Skribent: Petra Lundh
Södertörns tingsrätt, 16 november, 2017

Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet

hemlig dataavläsning

En effektiv brottsbekämpning kräver att de brottsbekämpande myndigheterna har tillgång till effektiva verktyg. Förra hösten skrev jag ett inlägg här på Domarbloggen om hemliga tvångsmedel i våra domstolar. Då berättade jag också att jag, tillsammans med experter bland annat från Åklagarmyndigheten, Polismyndigheten, Säkerhetspolisen och Sveriges advokatsamfund, hade fått regeringens uppdrag att undersöka om ett nytt hemligt tvångsmedel kallat hemlig dataavläsning (HDA) ska införas i Sverige. I uppdraget ingick bland annat att ta reda på om de brottsbekämpande myndigheterna har ett behov av att använda HDA och om det skulle vara en effektiv metod för att bekämpa terroristbrottslighet och andra allvarliga brott. Vi skulle också undersöka om ett starkt skydd för den personliga integriteten ger utrymme för att tillåta HDA och ta ställning till om det i så fall är lämpligt. Oavsett vad vi skulle komma fram till ingick i uppdraget att lämna ett förslag till lagstiftning om HDA.

Nu är vi klara med vårt uppdrag och i dag har jag lämnat betänkandet (rapporten) Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89) till justitie- och inrikesminister Morgan Johansson. Vi föreslår där att det införs en ny lag om HDA som ska gälla i fem år. Att en ny lag om tvångsmedel tidsbegränsas är vanligt och beror på att en utvärdering av lagstiftningen ska kunna göras innan man bestämmer om lagen ska fortsätta att gälla och om justeringar i så fall behöver göras.
Uppdraget har varit svårt och innehållit många komplicerade och komplexa frågeställningar av både teknisk och lagstiftningsmässig natur.

Vad är hemlig dataavläsning?

Det finns sedan tidigare ingen fastslagen definition av vad HDA är. Vi har definierat HDA som en metod där man i hemlighet, med ett tekniskt hjälpmedel, läser av eller tar upp uppgifter som är avsedda för automatiserad behandling i ett informationssystem. Med ett informationssystem menar vi antingen

  • elektronisk kommunikationsutrustning, till exempel datorer, mobiltelefoner och läsplattor, eller
  • ett användarkonto till, eller en på motsvarande sätt avgränsad del av, en kommunikationstjänst, lagringstjänst eller likande tjänst, till exempel ett e-postkonto.

Används hemlig dataavläsning i andra länder?

I många andra länder finns lagstiftning som möjliggör HDA eller en motsvarighet till metoden. Danmark var det första av de nordiska länderna som införde metoden. Det skedde redan 2002 då det där infördes lagregler om dataaflæsning. Även i Finland och Norge finns bestämmelser om metoder som motsvarar HDA.

Varför behövs hemlig dataavläsning?

Under de senaste åren har den tekniska utvecklingen liksom brotts- och samhällsutvecklingen i övrigt lett till att de brottsbekämpande myndigheterna inte längre kan ta del av många av de uppgifter som man tidigare fick del av genom användande av straffprocessuella tvångsmedel som hemlig avlyssning eller hemlig övervakning av elektronisk kommunikation. Framför allt är det den kraftigt ökade användningen av kryptering som är orsaken till detta. Idag är till exempel mer än 90 procent av den avlyssnade internettrafiken krypterad. Det innebär alltså att de brottsbekämpande myndigheterna faktiskt bara kan ta del av mindre än tio procent av den datakommunikation som får avlyssnas eller övervakas. Även utrustning, till exempel datorer och mobiltelefoner, krypteras eller lösenordskyddas i allt högre utsträckning. En annan orsak till utvecklingen är anonymisering. Anonymisering sker t. ex. då någon använder ett WiFi-nätverk eller särskilda anonymiseringstjänster som medför att det i princip blir omöjligt att upptäcka och identifiera en persons aktiviteter på internet.
Vi har mot denna bakgrund gjort bedömningen att det finns ett starkt behov av nya och bättre metoder för att de brottsbekämpande myndigheterna i hemlighet ska kunna komma åt uppgifter som redan i dag får hämtas in samt vissa andra uppgifter. Till grund för den bedömningen ligger också de kriminellas medvetenhet om hur nuvarande metoder fungerar liksom andra svårigheter att i vissa fall verkställa hemliga tvångsmedel. Behovet finns både i det brottsutredande och det brottsförhindrande arbetet.

Är hemlig dataavläsning en effektiv metod för att bekämpa terroristbrottslighet och annan allvarlig brottslighet?

HDA är resurskrävande. Metoden kommer inte att kunna användas i alla de fall där det finns ett behov av den. När HDA kan genomföras förväntas den leda till betydligt bättre information än vad dagens metoder gör. Den bör därför i första hand användas i kampen mot den allra allvarligaste brottsligheten. I de fallen är vår bedömning att HDA är en effektiv metod.

Frågor om integritet och proportionalitet

Vår integritetsriskanalys har utgått från i vilken utsträckning HDA kan medföra ökade risker för den personliga integriteten jämfört med dagens ordning. Slutsatsen är att HDA i flera avseenden innebär att riskerna för enskildas personliga integritet ökar. De tre allvarligaste riskerna som vi har identifierat är att HDA

  • skulle kunna medföra en närmast fullständig kartläggning och övervakning av den person som utsätts för åtgärden om inte tydliga begränsningar görs
  • om metoden används för att optiskt övervaka eller avlyssna personer skulle den kunna medföra en mycket långtgående övervakning om inte tydliga begränsningar görs
  • skulle kunna innebära att informationssäkerheten utanför den tekniska utrustning som åtgärden avser minskar om inte särskilda krav ställs upp.

Vi har vägt de risker som metoden för HDA i sig innebär och riskerna som finns med att alls tillåta inhämtning av de olika typer av uppgifter som HDA kan ge tillgång till mot intresset av en effektiv brottsbekämpning och det starka behov som finns av nya och bättre metoder för att samla in betydelsefull information. Slutsatsen är att det är proportionerligt att införa regler om HDA under förutsättning att reglerna balanserar de ökade integritetsriskerna och riskerna för informationssäkerheten som kan uppstå med HDA.

Vad innebär vårt förslag?

Vårt förslag innebär i huvudsak följande.

  • HDA får endast användas som en riktad åtgärd, till exempel mot uppgifter i en misstänkt persons telefon. Metoden får bara användas när ett mycket allvarligt brott har begåtts eller för att förhindra mycket allvarlig brottslighet.
  • Domstol ska alltid pröva frågor om tillstånd till HDA. Tillstånd får endast lämnas om det är proportionerligt i det enskilda fallet. Den som beslutar om HDA ska också besluta om avgränsningar för åtgärden, bland annat vilken typ av uppgifter som får läsas av. De uppgifter som det kommer att bli möjligt att få tillstånd till att läsa av är
  1. uppgifter som i dag får hämtas in med hemlig avlyssning av elektronisk kommunikation, dvs. innehåll i meddelanden
  2. uppgifter som i dag får hämtas in om meddelanden, så kallad metadata, genom till exempel hemlig övervakning av elektronisk kommunikation
  3. uppgifter som i dag får hämtas in om var en viss kommunikationsutrustning finns eller har funnits, lokaliseringsuppgifter, som i dag får hämtas in genom till exempel hemlig övervakning av elektronisk kommunikation
  4. uppgifter som optisk personövervakning kan ge och som i dag får hämtas in genom hemlig kameraövervakning
  5. uppgifter som avser tal i enrum, samtal mellan andra eller förhandlingar vid sammanträden eller andra sammankomster som allmänheten inte har tillträde till och som i dag får hämtas in genom hemlig rumsavlyssning
  6. uppgifter som finns lagrade i ett informationssystem men som inte avses i 1-5 (sådana uppgifter kan i dag hämtas in vid enstaka tillfällen efter beslut om husrannsakan eller beslag)
  7. uppgifter som visar hur ett informationssystem används men som inte kan läsas av eller tas upp enligt 1-6.

HDA blir alltså i praktiken i de allra flesta fall ett nytt sätt att verkställa andra hemliga tvångsmedel. Metoden får aldrig användas för mindre allvarliga brott än sådana som kan leda till tillstånd till hemlig avlyssning av elektronisk kommunikation (normalt brott med ett minimistraff på två års fängelse). Om HDA ska användas för att samla in rumsavlyssningsuppgifter (punkten 5) måste brottet kunna leda tilltillstånd till hemlig rumsavlyssning (normalt brott med ett minimistraff på fyra års fängelse).

  • HDA får aldrig avse uppgifter i informationssystem som stadigvarande används i vissa verksamheter som tystnadsplikt gäller för, till exempel advokatverksamheter och medieverksamheter.
  • Efter beslut om HDA får de tekniska hjälpmedel som behövs för avläsningen användas. Det kan till exempel vara mjukvara som installeras i en dator eller mobiltelefon för att de brottsbekämpande myndigheterna ska kunna ta del av information innan den krypteras. Det kan också vara hårdvara som placeras i eller vid en dator för att till exempel ta reda på lösenord. De brottsbekämpande myndigheterna får kringgå skydd och utnyttja sårbarheter i samband med verkställighet.
  • Tekniken som används måste vara anpassad efter tillståndet så att det inte är möjligt att läsa av eller ta upp någon annan typ av uppgift än den som tillståndet avser.
  • För att skydda informationssäkerheten ska en särskilt utsedd person ansvara för verkställigheten av HDA. Denna person ska vidta nödvändiga och tillräckliga åtgärder för att informationssäkerheten utanför det informationssystem som tillståndet avser inte åsidosätts, minskas eller skadas till följd av metoden.
  • Motsvarande rättssäkerhetsgarantier som gäller enligt nuvarande regler om hemliga tvångsmedel, till exempel avseende användning av överskottsinformation (information om annan brottslighet än tillståndet avser) och underrättelse till den som varit utsatt för tvångsmedlet, ska gälla för HDA.
  • Säkerhets- och integritetsskyddsnämnden ska utöva tillsyn.
  • Operatörer ges möjlighet, men inte en lagstadgad skyldighet, att medverka vid verkställighet. En operatör som medverkar har rätt till ersättning.
  • Regler om hemlig dataavläsning ska också tas in i lagar som reglerar det internationella rättsliga samarbetet.

Lagen om hemlig dataavläsning föreslås träda i kraft den 1 januari 2019 och tidsbegränsas att gälla till och med den 31 december 2023.
Jag och expertgruppen har varit eniga om huvuddragen i förslaget. I enskildheter har vissa av experterna haft en annan uppfattning än den som kommer till uttryck i rapporten. De avvikande uppfattningarna finns med som bilaga till rapporten i två så kallade särskilda yttranden.

Vad händer nu?

Nu kommer förslaget om HDA att skickas ut på remiss till domstolar, myndigheter och berörda organisationer för att de ska kunna lämna sina synpunkter på förslaget. Det brukar ta ungefär tre månader. Regeringskansliet kommer därefter att gå igenom och ta om hand synpunkterna och bereda förslaget ytterligare. Efter det bestämmer regeringen om den vill gå vidare med förslaget. I så fall tas en lagrådsremiss fram och slutligen läggs en proposition i riksdagen.
Vi i utredningen fortsätter nu vårt arbete med en annan fråga. Vi har fått ett tilläggsuppdrag att analysera och ta ställning till om tillstånd till hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation kan knytas enbart till en misstänkt i stället för, som i dag, till ett telefonnummer, annan adress eller en viss elektronisk kommunikationsutrustning (Dir. 2017:102). Det kommer säkert bli tillfälle för mig att framöver i denna blogg skriva några rader om hur det går såväl med denna fråga som med förslaget om HDA.
Hemliga tvångsmedel i våra domstolar | Domarbloggen
Hur blir en lag till? | Domarbloggen
Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet – Regeringen.se

Petra Lundh
Södertörns tingsrätt
16 november, 2017