skal være mulige å bakveis-identifisere. Ved kryptering kan bakveissporing muliggjøres hvis man har tilgang på krypteringsnøkkelen. Vurderingen her vil avhenge av hvem som kan ha slik tilgang på koden, og hva slags opplysninger det evt. dreier seg om.

Hvordan påviser man så at informasjonen ikke kan spores tilbake? Datatilsynet vil i sin konsesjonstillatelse legge inn vilkår som pålegger registereier å utøve de nødvendige tiltak for en forsvarlig registrering av personopplysninger som ikke er 100% anonymisert. Bestemmelser om dette finnes i pregl. § 11, 2. ledd. Datatilsynet har i flere tilfeller pålagt kryptering ved elektronisk overføring av sensitive personopplysninger, men er vanskelig å sette som noe absolutt krav, da dette vil bero på en avveining mellom behovet for sikring og kostnadene ved anskaffelse av krypteringsutstyr.[10]

Resultatet av de ulike former for kryptering avspeiles i hvor sikkert eller godt informasjonen er av-identifisert/sikret. Krypteringen kan ha ulike distinksjoner som sammen eller hver for seg kan gi et bilde på den ønskede sikkerhet. Man kan skille mellom ulike krypteringsdistinksjoner som hver for seg kan inneholde aspekter av teoretisk, praktisk, økonomisk og juridisk art.

I dette kan det ligge det ulike krav til krypteringsmetoden, men hovedsaklig vil det kunne si noe om tilbudet til brukeren av den enkelte tjeneste og hvilke krav man velger å sette til informasjonssikkerhet generelt. Dette er på sikt et viktig markedsføringsaspekt, idet man ved å tilby brukeren best mulig sikkerhet i nettet, også kan levere en bedre tjeneste sett fra brukerens perspektiv. Gjennom personvernlovgivningen generelt er likevel brukeren garantert et visst minstenivå av sikkerhet hva gjelder tilgjengelighet, innsyn og spredning av informasjon.

 

Hvilke typer personopplysninger blir registrert

Når man betrakter ulike betalingsmodeller for gjennomføring av pengetransaksjoner i nettet, vil det være interessant å se nærmere på hvilke typer personopplysninger som kan fremkomme ved denne form for informasjonsutveksling.

 

Faste opplysninger/abonnementsdata som registreres ved etablering av kundeforhold[11]

Personregisterloven gir hjemmel for registrering av faste opplysninger i et kunde- eller abonnementsforhold uten konsesjonsplikt hvis det faller inn under forskriftenes kap. 2. Kriteriene for slik registrering avhenger av registreringssentralens funksjon/formål, jfr.forskrft.§ 2-1 og hvilken type informasjon som inngår i de faste opplysninger. Som utgangspunkt vil de faste opplysninger inneholde informasjon så som navn, adresse, stilling, kontonummer, telefonnummer osv.(jfr. forskrift § 2-3) M.a.o.personopplysninger som ikke i seg selv regnes som konsesjonspliktige etter denne bestemmelsen, men som likevel kan beskrive både tjenesten og de fakturaopplysninger som registreres hos avregningssentralen/mellommannen. Hvis informasjonen som lagres er relevant og saklig begrunnet i forhold til tjenesten som tilbys, vil denne type register kunne være unntatt konsesjonsplikt etter pregl. §9, annet ledd, jfr. forskrift kap.2.

 

Register over enkeltpersoners kjøp

Dette er transaksjonsopplysninger som fremkommer gjennom enkeltpersoners bevegelser i nettet. Her vil det typisk ikke foreligge et abonnementsforhold slik som beskrevet i forskrift. kap. 2, og noen klar hjemmel til å frita fra konsesjonsplikten foreligger derfor ikke her. Slike transaksjonsdata kan likevel være personopplysninger som kan medføre konsesjonplikt ved registrering, fordi det lett kan identifisere den enkelte part. Opplysninger om tid, sted, pengebeløp etc. vil være slik transaksjonsdata som kan kartlegge et kjøpemønster over tid. Denne type informasjon kan igjen fortelle noe om den enkelte part, og vil etter lovens §9, 2.ledd i noen tilfeller kunne kategoriseres som sensitive personopplysninger som utløser konsesjonsplikt ved registrering. Transaksjonsopplysningene vil i mange tilfeller også kunne kobles/sammenholdes med faste opplysninger og således tegne et ennå tydeligere bilde av en persons handlemønster i nettet. Derfor er det viktig å se hvem som har tilgang på hvilken type informasjon, og se hva dette brukes til, jfr. forskriftens §2-1, om vilkår for fritak for konsesjonsplikt.

 

Trafikkdata i forbindelse med bruk av nettet[12]

Dette er dynamisk data som skapes i forbindelse med bruken av nettet. Denne type opplysninger vil være nødvendig for å kunne etablere og gjennomføre en kommunikasjon. Det dreier seg om teknisk oppkobling og gjennomføring av en transaksjon i nettet, samt muligheten til å fakturere bruken av de tjenester som tilbys i nettet. Trafikkdata er informasjon som også kan gå under betegnelsen takseringsdata, hvor formålet med bruken nettopp er dette. Dette er data som i mange tilfeller kan være eksempel på sensitiv informasjon fordi det typisk vil være opplysninger om hvem avsender og mottaker er. Dette er informasjon som kan/vil kreve stor grad av sikring. Her vil diskusjonen i det vesentlige dreie seg om hvilken lagringstid som skal tillates for denne opplysningskategori.

 

Faktureringsdata ved bruk av selve tjenesten

Dette kan være trafikkdata/informasjon om adresse og terminaltype, mengden av overført data, transaksjonens lengde og varighet, samt annen nødvendig informasjon for å beregne bruk av tjenesten i faktureringsøyemed. Her behøver det ikke å være tale om opplysninger av sensitiv karakter, så lenge trafikkopplysningene ikke er lagret sammen med vareopplysninger eller annen type informasjon som gjør det enkelt å skape mønstre/profiler av kjøpers handling. Forøvrig vil denne type faktureringsdata kunne falle inn under forskriftens kapittel 2 om konsesjonsfritak.

 

Konkrete modeller for elektronisk betaling/transaksjon i nettet

Dette dreier seg om kjøp og salg av varer og tjenester innenfor rammen av et elektronisk marked. Her skal vi se på to ulike betalingsmodeller, som hver for seg skal åpne for den best mulige betalingstransaksjon i elektroniske nett.

 

De enkelte opplysninger som fremkommer i de to modeller

I våre to eksempler ligger markedsføringsaspektet, kontrahering og levering av både tegnbaserte tjenester (og varer) til grunn for analysen. Her kan det forekomme anonymiseringsbehov og beskyttelsesinteresser av varierende grad, alt etter hva slags opplysninger som kommer til syne i en slik on-line transaksjon. For at betalingsmodellene skal være attraktive må det være mulig å tilby tjenestene gjennom et sikkert og effektivt nettsystem. Siden dette dreier seg om betalingsmodeller med identifiserbare parter (bla. som følge av debet-systemet i bankaxept-eksemplet, hvor koblingen til partenes bankkonto er sentral), vil det også oppstå behov for å skjule visse informasjonsstrømmer for tredjemenn og omverdenen.

Personvernaspektet her dreier seg om hvem som har tilgang til opplysninger, registrering og lagring, formålet med innsamlingen, samt bruk av informasjonen generelt. Det kan være vanskelig å gi generelle retningslinjer for hvordan mengden og bruken av denne informasjon skal begrenses, og løsningen vil måtte variere med det konkrete formål, hva slags opplysninger som faktisk registreres samt den reelle bruken av disse. Det vil nødvendigvis måtte bero på en konkret, individuell vurdering i hver enkelt tilfelle.

Nye økonomiske on-line aspekter i elektronisk handelsøyemed medfører en voldsom økt bruk av kredit- og debetkort, data- og telekommunikasjonsnettverk. Hvert kjøp, hver telefonsamtale, e-postsending eller overføring/nedlasting av informasjon i nettet vil som nevnt etterlate en lang rekke opplysninger i kjølvannet av transaksjonen. Denne informasjonen kan være lett tilgjengelig for andre enn de involverte parter gjennom det utstrakte åpne elektroniske nettet. Poenget er derfor å begrense tilgangen til denne opplysningsmasse, så spørsmålet om konsesjon står sentralt i en slik vurdering.

Det som er interessant å se er de ulike roller betalingsmegler innehar i våre to eksempler, både i forhold til kortselskap, kjøper og selger. Videre vil typen registre som fremkommer innenfor denne rammen være interessant.

 

Online Express (kreditt-konto)

Som utgangspunkt vil det registreres opplysninger i et kjøperregister som kan identifisere og autentisere kjøper med hensyn til navn, adresse og kredittverdighet i relasjon til den underliggende avtalen som kjøper har med kortselskapet og i noen grad i forhold til det konkrete kjøp. Det vil bli foretatt kontrollsjekk som innebærer at betalingsmegler innehar kontoopplysninger, også om kredittverdighet. Videre vil ordreregistret inneholde opplysninger som bla. leveringsadresse, og et fakturaregister vil inneholde fakturaopplysninger som danner grunnlag for betalingskrav og eventuelle tvistløsninger/beviskrav. Betalingsmeglers rolle som kvitteringssentral for kjøpet innebærer registrering av opplysninger om tid og sted for transaksjonen. Kjennetegnet for denne modellen er at selger ikke nødvendigvis vil kjenne kjøpers identitet, idet selve betalingstransaksjonen og validiseringen av kortet krypteres og går gjennom betalingsmegler, som på sin side har et selvstendig kontraktsforhold med kortselskap(ene). Selgeren vil kunne motta informasjon om salget og kreditering av konto uavhengig av hvem som kjøper hva, da informasjonsutvekslingen skjer i regi av betalingsmegler i form av krypterte meldinger. Det foreligger således ikke noen konkret betalingsforbindelse mellom selger og kjøper som nødvendigvis trenger å røpe kjøpers identitet. Betalingsmeglers rolle vil derfor ligne mye på en slags kausjonist-rolle, hvor sikkerhet for betaling i forhold til selger ligger hos betalingsmegler/kortselskap istedet for hos kjøper. Dette medfører også at opplysninger om kjøper vil bli lagret hos betalingsmegler istedetfor hos selger.

Vi har sett hvordan registrering og lagring av denne type data kan være regulert i personregisterloven og hvordan bestemmelsene gjør seg gjeldende ved denne type informasjonsutveksling. Betalingsmegler oppretter et kjøpsregister for transaksjonene mellom kjøper og selger, hvor det som nevnt vil bli lagret personopplysninger som navn, adresse og konto(nummer)opplysninger. Trafikkopplysningene vil fortelle at det foregikk en handel, men ikke hvem som handlet hva hos hvem, og i noen tilfeller heller ikke når eller hvor dette skjedde. Det skjer nemlig ingen direkte "clearing" slik som i en avregningssentral. Dette innebærer at behovet for sikring av personopplysningene er mye mindre her. Online-express-modellen åpner for en anonym overføring av informasjon mellom kjøper og selger, men i det tilfelle at selger mottar avregning fra det underliggende kortselskapet vil identiteten til den som betaler kunne fremgå av transaksjonsdataene. Hvis poenget er å hemmeligholde denne informasjon må man derfor gå inn i det aktuelle kortselskaps interne rutiner for sikring av kort-info som "flyter" automatisk ved en slik transaksjon. Dette har således lite eller ingenting med betalingsmegleren/formidleren å gjøre, hvorefter konsesjonsspørsmålet kan bli tilsvarende uaktuelt da det jo ikke lagres personopplysninger hos denne part. Betalingsmeglerens rolle vil ligne mer på en kontrollørs, hvor det er fullt mulig å "glemme" de involverte opplysningene om beløp og identitet til de ulike parter, etter at betalingsmegler har sjekket at det faktisk er penger på kontoen. Megler trenger ikke å vite noenting om varen eller levering.

 

Online bankaxept (debet-konto)

Her vil betalingsmegler fungere som autorisator for betalingen, hvilket innebærer at betalingsmegler må ha tilgang til opplysninger som kan kontrollere identifikasjon av kjøper, autentisering og autorisasjon til å belaste kjøpers konto direkte, samt en dekningskontroll. Kjøper betaler før varen er levert og det vil derfor registreres nødvendige opplysninger om kjøper til selger slik at produktet kan leveres til riktig adresse. I en slik modell vil betalingsmegler inneha en type fullmakt til å trekke penger direkte fra kjøpers konto, og vil således tre inn i kjøpsavtalen på en annen måte enn ved Online Express. Dette medfører naturligvis nok en registrering av opplysninger hos betalingsmegler, men fordi kortselskapet ikke er inne i bildet som direkte tredjepart, vil mulighetene for å skjule/hemmeligholde opplysningene fra de enkelte parter (kjøper og selger) være større.

Her vil det inngå personopplysninger av typen navn, adresse, kontonummer, saldo/kredittopplysninger, hvilke varer som er bestilt/kjøpt/solgt, mv. Som utgangspunkt er dette konsesjonspliktige opplysninger, jfr. pregl. §9. En vurderingen av om konsesjon skal gis, kan/vil basere seg på følgende kriterier:

  • direkte formål for bruk av personopplysningene
  • indirekte formål, dvs. hvilke formål opplysningene kan tenkes brukt til senere, og hvorvidt dette omfattes av tillatelsen, herunder typer bruk som f.eks. adresseringsvirksomhet, koblingsmuligheter, kredittopplysninger til senere bruk, profil/mønsteravtegning mv.
  • samtykke til innhenting av personopplysninger fra partene selv
  • tilgang til opplysningene, hvem som administrerer nøkler/diskresjonsinteressen
  • saklighet, jfr. relevansvurderingen i pregl. §6

 

Enkelte vurderinger

Telenor innførte i 1994 et nytt sentralisert takseringssystem hvor alle opplysningene om abonnentenes bruk av telefonen nå blir registrert i et sentralt register (SenTaks). Abonnentens samtaledata registreres og lagres i perioden før og etter avregning er foretatt. (Opplysninger som lagres utover denne perioden forutsettes slettet etter ca. 6 mdr.) Telenor er gjennom denne type registrering istand til å tilby sine abonnenter spesifiserte telefonregninger. Samtidig vil det lette klagebehandlingen og redusere kostnadene for Telenor.

Datatilsynets vurdering i forhold til det å nekte Televerket adgang til slik automatisk registrering og lagring av samtaledata i takseringsøyemed, gikk i hovedtrekk ut på at de fordeler som Televerket anførte var av slik karakter, at de ikke oppveide ulempene for abonnentene og de oppringte, jfr. pregl. § 10.

I forhold til våre to betalingssystemer vil det være interessant å peke på fordelene som systemene gir i form av en effektiv og enkel betalingsmåte, samtidig som personvernaspektet blir ivaretatt gjennom et sikkert system. I denne sammenheng kan Online Express-modellen muligens vise seg å være den mest funksjonelle løsningen. Dette under forutsetning av at modellen utvikles ytterligere i retning av å sikre anonymiteten til de involverte parter.

 

Enkelte vurderingerOppsummering

Nye tekniske løsninger gir nye utfordringer på personvernområdet. Her vil det være interessant å se i hvilken grad det blir mulig å samle transaksjonsdata uten å avsløre identiteten til den enkelte bruker, samtidig som man sikrer en god nok autensitet, det vil si et bevis på at man er den man utgir seg for å være. I et elektronisk marked vil mye av fokus være rettet mot de elektroniske pengeløsninger som innehar de samme kvaliteter og fordeler som faktiske kontanter. Slike løsninger, som f.eks David Chaums "DigiCash"og betalingssystemet "Cyber-cash" hvor sistnevnte modell minner mye om On-line-modellen som nettopp er diskutert her, forespeiler en mulig løsning for elektronisk betaling som er både anonym og autentisk. Mye av utfordringen ligger således i sikkerhetsaspektet for denne type systemer. Med et godt utbygget sikkerhetssystem vil man også unngå de store problemer med konsesjonsmyndighetene.

 

Fotnoter

[1] Jfr. NOU 1978 nr. (utredn. i forb. m. pregl.)

[2] Jfr. Personregisterloven med kommentarer, 1987 Tano, Jon Bing "Personvern i Faresonen"

[3] Jfr. Personregisterloven med kommentarer, 1987 Tano

[4] Jfr. Jon Bing "Personvern i Faresonen" side 32

[5] Jfr. Ingvild H-Bauer (Complex 3/93)

[6] Jfr. ligningsmyndighetene og Kredittilsynets rolle i betalingsformidlingen.

[7] Jfr. Mestad Complex 3/86

[8] Uttrykket inneholder den subjektive vurdering av opplysningens verdi

[9] Jfr. Personregisterloven med kommentarer, 1987 Tano

[10] Jfr. St.meld. nr. 33 - 94/95

[11] Se Andreas Galtungs "Personvern og den forbrukerrettede el. bet.formidl" og St.meld. nr.33-94/95

[12] Jfr. St.meld. nr. 33 - 94/95

 

Copyright Inger Elise Mey 1996
 

Publisert 17. des. 2009 19:38 - Sist endret 7. juli 2011 09:33