Registreringsskyldighet i andra länder

Som tidigare framgått består 22 procent av alla mobilabonnemang i Sverige av kontantkortsabonnemang. Resten utgörs av kontrakts- abonnemang. Världen över sker dock majoriteten, 73 procent, av mobilanvändandet via kontantkortsabonnemang. Av dessa abonne- mang är flertalet aktiva i länder där det krävs någon form av identifiering för att registrera och använda ett simkort för mobil- användning i eget namn. I januari 2020 hade någon form av regist- reringsskyldighet som omfattar kontantkort införts i 155 länder över hela världen och övervägdes därtill i flera länder (se GSMA, Access to Mobile Services and Proof of Identity 2020: The Undis- puted Linkages, s. 6 f.). En registreringsskyldighet som omfattar kontantkort har således införts i en majoritet av världens länder. I världsdelar som Afrika, Asien och Sydamerika förekommer en registreringsskyldighet i så gott som samtliga länder. Även i Aus- tralien finns en registreringsskyldighet, men inte i Nordamerika.

I Europa förekommer en registreringsskyldighet för kontantkort i något mer än hälften av länderna. Någon EU-gemensam lagstift- ning har inte införts på området vilket har medfört att registrerings- skyldigheten är utformad på olika sätt i de länder där den införts. En registreringsskyldighet som omfattar kontantkort infördes i Norge, Tyskland och Schweiz redan 2004. Även Frankrike, Spanien, Italien, Ungern och Slovakien införde tidigt en registreringsskyldighet som omfattar kontantkort till mobiltelefoner. Under senare år har en

Ds 2020:12 Registrering av kontantkort

registreringsskyldighet införts i allt fler länder. I Belgien och Polen infördes en sådan skyldighet 2016, i Luxemburg 2017 och i Österrike 2019. En registreringsskyldighet som omfattar kontantkort finns också i Bulgarien, Grekland, Nordmakedonien, Ukraina, Turkiet, Vitryssland, Albanien, Kosovo, Montenegro, Andorra, San Marino och Monaco (se a.a. s. 26 f.).

Det främsta skälet till att en registreringsskyldighet har införts har varit att bekämpa terrorism och organiserad brottslighet. Regist- rering av simkort har också setts som en möjlighet att reducera mängden skräppost, verifiera användarnas ålder och motverka bedrä- gerier (se GSMA, Mandatory registration of prepaid SIM cards. Adressing challenges through best practice, 2016, s. 4). Enligt en enkät som utfördes bland medlemsländerna i Eurojust 2019 har, i de fall en registreringsskyldighet införts i dessa länder, detta skett i syfte att motverka kriminalitet och terrorism. Majoriteten av de stater inom EU där det finns en registreringsskyldighet har infört regleringar om detta i sin lagstiftning angående elektronisk kom- munikation. Det varierar mellan länderna när det gäller t.ex. vilka uppgifter som ska registreras, under hur lång tid dessa får sparas och för vilka syften uppgifterna får användas.

Bland de länder som inte har infört någon registreringsskyldighet för kontantkort märks t.ex. USA, Danmark, Finland, Storbritan- nien, Portugal, Tjeckien och de baltiska staterna. Frågan om en registreringsskyldighet utreddes i Nederländerna 2017, men ledde inte till någon lagstiftning. De främsta skälen härför var att det skulle finnas vägar att kringgå registreringsskyldigheten och att det finns andra sätt att kommunicera anonymt (se bilaga 804702 till den parlamentariska handlingen 29754 nr 419). Frågan har utretts också i andra länder, däribland Litauen, utan att någon registrerings- skyldighet har införts.

Registreringsskyldigheten är alltså utformad på olika sätt i olika länder. Det kan sägas finnas tre olika modeller för hur en regist- reringsskyldighet kan utformas. Enligt den första modellen är mobiloperatörerna skyldiga att samla in och föra ett register med viss personlig information om sina användare. Vilken information som krävs varierar mellan länderna. I januari 2020 följde 81 procent av länderna i världen som har krav på en registreringsskyldighet denna modell. Enligt den andra modellen är mobiloperatörerna skyldiga att samla in data om sina användare och föra denna information vidare

till ett centralt register vid någon form av myndighet. I januari 2020 använde sig endast sex procent av aktuella länder av denna modell. Enligt den sista modellen är operatörerna skyldiga att validera sina kunders identitetsuppgifter mot en central myndighetsdatabas. Den här modellen användes i januari 2020 i tolv procent av de länder som har någon form av registreringsskyldighet. (Se GSMA, Access to Mobile Services and Proof of Identity 2020: The Undisputed Linkages, s. 8.)

Nedan följer en kortare beskrivning av lagstiftningen i några europeiska länder.

Norge

Som framgått ovan infördes en registreringsskyldighet i Norge redan 2004. Regleringen infördes bl.a. i syfte att reducera risken för förväxling och missbruk av andras identitet. Polisens behov av till- gång till information i det brottsbekämpande arbetet var ett centralt element i sammanhanget (se Høring om endringer i ekomloven og ekomforskriften med forslag om lovhjemmel for leveringsplikt for bredbånd og tydeligere krav till entydig identifisering av slutt- brukere, september 2019, s. 20).

Regleringen, som återfinns i den norska ekomloven med till- hörande föreskrifter, innebär att den som tillhandahåller offentliga telefonitjänster ska tillse att den s.k. slutbrukaren av tjänsten är entydigt identifierad. Detta ska ske såväl vid ingående av nya avtal som vid ändring eller upphörande av befintliga avtal. Tillhanda- hållaren ska dokumentera identitetskontrollen och föra ett register över varje slutbrukares namn, adress och nummer eller adress för tjänsten (se ekomloven § 2-4 och ekomforskriften § 6-2).

Skyldigheten att registrera slutbrukaren avser samtliga användare av telefonitjänster, alltså även de som använder fasta telefoner eller kontraktsabonnemang till mobiltelefoner. När regleringen infördes kom den att gälla även för befintliga abonnemang. Dessa skulle registreras inom sex månader. De kontantkortsabonnemang som inte registrerades inom denna tid deaktiverades.

Vad som menas med entydig identifiering är inte reglerat i lagen. Regelverket förutsätter att tillhandahållarna själva ska avgöra vilken identifieringsmetod som är lämplig beroende på vilken fas avtalen är

Ds 2020:12 Registrering av kontantkort

i och risken för missbruk. Den nationella kommunikationsmyndig- heten har utarbetat en vägledning i frågan. Det har dock fram- kommit att operatörerna har hanterat identifieringskravet på olika sätt och att rutiner inte alltid har följts. Det har bl.a. förekommit fall då portering av telefonnummer (flytt av mobilnummer från en operatör till en annan) har skett utan att någon identifieringskon- troll har gjorts. Den norska regeringen har av dessa skäl föreslagit vissa ändringar i ekomforskriften. Syftet med ändringarna är att tydliggöra och konkretisera kravet på tillhandahållare av offentliga telefonitjänster att entydigt identifiera slutbrukarna. De föreslagna ändringarna innebär att det införs krav på hur en entydig identi- fiering ska gå till och att det uttryckligen anges vilka identifikations- handlingar som får godtas (se a.a. s. 20 ff.). Förslagen bereds för närvarande inom det norska Regeringskansliet.

Tyskland

Tyskland har också haft en registreringsskyldighet sedan 2004. Lag- stiftningen, som återfinns i den nationella lagen om telekommuni- kation, innebär att telefonoperatörerna är skyldiga att samla in och lagra uppgifter om alla kunder som innehar telefonabonnemang. Regleringen träffar därmed även de kunder som innehar kontant- kortsabonnemang. Enligt regleringen ska operatörerna samla in och spara uppgifter om bl.a. abonnentens telefonnummer, namn, folk- bokföringsadress och födelsedatum där abonnenten är en fysisk person. Insamlingen av uppgifter ska ske innan abonnemanget aktiveras. Om en operatör får kännedom om ändringar i de uppgivna uppgifterna ska dessa ändras. Operatörerna är även skyldiga att retroaktivt försöka få tillgång till saknade uppgifter om sina kunder om detta är möjligt utan särskild ansträngning. Det är möjligt för en operatör att använda sig av en tredje part för att samla in uppgifterna. Det är dock operatören som är ansvarig för att skyldigheterna enligt regleringen uppfylls. Om tredje part blir medveten om förändringar i uppgifterna som en del av sin normala affärsverksamhet, måste denne omedelbart överföra dessa till operatören. De insamlade uppgifterna ska raderas i slutet av kalenderåret året efter det att avtalet har upphört.

Den tyska lagstiftningen skärptes 2017 vad gäller kontantkort för mobiltelefoner. Lagändringen var ett led i arbetet mot internationell terrorism och annan organiserad brottslighet såsom människo- smuggling. Den innebar att riktigheten i de uppgifter som samlas in måste kontrolleras före aktivering av ett kontantkort. Lagstiftningen innehåller numera utförliga regler om vilka identitetshandlingar som godtas för denna kontroll. Identifieringen kan ske t.ex. i en operatörs butik, hos vissa större återförsäljare, online via video där en giltig identitetshandling visas upp eller genom att en kopia av identitetshandlingen skicka till operatören. Lagändringen gäller endast för försäljningen av nya kontantkort efter juli 2017.

Schweiz

En registreringsskyldighet för kontantkort till mobiltelefoner inför- des i Schweiz 2004 i syfte är att förhindra terrorism och droghandel. Regleringen initierades sedan det blivit känt att schweiziska oregis- trerade kontantkort använts i samband med planering av terrorism. Regleringen innebär att alla kontantkort köpta efter den 1 november 2002 ska registreras. De kontantkort som inte registrerades inom tre månader från lagens införande blev avaktiverade till dess att en registrering skett.

Enligt den schweiziska regleringen är leverantörer av telekom- munikationstjänster skyldiga att bl.a. registrera uppgifter om kun- dernas namn, adress och födelsedatum. För förbetalda tjänster, dvs. kontantkort, ska även leveransplats och namn på den person som tillhandahöll de nödvändiga medlen för åtkomst till telekommunika- tionstjänsten anges. En identitetskontroll ska genomföras och dokumenteras innan ett kontantkort får aktiveras. Uppgifterna ska registreras när kundrelationen upprättas och kunna tillhandahållas under kundrelationens varaktighet och i sex månader efter att den har upphört.

Belgien

En skyldighet att registrera användare av kontantkort infördes i Belgien 2016 som en del i arbetet mot terrorism. Regleringen innebär att en operatör endast är tillåten att aktivera ett kontantkort efter att

Ds 2020:12 Registrering av kontantkort

ha fastställt brukarens identitet. Regleringen gäller för såväl befintliga kontantkort som för nya kontantkort som ger tillgång till mobila elektroniska kommunikationstjänster, såsom att ringa, surfa på internet, sända textmeddelanden m.m. Regleringen gäller dock inte för kontantkort som endast användas för trådlös kommunika- tion mellan olika maskiner, s.k. M2M-applikationer. Vid införandet av den nya lagstiftningen gavs kunder en möjlighet att inom sex månader registrera existerande kontantkort. De kort som inte regis- trerades inom denna tid blev avaktiverade.

Den belgiska lagstiftningen föreskriver en skyldighet att regis- trera abonnemangsuppgifter som för- och efternamn, nationalitet och adress. Därutöver ska uppgifter om det dokument som använts för identifiering vid köpet anges. Om detta inte är ett belgiskt id-kort ska även ett foto av köparen sparas. Identifieringen kan ske vid köpet eller via operatörens hemsida.

Den som registrerat ett kontantkort i Belgien får inte överlåta ett aktivt kort till en tredje part förutom i vissa fall. Det är t.ex. tillåtet att köpa kontantkort till familjemedlemmar och till anställda. Det är också tillåtet att lämna ett förbetalt kort vidare om det har köpts på uppdrag av en underrättelse- eller säkerhetstjänst, av polisen eller vissa andra myndigheter. I övriga fall får kontantkort endast över- låtas till någon annan om denne har identifierat sig hos operatören. För det fall inköp av kontantkort sker av en juridisk person ska den fysiska person som kräver aktiveringen registreras. En juridisk person ska också föra en uppdaterad lista över vilka personer som innehar vilka kontantkort. För det fall regleringen inte följs kan sanktioner utgå.

Österrike

En registreringsskyldighet för kontantkort infördes i Österrike 2019. Enligt regleringen måste en leverantör registrera vissa basuppgifter om innehavaren innan en aktivering av ett kontantkortsabonnemang får ske. De uppgifter som ska registreras omfattar namn, titel och födelsedatum. Registreringen ska ske med hjälp av vissa lämpliga identifieringsförfaranden. Bland de metoder som godtas återfinns officiella id-kort med foto och en form av elektronisk identifiering.

Registreringen kan ske i operatörernas butiker, hos vissa återförsäl- jare, i postkontor och online.

Registreringsskyldigheten gäller för såväl nya abonnemang som gamla. Vid införandet av regleringen gavs en möjlighet att inom åtta månader registrera existerande kontantkort. De kort som inte blev registrerade inom denna period avaktiverades till dess en registrering skett.

De registrerade uppgifterna ska raderas av operatören inom två veckor efter avslutat avtalsförhållande om inte uppgifterna behövs för andra lagstadgade ändamål. Uppgifterna kan dock behandlas under en längre tid om den enskilde har lämnat sitt samtycke till det.

Luxemburg

I Luxemburg gäller sedan 2017 en registreringsskyldighet för för- skottsbetalningstjänster, dvs. för elektroniska kommunikations- tjänster som är tillgängliga för allmänheten genom att använda Luxemburgs numreringsresurser och för vilka tjänsterna betalas innan tjänsten tillhandahålls. Alla företag som tillhandahåller sådana förbetalda tjänster är skyldiga att ange identiteten på den person till vilken tjänsten tillhandahålls. Innan tjänsten tillhandahålls ska före- taget därför samla in uppgifter om namn, adress och födelsedatum för den fysiska person som vill köpa en förskottsbetalningstjänst. En identitetskontroll ska göras. Uppgifter om vilken typ av identitets- dokument som har använts ska registreras och en kopia av doku- mentet sparas. Om inköpet görs av en juridisk person ska samma uppgifter lämnas om den fysiska person som företräder den juridiska personen. Uppgifterna ska sparas under hela perioden för tillhanda- hållandet av tjänsten, och under en period på tre år från dagen för inaktiveringen av samtalsnumret. Därefter ska informationen raderas utan dröjsmål. Om uppgifterna samlas in av en återförsäljare ska denne radera uppgifterna så snart de har överförts till operatören.

Ds 2020:12 Registrering av kontantkort