FRA: Not listening to communication between parties in Sweden?
There are claims made by the proponents of this legislation that collection of data is not to happen for communication between entities in Sweden that for various reasons passes the Swedish border. When looking i the legislation though, no such requirement exists. This because limitations are in reality given in the approval of the wiretap (something given for 6 months at a time):
1 § I försvarsunderrättelseverksamhet enligt lagen (2000:130) om för-
svarsunderrättelseverksamhet får den myndighet som regeringen be-
stämmer (signalspaningsmyndigheten) inhämta signaler i elektronisk
form vid signalspaning. Signalspaning i försvarsunderrättelseverksamhet
får endast ske i de fall regeringen eller, enligt regeringens bestämmande,
en myndighet närmare bestämt inriktningen av signalspaningen.
Om det är nödvändigt för försvarsunderrättelseverksamheten får signa-
ler i elektronisk form inhämtas vid signalspaning även för att
1. följa förändringar i signalmiljön i omvärlden, den tekniska utveck-
lingen och signalskyddet, samt
2. fortlöpande utveckla den teknik och metodik som behövs för att be-
driva verksamhet enligt denna lag.
7 § Upptagning eller uppteckning av uppgifter som inhämtats enligt den-
na lag skall omgående förstöras om innehållet
1. berör en viss fysisk person och har bedömts sakna betydelse för
verksamhet som avses i 1 §,
2. avser uppgifter för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryck-
frihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som
omfattas av efterforskningsförbudet i 3 kap. 4 § tryckfrihetsförordningen
eller 2 kap. 4 § yttrandefrihetsgrundlagen, eller
3. omfattar uppgifter i meddelanden som avses i 27 kap. 22 § rätte-
gångsbalken.
My reading is because of this that as soon as the data collected is of value, is not covered by bullets 2-3 in 7 §, and is allowed by the license to collect data, things are fine. I.e. the legislation itself is not saying much on what data is to be collected and not. Part from some very generic paragraphs on ability to identify people.
To some degree I think this is correct though. Because it is not possible to decide what is communication between entities in Sweden and not. What if two persons in Sweden send email to each other, and one is using a service in the UK that filter spam. The TCP flow is crossing the boundary of Sweden, the SMTP flow(s) are doing that as well, but the email is not on a higher level in the value chain.