Lagen om hemlig dataavläsning

POLICIES

Senast uppdaterad: 25 maj 2020


Read in English: Swedish Covert Surveillance of Data Act

Nedan följer en sammanfattande allmän redogörelse för delar av den nya lagen om hemlig dataavläsning som baseras på förarbetena till den nya lagen.

Notera att sammanställningen inte är uttömmande och endast har till avsikt att du som användare ska få en viss övergripande allmän förståelse för den nya lagen och förstå varför Mullvad VPN inte omfattas av den nya lagen. Sammanställningen är inte avsedd och ska inte användas som professionell juridisk rådgivning i något avseende. All användning av innehållet sker på egen risk.

Introduktion

Polisen och andra brottsbekämpande myndigheter har i dagsläget möjlighet att använda sig av flera olika hemliga tvångsmedel. Den kraftigt ökade användningen av kryptering via internet har medfört svårigheter för de brottsbekämpande myndigheterna att använda dessa olika hemliga tvångsmedel.

Över 90 procent av den avlyssnade internettrafiken är krypterad vilket innebär att de brottsbekämpande myndigheterna, i dagsläget, endast kan avläsa mindre än tio procent av datakommunikationen som faktiskt får avlyssnas eller övervakas. För att komma till bukt med detta problem har den svenska riksdagen antagit regeringens förslag till lag om hemlig dataavläsning.

Lag (2020:62) om hemlig dataavläsning kommer att träda i kraft den 1 april 2020. Lagen är en tidsbegränsad lag som kommer att gälla i fem år och upphör den sista mars 2025. Därefter ska lagen utvärderas.

Hemlig dataavläsning ska endast få användas av brottsbekämpande myndigheter i vissa förundersökningar, i underrättelsesyfte och vid särskild utlänningskontroll. Vidare ska hemlig dataavläsning bara få användas efter tillstånd vid skälig misstanke om särskilt grov brottslighet eller för att utreda vem som kan vara skäligen misstänkt för ett sådant brott.

Lagens tillämpningsområde

Lagen innebär att brottsbekämpande myndigheter, efter att beviljats tillstånd, ska ha rätt att via avläsning eller upptagning i hemlighet med tekniskt hjälpmedel (mjukvara såväl som hårdvara) ta del av uppgifter avsedda för automatiserad behandling i ett informationssystem. Med informationssystem avses elektronisk kommunikationsutrustning (såsom datorer, mobiltelefoner eller läsplattor m.m.) eller ett användarkonto till, eller en på motsvarande sätt avgränsad del av, en kommunikationstjänst, lagringstjänst eller liknande tjänst.

Avläsningen får göras genom direkt tillgång till informationssystemet eller i ett angränsande informationssystem såsom via en dator som ger tillgång till uppgifter i en annan dator. Åtgärden avser en riktad insats mot ett visst informationssystem vilket innebär att åtgärden endast kommer att omfatta uppgifter som finns i just det informationssystemet.

Uppgifterna måste inte finnas i ett avläsningsbart informationssystem vid tidpunkten för tillståndsprövningen utan inhämtning av kommunikationsavlyssningsuppgifter kan även avse framtida samtal som först senare blir avsedda för automatiserad behandling (t.ex. när ett telefonsamtal genomförs eller meddelande skickas).

Den verkställande myndigheten kan även efter ett beviljat tillstånd till hemlig dataavläsning aktivera t.ex. en mobiltelefons inspelningsfunktion. Det är endast vissa typer av uppgifter som får läsas av eller tas upp (se 2 §).

Tillstånd till hemlig dataavläsning får endast beviljas för att läsa av eller ta upp följande typer av uppgifter:

  1. kommunikationsavlyssningsuppgifter,
  2. kommunikationsövervakningsuppgifter,
  3. platsuppgifter,
  4. kameraövervakningsuppgifter,
  5. rumsavlyssningsuppgifter,
  6. uppgifter som finns lagrade i ett avläsningsbart informationssystem som inte avses i punkterna 1-5, eller
  7. uppgifter som visar hur ett avläsningsbart informationssystem användas men som inte avses i punkterna 1-6.

Ett tillstånd till hemlig dataavläsning innebär inte att samtliga uppgiftstyper får läsas av eller tas upp, utan det krävs särskilt uttryckligt tillstånd för var och en av uppgiftstyperna.

Ett tillstånd om hemlig dataavläsning får endast beviljas om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den som åtgärden riktas mot eller för något annat motstående intresse (se 3 §). Detta innebär att en proportionalitetsprövning behöver utföras, i varje enskilt fall, för att avgöra om hemlig dataavläsning ska tillåtas.

Vid proportionalitetsprövningen ska eventuella risker som åtgärden medför för informationssäkerhet och företagshemligheter eller annan känslig information, beaktas.

Eventuella risker kan vara att den brottsbekämpande myndigheten kan få del av uppgifter som helt saknar betydelse för det ärende som åtgärden avser, att uppgifter förväntas vara av en särskilt känslig karaktär eller att myndigheten får del av uppgifter från personer som inte omfattas av ärendet. I sådana fall kan det aktuella tillståndet begränsas till endast vissa uppgifter.

Hemlig dataavläsning under en förundersökning

För att beviljas tillstånd till hemlig dataavläsning i en förundersökning måste det finnas en koppling mellan det avläsningsbara informationssystemet och den misstänkte. Det kan således innebära att den misstänkte använder det avläsningsbara informationssystemet eller att det annars finns särskild anledning att anta att denne har använt eller kommer att använda det.

Om flera personer gemensamt använder ett konto till en tjänst kan hemlig dataavläsning ske om den misstänkte är en av dem som använder kontot.

Därtill kan hemlig dataavläsning beviljas för avläsning eller upptagning av sådana uppgifter i ett annat avläsningsbart informationssystem än ett som den misstänkte använder, om det finns synnerlig anledning att anta att den misstänkte, under den tid som tillståndet avser, har kontaktat eller kommer att kontakta det andra informationssystemet.

Hemlig dataavläsning utanför en förundersökning

Tillstånd till hemlig dataavläsning får beviljas utanför en förundersökning om det finns påtaglig risk för att en person kommer att utöva sådan brottslig verksamhet som anges i 1 § preventivlagen (exempelvis spioneri och terroristbrott).

Tillstånd får även beviljas om det finns en påtaglig risk för att det inom en organisation eller grupp kommer att utövas sådan brottslig verksamhet som anges i 1 § preventivlagen. Därtill måste det kunna befaras att en person som tillhör eller verkar för organisationen eller gruppen medvetet kommer att främja denna verksamhet.

Vidare får hemlig dataavläsning även användas utanför en förundersökning när det finns förhållanden som kan ligga till grund för beslut om hemliga tvångsmedel enligt lagen (1991:572) om särskild utlänningskontroll (LSU-fall) då det exempelvis finns ett utvisningsbeslut enligt lagen om särskild utlänningskontroll eller att det finns ett avvisnings- eller utvisningsbeslut enligt utlänningslagen (2005:716) eller motsvarande äldre bestämmelser.

Tillstånd till hemlig dataavläsning kan även beviljas om åtgärden är av synnerlig vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott enligt 2 § lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (exempelvis spioneri eller kapning).

I dessa fall ställs det inte några krav att informationssystemet ska kunna kopplas till en viss person och avläsning eller upptagning av kommunikationsövervakning får endast avse uppgifter och meddelanden i förfluten tid som redan överförts (meddelanden i realtid omfattas således inte).

Förbud mot hemlig dataavläsning  tystnadsplikt

Ett tillstånd om hemlig dataavläsning får inte avse ett avläsningsbart informationssystem som stadigvarande används

i) i verksamhet där tystnadsplikt gäller enligt 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen,

ii) i verksamhet som bedrivs av advokater, läkare, tandläkare, barnmorskor, sjuksköterskor, psykologer, psykoterapeuter eller familjerådgivare enligt socialtjänstlagen (2001:453), eller

iii) av präster inom trossamfund eller av dem som har motsvarande ställning inom sådana samfund, i verksamhet för bikt eller enskild själavård.

För att hemlig dataavläsning inte ska tillåtas ska informationssystemet stadigvarande användas eller vara särskilt avsett att användas i en av ovan angiven verksamhet. Det innebär att systemet är en beständig del av verksamheten och att det används i någon av dess syften eller att det är särskilt avsett att användas i verksamheten.

Det är således inte arbetsplatsen som fysiskt sett är avgörande för om informationssystemet kan bli föremål för hemlig dataavläsning utan om informationssystemet stadigvarande används eller är särskilt avsett att användas i de angivna verksamheterna.

Tillåtna tekniska metoder

Efter att ett tillstånd till hemlig dataavläsning beviljats får de tekniska hjälpmedel som behövs för avläsningen och upptagningen användas. Om det är nödvändigt får systemskydd brytas och kringgås och tekniska sårbarheter utnyttjas (se 22 §).

Enligt förarbeten till lagen kan det exempelvis vara fråga om inloggning på en tjänst genom användande av inloggningsuppgifter som blivit kända för den brottsbekämpande myndigheten eller mer tekniska avancerade åtgärder. En myndighet kan exempelvis verkställa hemlig dataavläsning genom att installera en programvara eller installation av ett fysiskt föremål på ett avläsningsbart informationssystem.

Skyldighet för vissa aktörer att medverka

Den som bedriver anmälningspliktig verksamhet enligt 2 kap. 1 § lagen (2003:389) om elektronisk kommunikation (”LEK”) är på begäran av den verkställande myndigheten skyldig att medverka i samband med verkställighet av hemlig dataavläsning.

Det innebär att aktörer som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster träffas av medverkansansvaret. Sådana tjänster kan exempelvis vara operatörer av mobiltelefoni och internet.

Operatören kan således behöva hjälpa till och identifiera vilka tjänster en specifik användare har och vilka förbindelser som används, ge råd om vilka tekniska hjälpmedel som kan användas, tillhandahålla möjlighet att installera tekniska hjälpmedel i operatörens nät för verkställighet eller bistå med annat likande stöd.

Slutsatser

1. Vilken betydelse har lagen för användare av tjänsten Mullvad?

För användare av VPN-tjänster innebär den nya lagen om hemlig dataavläsning att brottsbekämpande myndigheter har möjlighet att installera ett tekniskt hjälpmedel i exempelvis en misstänkts utrustning såsom dator eller mobiltelefon som skulle kunna ge information om innehållet i kommunikation innan den krypteras med VPN eller läses genom tillgång till användarens datorskärm via fjärrstyrning (i realtid).

Den brottsbekämpande myndigheten tar således del av informationen innan den de facto krypteras (om det inte sker via exempelvis fjärrstyrning av någon enhet).

I de fall en organisation som omfattas av tystnadsplikt använder sig av Mullvad som en beständig del av verksamheten och om tjänsten används i någon av verksamhetens syften eller att tjänsten är särskilt avsett att användas i verksamheten, finns det ingen möjlighet för brottsbekämpande myndigheter att kunna beviljas tillstånd om hemlig dataavläsning mot uppgifter innan de krypteras av tjänsten (eller via exempelvis fjärrstyrning).

Notera att brottsbekämpande myndigheter kan komma att utnyttja tekniska sårbarheter i såväl mjukvara som hårdvara.

2. Vilken betydelse har lagen för tjänsten Mullvad?

Mullvad kan inte åläggas en skyldighet att medverka vid verkställighet av ett beslut om hemlig dataavläsning då VPN-tjänster inte är en anmälningspliktig verksamhet enligt 2 kap. 1 § LEK.

Varför är VPN-tjänster inte att anse som en anmälningspliktig verksamhet enligt 2 kap. 1 § LEK?

I förarbetena till LEK har angivits att VPN kan ske över ett allmänt kommunikationsnät men att det inte gör att den som tillhandhåller VPN är skyldig att särskilt anmäla verksamheten enligt LEK. Det är den som tillhandahåller det allmänna kommunikationsnätet som är anmälningspliktig för detta (om det tillhandhålls mot ersättning).

Det framgår även av utredningen om datalagring och EU-rätten (SOU 2017:75) som tillkom efter det att datalagringsdirektivet ogiltigförklarades och Tele2-domen att lagringsskyldighet enligt LEK inte omfattar lagring av uppgifter om anonymiseringstjänster (dvs VPN-tjänster) som aktiveras först efter internetåtkomst.

Mullvad omfattas därmed varken av datalagringsbestämmelserna i LEK för anmälningspliktig verksamhet eller medverkansskyldigheten enligt lagen om hemlig dataavläsning.