Regeringens förslag: Genom hemlig dataavläsning ska uppgifter, som är avsedda för automatiserad behandling, i hemlighet och med ett tekniskt hjälpmedel få läsas av eller tas upp i ett avläsningsbart informa- tionssystem. Med avläsningsbart informationssystem avses antingen en elektronisk kommunikationsutrustning eller ett användarkonto till, eller en på motsvarande sätt avgränsad del av, en kommunikationstjänst, lagringstjänst eller liknande tjänst.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att begreppet informationssystem används utan preciseringen att det ska vara avläsningsbart men med preciseringen att det ska vara identifierbart.
Remissinstanserna: Svea hovrätt ifrågasätter innebörden av tillägget liknande tjänst och föreslår att det stryks. Säkerhets- och integritetsskydds-
nämnden anför att begreppet ”uppgifterna ska vara avsedda för
automatiserad behandling i ett informationssystem” innebär att upp- gifterna ännu inte finns i informationssystemet, vilket är problematiskt och knappast kan ha varit avsikten med förslaget. Vidare anser nämnden att begreppet informationssystem inte avgränsar lagens tillämpningsområde tillräckligt tydligt eftersom termen används på ett annat sätt i annan lag- stiftning, t.ex. registerlagstiftning. Slutligen anser nämnden att utred- ningens krav på att ett informationssystem ska vara identifierbart är felak- tigt eftersom alla system potentiellt är identifierbara. I stället föreslår nämnden att begreppet identifierat informationssystem, eller något lik- nande uttryck, används. Även Datainspektionen anser att objektet för åtgärden måste preciseras och att begreppet informationssystem inte är tillräckligt tydligt, vilket leder till att det är osäkert vad som omfattas av förslaget. Myndigheten för samhällsskydd och beredskap avråder också från att använda begreppet informationssystem och förordar i stället av- läsningsbart informationssystem. Begreppet informationssystem har näm- ligen i betänkandet fått en annan och snävare innebörd än vad som gäller för begreppet i stort och hur det har använts i andra sammanhang. Lunds
universitet (Juridiska fakulteten) anser att det borde finnas tydligare håll-
punkter när det gäller bedömningen av vilken utrustning som kan bli före- mål för hemlig dataavläsning. Svenska Journalistförbundet anser att be- greppet avläsning och upptagning inte beskriver vilken uppgift de brotts- bekämpande myndigheterna får ägna sig åt utan tycker i stället att det bör
Prop. 2019/20:64
102
framgå i lagtext att myndigheterna faktiskt får lov att gå in i en dator eller annat tekniskt hjälpmedel.
Skälen för regeringens förslag
Hemlig dataavläsning behöver definieras
Lagen bör inledas med en definition som beskriver och avgränsar vad hemlig dataavläsning är. Definitionen bör lämpligen ta sin utgångspunkt i definitioner av andra hemliga tvångsmedel samt knyta an till straffbe- stämmelsen om dataintrång, enligt vilken möjligheterna att i dag använda tekniker för hemlig dataavläsning begränsas.
Ett gemensamt drag i definitionerna av befintliga hemliga tvångsmedel är att samtliga slår fast objektet för åtgärden, alltså klargör vilka uppgifter som får hämtas in genom användning av åtgärden. Hemlig dataavläsning ska vara en metod för att hämta in olika typer av uppgifter och begreppet som ska beskriva objektet måste därför täcka in samtliga dessa uppgifter. I brottsbalkens bestämmelse om dataintrång används begreppet ”uppgift som är avsedd för automatiserad behandling” för att beskriva vilka upp- gifter som omfattas av bestämmelsen. Begreppet infördes för att förtydliga att alla uppgifter, dvs. fakta, program, information eller begrepp, som uttrycks i en för en dator anpassad och läsbar form omfattas av bestäm- melsen. Det är för tillämpningen av begreppet utan betydelse var uppgif- terna finns eller förvaras i systemet, varför uppgifterna omfattas oavsett på vilket datamedium de finns. Därmed innefattas också uppgifter som finns i en dators temporära minne. Vidare omfattar begreppet uppgifter som är under befordran, oavsett på vilket sätt befordran sker, se propositionen Angrepp mot informationssystem (prop. 2006/07:66 s. 49).
Uttrycket ”uppgift som är avsedd för automatiserad behandling” kriti- seras av Säkerhets- och integritetsskyddsnämnden som anser att uttrycks- sättet enligt sin ordalydelse innebär att uppgifterna ännu inte finns i informationssystemet. Fördelen med begreppet är dock att det täcker alla uppgiftstyper som kan aktualiseras vid hemlig dataavläsning. Det visar också kopplingen mellan hemlig dataavläsning och straffbestämmelsen om dataintrång. Det tydliggör dessutom på ett teknikneutralt och ända- målsenligt vis vilka uppgifter åtgärden får användas för att hämta in. Begreppet innebär dock som nämnden påpekar inget krav på att uppgif- terna måste finnas i informationssystemet vid tidpunkten för tillstånds- prövningen. Uppgifter som den enskilda inte har avsett att behandla auto- matisk kan ändå bli avsedda för automatiserad behandling. Det kan vara fallet när den verkställande myndigheten, efter beviljat tillstånd till hemlig dataavläsning, t.ex. aktiverar en mobiltelefons inspelningsfunktion för att få tillgång till tal mellan flera personer (s.k. rumsavlyssningsuppgifter, se avsnitt 9.3). Vid en samlad bedömning framstår det enligt regeringen som lämpligt att använda detta begrepp i lagen.
Det bör också av definitionen framgå hur uppgifterna får hämtas in. Hemlig dataavläsning kommer att kunna innebära avläsning och upp- tagning av flera olika slags uppgifter och på olika sätt. Det bör därför anges att uppgifterna läses av. Det bör också anges att uppgifterna får tas upp för att tydliggöra att uppgifterna får granskas såväl i realtid som i efterhand. Redan i definitionen av hemlig dataavläsning bör det anges vilken metod för avläsningen eller upptagningen som får användas. Eftersom de tek-
103 Prop. 2019/20:64 niska metoderna för detta kan se olika ut och förändras över tid bör
begreppet vara teknikneutralt. Därför bör det framgå att den brottsbekäm- pande myndigheten får läsa av eller ta upp uppgifterna med ett tekniskt hjälpmedel. Begreppet tekniskt hjälpmedel avser såväl hårdvara som programvara (se prop. 1994/95:227 s. 29). Regeringen anser, till skillnad från Svenska Journalistförbundet, att definitionen är tillräckligt tydlig och täcker såväl att ett elektroniskt program installeras i t.ex. en dator som att ett fysiskt föremål, t.ex. ett chip installeras i densamma.
Det bör vidare framgå av definitionen att hemlig dataavläsning är en åtgärd som utförs i hemlighet utan att den enskilde, mot vilken den riktas, känner till den.
Lagrådet anser att definitionen av hemlig dataavläsning framstår som
ofullständig genom att det inte kommer till uttryck att den verkställande myndigheten, efter att uppgifterna tagits upp i ett avläsningsbart informa- tionssystem, hämtar in uppgifterna för att ta del av dem och menar att definitionen bör övervägas i den fortsatta beredningen.
Det är angeläget att definitionen av hemlig dataavläsning är fullständig och korrekt. Hemlig dataavläsning, liksom övriga tvångsmedel, behöver avgränsas på ett tydligt sätt eftersom tvångsmedlet i det enskilda fallet innebär inskränkningar i den enskildes fri- och rättigheter. Visserligen stämmer det, som Lagrådet påpekar, att det inte uttryckligen anges i defini- tionen av hemlig dataavläsning att de verkställande myndigheterna hämtar in uppgifterna för att ta del av dem efter att de tagits upp. Definitionen av hemlig dataavläsning är dock i det sammanhanget uppbyggd på samma sätt som definitionerna av hemlig avlyssning av elektronisk kommunika- tion och hemlig rumsavlyssning. Även där anses det inrymmas i den åtgärd som vidtas att de brottsbekämpande myndigheterna får tillgodogöra sig den information som tagits upp. Definitionen avviker inte heller prin- cipiellt från reglerna om beslag i 27 kap. 1 § rättegångsbalken, där det inte särskilt föreskrivs att de brottsbekämpande myndigheterna får tillgodogöra sig informationen i det material som har tagits i beslag. Med beaktande av detta anser regeringen att definitionen på ett tillräckligt tydligt sätt ger ut- tryck för att myndigheterna får tillåtelse att ta del av de uppgifter som tagits upp.
Åtgärden ska avse uppgifter i ett avläsningsbart informationssystem
Av definitionen av hemlig dataavläsning bör även framgå var de uppgifter som ska läsas av ska finnas. I många fall är föremålet för åtgärden upp- gifter i fysisk utrustning, t.ex. en dator eller en mobiltelefon, men även icke-fysisk utrustning, t.ex. ett användarkonto till en kommunikations- eller lagringstjänst på internet, kan vara av stort intresse i den brottsbe- kämpande verksamheten. Eftersom behovet är lika stort oavsett var upp- gifterna finns och integritetsintrånget typiskt sett är detsamma oberoende av hur och var informationen lagras saknas det skäl att inte tillåta avläsning av uppgifter som finns tillgängliga via användarkonton. En annan sak är att integritetsintrånget kan variera högst väsentligt beroende på vad för slags information det är fråga om (se vidare avsnitt 9.4 om proportiona- litet). Regeringens förslag innebär därför, i likhet med utredningens, att hemlig dataavläsning ska få användas även beträffande sådana uppgifter, varför beskrivningen av åtgärden måste inbegripa även dem.
Prop. 2019/20:64
104
Några remissinstanser, bl.a. Myndigheten för samhällsskydd och bered-
skap, är kritiska till begreppet informationssystem som utredningen före-
slår eftersom det redan används i andra sammanhang på ett sätt som inte stämmer överens med hur det används i den nu föreslagna lagen. Myndig- heten förordar i stället begreppet avläsningsbart informationssystem. Regeringen instämmer i att ett avläsningsbart informationssystem bättre beskriver vad som avses. Genom begreppet anser regeringen att det inte finns något behov av att ange att informationssystemet ska vara vare sig identifierbart, som utredningen föreslår, eller identifierat, vilket Säkerhets-
och integritetsskyddsnämnden föreslår.
Enligt Lagrådet riskerar definitionen av hemlig dataavläsning att ge upphov till oklarheter och missuppfattningar när det gäller vilket avläs- ningsbart informationssystem som avses: det som används av den som är föremål för tvångsmedlet eller myndighetens. I detta sammanhang vill re- geringen förtydliga att det tekniska hjälpmedel som myndigheterna an- vänder skiljer sig från det avläsningsbara informationssystem som avses i definitionen. Det senare innehåller de uppgifter som myndigheterna be- höver tillgång till. Det förra är ett hjälpmedel för att bereda sig tillgång till informationen i det avläsningsbara informationssystemet. Det finns enligt regeringens mening inte anledning att i lagtexten närmare specificera vem det tillhör.
Nedan redovisas vad som omfattas av begreppet avläsningsbart informa- tionssystem.
Ett avläsningsbart informationssystem kan vara antingen elektronisk kommunikationsutrustning eller användarkonton till vissa tjänster
Avläsningsbara informationssystem av fysisk karaktär kan vara t.ex. datorer, mobiltelefoner, surfplattor, smarta armbandsur och servrar. Utred- ningen föreslår att det ska beskrivas med begreppet elektronisk kommuni- kationsutrustning. Fördelen med det är att det redan används i bestämmel- serna om hemliga tvångsmedel (se t.ex. 27 kap. 19 § RB och 1 § inhämt- ningslagen) och i förundersökningssammanhang (se t.ex. 23 kap. 9 a § RB). Regeringen har i propositionen Förstärkt rättssäkerhet och effektivi- tet i förundersökningsförfarandet (prop. 2015/16:68 s. 74) förtydligat att begreppet anses omfatta all slags utrustning som kan användas för att kommunicera elektroniskt. Det framstår sammantaget som lämpligt att an- vända begreppet elektronisk kommunikationsutrustning för att beskriva vad ett informationssystem i lagens mening kan vara, när det är fråga om fysisk utrustning. En tydligare definition av vilken utrustning hemlig data- avläsning kan riktas mot, som Lunds universitet (Juridiska fakulteten) efterfrågar, är enligt regeringens bedömning inte möjlig att utforma då det är angeläget att lagstiftningen hålls så teknikneutral som möjligt för att kunna omfatta såväl dagens som framtidens teknik.
Som anges i det föregående bör det finnas en möjlighet att tillåta hemlig dataavläsning även för uppgifter i informationssystem som inte i sig utgör elektronisk kommunikationsutrustning. De informationssystem som det då är fråga om är främst internetbaserade kommunikations- eller lagrings- tjänster. De är visserligen uppbyggda genom fysisk utrustning och infra- struktur som den som tillhandahåller tjänsterna förfogar över. Det rele- vanta i sammanhanget är dock den enskildes användning av själva tjäns-
105 Prop. 2019/20:64 terna. De brottsbekämpande myndigheternas tillgång till uppgifter i sådana
tjänster måste därför begränsas till de delar av informationssystemet som den som utsätts för åtgärden har behörighet till. I Norge, som har regler motsvarande hemlig dataavläsning, har detta hanterats genom att de brotts- bekämpande myndigheterna enligt en uttrycklig bestämmelse kan få tillstånd att rikta hemlig dataavläsning mot ett specifikt användarkonto ”brukerkonto” till en kommunikations- eller lagringstjänst.
När de relevanta uppgifterna finns i ett avläsningsbart informationssys- tem, bör hemlig dataavläsning endast få avse det som är avgränsat till den enskilde användaren. Med ett avläsningsbart informationssystem ska alltså också kunna avses ett användarkonto eller en på motsvarande sätt av- gränsad del av en viss tjänst. Med användarkonto avses typiskt sett en egen personlig sida på ett socialt medium, en applikation för snabbmeddelanden eller på ett internetforum. En på motsvarande sätt avgränsad del av en viss tjänst är ett teknikneutralt begrepp som bör täcka sådana fall där den en- skilde använder en tjänst med inloggningsuppgifter som flera har tillgång till, utan ett bestämt användarkonto (t.ex. inloggning till tjänster som före- tag erbjuder sina anställda eller som högskolor erbjuder sina studerande).
De tjänster som kan vara relevanta vid hemlig dataavläsning bör av- gränsas till kommunikations- och lagringstjänster och liknande tjänster. Kommunikationstjänster innefattar t.ex. tjänster för samtal och sms- meddelanden. Även andra liknande tjänster som t.ex. webbmejl och andra typer av samtals- och meddelandetjänster bör kunna bli föremål för hemlig dataavläsning. Lagringstjänster kan t.ex. vara sådana tjänster som möjlig- gör lagring av data på annan plats än i den egna elektroniska kommu- nikationsutrustningen, s.k. molntjänster.
Det torde också finnas andra tjänster som innefattar kommunikations- eller lagringsmöjligheter även om det inte är det primära syftet med tjänsten. Detta kan t.ex. avse en chatt- eller meddelandefunktion i en app- likation som huvudsakligen har ett annat syfte, t.ex. spel. Om ett användar- konto på en sådan tjänst är av intresse för de brottsbekämpande myndig- heterna i ett särskilt ärende bör det inte vara uteslutet att läsa av eller ta upp uppgifter som finns i tjänsten. Således bör även tjänster som liknar lagringstjänster, utan att primärt vara det, omfattas av möjligheterna till hemlig dataavläsning. Till skillnad från bl.a. Svea hovrätt och Data-
inspektionen anser regeringen att definitionerna är tillräckligt tydliga och
förutsebara.