<div dir="ltr"><div><div><div>The responsibility is going to lie with company directors. So either they do their own due diligence, or engage a lawyer before that interesting discussion with Attorney General's over whether the police can access data retained under the Data Retention provisions, without a judicial warrant. My take is that the judge issuing the warrant is responsible for ensuring the officer requesting the warrant is duly authorised.<br><br></div>I am not a lawyer. This is not legal opinion.<br><br></div>Kind regards<br><br></div>Paul Wilkins<br> </div><div class="gmail_extra"><br><div class="gmail_quote">On 2 May 2018 at 10:45, Ross Wheeler <span dir="ltr"><<a href="mailto:ausnog@rossw.net" target="_blank">ausnog@rossw.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
On Wed, 2 May 2018, Paul Wilkins wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ross,<br>
I recall vaguely when this was first posted. I'm sceptical whether AG would have advised to just hand the data over, as doing so ironically<br>
enough breaches the Data Retention Act:<br>
<br>
187BA Ensuring the confidentiality of information<br>
A service provider must protect the confidentiality of information<br>
that, or information in a document that, the service provider must<br>
keep, or cause to be kept, under section 187A by:<br>
(a) encrypting the information; and<br>
(b) protecting the information from unauthorised interference orunauthorised access.<br>
...<br>
187LA Application of the Privacy Act 1988<br>
(1) The Privacy Act 1988 applies in relation to a service provider, as if<br>
the service provider were an organisation within the meaning of<br>
that Act, to the extent that the activities of the service provider<br>
relate to retained data.<br>
<br>
In my non legal, non expert opinion, access to retained data (by ordinary police, not the intelligence agencies) would be either under or<br>
compatible with the Telecommunications (Interception and Access) Act 1979.<br>
</blockquote>
<br></span>
Yes, that may be the words, but I am also quite aware that at the time (and indeed subsequently) there has been a great deal of uncertainty within at least parts of the industry, exactly what constitutes a duly authorised person.<br>
<br>
I recall there being a request by parts of the industry for a "register or list of people permitted to make requests", but that never happened. The fact that a minister could appoint people with no requirement to advise industry who was or wasn't appointed at any given time, combined with penalties for either:<br>
 * providing information to someone NOT authorised<br>
 * failing to provide information to someone who IS authorised<br>
meant it was a precarious position for ISPs to be in.<br>
<br>
I've never been asked for any data, so I've not had to seek confirmation, but I believe there was a blanket statement made that if an ISP were in doubt about a request, they should contact the AG for clarification. That, I believe, is what the friend-of-my-friend did. I feel the cavalier "give it to him" response reported by the AG, with a "the audit will catch it" (after the event, if anyone ever bothers) line as some sort of "protection" to be highly inappropriate - especially in the case where the person being asked for the data had a "reasonable doubt" that it was being used appropriately.<br>
<br>
The whole thing stinks from top to bottom, but then we all knew that before it was even introduced.<span class="HOEnZb"><font color="#888888"><br>
<br>
R.<br>
</font></span></blockquote></div><br></div>