3.4.1 National Security Agencys verksamhet
NSA:s arbete inkluderar att skydda amerikanska informationssystem och produ-cera signalinformation.182 NSA har därmed huvudansvaret för amerikansk signal-spaning och bedriver inhämtning, bearbetning och rapportering av information vid inhämtning av elektronisk kommunikation i försvarsunderrättelseverksam-het. Signalspaningen bedrivs som nämnts framförallt under EO 12,333, PPD-28 och FISA.183 NSA agerar här både i sin roll inom försvarsdepartementet och som medlem i underrättelsegemenskapen.184
3.4.2 Tekniken vid amerikansk inhämtning av elektronisk
kommunikation
NSA inhämtar både trådbunden och trådlös kommunikation.185 Under § 702 FISA tillämpar NSA två typer av tekniker vid inhämtning av data; upstream och downstream. Nedan följer en kortare redogörelse för de två teknikerna samt ge-nerell information om processen vid amerikansk signalspaning.
Så kallad downstream inhämtning bedrivs under övervakningsprogrammet “Planning Tool for Resource Integration, Synchronization, and Management” (PRISM) och innebär en skyldighet för vissa företag att lämna över uppgifter som rör deras kunder.186 Downstream inhämtning tar därmed sikte på data som finns lagrad. I PRISM skickas uppgifter om vem inhämtningen riktas mot, så som till exempel en e-postadress, till leverantören av den elektroniska kommunikationstjänsten, varpå den kommunikation som skickats till eller från denna e-postadress över-lämnas till myndigheten.187 Inhämtningen kan inte avse telefonsamtal. Under PRISM kan NSA få tillgång till all inhämtade data, medan FBI och CIA får till-gång till vissa delar.188
Upstream inhämtning hänför sig istället till inhämtning som sker på data i rörelse. Denna teknik, som mer motsvarar den som används vid inhämtning i svensk signalspaning, får enbart tillämpas av NSA.189 Inhämtningen sker här på internationell kommunikation som färdas in och ut från USA.190 Till skillnad från PRISM så omfattar upstream inhämtning både telefon- och 182 National Security Agency, Mission & Values, https://www.nsa.gov/about/mission-values/. 183 De, The NSA and Accountability in an Era of Big Data, s. 302.
184 Ibid, s. 303.
185 NSA Director of Civil Liberties and Privacy Office Report, NSA's Implementation of Foreign
In-telligence Surveillance Act Section 702, s. 1.
186 Klein & Others, The “Section 702” Surveillance Program, CNAS, 4 augusti 2017.
187 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance, s. 7.
188 Ibid.
189 Office of the Director of National Intelligence, Section 702 Overview, s. 4.
internetkommunikation.191 Vid inhämtningen får NSA tillgång till den relevanta trafiken genom att samla kommunikationen när den passerar kablar i stamnätet på internet (Eng. the internet backbone) inom USA.192 Detta sker genom använd-ningen av så kallade uppsamlingsenheter som samlar upp den relevanta kommu-nikationen.193 Inhämtningen bedrivsmed hjälp av de företag som underhåller nät-verken.194 Den sker därmed inte vid det telefonföretag eller det företag som till-handahåller emailtjänsten som vid inhämtningen under PRISM, utan i flödet av kommunikation mellan leverantörer av kommunikationstjänster.195 Skyldigheten för tillhandahållare av elektroniska kommunikationstjänster att samarbeta vid upstream inhämtning finns lagstadgad i § 702 underavsnitt (i)196, som bland annat föreskriver att de ska erbjuda den information, de faciliteter och den hjälp som krävs för att inhämtningen ska kunna genomföras.197 Ett direktiv om sådant sam-arbete kan bestridas i enlighet med § 702 underavsnitt (i).198
Sökningen efter trafikdata och innehållet i den internationella kommunikat-ionen sker med hjälp av selektorer (Eng. selectors).199 Det är därmed dessa selekto-rer som uppsamlingsenheterna söker efter när kommunikationen passerar i stam-nätet. Vid inhämtning av internetkommunikation genomförs en urvalsprocess bestående av två steg. Först sker en filtrering för att sålla ut eventuell inhemsk kommunikation, och därefter ett andra urval för att identifiera kommunikation relaterade till utvalda selektorer.200 Endast kommunikation som passerat båda ur-valsprocesserna överförs till statliga databaser.201
Enligt ett dokument med delvis hävd sekretess från 2011 inhämtar NSA 250 miljoner internetkommunikationer per år under § 702 FISA. Av dessa inhämt-ningar sker ungefär 91 procent genom downstream inhämtning och ungefär 9 procent genom upstream.202 Det är svårt att uppskatta vad dessa siffror ligger på idag, men under 2014 noterades att antalet inhämtade kommunikationer blivit betydligt högre.203 I och med att denna uppsats fokuserar på signalspaning på data 191 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance Act, s. 7.
192 Detta stamnät utgör därmed den fysiska infrastruktur där kommunikationen färdas. Se Gorski,
Summary of U.S. Foreign Intelligence Surveillance Law, Practice, Remedies, and Oversight, s. 13.
193 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance Act, s. 39.
194 Dessa telekommunikationsföretag är till exempel Verizon och AT&T. Se Office of the Direc-tor of National Intelligence, Section 702 Overview, s. 4.
195 Företagen kan annars vara utländska telefon- eller internetföretag som inte kan tvingas att följa § 702 FISA. Se Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program
Oper-ated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act, s. 35.
196 50 U.S.C. § 1881a(i). 197 50 U.S.C. § 1881a(i)(1)(A).
198 50 U.S.C. § 1881a(i)(4). FISC har behörighet att pröva frågan. Läs mer under 3.4.1. 199 Selektorer diskuteras i detalj i avsnitt 3.5.
200 Ibid, s. 37. 201 Ibid.
202 Foreign Intelligence Surveillance Court Memorandum Opinion, 3 Oktober 2011, s. 29 f. 203 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
i rörelse kommer endast upstream inhämtning att behandlas i den fortsatta fram-ställningen.
3.4.3 Förutsättningar för amerikansk signalspaning under § 702
FISA
Avsnitt 702 FISA är en av de huvudbestämmelser som tillkom i ändringslagen FISA Amendments Act 2008 och som senare uppdaterats i FISA Amendments Reauthorization Act 2017. Bestämmelsen har sin bakgrund i det övervaknings-program som tillkom efter terrorattackerna den 11 september 2001 och syftar bland annat till att möjliggöra övervakning av misstänkta terrorister utanför USA.204
Avsnitt 702 FISA gör det möjligt för staten att bedriva riktad inhämtning av kommunikation mot utländska personer som tros befinna sig utanför landet för att inhämta försvarsunderrättelseinformation. Innan ändringen av FISA infördes 2008 kunde staten övervaka privat elektronisk kommunikation mellan USA och utlandet om: (i) syftet, i betydande del, var att skaffa försvarsunderrättelseinform-ation; (ii) inhämtningen riktades mot en utländsk makt eller en agent för en ut-ländsk makt; och (iii) staten tillämpade förfaranden utformade för att minimera inhämtningen och lagringen, och förbjuda spridningen, av privat information om amerikaner.205 Staten var även tvungen att söka tillstånd hos FISC där det i ansö-kan skulle beskrivas bland annat varje specifikt mål för övervakningen, arten av den information som eftersöktes och den typen av kommunikation som skulle övervakas.206 FISA Amendments Act ändrade emellertid denna reglering i och med införandet av § 702. Staten behöver till exempel inte längre beskriva de spe-cifika målen och anläggningar som övervakningen riktas mot och kravet att den som övervakningen riktas mot ska vara en utländsk makt eller agent för en ut-ländsk makt har eliminerats.207
Enligt § 702 underavsnitt (a)208 kan justitieministern och den nationella under-rättelsechefen idag gemensamt bemyndiga riktad inhämtning mot personer som rimligen tros befinna sig utanför USA i syfte att tillägna sig försvarsunderrättel-seinformation. Personer innefattar här såväl enskilda individer som grupper, en-heter, organisationer, företag och utländska makter.209 Ett beslut om övervakning får fattas för ett år. Enligt § 702 underavsnitt (b)210 FISA gäller därtill vissa be-gränsningar. Dessa innebär att det till exempel inte är tillåtet att avsiktligt rikta 204 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance Act, s. 5 och Elizabeth Goiteins yttrande avseende
avsnitt 702 FISA inför United States House of Representatives, Committee on the Judiciary, 2017-03-01.
205 Clapper v. Amnesty International, Breyer, J., skiljaktig mening, s. 3. 206 Ibid.
207 Ibid.
208 50 U.S.C. § 1881a(a).
209 50 U.S.C. § 1801(m). Begreppet utländsk makt omfattar bland annat internationella terrorist-grupper och utländska regeringar, 50 U.S.C. § 1801(a).
inhämtningen mot amerikanska personer eller personer inom USA. Inhämt-ningen får inte heller avsiktligt avse sådan kommunikation där det är känt att både avsändare och mottagare befinner sig inom landet. I underavsnitt (b) stadgas även att inhämtningen ska bedrivas i enlighet med fjärde tillägget i rättighetsförkla-ringen.
Den elektroniska övervakningen kan bedrivas utan individuella godkännande från domstol. För att förhindra missbruk finns emellertid vissa förfarandebe-gränsningar. En inhämtning som auktoriseras enligt § 702 underavsnitt (a) får enligt § 702 underavsnitt (c)211 FISA genomföras endast när det sker med en så kallad certifiering från justitieministern och den nationella underrättelsechefen. Denna certifiering ska utfärdas skriftligen under ed.212 Certifieringen gäller däref-ter upp till ett år i taget och är generellt tillämplig för all övervakning.213 Certifie-ringen ska bland annat intyga att det finns rimliga inriktningsförfaranden för att fastställa att inhämtningen är riktad mot personer som rimligtvis tros befinna sig utanför USA och att den inte resulterar i ett avsiktligt förvärv av kommunikation där avsändare och mottagare båda befinner sig inom USA.214 Den behöver däre-mot inte ange vilka individer som inhämtningen riktas däre-mot, eller visa att det finns sannolika skäl att tro att dessa är agenter för en utländsk makt.215 Certifieringen ska vidare intyga att det antagits vissa riktlinjer för att säkerställa att de begräns-ningarna som gäller enligt § 702 underavsnitt (b) följs och att minimeringsförfa-randen tillämpas i enlighet med vad som föreskrivs.216
Certifieringen ska även visa att de förfaranden och riktlinjer som nämnts ovan är förenliga med det fjärde tillägget i rättighetsförklaringen.217 Det stadgas därtill att det ska visas att ett betydande syfte (Eng. significant purpose) med inhämtningen är att skaffa försvarsunderrättelseinformation och att inhämtningen innefattar att sådan information erhålls från, eller med hjälp av, en leverantör av elektronisk kommunikationstjänst.218 Certifieringen identifierar därmed den kategori av in-formation som ska samlas in genom signalspaningen. Denna försvarsunderrät-telseinformation kan till exempel vara information om internationell terrorism eller massförstörelsevapen.219 Kravet på att ett betydande syfte med inhämt-ningen ska vara att skaffa försvarsunderrättelseinformation kan till exempel upp-fyllas genom att signalspaningen enbart riktas mot personer som bedöms sitta på sådan information.220
211 50 U.S.C. § 1881a(c). 212 50 U.S.C. § 1881a(h)(1)(A).
213 Office of the Director of National Intelligence, Section 702 Overview, s. 3. 214 50 U.S.C. § 1881a(h)(2)(A)(i).
215 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance Act, s. 6.
216 50 U.S.C. § 1881a(h)(2)(A)(ii)-(iii). Läs mer om minimeringsförfaranden nedan. Riktlinjerna ska antas i enlighet med 50 U.S.C. § 1881a(g) och ska överlämnas till kongressens och FISC. 217 50 U.S.C. § 1881a(h)(2)(A)(iv).
218 50 U.S.C. § 1881a(h)(2)(A)(v)-(vi).
219 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance Act, s. 6.
En certifiering ska, om nödvändigt, stödja sig på ett affidavit av en behörig tjänsteman aktiv inom nationell säkerhet som (i) är utsedd av presidenten, av och med samtycke från senaten, eller (ii) är chef över ett element i underrättelsege-menskapen.221 En kopia av certifieringen, och tillhörande affidavit, ska överläm-nas till FISC innan inhämtning påbörjas.222
Om justitieministern och den nationella underrättelsechefen bedömer att ett nödläge föreligger och att det inte är möjligt att invänta rättslig prövning innan inhämtning påbörjas får de besluta om inhämtning och därefter lämna in certifi-ering inom sju dagar.223
3.5 Förfaranden för att begränsa signalspaningens
omfattning
3.5.1 Översikt
Precis som vid inhämtningen av elektronisk kommunikation enligt LSF tillämpas vid inhämtning enligt § 702 FISA ett antal förfaranden för att bland annat säker-ställa att inhämtningen begränsas till relevant kommunikation. Detta innebär till exempel att selektorer tillämpas vid utsållningen av relevant kommunikation och att inriktnings- och minimeringsförfaranden ska tillämpas i verksamheten. Dessa förfaranden utreds närmare i förevarande avsnitt.
3.5.2 Selektorer
NSA använder sig av så kallade selektorer för att sortera ut trafik som är relevant med hänsyn till de som signalspaningen riktas mot. Dessa selektorer är därmed kopplade till den som inhämtningen riktas mot och kan till exempel utgöras av telefonnummer, adresser eller e-postadress. Selektorer får däremot inte vara namn eller specifika begrepp, såsom terrorism.224 Vidare får endast sådana selek-torer som hänför sig till en icke-amerikansk person som rimligen tros befinna sig utanför USA tillämpas.225 Denna begränsning hänför sig till det faktum att signal-spaning under § 702 FISA som nämnts inte får riktas mot amerikanska personer.
Den kommunikation som får inhämtas under § 702 FISA är sådan som sker till eller från en av de identifierade selektorerna.226 Innan april 2017 inhämtades
221 50 U.S.C. § 1881a(h)(2)(C). 222 50 U.S.C. § 1881a(h)(1)(A). 223 50 U.S.C. § 1881a(h)(1)(B).
224 Klein & Others, The “Section 702” Surveillance Program, CNAS, 2017-08-04.
225 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance Act, s. 32.
vid upstream inhämtning även sådan kommunikation som var om en selektor.227 Sådan så kallad
“
om kommunikation” innebär kommunikation som varken sänts till eller från den utsedda selektorn, men där selektorn nämns i innehållet i kom-munikationen. Det kan till exempel innebära att selektorn nämnts i innehållet i ett mail utan att mailet skickats till eller från denna selektor. Enligt § 702 underav-snitt (b)228 FISA får om kommunikation inte längre avsiktligen inhämtas. Enligt § 103 underavsnitt (b) i FISA Amendments Reauthorization Act of 2017 får emellertid inhämtning av sådan kommunikation återupptas efter godkännande från FISC och efter det att kongressen givits trettio dagar att hålla utfrågningar och se över den föreslagna inhämtningen.Inhämtning av kommunikation om en selektor kan inhämtas endast vid upstream inhämtning ur internetkommunikat-ion.2293.5.3 Inriktningsförfaranden
Enligt § 702 underavsnitt (d)230 FISA ska justitieministern, i samråd med den nat-ionella underrättelsechefen, anta vissa så kallade inriktningsförfaranden (Eng. tar-geting procedures). Dessa inriktningsförfaranden ska syfta till att säkerställa att in-riktningen av inhämtningen under § 702 FISA är begränsad till icke-amerikanska personer som rimligen tros befinna sig utanför USA, och att inhämtningen inte resulterar i avsiktlig inhämtning av kommunikation mellan avsändare och motta-gare inom landet. Enligt NSA:s inriktningsförfaranden från 2018, som delvis of-fentliggjorts, bedömer NSA huruvida personen är en icke-amerikansk person som rimligtvis tros befinna sig utanför landet mot bakgrund av samtliga omstän-digheter baserat på den information som finns tillgänglig på personen ifråga.231 Vid denna utredning undersöker NSA:s analytiker bland annat informationen de mottagit om det potentiella målet för inriktningen och bedriver research för att avgöra om NSA vet var personen befinner sig.232 Enligt 2018-års inriktningsför-faranden måste NSA vidare bedöma, baserat på samtliga omständigheter, om personen som signalspaningen riktas mot kan förväntas besitta, motta och/eller kommunicera försvarsunderrättelseinformation.233 Detta innebär emellertid inte att personen ifråga måste vara involverad i några brott eller oegentligheter. Det kan till exempel vara tillräckligt att personen sitter på information om en terro-ristorganisation utan att själv vara inblandad i sådana aktiviteter.
227 NSA statement, NSA Stops Certain Section 702 "Upstream" Activities, Release No: PA-014-18, 2017-04-28.
228 50 U.S.C. § 1881a(b)(5).
229 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance Act, s. 36.
230 50 U.S.C. § 1881a(d)(1).
231 NSA Section 702 Targeting Procedures, March 2018: Procedures used by the National Secu-rity Agency for targeting non-United States persons reasonably believed to be located outside the United States to acquire foreign intelligence information pursuant to section 702 of the Foreign Intelligence Surveillance Act of 1978, as amended, s. 1.
232 Ibid, s. 1 f. 233 Ibid, s. 4.
Om den person som inhämtningen riktas mot i ett senare stadium visar sig vara en amerikansk person eller en person som befinner sig inom landet ska NSA avbryta inhämtningen och avgöra huruvida tillstånd ska sökas för inhämtning under en annan bestämmelse i FISA.234 Kommunikation som oavsiktligen inhäm-tats när personen befann sig inom USA, inklusive kommunikation där både av-sändare och mottagare tros befinna sig inom landet, ska behandlas i enlighet med gällande minimeringsförfaranden.235 Dessa diskuteras närmare i följande avsnitt. Även om signalspaningen inte får direkt eller indirekt riktas mot amerikanska personer kan som nämnts amerikanska personers kommunikation eller inform-ation ändå bli föremål för inhämtningar under § 702 FISA.236 Så är till exempel fallet när den utländska personen som signalspaningen riktas mot kommunicerar med, eller diskuterar information om, en amerikansk person.237 Sådan inhämtning av information rörande amerikanska personer under § 702 FISA utgör så kallad oavsiktlig inhämtning (Eng. incidental acquisition) och är därmed tillåten. Att in-hämtningen är oavsiktlig innebär emellertid inte att den är oförutsedd. Inhämt-ningen av amerikanska personers kommunikation kan snarare anses utgöra ett förväntat resultat av övervakningen av ett utländskt mål. Begreppet oavsiktlig ska således inte anses innebära att sådan inhämtning är sällsynt vid signalspaning un-der § 702 FISA.238 Representanter för amerikanska myndigheter har till och med anfört att inhämtningen av kommunikation mellan utländska mål och ameri-kanska personer under § 702 FISA ofta är av stor vikt för försvarsunderrättelse-verksamheten, inte minst i frågor om terrorism.239
Inriktningsförfaranden är föremål för rättslig prövning i enlighet med § 702 underavsnitt (j)240 och ska därmed granskas och godkännas av FISC. Denna pröv-ning diskuteras närmare i avsnitt 3.6.2.
3.5.4 Minimeringsförfaranden
Trots att § 702 FISA syftar till att bemyndiga riktad inhämtning mot icke-ameri-kanska personer utanför USA finns, vilket uppmärksammades i föregående av-snitt, en medvetenhet om att dessa personer kan komma att kommunicera med eller om amerikanska personer.241 NSA måste i dessa fall följa vissa så kallade
234 NSA Section 702 Targeting Procedures 2018, s. 9 f. 235 Ibid.
236 Att inhämtningen inte får indirekt riktas mot en amerikansk person innebär att NSA inte får rikta signalspaning mot en icke-amerikansk person utanför USA om syftet är att därigenom in-hämta kommunikation med en person inom landet. Se NSA Director of Civil Liberties and Pri-vacy Office Report, NSA's Implementation of Foreign Intelligence Surveillance Act Section 702, s. 3. 237 Office of the Director of National Intelligence, Section 702 Overview, s. 7.
238 Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to
Section 702 of the Foreign Intelligence Surveillance Act, s. 114.
239 Ibid, s. 114 f. 240 50 U.S.C. § 1881a(j).
241 Se NSA Director of Civil Liberties and Privacy Office Report, NSA's Implementation of Foreign
minimeringsförfaranden som styr hur sådan information rörande amerikanska personer ska hanteras.
Kravet på att justitieministern, i samråd med den nationella underrättelseche-fen, ska anta minimeringsförfaranden finns reglerat i § 702 underavsnitt (e)242 FISA. Dessa minimeringsförfaranden definieras i § 101 underavsnitt (h) FISA243 som förfaranden utformade, mot bakgrund av syftet och tekniken för den sär-skilda övervakningen, för att minimera inhämtningen och lagringen, och för-hindra spridningen, av information om amerikanska personer. Definitionen av minimeringsförfaranden innefattar därtill sådana förfaranden som förutsätter att icke-offentlig information, som inte utgör försvarsunderrättelseinformation, inte sprids på ett sätt som identifierar en amerikansk person, om inte dennes identitet är nödvändig för att förstå försvarsunderrättelseinformation eller bedöma dess betydelse.244 Oberoende av vad som nämnts ovan omfattas även sådana förfaran-den som möjliggör lagring och spridning av information som är bevis på ett brott som har varit, är, eller håller på att begås och som ska lagras eller spridas för brottsbekämpning.245
Enligt 2018-års minimeringsförfaranden, som finns delvis offentliggjorda, ska NSA förstöra information om eller rörande en amerikansk person om denna in-formation uppenbarligen inte är relevant sett till syftet med inhämtningen eller innehåller bevis om ett brott som kan spridas vidare i enlighet med gällande för-faranden.246 Information om eller rörande en amerikansk person får i vilket fall lagras i högst fem år från det att certifieringen utgått.247 Avseende information som inhämtats genom upstream inhämtning gäller en generell en begränsning på två år.248
De minimeringsförfaranden som antas är föremål för rättslig prövning i en-lighet med § 702 underavsnitt (j)249 FISA och ska därmed granskas och godkännas av FISC. Denna prövning diskuteras närmare i avsnitt 3.6.2. Enligt § 702