You are on page 1of 30

dataskydd.

net
ORG .NR 80249 5- 4797 H T TPS: // DATAS KY D D. N ET O R G . N R 80 2461 - 0 8 52 HT T PS : / / W W W. D F R I . S E

IN FO@DATASKY DD. NET D F R I @ D F R I .S E

Dataskydd.net Sverige DFRI


Alsngatan 18 Box 3644
116 41 Stockholm 103 59 Stockholm

mottagar e : Utredningen om moderna regler om beslag och husrannsakan,


Justitiedepartementet, 103 33 Stockholm

Inlaga till Ju 2016:08

Inledning
X
Freningen fr digitala fri- och rttigheter r en ideell organisation med syf e
att att frmja digitala fri- och rttigheter och verka mot censur och inskrnkning
av yttrandefrihet och personlig integritet.1 Dataskydd.net r en ideell organisa-
tion med syf e att verka fr informerade beslut om lagstif ning och teknologi
i enlighet med de grundlggande rttigheterna till dataskydd och personlig
integritet.2 Detta r ett gemensamt bidrag till utredarens arbete att hitta ett
modernt ramverk fr husrannsakan.
Utredningsuppdraget har en digital karaktr. Utredningen har att ta stllning
till nya former av husrannsakan och strre befogenheter att vid husrannsakan
samla in information. Vi lgger srskild vikt vid konsumenters svaga stllning
i elektroniska miljer och rtten till identitet som en frlngning av rtten till
privatliv och dataskydd.
Konsumenter har genom en allt mer komplicerad avtalsrtt och EU-rtten
blivit lagda den juridiska risken fr bde nansiella transaktioner och sina
egna identitetsuppgif er i elektroniska miljer. I sitt IT-skerhetsarbete har
lagstif aren underprioriterat konsumenters och enskildas mjlighet till integritet
och tillfrlitlighet i IT-system.3
ven rttspolitik som formellt uppfyller kraven i de olika internationella
konventioner som Sverige r bundna av pverkar konsumenters mjligheter att
nyttja och fretags incitament att utveckla skra och anvndarvnliga produkter.
Vr mening r att myndigheter inte ska bidra eller riskera bidra till smre fr-
utsttningar fr teknisk skerhet i IT-system. De br inte heller skapa negativa
incitament fr privat sektor att ha en s hg niv fr teknisk skerhet fr indivi-
der som r ekonomiskt mjlig. Om lagstif aren vill frsmra mjligheterna fr
teknisk skerhet s ska lagstif aren kompensera konsumenter och enskilda med
juridisk skerhet.
1 https://www.dfri.se/dfri/stadgar/
2 https://dataskydd.net/om
3 Axel M. Arnbak. Securing private communications: Protecting private communications
security in EU law: fundamental rights, functional value chains and market incentives doktorsav-
handling, Universiteit van Amsterdam, 2015.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
2

I frga om verskottsinformation och beslag gr vi en distinktion mellan det


allmnnas och allmnhetens intressen av rtten till integritet. Vi formulerar, i
enlighet med den utveckling som har skett i Europa och USA, rtten till integri-
tet som en rtt till identitet och sjlvstndig identitetsutveckling. Utifrn denna
uppfattning om integritetsbegreppet utvecklar vi krav fr hur man ska hantera
verskottsinformation, tillstnd fr husrannsakan, samt kopiering, lagring och Dir 2016:20.
gallring av information som de brottsbekmpande myndigheterna frvrvar
eller riskerar att frvrva. Vi kopplar detta till en brist p kontrollmekanismer
fr myndigheternas verksamhet i elektroniska miljer.
Vrt dokument fljer fljande struktur: begreppsde nitioner (s. 2), ngot
om kontrollmekanismer fr svenska myndigheter i digitala miljer (s. 3), konsu-
mentrttigheter (s. 4), upphandlingar av digitala verktyg fr brottsbekmpning
(s. 15), teknisk utveckling och individuell skerhet (s. 11), verskottsinformation
och digitala identiteter (s. 20) samt frslag (s. 23). Texten r skriven fr att vara
lsbar bde av den som saknar fregende teknisk kunskap och den som sak-
nar fregende juridisk kunskap. I avdelningen Kllhnvisningar p s. 25 nns
samtliga kllor organiserade ef er typ och i alfabetisk ordning.

Genomgng av viktiga begrepp


Vi gr skillnad mellan teknisk skerhet och juridisk skerhet.
Teknisk skerhet innefattar tekniska funktioner: funktioner som kan kon- Teknisk skerhet.
strueras, upp nnas och omsttas p en marknad. En brist p teknisk skerhet
gr till exempel att man kan utfra kort-skimning (kopiera magnetremsan p ett
kreditkort), stjla inloggningsuppgif er, infektera en privatpersons dator med
virus, trojaner, och dylikt.
Juridisk skerhet innefattar konsumentinformation, riskfrdelning, pro- Juridisk skerhet.
duktansvar, och frgestllningar om bevisbrda, till exempel vid tvister om vad
ett avtal har sagt eller huruvida en produkt fungerat s som en konsument eller
privatperson frvntat sig.
Vr frstelse av begreppet rttsskerhet fljer Tormod Otter Johansens Rttsskerhet.
och Sebastian Wejedals kartlggning av rttsskerhetsbegreppet enligt artikel 6
Europakonventionen.4
Att hacka, beg dataintrng, genomfra hemlig dataavlsning, husrannsakan Sanktionerade dataintrng.
i en dator, husrannsakan p distans och o fensiv IT-skerhet anvnds omvxlan-
de fr att beskriva samma tekniska funktioner, nmligen att man utan lov frn
innehavaren av en viss elektronisk utrustning bereder sig tillgng till funktioner
(s som att ndra, lsa, spela in, ta bort, kopiera, radera eller manipulera data,
ler, eller programvaror) p utrustningen. Vi kommer att anvnda begreppet
sanktionerade dataintrng som samlingsterm fr samtliga dessa begrepp.
En srbarhet i ett IT-system, ven kallat bugg eller skerhetshl, r ett Srbarhet.
skerhetsfel som gr det mjligt att utnyttja IT-systemet p ett stt det inte r
tnkt (till exempel att ngon kommer t funktioner i systemet olovligen).
Att tgrda en srbarhet betyder att man ser till att srbarheten inte lngre tgrda en srbarhet.
kan anvndas fr att bereda tillgng till funktioner olovligen. Det innebr of ast
att man skriver om programkoden som anvnds fr att styra IT-systemet, men
4 Tormod Otter Johansen och Sebastian Wejedal, Mot ett funktionellt domstolsbegrepp Ett
bidrag med anledning av den s kallade Frsvarsunderrttelsedomstolen, SvJT 2016 s. 10 (fotnot
190 i del I) respektive s. 191 (s. 17 i del II).
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
3

kan ocks innebra till exempel att man gr en ny och bttre standard fr den
bakomliggande utrustningen.
0-day r ett tekniskt begrepp som beskriver en metod att utnyttja tidigare 0-day.
oknda srbarheter i IT-system, som p grund av att de inte tidigare r knda
drfr inte heller har tgrdats. Ordet 0-day anvnds ocks fr att beskriva en
tidigare oknd metod att utnyttja en tidigare knd srbarhet, som p grund av
att srbarheten inte uppfattats som skerhetskritisk kanske inte har tgrdats.
Metoder fr att utnyttja srbarheter r det svenska begrepp vi kommer att Metoder fr att utnyttja srbarheter.
anvnda fr att beskriva det som p engelska kallas exploits. Dessa metoder
kan begagna sig av redan knda srbarheter (vilket r normalfallet), eller tidigare
oknda srbarheter (i vilket fall metoden r en 0-day).
Vi rekommenderar utredaren att gra tskillnad mellan sdana srbarheter
och metoder fr att utnyttja srbarheter som privatpersoner och fretag har
haf en mjlighet att tgrda, och sdana srbarheter och metoder fr att ut-
nyttja srbarheter som privatpersoner och fretag inte har haf en mjlighet att
tgrda.

Internet r vilda vstern fr brottsbekmpande myndigheter


Idag framstr det som att de brottsbekmpande myndigheterna antar att det
som inte r uttryckligen frbjudet skulle vara tilltet. Till exempel kan polisen
be datorkunniga individer att hacka sig in i ngons Facebook-konto,5 och om
polisen inte har ftt lagstif arens std fr att genomfra en viss sorts myndig-
hetsutvning (till exempel begra ut e-postmeddelanden frn Hotmail) kan
polisen genom avtal med de fretag som r villiga att hjlpa polisen genomfra
aktiviteter lagstif aren inte ansett att polisen har behov av.6
Polisen har framtrtt i svensk riksmedia med kritik mot fretag som inte
samarbetar med polisen utanfr lagens ramar.7 Det skapar stor oskerhet kring
vilka spelregler som gller fr olika aktrer i samhllet p internet. E fektivt r
internet ett vilda vstern dr brottsbekmpande myndigheter och myndig-
heter anknutna till verksamheter som arbetar fr rikets frsvar fr gra vad de
vill, utan versyn, tillsyn eller insyn. Den transparens som nns uppstr ge-
nom transparensrapporter frn privat sektor eller genom att en journalist eller
medborgare lyckas f informella kontakter med ngon inblandad i polisens
verksamhet.
Arbetsmetoder fr brottsbekmpande myndigheter i Sverige har i kad ut-
strckning kommit att inspireras av de amerikanska myndigheternas arbetsstt,8
vilket man kan anta har att gra med det tta operativa samarbetet mellan vra
lnder och den hga medvetenheten bland svenska makthavare om vissa om-
stndigheter i USA.9 Tonvikten vid erfarenhetsutbytena och srskilt de politiska
5 John Bakke (12 juni 2015). Polis ville hacka Facebook SVT.
6 Se polisens avtal med Facebook och Microsoft s som utlmnade 29 oktober 2015 samt den 4
november 2015: https://dataskydd.net/sites/default/files/microsoft_a439.283.2015.
pdf och https://dataskydd.net/sites/default/files/facebook_a449.454.2015.pdf.
7 Linus Larsson (28 januari 2015) S spanar polisen p Facebook Dagens nyheter.
8 Blljus.nu (20 oktober 2011) Hur skulle svenska polischefer klara mte med CompStat?;
Pierre Halsius, Nationella insatsstyrkan - nutid och framtid, Rapport 399 vid Polisutbildningen
vid Ume universitet; Karin Nygren, Problemorienterat polisarbete, Rapport 472 vid Polisutbild-
ningen vid Ume universitet; Svenska dagbladet (12 februari 2015) Anders Ygeman till terrormte i
USA.
9 Tobias Brandel (19 februari 2014) USA dominerar skev vrldsbild i riksdagen Svenska dagbla-
det.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
4

beslut som fljer av samarbetet ligger dock p vilka befogenheter de amerikanska


myndigheterna kan utva, inte vilka kontrolltgrder som nns fr utvan-
det av befogenheterna. Utredaren behver tydligt klargra relationen mellan
befogenheter och kontrollsystem fr lagstif aren.
Den fria bevisprvningen i svenska domstolar gr att det inte spelar lika stor
processuell roll hur polisen genomfrt sitt arbete. Detta r inte fallet i USA, och
de brottsbekmpande myndigheterna i USA har mycket starka skl att flja de
procedurer som lagstif aren dikterat.
I Sverige r skadestndsrtten sdan att privatpersoner bara fr mycket lg
ersttning om deras rttigheter har krnkts av myndigheter. I normalfallet r
det inte mjligt att alls f ersttning vid en krnkning.10 I USA r skadestnden
fr motsvarande krnkningar mycket hga, och ven myndigheter kan bli
skadestndsskyldiga.
I Sverige nns inga mjligheter till enkel konstitutionell prvning av polisme-
toders laglighet och frenlighet med privatpersoners frvntingar p rttssker-
het. I USA nns era stora och vl nansierade organisationer (till exempel EFF11
och ACLU12 ) som kontinuerligt prvar de brottsbekmpande myndigheternas
befogenheter och tillmpningar av befogenheter i domstol mot bakgrund av
gllande amerikanska medborgerliga rttigheter.
Det nns fr- och nackdelar med respektive system. E fekten av det ameri-
kanska in ytandet ver de svenska och europeiska brottsbekmpande myndig-
heternas arbetsmetoder r dock att Sverige blir vilda vstern, d befogenheter-
na och arbetsmetoderna inte r anpassade till de svenska kontrollsystemen.
Man kan jmfra med hur den tyska konstitutionsdomstolen stramat upp
kraven fr anvndning av nya hemliga elektroniska tvngsmedel i Tyskland,13 allt
ef ersom den tyska lagstif aren infrt huvudsakligen amerikaniserade brottsbe-
kmpningsmetoder.

Konsumentrtt, husrannsakan och elektroniska marknader


Den hr delen av texten r en allmn bakgrund fr utredningens uppdrag och
handlar om konsumentrttsliga frgestllningar om skerhet, integritet och
kon dentialitet i elektroniska miljer.
Frn svensk doktrin nns en snvare men relaterad genomgng i Lennart
Johansson i hans avhandling Banker och internet frn 2006.14 Han gr igenom
hur risken yttats frn banken till konsumenten via avtalsrttsliga konstruktio-
ner. I utlndsk doktrin r behandlingen av omrdet mer utfrlig:
Teknikhistorikern Jean-Francoise Blanchette15 gr i sin bok Burdens of
Proof en genomgng av juridikens frhllningsstt till kryptogra ska (elektro-
niska) signaturer frn och med 1990-talets brjan. Han beskriver hur lagstif are
har brottats med det komplexa frhllandet vid bestmning av bevisbrda att
elektroniska transaktioner of a innefattar mer n tv parter: istllet fr att ha
10 Blljus.nu (30 juni 2015) Framtidens polis i frorten.
11 Fr att ska bland EFF:s prvningar av amerikanska myndigheters befogenheter p internet,
se https://www.eff.org/cases.
12 Information om ACLU:s rttstvister fr att prva amerikanska myndigheters befogenheter
terfinns p https://www.aclu.org/defending-our-rights.
13 BVerfG, Urteil des Ersten Senats vom 27. Februar 2008 - 1 BvR 370/07 - Rn. (1-333); BVerfG,
Urteil des Ersten Senats vom 20. April 2016 - 1 BvR 966/09 - Rn. (1-29).
14 Lennart Johansson, Banker och internet Iustus frlag (Stockholm), 2006.
15 Jean-Francois Blanchette, Burdens of Proof: Cryptographic Culture and Evidence Law in the
Age of Electronic Documents MIT Press, 2012.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
5

en leverantr och en konsument, kan bde leverantren och konsumenten vara


beroende av ett ertal tredjeparter fr att transaktionen ska genomfras.
Vidare behandling av mnesomrdet nns i mer eller mindre snvt utfrande
frn bland annat Jennie Grn,16 Nicolas Bohm,17 Ross J. Anderson med era,18
Axel M. Arnbak.19 eller Stephanie K Pell och Christofer Soghoian.20 Lgg mrke
till att forskningsomrdet fr skerhetsekonomi r stort och vxer. Vi kan bara
anvnda ett mindre antal kllor i detta arbete, som vi komplementerar med
erfarenheter frn vra egna organisationer.

Ingen juridisk skerhet vid anvndning av elektroniska signaturer


Det fljande kommer att handla om elektroniska signaturer och elektronisk
identi kation. Vi kommer att g igenom hur konsumenter tvingas bra risken
och ansvaret fr att tekniska skerhetsfel uppstr i elektroniska system.
I EU:s frordning om elektronisk identi ering och betrodda tjnster fr Frordning nr 910/2014, artikel 24-26.
elektroniska transaktioner21 lggs bevisbrdan fr en elektronisk signaturs
kthet (plitlighet) helt p den som anvnder den tekniska mjligheten att
framstlla en elektronisk signatur (gldenren). Detta frhllande bekrf as i
svensk doktrin av Henrik Bengtsson p advokat rman Delphi.22
I EU:s frordning omvnds ifall borgenren anvnt en kvali cerad elektro-
nisk signatur. Detta begrepp har ingen relevant innebrd i svensk juridik utan
nns med i den europeiska lagstif ningen p grund av franska och tyska nota-
Figur 1: Alla tillf llen d enskilda anvnder
rius publicus-funktioner (se Blanchette ovan). Alla elektroniska signaturer i e-legitimation flyttas risken och bevisbrdan
Sverige r s kallade okvali cerade signaturer och yttar drfr risken frn fr att transaktionen kommit till stnd
p rtt stt frn tjnsteleverantren och
tjnsteleverantrer och myndigheter till konsumenter och enskilda.23 myndigheten till den enskilda. I praktiken
Den kade anvndningen av elektroniska signaturer (till exempel chip-and- br det vara omjligt fr enskilda att bevisa
pin-kort, Veri ed by VISA/Mastercode eller internetbankbetalningar), yttar att en teknisk tgrd hos en myndighet eller
tjnsteleverantr gtt fel, varfr konsumenter
allts juridiskt risken fr konsumentaktiviteten frn betaltjnstleverantren r vldigt utsatta i elektroniska miljer.
(banken) till konsumenten.24 Detta har redan drabbat svenska konsumenter Nr banker i sin marknadsfring pratar
om sker identifiering menar de att
negativt i sdan utstrckning att det skrivits om det i media under era r.25 identifieringen r (tekniskt och juridiskt)
Att den juridiska risken ligger p konsumenten kar behovet av skerhet i sker fr banker, inte att identifieringen r
konsumentens egna verktyg (webblsare, e-postklient, operativsystem, osv.), s juridiskt (eller ndvndigtvis tekniskt) sker
fr konsumenter.
att lsenord, inloggningsuppgif er, kredituppgif er och dylikt inte kan avhndas
16 Jennie Grn. Framtidens bok frn avtalat gande till vervakat ln Examensarbete i
civilrtt. Juridiska fakulteten, Uppsala universitet, 2015.
17 Nicholas Bohm et al, Electronic Commerce: Who Carries the Risk of Fraud? 2000 (3) The
Journal of Information, Law and Technology (JILT).
18 Ross Anderson. Why Cryptosystems Fail ACM. 1st Conf. - Computer and Communica-
tion Security 1993; Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond, Chip and PIN is
Broken 2010 IEEE Symposium on Security and Privacy.
19 Se ovan fotnot 3.
20 Stephanie K Pell, Christopher Soghoian. Your Secret Stingrays No Secret Anymore: The Va-
nishing Government Monopoly over Cell Phone Surveillance and Its Impact on National Security
and Consumer Privacy Harvard Journal of Law and Technology, Volume 28, Number 1 Fall 2014.
21 Europaparlamentets och rdets frordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk
identifiering och betrodda tjnster fr elektroniska transaktioner p den inre marknaden och om
upphvande av direktiv 1999/93/EG
22 Henrik Bengtsson, advokat, Advokatfirman Delphi, datum oknt, Bevisbrda och beviskrav
vid invndning om underskriftsfrfalskning srskilt om elektroniska signaturer.
23 Post- och telestyrelsens informationssida om kvalificerade elektroniska signaturer:
https://www.pts.se/sv/Bransch/Internet/Elektroniska-signaturer/Fragor-och-
svar/Kvalificerade-elektroniska-signaturer/
24 Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond, Chip and PIN is Broken 2010
IEEE Symposium on Security and Privacy; se ovan fotnot 22.
25 Lotta Lille (12 oktober 2012) Bedragare stal semesterkassan, Upsala nya tidning; P1 Plnbo-
ken (30 mars 2016).
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
6

konsumenten via ngon sorts dataintrng. Sdana dataintrng kan till exempel
utgras av att man bereder sig mjlighet att administrera anvndarens system p
avstnd, att man kan utge sig fr att vara anvndarens tjnsteleverantr fastn
man inte r det eller att man kan avlyssna tra ken mellan anvndaren och dess
tjnsteleverantr eller internetleverantr.
Exempel p nr sdana dataintrng begs nns bde frn arbete i brotts-
bekmpande syf e och frn kriminella operationer. Hr fljer ngra direkt
relaterade exempel frn bda vrldarna:

FBI anvnder remote administra- Mn som spionerar p sina part-


tion tools (RATs)a ners med RATsa
Tyska och schweiziska polismyn- Kriminella anvnder Skype-
digheter anvnder Skype-trojaner.b trojaner fr att stjla fretagshem-
Amerikansk polis ltsas vara ligheter.b
tidningar.c Tjuvar ltsas vara banker.c
a Craig Timberg och Ellen Nakashima
(6 december 2013) FBIs search for Mo, a Nate Anderson (11 mars 2013)The Re-
suspect in bomb threats, highlights use of mote Administration Tool is the revolver
malware for surveillance, Washington of the Internets Wild West, Ars Technica.
Post. b Doug Olenick (8 februari 2016) Sky-
b Kim Zetter (31 augusti 2009) Code for pe targeted by T9000 backdoor trojan,
Skype Spyware Released to Thwart Surveil- SCMagazine.
lance, Wired; Graham Cluley (10 oktober c Kristoffer rstadius (28 oktober 2014)
2011) German Government R2D2 Trojan Vanliga modem ltta att kapa, Dagens
FAQ, Naked Security (Sophos). nyheter
c Mike Carter (27 oktober 2014) FBI
created fake Seattle Times Web page to nab
bomb-threat suspect, Seattle Times.

Lurendrejeri i elektroniska miljer r tekniskt fascinerande, och applikatio-


nerna av att utnyttja skerhetsfel i informationssystem r lika mnga som det
nns informationsystem. Vrt urval av exempel r begrnsat, och r menat att
illustrera att andra lnders brottsbekmpande myndigheters redan be ntliga
arbetsmetoder har direkta motsvarigheter i kriminell verksamhet. Till skillnad
frn andra verktyg som anvnds av bde kriminella och brottsbekmpande myn-
digheter, till exempel skjutvapen, gr det inte att undvika risken att bli utsatt fr
kriminella verktyg p internet. Hela den tekniska infrastrukturen fr internet
r byggd med det enda syf et att stta mnniskor och datorer i kontakt med
varandra. Ett skjutvapen som nns p en fysisk plats gr att undvika genom att
inte beska den fysiska platsen eller ta sig bort frn den fysiska platsen. Detta r
inte mjligt i ntverkade miljer. Den hr skillnaden mellan digitala och fysiska
vapen r viktig fr utredaren att bra med sig.

Det r mycket ogynnsamt fr enskilda att bervas bde tekniskt och juridiskt
skydd vid skerhetsproblem vid konsumenttransaktioner, och det r en of a
frbisedd omstndighet att det juridiska skyddet fr konsumenter och enskilda
r obe ntligt.
Om polisen, eller ngon annan myndighet, har ett eget ekonomiskt eller ope-
rativt intresse av att hemlighlla, under vilken som helst tidsperiod, mjukvaru-
och hrdvarufel som utstter konsumenter fr risk trots att de begagnar sig av
tekniskt komplicerade mekanismer fr skerhet, innebr detta att konsumenters
och enskildas ytterligare frsvagas frn en redan svag position. Vi terkommer
till detta p sidan 13.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
7

Dessa omstndigheter talar emot att lta polisen och andra myndigheter att
begagna sig av sanktionerade dataintrng, ef ersom dessa metoder per de nition
(se ovan sidan 2 om de nitioner av begrepp) innebr att man riskerar frsena
mjligheten att upptcka och tgrda srbarheter i IT-system.
Myndigheter br ges en sdan skyldighet som Post- och telestyrelsen freslog
i sin rapport om ett Skrare internet i Sverige 2006,26 nmligen den att kunna
krva in rapporter om srbarheter fr att se till att de snabbast mjligt blir
tgrdade. Det minsta konsumenter och enskilda br kunna frvnta sig r att
inte bra risken fr transaktioner som genomfrts d konsumenten blivit utsatt
fr ett skerhetsfel som orsakas av en part utanfr transaktionen, till exempel en
IT-brottsling eller en myndighet.

Oklar juridisk skerhet fr tjnster utan elektroniska signaturer


Betaltjnster krver of a era lager av tekniska skerhetsmekanismer fr den
enskilde, men det nns ocks tjnster som det av olika skl vore otympligt om
de krvde sdana skerhetsmekanismer. Teknisk skerhet innebr of a strre
trghet vid anvndningen av ett system, till exempel att konsumenter behver
genomg er steg fr att logga in, eller behver begagna sig av extern utrustning
(som en dosa eller ett kort) fr att komma t en tjnst.
De esta tjnster har drfr inte samma starka tekniska skerhet som betal-
tjnster och e-legitimationstjnster och konsumenten drabbas drfr inte av den
av lagen omvnda bevisbrdan. Konsumenten drabbas istllet av avtalsrttslig
oskerhet. I svensk rttspraxis r det inte tydligt att konsumenten inte br risken
fr en transaktion, ven d en elektronisk signatur inte anvnts.27
Jennie Grn har vid Uppsala universitet skrivit ett examensarbete i juridik
om enskildas mjligheter att hvda individuella rttigheter och konsumentrt-
tigheter vid bokln i elektroniska miljer.28 Hennes slutsatser r att de mjlig-
heter fr konsumenter att hvda sina rttigheter som rimligen nns sllan har
prvats och att svrigheten i att hvda rttigheterna gr att konsumenter drar
sig fr att f rttigheterna prvade. Hon menar ocks att de lnga slutkonsu-
mentavtal som r vanliga i amerikansk rtt riskerar att ha normaliserats i Sverige.
Drmed har konsumenternas mjligheter att frst vilka rttigheter de har ocks
minskat.
Det r of a lttare att komma t knsliga uppgif er frn enskilda genom
att attackera srbarheter i anvndarnas egen mjukvara, till exempel webblsa-
ren, appen eller operativsystemet, n genom att attackera tjnsteleverantren.
Anvndaravtalen avskriver dock i regel leverantren frn ansvaret fr skerhets-
brister och srbarheter i mjukvaran, eller gr en prvning av ansvaret avhngig
en rttsprocess i ngon utlndsk jurisdiktion.
Typiska avtalsskrivningar r Vi gr vrt bsta fr att hlla [tjnsten] sker[,]
men vi kan inte garantera det, tfljt av en lista med anvndarens frpliktel-
ser,29 samt alla ansprk, fordringar eller tvister som uppstr gentemot [tjns-
ten] p grund av eller i anknytning till den hr Redogrelsen eller [tjnsten ska
lsas] i den federala domstolen fr det norra distriktet i Kalifornien eller en
26 Post- och telestyrelsen. Strategi fr ett skrare Internet i Sverige. PTS-ER-2006:12.
27 Se ovan fotnot 22.
28 Se ovan fotnot 16.
29 Se Facebooks slutanvndaravtal, klausul 3. https://www.facebook.com/legal/terms/
update
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
8

delstatsdomstol i San Mateo County.30


Grns genomgng r s vitt vi vet ensam i sitt slag, men det nns f anled-
ningar att tro att svenska konsumenters stllning r bttre eller tydligare n
den situation som beskrivits fr amerikanska konsumenter i Lorrie F Cranors
underskningar av anvndaravtal i elektroniska miljer. Cranor kommer tillsam-
mans med Aleecia MacDonald fram till att en genomsnittlig internetanvndare
skulle behva anvnda 73 timmar per r fr att f ens en versiktlig bild av vilka
avtalsvillkor den godknner.31 I en ytterligare studie av anvndaravtal i ntre-
klamsektorn visar att sjlvreglerande mekanismer i sektorn inte fungerar.32
EU-kommissionen har i omgngar utrett tjnsteleverantrers och IT-
produktleverantrers ansvarsstllning i frhllande till konsumenter.33 I sitt
frslag om nya regler fr digitalt innehll p den inre marknaden34 har man
dock avsett att strka konsumenters rtt att klaga p dliga bild- eller ljudkvalitet
i datorspel och lmer, snarare n att tgrda riskfrdelningen vid skerhetsfel.
Samrdsanalysen frn 200735 indikerar, inte helt utan fog, att det vore mycket
svrt att infra produktansvar fr IT-tjnster som inte till exempel bygger p
transparensfrpliktelser kring skerhetsfel och tgrdanden av desamma i den
takt de upptcks. P sidan 11 utvecklar vi denna tankegng och hur den hamnar i
kon ikt med de omrden utredningen har att ta stllning till.
I praktiken har konsumenter f mjligheter att upptcka brister av teknisk
skerhetsrelaterad art, och ven om de drabbas av skerhetsrelaterade problem r
det inte skert att de kopplar problemen till en srbarhet i antingen deras egna
eller deras tjnsteleverantrers IT-system. Ett exempel r de ver 200 bedrgerier
som drabbat rebrobor i samband med bestllningar frn OnlinePizza.se vren
2016.36 Problemet som drabbade de bedragna hade uppenbarligen en teknisk
lsning (OnlinePizza.se ndrade sina rutiner fr betalning ef er att hndelsen
ftt mediauppmrksamhet) men de drabbade agerade i frsta hand genom att
polisanmla. Srbarheten i det tekniska systemet fr att ta reda p vem som
bestllt pizza ledde till att personer som egentligen inte ens ef erfrgat en relation
med det tekniska systemet drabbades negativt. Detta r symptomatiskt fr
skerhetsfel i IT-system och frvrras av att skerhetsfel bara tgrdas ef er
storskaliga mediauppbd. Hade de bedrgeridrabbade varit frre, till exempel tio
personer istllet fr 200, r det osannolikt att det hr felet hade tgrdats.
I de fall Datainspektionen kommer nna det lmpligt att lta personuppgif s-
ansvariga informera privatpersoner om personuppgif sincidenter i enligt med
artikel 34 i EU:s nya allmnna dataskyddsfrordning kan det uppst en mjlig- Frordning (EU) 2016/679, art 34.
het fr konsumenter att utkrva ansvar, men denna information kommer bara
att rra redan intr fade incidenter. Med det avses att skadan kommer redan
30 Se Facebooks slutanvndaravtal, klausul 15. Ovan fotnot 29.
31 Aleecia M. McDonald and Lorrie Faith Cranor. The Cost of Reading Privacy Policies. I/S: A
Journal of Law and Policy for the Information Society 2008 Privacy Year in Review issue.
32 Lorrie F Cranor,. et al. (2014). Are they worth reading? an in-depth analysis of online adverti-
sing companies privacy policies. Rochester, NY: Social Science Research Network.
33 EU-kommissionen (2006). COM (2006) 744 final. Green Paper on the Review of the Consu-
mer Acquis; EU-kommissionen (2015). Public consultation on contract rules for online purchases of
digital content and tangible goods.
34 EU-kommissionen (2015) COM(2015)634 Frslag till Europaparlamentets och rdets direktivet
om vissa aspekter p avtal om tillhandahllande av digitalt innehll.
35 EU-kommissionen (2007) Detailed analysis of responses to the European Commission Green
Paper on Consumer Rights Reform.
36 Mattias Frdn (23 april 2016) Hrvan vxer - hundratals offer fr pizzabluffen, Nerikes
allehanda.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
9

vara skedd nr konsumenten eventuellt kan ges en mjlighet att agera i sitt eget
intresse.
ven om EU-kommissionens frslag i teorin kan ge vissa ytterligare garantier
om skerhet, terstr problemet att konsumenter, ven om de mot all frmodan
informeras om ett skerhetsproblem eller srbarhet i sin IT-produkt, i praktiken
saknar incitament eller mjligheter att hvda sina rttigheter. I EU-omrdet
r det i stort sett bara den tyska konsumentfreningen Verbraucherzentrale
Bundesverband som drivit konsumentfrgor fr digitala miljer i domstol, och
d kring frgor som appbutiker37 och mjligheter att slja vidare datorspel.38 Nr
Sveriges konsumenter frskt f digitala avtal prvade av Konsumentverket, har
bemtandet frn myndigheten varit att frgan inte ligger p deras bord.39
Fr yttningen av IT-skerhetskompetenser frn Post- och telestyrelsen till
Myndigheten fr samhllsskydd och beredskap 2009 har inneburit ett ytter-
ligare frsvagande av konsumentens stllning, ef ersom det nringspolitiska
perspektivet gradvis fallit bort ur behandlingen av vad IT-skerhet r och ska
vara. r 2006 freslog Post- och telestyrelsen obligatorisk srbarhetsrapporte-
ring fr att mjliggra snabba patchar.40 Idag utreds hur de brottsbekmpande Dir. 2016:20, Dir. 2016:36, Prop 2014/15:109
myndigheterna ska beredas tillgng till metoder att utnyttja srbarheter. (kapitel 8).

Konsumenternas representation frn myndigheterna minskar allts, samti-


digt som konsumenter blir allt mer utsatta. Det gller inte bara i e-handel och
e-transaktioner utan ven fr andra tjnster som konsumenter mste anvn-
da (till exempel elektricitet, vatten, och gas), eller som enskilda i egenskap av
medborgare mste associera sig med (skolor, universitet, Skatteverket, och dy-
likt), och som i kad utstrckning har elektroniska eller internetuppkopplade
element. Nrmare behandling av dessa problem ligger utanfr den hr textens
ramar, men observationerna om hur man frbttrar skerhet p sidorna 11
gller ven i dessa sektorer.
Det hr r s klart r en politisk prioritering frgan r bara hur medveten
den varit.
Vi menar att utredaren behver lyf a detta perspektiv s att det inte r av
okunskap och ofrstelse som konsumenternas stllning frsmras. Vi r med-
vetna om att utredarens uppdrag knappast kan utgra mer n en liten pusselbit
i det strre sammanhang dr konsumenter och enskilda gradvis har hamnat i
vldigt svag stllning i frhllande till fretag, stater och myndigheter, men ut-
redarens uppdrag kan nd vara en viktig pusselbit, inte minst fr att utredaren
har mjlighet att genomlysa problemen.
Utredningens uppdrag att ta fram metoder fr de brottsbekmpande myn-
digheterna att genomfra sanktionerade dataintrng spr p den redan svaga
rttsliga och tekniska stllning enskilda och konsumenter har i digitala miljer.

Inga konsumentgarantier fr integritet och tillfrlitlighet


Dataskydd.net har frgat Datainspektionen, Reklamombudsmannen, Myn-
digheten fr samhllsskydd och beredskap samt Post- och telestyrelsen om det
37 Verbraucherzentrale Bundesverband. (6 juni 2013). Samsung App-Store: Viele Klauseln unzu-
lssig.
38 Spielerecht.de, Osborne Clarke Publication number 1506540 Update: Valve May Prohibit
Steam Account Transfers German Judgment, mars 2014.
39 Jan Bertoft (29 april 2015) Se upp fr Blocket, Egen blogg fr ordfranden i Sveriges konsu-
menter.
40 Se ovan fotnot 26.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
10

i svensk rtt nns bestmmelser som skyddar konsumenter frn den omstn-
dighet att ett kommersiellt fretag kringgr tekniska skerhetsmekanismer som
konsumenten installerat i sin tekniska utrustning, till exempel en adblocker
som installerats i webblsaren. Alla myndigheter har bekrf at att ngon sdan
rtt inte nns. ven Reklamombudsmannen och Konsumentvgledningen i
Enkpings kommun hvdar att det inte nns ngot sdant skydd.41
ven en skerhetsmedveten privatpersoner som i strsta mjliga mn frs-
ker anpassa sitt datoranvndande ef er den rdande hotbilden, och som infr
extra skyddsmekanismer i sin elektroniska utrustningen fr att till exempel
inte bli utsatt fr phishing-attacker, virus, DNS-spoo ng eller kriminella troja-
ner, behver allts samtidigt parera bde stater och fretag utan att ha en enda
lagbestmmelse p sin sida.
Kringgende av enskildas egna skerhetstgrder till exempel den numera
populra uppmaningen till enskilda teknikanvndare att veri era att webbplat-
ser som den enskilda besker begagnar sig av TLS eller SSL r till och med en
normal och accepterad skerhetstgrd i mnga fretagsnt, d till fretagets
snarare n till den enskildes frdel.42
Den nederlndske jur dr Axel Arnbaks avhandling om skerhet och eko-
nomi i europeisk lagstif ning gr igenom hur lagstif aren of a fokuserat p
IT-systemens tillgnglighet (till exempel tgrder som garanterar en viss upp-tid Transport Layer Security (TLS), trans-
p en server, s som att en hemsida eller databas r tillgnglig och gr att n ver portlagerskerhet, r ett kryptografiskt
kommunikationsprotokoll som r en p-
ett kommunikationsnt) men ef ersatt integritet och tillfrlitlighet, nr lagstif a- pen standard fr skert utbyte av krypterad
ren utarbetat lagstif ning om skerhet i elektroniska miljer. Arnbak menar att information mellan datorsystem. TLS r
en vidareutveckling av version 3 av SSL-
detta lett till att den sortens skerhet som r viktigast fr konsumenter inte har protokollet[.], via Wikipedia. TLS eller
ftt ngot stort utrymme i skerhetslagstif ningen.43 SSL-kryptering gr s att en internetleveran-
I svenska frarbeten nns en fretrdelsevis stark fokus p tillgnglighet, tr eller annan mellanhand inte kan se exakt
vad kommunikationen innehller. I de flesta
och om tillfrlitlighet tas upp alls, r den de nierad utifrn staters och fretags moderna webblsare markeras att en hemsida
perspektiv snarare n enskilda individers.44 Den nrmaste motsvarande svenska anvnder TLS eller SSL-kryptering genom ett
litet grnt ls lngst uppe till vnster i raden
doktrinen r jur dr Markus Naarttajrvis avhandling om proportionalitetskrav fr webbplatsadressen (URL:en).
och preventiva tvngsmedel, dr han tagit upp att enskildas intressen i allt hgre
utstrckning avfrdas som en individuell angelgenhet, varfr dessa intressen
fr st tillbaka fr det allmnnas, till exempel brottsbekmpande myndigheters,
intressen.45
Utredningsuppdraget att framta frslag fr hur de brottsbekmpande myn-
digheterna ska f mjlighet att utfra sanktionerade dataintrng och genomfra
allt mer ingripande tgrder i enskildas elektroniska miljer r ytterligare ett led i
ef ersttandet av integritet och tillfrlitlighet som lika viktiga delar av skerhets-
begreppet som tillgngligheten.
Ett realiserande av de frslag som utredningens uppdragits ta fram kommer
att ytterligare frsvaga konsumenters och enskildas redan svaga stllning i fr-
hllande till bde tjnsteleverantrer och myndigheter, nr konsumenter och
enskilda i sjlva verket borde tilldelas ett bttre och starkare skydd.
41 Dataskydd.net, (15 maj 2016) Lgt skydd fr konsumenter som vill strka sin skerhet
42 Stuart Burns (20 maj 2016) Hacked in a public space? Thanks, HTTPS, The Register.
43 Se ovan fotnot 3.
44 SOU 2013:39, Europardets konvention om it-relaterad brottslighet; jfr ocks Myndigheten
fr samhllsskydd och beredskaps arbete mot DDOS-attacker, eller inrikesministerns insatser mot
DDOS-attacker.
45 Markus Naarttijrvi. Doktorsavhandling, Ume universitet, 2013. Fr din och andras skerhet:
Konstitutionella proportionalitetskrav och Skerhetspolisens preventiva tvngsmedel
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
11

Husrannsakan p distans och i en dator


I det fljande hanterar vi bde husrannsakan p distans och husrannsakan i en
dator. Anledningen till detta r att konsekvenserna fr konsumentskerhet och
skerhet fr enskilda vid elektroniska kontakter med myndigheter eller andra
enskilda i teknisk och juridisk mening omgrdas av samma typer av problem.
Oavsett vad man kallar arbetsmetoden att olovligen (i frhllande till hur IT-
systemet varit tnkt att anvndas av dess gare) utnyttja funktioner i ett IT-
system frsvagar metoden konsumenters och enskildas stllning.

Skerhetsfrbttringar och ekonomi


Vid utveckling och underhll av mjukvara och hrdvara nns ett antal strre
utmaningar som r vl kartlagda. Faktum r att det frmst var utmaningar
vid utveckling och underhll av IT-system som motiverade den frsta svenska
dataintrngsbestmmelsen r 197246 och Europardets rekommendation om
IT-brottslighet frn 1989.47 I den fr rekommendationen bakomliggande
utredningen skriver man att det juridiska skyddet fr systeminnehavaren r det
som kan skydda vad som av ekonomiska skl inte r rimligt att skydda p teknisk
vg.
Nringslivet har utvecklat andra metoder fr skerhet n att frlita sig p
lagstif ningen. Istllet fr att ty sig till stra frtten, lggs idag en betydligt strre
tonvikt p ppenhet med och sm gradvisa frbttringar av hantering av IT-
skerhetens utmaningar.
Bug bounty awards, ett stt att dela ut belningar till dem som hittar srbar- Common Vulnerabilities and
Exposures-system (CVE):
heter i IT-system, har till exempel blivit vanliga.48 Utbyte av information om
srbarheter inom fretagsntverk som ISAC:s har blivit ett vanligare stt att CVE-systemet illustrerar de geopo-
litiska implikationerna av hur IT-skerhet i
snabbt ta hand om skerhetsproblem som annars skulle drabba mnga i samma normalfallet hanteras av nringslivet idag.
industri.49 Det faktum att vrldens strsta databas fr
Det nns ven standardiserade databaser dr knda srbarheter publiceras knda srbarheter r belgen p amerikanska
servrar vcker frgestllningen om den
fr hela vrlden att granska och se, till exempel MITRE-institutets Common amerikanska regeringen tillsammans
Vulnerabilities and Exposures-system (CVE). ppen publicering (under vissa med MITRE-institutet ser till att vissa
srbarheter, som de sjlv vill utnyttja, inte
villkor) ses of a som en frutsttning fr att skerhetsproblemen som fljer av listas i databasen. Om s r fallet kan de
srbarheterna ska tgrdas. amerikanska myndigheterna ge sig sjlva ett
Till skillnad frn mnga ldre akademiska discipliner prglas dataveten- frsprng vid offensiv IT-skerhet, det vill
sga sdana militra operationer som innebr
skapen och skerhetsekonomisk forskning av ppna publiceringar: det r till att man hotar andra lnders IT-skerhet.
exempel vanligare att forskare presenterar sina resultat p konferenser n att de En mjlig lsning p dilemmat r s klart att
man ser till att det finns ppna databaser i
lter publicera sig i slutna tidskrif er. WEIS, IEEE Security and Privacy, Chaos flera olika lnder, grna sdana lnder som
Communication Congress eller Blackhat r exempel p sdana konferenser. inte omedelbart misstnks vara allierade
med USA. Det skulle strka frtroendet fr
nringslivets och staternas frmga och vilja
Att det r viktigt med individuella rttigheter och skerhet fr att ekonomin ska att tgrda skerhetsproblem istllet fr att
fungera bttre r ocks tydligt frn mnga underskningar av hur privatpersoner bevara dem.
frhller sig till elektroniska miljer. Amerikanska nringsdepartementet konsta-
terade s sent som vren 2016 att allt er privatpersoner drar sig fr att anvnda
46 SOU 1972:47, Data och integritet.
47 Council of Europe, Recommendation (89) 9 on computer-related crime and and final report
of the European Committee of Crime Problems (1989).
48 Se till exempel https://bugcrowd.com/list-of-bug-bounty-programs
49 CIRCL.lu, Malware Information Sharing Platform MISP - A Threat Sharing Platform.
https://www.circl.lu/services/misp-malware-information-sharing-platform/; Natio-
nal Council of Information Sharing and Analysis Centers, http://www.nationalisacs.org/
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
12

elektroniska tjnster p grund av otillrckliga garantier fr skerhet och skydd


fr privata uppgif er.50 Till exempel Internetstif elsens andra rliga utredning
om svenskarnas frhllande till privatliv i elektroniska miljer ger skl att inte
avfrda mjligheten att oron fr skerhet och datalckor kan vara tilltagande
ven i Sverige.51 Ocks internationella enktunderskningar visar att oron fr
skerhet och dataskydd bland privatpersoner kar, bland annat med e fekten att
enskilda inte gr saker de annars skulle gra eller att de slutar gra saker som de
tidigare har gjort.52
Projektet DigiTrust vid Lunds universitet avslutades 2014 med en skrif
dr man beskriver frutsttningarna fr tillit i digitala miljer. Forskarna drar
slutsatsen att inte bara teknisk skerhet r viktig fr enskildas tillit, utan ocks
vilka juridiska skydd och vilket allmnt intryck som enskilda har av de digitala
miljerna.53
D den tekniska skerheten av bde datavetenskapliga och ekonomiska skl
r svr att garantera fullt ut, och den juridiska skerheten som ovan angivits i
mnga fall r obe ntlig, mste det antas vara riskfyllt att ge de brottsbekmpan-
de myndigheter tillgng till sdana befogenheter som av sin natur frutstter att
tekniska skerhetsbrister inte tgrdas.

Srbarheter och ekonomi


Sanktionerade dataintrng (se ovan sidan 2) krver antingen att lagar och tek-
niska standarder medger att produkter utrustas med en metod fr polisen att ta
sig in i produkterna p distans eller att polisen eller ngon annan utvecklar en
mjlighet att utnyttja srbarheter i den rannsakades elektroniska utrustning fr
att avlsa data p distans. Dessa saker behver behandlas var fr sig:

Inby da tekniska metoder fr husrannsakan p distans och i en dator


Att utrusta produkter med en metod fr polisen att ta sig in i IT-produkter p
distans r of ast omnmnt som att ef erfrga en bakdrr. Iden har avfrdats i
USA,54 Frankrike55 och Nederlnderna.56 I Tyskland har konstitutionsdomsto-
len i tv fall begrnsat mjligheterna fr myndigheter att ef erfrga eller orsaka
smre teknisk skerhet genom sanktionerade dataintrng, med hnvisning till
personlighetsrttigheter.57 ven Europol r emot tanken p att produkter ska
utrustas med inbyggda metoder fr polisen att avlyssna.58
Med hnvisning till fotntterna 5458 behandlar vi inte frgan vidare.
50 United States Department of Commerce, National Telecommunications and Information
Administration, Lack of Trust in Internet Privacy and Security May Deter Economic and Other
Online Activities, 13 maj 2016.
51 Internetstiftelsen i samarbete med Insight Intelligence och SICS samt svenska nringslivsak-
trer och Stockholms landsting, Delade meningar 2, mars 2016.
52 2016 CIGI-Ipsos Global Survey on Internet Security and Trust.
53 Stefan Larsson och Per Runesson (ed), Digitrust: Tillit i det digitala Lunds universitet juni
2014.
54 Vita huset, Report and Recommendations of The Presidents Review Group on Intelligence
and Communications Technologies, 12 december 2013.
55 Guillaume Champeau (13 januari 2016) Chiffrement : le gouvernement rejette les backdoors,
Numerama.
56 Matthijs R. Koot (5 januari 2016). Full translation of the Dutch governments statement on
encryption Cyberwar.
57 Se ovan fotnot 13.
58 Europol, Directors Speech at the conference: Privacy in the Digital Age of Encryption and
Anonymity Online, Haag, Nederlnderna, 19 maj 2016.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
13

Utnyttjande av srbarheter fr husrannsakan p distans och i en dator


I frga om det andra tillvgagngssttet har den politiska utvecklingen p hg
niv inte kommit lika lngt.
Riktad vervakning r i princip mer frdelaktigt fr individen ur ett mnni-
skorttsligt perspektiv n massvervakning.59
ven vid riktad vervakning krvs att tvngstgrden r strikt ndvndig,
med vilket Europadomstolen senaste 12 januari 2016 understrukit att de inte
menar enbart operationellt lmplig.60 Den tyska konstitutionsdomstolens
bedmningar av metoder fr utnyttjande av srbarheter fr att p distans ta sig
in i enskildas IT-system stller upp strikta krav p myndigheter som vill begagna
sig av sdana metoder med avseende p tillfllen d sdana metoder kan tnkas
vara tilltna (mycket allvarliga brott, och vid konkret misstanke riktad mot en
vl de nierad aktr) och rttsskerhet (proportionalitet, dokumentation, insyn,
fregende prvning, information till den utsatte, och s vidare).
I Sverige saknas till vr vetskap speci ka behandlingar av rttsskerhetsfrgor
vid polisira insatser ef er 2006.61

Det nns vidare och relevanta observationer att gra om metoder fr sanktione-
rade dataintrng:
En vanlig fysisk husrannsakan gr ver nr de brottsbekmpande myndig-
heterna lmnar den fysiska platsen, men en elektronisk husrannsakan gr inte
ver frrn de tekniska tgrder som vidtagits av de brottsbekmpande myn-
digheterna grs ogjorda p de datorer som de tekniska tgrderna utfrts p. Figur 2: Ursprungscitatet frn Stockholmspo-
lisens IT-brottsansvarige i P3 Dokumentr
Utredaren kan jmfra med datorvirus, som inte frsvinner frn den drabbades
Svenska hackers (2008) lyder Vill du ha
dator frrn ett antivirusprogram letat fram och tagit bort den skadliga koden, problem, ge grabben ett modem. Bild frn
eller man har ominstallerat sitt operativsystem. http://xkcd.com/1597/ CC-BY-NC 2.5

Utan rutiner fr underrttelser till den som r freml fr tgrden samt


krav p att det avsljas hur den tekniska tgrden genomfrts, blir ingreppet i
den enskildes sfr mycket allvarligare n en motsvarande fysisk husrannsakan,
d tgrden inte kan upphra utan att den utsatte bereds mjlighet att avbryta
tgrden.
Den kan vara svrt (om inte omjligt), rent tekniskt, att skerstlla sig om
att den metod man anvnt fr att n ett IT-system p distans bara faktiskt nr
det IT-system som det r avsett fr. Otillbrlig spridning av metoder fr att
utnyttja srbarheter skedde till exempel i Tyskland 2011,62 och fr de oavsiktligen
drabbade nns ingen hjlp att f s lnge det inte r knt hur man kan laga det
introducerade skerhetsproblemet. Dessa fr tgrden utomstende parter
hamnar, utan vldigt e fektiva transparensmekanismer kring myndigheternas
verksamhet, i sdan stllning som vi p sidan 13 angivit att de esta lnder som
vervgt frgan nner onskvrt.
Vi tervnder i texten om revolving doors och marknadsfring p sidan
15 till varfr det kan vara svrare n man vill tro att skerstlla en tillrcklig och
59 Council of Europe, Parliamentary Assembly, Resolution 2045 (2015) Mass surveillance Text
adopted by the Assembly on 21 April 2015 (12th Sitting), med tillhrande Recommendation 2067
(2015).
60 Para. 75, Europadomstolen, Szabo och Vissy v Hungary (Application no. 37138/14).
61 SOU 2006:98, Ytterligare rttsskerhetsgarantier vid anvndandet av hemliga tvngsmedel,
m.m.
62 Graham Cluley (10 oktober 2011) German Government R2D2 Trojan FAQ, Naked Security
(Sophos).
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
14

adekvat niv av transparens fr att inte orsaka er skerhetsproblem n man


tgrdar.
Om man nd vljer att g vidare med frslag om husrannsakan p distans,
har vi fljande fyra krav (se ocks sidan 23):
1. S lnge konsumenter br risken fr, eller har bevisbrdan d, ekonomiska
transaktioner eller andra interaktioner i elektroniska miljer gr fel, s br de
brottsbekmpande myndigheterna ver huvud taget inte gna sig t verksam-
het som frsmrar den tekniska skerheten i sdana verktyg som konsumenter
i kande utstrckning mste anvnda fr att delta i marknaden, socialt liv och
myndighetskontakter. Artikel 169(4) TFEU ger den svenska lagstif aren utrym-
met att ta bort presumptionen att bevisbrdan och risken fr anvndning av
elektroniska signaturer ligger p konsumenten.
2. Ingen tgrd ska vidtas utan fregende prvning i en oberoende instans.
Den oberoende instansen ska f tillrckligt med information fr att gra en
sjlvstndig bedmning av ndvndigheten och proportionaliteten i tgrden.63
Informationen ska innefatta en redovisning av hur myndigheterna tekniskt
kommer att genomfra och avsluta husrannsakan. Den ska ocks innefatta vad
myndigheterna letar ef er och hur de ska undvika att lgga beslag p sdant
de inte letar ef er. Dessa regler ska glla bde fr husrannsakan i en dator de
be nner sig i fysisk nrhet av och husrannsakan p distans.
3. Ef er det att de brottsbekmpande myndigheterna anvnt tvngsmedlet,
br metoden fr hur de brottsbekmpande myndigheterna anvnt sig av en
srbarhet, samt srbarheten som sdan, redovisas.64 Detta krav br stllas fr
att underltta tgrdande av srbarheten fr den stora majoriteten laglydiga
anvndare av elektroniska verktyg. Kravet gr ocks att myndigheterna inte
anvnder sig av verktyget i ondan. Om detta krav inte nns med i lagstif ningen
innebr det att den som utsatts fr tvngsmedlet inte kan avbryta tvngsmedlet:
om de brottsbekmpande myndigheterna installerat en metod fr dataintrng
utan att avslja hur de har gjort detta kan den som utsatts fr intrnget inte
avbryta intrnget.
4. De brottsbekmpande myndigheterna br inte f begagna sig av 0-days,
ef ersom dessa skerhetsproblem nnu inte r knda och drfr inte kan t-
grdas. Om de brottsbekmpande myndigheterna fr knnedom om en sdan
srbarhet eller sdan metod fr att utnyttja en srbarhet br de lggas med ett
absolut krav att avslja felet fr de parter som kan tgrda felet fr den absoluta
majoriteten laglydiga individer.

Vi menar att konstitutionella och mnniskorttsliga prvningar av den hr fr-


gan ger ett fr begrnsat perspektiv. Utanfr (vissa delar av utlndsk) akademi
saknas det huvudsakligen analyser av de ekonomiska och konsumentrttsli-
ga aspekterna av polisira tgrder, trots att bestmmelser om myndigheters
befogenheter i allra hgsta grad pverkar nringslivets prioriteringar. De huvud-
sakliga problemen med stora befogenheter fr brottsbekmpande myndigheter i
digitala miljer r a frsrttsliga eller konsumentrttsliga.
Det r ocks vrt att nmna att den tyska konstitutionsdomstolen gr sina
uttalanden mot en bakgrund av att nstan 80% av alla transaktioner i Tyskland
63 Europadomstolen, Zakharov v. Russia (Application no. 47143/ 06).
64 Steven M. Bellovin, Matt Blaze, Sandy Clark, Susan Landau, Lawful Hacking: Using Existing
Vulnerabilities for Wiretapping on the Internet. Privacy Legal Scholars Conference, June 2013.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
15

genomfrs med kontanter,65 mot 20% i Sverige.66 Bara ett ftal procent av
tyska befolkningen anvnder e-legitimation p grund av oro fr skerhet och
dataskydd. I Tyskland r det mjligt fr en konsument som vill kunna ta till vara
p sina rttigheter att gra det genom att inte delta i den digitala ekonomin och
frvaltningen. I Sverige nns en uttalad strategi att f mnniskor att anvnda
e-frvaltning och elektroniska betalmedel,67 som gr det svrt fr enskilda
att bevara de rttigheter de har i fysiska miljer som de inte har i elektroniska
miljer.
De ovanstende styckena om konsumentrtt, elektroniska signaturer och
avtal fr elektroniska tjnster p sidorna 4, 5 och 7 hoppas vi har illustrerat
konsumenters utsatta stllning och hur den riskerar att bli nnu mer utsatt
om reglerna fr husrannsakan utformas p ett sdant stt som fresls i utred-
ningsdirektiven. Nu fljer istllet tv behandlingar om nringslivet och hur de
brottsbekmpande myndigheterna riskerar att bidra till sdana prioriteringar fr
nringslivets aktrer som inte r i konsumentens bsta intresse.

Revolving-doors och marknadsfring i IT-skerhetsindustrin


Ett ytterligare vervgande som utredningen behver gra i frhllande till
utnyttjande av srbarheter i IT-system, r det s kallade revolving doors-
problemet. Det nns idag ett relativt stort antal fretag som professionellt gnar
sig t att ta fram metoder fr brottsbekmpande myndigheter och underrttel-
setjnster att utfra sanktionerade dataintrng. Dessa fretag drivs inte sllan
av och med personer som kommer frn o fentlig sektor, till exempel frn un-
derrttelsetjnster eller frn de brottsbekmpande myndigheterna.68 Fretagen
rekryterar tidigare o fentliganstllda, och utvecklar eller kper in metoder att
utnyttja srbarheter p uppdrag av o fentlig sektor.
Fr myndigheterna nns det frdelar med att outsource:a verksamheten. Pri-
vat sektor omfattas inte av ngra krav p transparens och o fentlighet. Det gr
att varken fretag eller myndigheter behver redovisa om de har kunskap om
metoder fr att utnyttja srbarheter. Marknaden fr kunskap om metoder fr
att utnyttja srbarheter r delvis kartlagd och delvis vit,69 men den r of a ocks
inte vit och inte kartlagd. De fretag som hjlper brottsbekmpande myndighe-
ter hitta srbarheter i elektroniska produkter som anvnds av slutkonsumenter
har dock bevisligen haf att gra med sdana srbarheter som ocks anvnds vid
aktiviteter som skadar enskildas och konsumenters intressen.70 Behovet av regler
fr denna marknad har lyf s i europeiska sammanhang av bland andra europeis-
ka dataskyddstillsynsmannen,71 men i Sverige saknas en sdan diskussion.
65 Philip Oltermann (8 februari 2016) German plan to impose limit on cash transactions met
with fierce resistance, The Guardian.
66 Sara L Brnstrm (4 mars 2016) Riksbanken: D blir Sverige kontantlst, Svenska dagbladet.
67 Se till exempel http://www.kontantupproret.se/, E-delegationens utredningar eller
Digitaliseringskommissionen.
68 Andy Greenberg (21 March 2012).Meet The Hackers Who Sell Spies The Tools To Crack Your
PC (And Get Paid Six-Figure Fees)Forbes; Adrianne Jeffries (13 September 2013).Meet Hacking
Team, the company that helps the police hack youThe Verge; Vernon Silver (8 november 2012)
MJM as Personified Evil Says Spyware Saves Lives Not Kills Them Bloomberg; Der Spiegel, 9
november 2014 BND will Informationen ueber Software-Sicherheitsluecken einkaufen.
69 Se ovan fotnot 68.
70 Peter Pi (7 juli 2015) Unpatched Flash Player Flaw, More POCs Found in Hacking Team
Leak, Trendlabs Security Intelligence Blogs.
71 EDPS, Opinion 8/2015: Dissemination and use of intrusive surveillance technologies.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
16

Ef ersom de mssor och konferenser som ger rum fr frsljning och mark-
nadsfring av dataintrngsprodukter omgrdas av sekretess (antingen via o fent-
liga sekretessregler eller genom non-disclosure agreements)72 har det visat sig vara
svrt att f en bild av vad marknaden r, vem som utvecklar saker, till vilket pris
och till vilka srbarheterna sljs.
Nr det vl nns fretag som gnar sig t att frmedla metoder fr utnytt-
jande av srbarheter i IT-system till brottsbekmpande myndigheter, blir dessa
fretag en egen intressegrupp som utvar politiskt in ytande p de brottsbe-
kmpande myndigheterna och p politiker. Vid Torontos universitet i Kanada,
har CitizenLab-gruppen kartlagt vad de menar utgr ett cyber-war industrial
complex som omstter tskilliga tiotals miljarder dollar per r.73 Fretagens
egenintresse kan antas vara att framstlla sig som ovrderliga och ndvndiga fr
e fektiv brottsbekmpande verksamhet, ef ersom deras huvudsakliga intktskl-
la r just samarbete med brottsbekmpande myndigheter.
Kontakter med dessa fretag gr sannolikt inte att undvika, men kontakten
kan vara mer eller mindre direkt. Lt oss sga polismyndigheten inte direkt
frvrvar srbarheter eller metoder att anvnda srbarheter frn privat sektor,
utan att metoderna frvrvas frn andra myndigheter, som kanske i sin tur har
kontakt med utlndska myndigheter. De srbarheter som kan anvndas fr att
skada konsumenters och enskildas intressen kan d tckas d av frsvarssekretess
i era led, vilket gr att det inte gr att spra varifrn metoderna kommer, vem
som har utvecklat dem eller ens vad de mer exakt gr.
Fr all verksamhet relaterad till sanktionerade dataintrng r kontakterna
med privat sektor s pass utbredda att det i princip r otnkbart att svenska
skattemedel inte skulle g till vad som enklast kan beskrivas som en oskerhetsin-
dustri. Hr kan det vara hjlpsamt med ngra exempel:
72 Ryan Gallagher (1 november 2011) Governments turn to hacking techniques for surveillance
of citizens The Guardian.
73 Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, and John Scott-Railton, For Their
Eyes Only: The Commercialization of Digital Spying,Citizen Lab Research Brief No. 17, April
2013; Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, and John Scott-Railton, You Only
Click Twice: FinFishers Global Proliferation,Citizen Lab Research Brief No. 15, March 2013;
Morgan Marquis-Boire (lead technical research) and Jakub Dalek (lead technical research), Sarah
McKune (lead legal research), Matthew Carrieri, Masashi Crete-Nishihata, Ron Deibert, Saad
Omar Khan, Helmi Noman, John Scott-Railton, and Greg Wiseman, Planet Blue Coat: Mapping
Global Censorship and Surveillance Tools, Citizen Lab Research Brief No. 13, January 2013; vriga
publikationer p CitizenLab Publications: https://citizenlab.org/publications/
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
17

I USA har brottsbekmpande myndigheters frvrv av produkter fr


sanktionerade dataintrng varit omskrivna, mindre p grund av trans-
parens kring inkpen som med anledning av lckor och informella
tillknnagivelser.a

Vi har redan tidigare exempli erat tyska och schweiziska polisens inkp
av trojaner.b

I Nederlnderna kpte underrttelsetjnsten 2013 in mjukvaran Argo


II, som de vid tillfllet inte hade laglig rtt att anvnda. P grund av
Snowden-lckorna
Snowden-lckorna gde de frvntade lagndringarna inte rum, och
fortfarande lggs nederlndska skattepengar p ett system som r Snowden-lckorna hnvisar till
den strre lcka av information om
olagligt.c amerikanska underrttelsetjnsten
a Se t ex Bloomborg (30 mars 2016) FBI Worked With Israels Cellebrite to Crack iP- National Security Agencies offensiva IT-
skerhetsverksamhet som skedde i juni 2013.
hone; Joseph Cox (6 juli 2015) The FBI Spent $775K on Hacking Teams Spy Tools Since
Lckorna avsljade avancerade attacker mot
2011, Wired. Se ven nedan fotnot 74.
b Se ovan sida 6. sociala ntverk och krypteringssystem, avlyss-
c Michael Persson (9 november 2013) Nederland bestelt een nog verboden spiona- ning av stamnt och internetknutpunkter
samt samrret mellan den amerikanska
gesysteem, Volkskrant; Nederlandse overheid, Ministerie van Defensie, Gegevens
underrttelsetjnsten och utlndska partners.
verwerken met ARGO II.
Lckorna har varit betydelsefulla p
det stt att de givit en frstelse fr hur
I vissa delar av IT-skerhetsbranschen r det hf igt att kunna frstra el- skerhetsproblem i digitala miljer
utnyttjas av stater. De har blivit mycket
ler olovligen ta sig in i ett IT-system. Att vinna s kallade capture the ags- omdiskuterade, bde i medier och bland
tvlingar (en tvling dr den som frst lyckas utnyttja en srbarhet vinner) ger lagstiftare i mnga lnder. Ledande
tidskrifter i rapporteringen var initialt The
status gentemot andra IT-skerhetsexperter ef ersom de kar frstelsen fr Guardian och Washington Post.
vilka srbarheter och mjligheter att utnyttja srbarheter som nns i ett system,
men ocks hur man kan tgrda srbarheterna.
Vi r oroliga fr att de brottsbekmpande myndigheterna har smittats
av att det r hf igt att olovligen ta sig in i IT-system och att det gr att gra
mnga saker med datorer.74 Att det idag nns en stor industri som jobbar med
att vertyga brottsbekmpande myndigheter om att det r hf igt att ta sig in
i IT-system75 fr myndigheterna att lta bli att vervga trkigare och tekniskt
mindre spektakulra utredningsmetoder.
I frsvarssammanhang har o fensiv IT-skerhet, det vill sga militrt sanktio-
nerade dataintrng, framstllts som en billigare metod att bedriva skerhetsarbe-
te i ntmiljer n att gna sig t frebyggande verksamhet och transparens.
Vi ifrgastter detta mot bakgrund av den frstelse fr skerhet och eko-
nomi som utvecklats inom bde forskning och nringsliv under de senaste tv
decennierna (se ovan p sidan 11 om skerhetsfrbttringar och ekonomi).
Vi menar att det istllet rr sig om en psykologisk e fekt, dr nringslivets
metoder fr att gradvis och i sm steg frbttra skerheten i IT-system fr de
statliga myndigheterna att vilja delta i sdant som r coolt, men p sdana villkor
att e fekten med stegvisa frbttringar och tgrdande av skerhetsfel uteblir.
Marknaden fr polisnra tjnster har sedan vxt p ett sdant stt att man i nnu
hgre utstrckning inspireras fortstta arbeta med samma metoder.
I Christopher Soghoians och Stephanie K Pells genomgng av skerhet i mo-
biltelefonntverk,76 exempli eras bde myndigheters och lagstif ares felaktiga
74 Bruce Schneier (25 februari 2011) HBGary and the Future of the IT Security Industry, schnei-
er.com.
75 Se ovan fotnot 68.
76 Se ovan fotnot 20.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
18

lngsiktiga prioriteringar fr IT-skerhet tydligt. Frfattarna framhller, i en-


lighet med Axel Arnbak,77 att lagstif aren borde ha fokuserat p integritet och
tillfrlitlighet fr konsumenter och enskilda i basinfrastrukturen istllet fr att
frbjuda frsljning av viss utrustning som mjliggr utnyttjande av srbarheter
i basinfrastrukturen till allmnheten (dock utan att frbjuda sdan frsljning
till brottsbekmpande myndigheter och frsvarsrelaterade myndigheter).
Det nns en ptaglig risk att den svenska lagstif aren och brottsbekmpande
myndigheter via privilegierad access till forum som allmnheten inte har tilltrde
till, blir utsatta fr marknadsfring som ger dem en orealistisk bild av vad som
fungerar bra fr att lsa brott, och vad som ligger i allmnhetens intresse.
Marknadskraf er och lobbyism ska inte underskattas: marknaden fr utnytt-
jande av srbarheter r lukrativ och vxer, och utredaren har ett val om den vill
lgga tonvikt p att gynna denna marknad, eller om utredaren istllet vill fresl
en vg framt som innebr ett strre fokus p integritet och tillfrlitlighet (se
ovan sidan 9).

Beslag av information
Vi r tveksamma infr att ge de brottsbekmpande myndigheterna mjlighet
att beslagta elektroniskt lagrad information. Uppdragsgivaren ser ut att ha
motiverats av tv fall d medier publicerat pixellerade bilder.78 I varje fall skulle
den sortens regler som utredningsdirektiven bett att f utvrderade kunna
anvndas fr att kringg Hgsta domstolens beslut om frbud mot beslag av
Af onbladets hrddiskar i augusti 2015.
Vid utformningen av rttspolitiska tgrder behver utredaren noggrant
underska i vilken utstrckning utredaren ger incitament fr nringslivet att
utvecklas, eller inte utvecklas, i olika riktningar. Genom lagstif ningen kan
nringslivet indirekt styras att vlja vissa, fr individer mindre gynnsamma,
skerhetslsningar.79
I tidigare svenska utredningar har det framstllts som positivt att nringslivet
kan utveckla specialiserade lsningar fr aktiviteter som inte ligger i enskildas
och allmnhetens intresse. I en utredning om datalagring frn 2007 antog till
exempel utredaren att dedikerade datalagringstjnster kunde hjlpa smfretag
hantera kostnaden fr datalagring.80 Den resulterande datalagringsindustrin81
hjlpte sedan med och bidrog till processer fr att utveckla tekniska protokoll
fr datautlmning som gick lngre n vad lagstif ningen krvde, till exempel
genom att mjliggra direkttkomst fr brottsbekmpande myndigheter till
internetoperatrers information om enskilda (jmfr styckena p sidan 15 om
revolving doors och marknadsfring).82 Allmnheten, det vill sga konsumen-
ter och enskilda i Sverige och annorstdes, hade inte ftt knnedom om denna
utveckling om inte en nringslivsaktr tydligt agerat mot, i detta fall, Sker-
77 Se ovan fotnot 3.
78 Tronarp, Ornerud, Hagberg (18 augusti 2015) Hgsta domstolen stoppar husrannsakan p
Aftonbladet, Aftonbladet; Geronimo kerlund (21 januari 2016) Drfr pixlar vi, SVT.
79 Se ovan fotnot 24 och 20.
80 SOU 2007:76. Lagring av trafikuppgifter fr brottsbekmpning.
81 Tor Borrhed, Maintrac summerar: Ett r med datalagringen! i Stadsntet, Magasinet frn
Svenska stadsntsfreningen, Nr 1 mars 2014.
82 IT- och telekomfretagen, Arbetsgrupp fr datalagring; Kalle Anrell och Monica Kleja, (22
november 2013) Stadsnten stoppar verfringen, Ny Teknik.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
19

hetspolisens vilja och frvntan.83


Att trots mot ordningsmakten r det enda sttet att f reda p vad ordnings-
makten gr, utgr vi ifrn inte r meningen. En viktig lrdom av historien r
dock inte att en enskild teleoperatr sa ifrn, utan att den tekniska standardise-
ringen vlkomnades av nringslivet. P grund av nringslivets redan be ntliga
frpliktelser, var det helt enkelt billigast och enklast fr berrda fretag att g
lngre n man skulle.
Hur nringslivet kommer att anpassa sig till lagstif arens nskeml gr inte
alltid ltt att frutse. Uppstr det juridisk oskerhet kan det till exempel hnda
att utveckling mot bttre, anvndarvnliga skerhetsverktyg inte kommer till
stnd, snarare n att ngon be ntlig produkt frsmras. Webbhotell, blogg-
plattformar, mediastationer och molntjnster tillhr sdana tjnster som kan
tnkas pverkas av att det upplevs nnas ett krav p att kunna tillgngliggra
information till de brottsbekmpande myndigheterna. Om en sdan nringspo-
litisk utveckling ska ske, ska den inte ske fr att utredare och lagstif are inte haf
mjlighet att vervga de nringspolitiska implikationerna av sina beslut.

Ur ett strre och fr utredningen mer allvarligt perspektiv, menar vi att svensk
rttstradition r fast i en otidsenlig beskrivning av integritetsbegreppet som nr-
mare motsvarar den gllande amerikanska lagstif ningen n den samtida euro-
peiska, och som fr bde de brottsbekmpande myndigheterna och lagstif arna
att underskatta behovet av begrnsningar fr myndigheternas befogenheter med
information om enskilda. Vi kommer att utveckla detta i det fljande, men hn-
visar ocks till vr behandling av vilda vstern-tendenser i elektroniska miljer
(se ovan sidan 3).

Incitament fr kryptering och skerhetsuppdateringar


Om beslag av information ska gras mjlig, r det viktigt att reglerna utformas
p ett sdant stt att de inte krver avkryptering av krypterad information, samt
att reglerna inte gr att misstolka som ett incitament att inte lta konsumenter
och enskilda sjlva ha makt ver krypteringsnycklar.
Anledningen till detta r att man inte vill skapa incitament fr nringslivet
att frng krypterade lsningar fr sina slutanvndare. Man vill inte heller tvinga
fretag att implementera krypteringen p ett sdant stt att fretaget sjlvt
kan avkryptera informationen p begran. Man vill allts ha s kallad end-to-
end-kryptering dr varje anvndare sjlv har eller kan ha kontroll ver sina
krypteringsnycklar.
Centraliserade lsningar, som att ha en huvudnyckel som lser upp alla
elektroniska ler som lagrats p en viss dator, fungerar smre och ger mind-
re skerhet fr konsumenter n decentraliserade lsningar som end-to-end-
kryptering. Centraliserade lsningar r mer srbara fr bde slarv (den vanligaste
orsaken till skerhetsproblem) och illasinnade attacker. Detta har observerats
ven i Sverige, d till exempel Frsvarets radioanstalt har uttryckt oro infr
anvndningen av molntjnster i o fentlig sektor.84
Ef er Snowden-lckorna har masskonsumentinriktade verksamheter som Se frklaring av Snowden-lckorna p sidan
17.
Wire, Google, Apple, Whatsapp, Telegram, Threema och Signal brjat anvnda
83 P1 Morgon (17 december 2013) Bahnhof spelade in SPO:s vertalningskampanj.
84 Simon Camponello (12 februari 2016) FRA oroas av all outsourcing vill att staten skapar eget
moln, IDG.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
20

end-to-end-kryptering och starka dataskyddsfunktioner som en del av sin mark-


nadsfring. Det har ocks uppsttt en cryptoparty-rrelse som plockats upp
av, bland andra, svenska bibliotek.85
Denna utveckling r nskvrd och strker enskildas och konsumenters
Figur 3: http://digibib.se/cryptoparty-
frstelse och in ytande ver sin egen skerhet och identitet i digitala miljer. bibldag16/
Utvecklingen br bejakas i rttspolitiken.

verskottsinformation
Flera av uppgif erna i utredningsuppdraget berr mjligheten att samla in mer
information vid husrannsakan, information om nrstende, samt arkivering,
gallring, kopiering och sekretess fr sdan information.
Det r vr mening att utredaren br fra Sverige nrmare de tyska kontroll-
funktionerna. Den tyska konstitutionsdomstolen var tidigt ute med att de niera
informationellt sjlvbestmmande.86 Senast vren 2016 etablerade domstolen
att datorn e fektivt r en frlngning av den enskilda individens personlighet.87
Domstolen drar drfr slutsatsen att vervakning av denna sfr r att ses som
extra allvarlig och drfr i de esta fall drfr omjlig att rttfrdiga.
I Sverige berrdes verskottsinformation s vitt vi har kunnat bedma
fr frsta gngen i utredningen Tvngsmedel Anonymitet Integritet frn
1984.88 Utredningen freslog d att de brottsbekmpande myndigheterna inte
skulle f anvnda verskottsinformation ver huvud taget. Det frhllningsst-
tet r frenligt bde med det tyska konstitutionella skyddet, och det amerikanska
konstitutionella skyddet. Den fria bevisprvningen i svenska domstolar har dock
sedan 2003 inneburit att det inte nns ngra frhinder mot att brottsbekmpan-
de myndigheter anvnder sig av bevisning i domstol som de i och fr sig kommit
85 Kungliga biblioteket (17 november 2015)Bibliotekens behov av digitala miljer med std fr
personlig integritet
86 Bundesverfassungsgericht, Urteil des Ersten Senats vom 15.Dezember 1983, 1 BvR 209/83 u.a.
Volkszhlung , BVerfGE 65, 1.
87 Bundesverfassungsgericht, Urteil des Ersten Senats vom 20. April 2016 - 1 BvR 966/09 - Rn.
(1-29) Paragraf 210:
Mit dieser eigenstndigen Ausprgung des allgemeinen Persnlichkeitsrechts trgt die Verfassung
der heute weit in die Privatsphre hineinreichenden Bedeutung der Nutzung informationstechnischer
Systeme fr die Persnlichkeitsentfaltung Rechnung (vgl. BVerfGE 120, 274 <302 ff.>). Tagebuchartige
Aufzeichnungen, intime Erklrungen oder sonstige schriftliche Verkrperungen des hchstpersnli-
chen Erlebens, Film- oder Tondokumente werden heute zunehmend in Dateiform angelegt, gespeichert
und teilweise ausgetauscht. Weite Bereiche auch der hchstpersnlichen Kommunikation finden
elektronisch mit Hilfe von Kommunikationsdiensten im Internet oder im Rahmen internetbasier-
ter sozialer Netzwerke statt. Dabei befinden sich die Daten, auf deren Vertraulichkeit die Betroffenen
angewiesen sind und auch vertrauen, in weitem Umfang nicht mehr nur auf eigenen informationstech-
nischen Systemen, sondern auf denen Dritter. Das Grundrecht auf Gewhrleistung der Vertraulichkeit
und Integritt informationstechnischer Systeme schtzt dementsprechend vor einem geheimen Zugriff
auf diese Daten und damit insbesondere vor Online-Durchsuchungen, mit denen private Computer
wie sonstige informationstechnische Systeme manipuliert und ausgelesen, sowie persnliche Daten, die
auf externen Servern in einem berechtigten Vertrauen auf Vertraulichkeit ausgelagert sind, erfasst und
Bewegungen der Betroffenen im Netz verfolgt werden. Wegen der oft hchstpersnlichen Natur dieser
Daten, die sich insbesondere auch aus deren Verknpfung ergibt, ist ein Eingriff in dieses Grundrecht
von besonderer Intensitt. Er ist seinem Gewicht nach mit dem Eingriff in die Unverletzlichkeit der
Wohnung vergleichbar.

88 SOU 1984:54, Tvngsmedel - anonymitet - integritet.


in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
21

ver genom en process som inte r formellt riktig.89 Detta bidrar till ett svenskt
vilda vstern i digitala miljer, vilket srskilt r fallet om de brottsbekmpande
myndigheterna har lngt gende befogenheter att bedriva underrttelsearbete, ta
sig in i elektroniska system eller ska igenom datorer.
Nu r denna vilda vstern-stmning inte bara pkallad av att den svenska
fria bevisprvningen som enligt vra frslag br begrnsas utan ven av
att svensk juristkr har en frldrad instllning till integritet, privatliv och
dataskydd. I utredningen om verskottsinformation vid direkttkomst frn
2012 drog utredningskommitten inga andra slutsatser n att det behvs er
utredningar.90 I utredningen om integritet och stra fskydd beskrevs att svenska
jurister uppfattar dataskyddslagstif ning som allt fr svr, och att de inte har
ngon kunskap om lagstif ningen. Vi vill drfr frtydliga ngra grundlggande
aspekter av den europeiska dataskyddslagstif ningen, samt dess konceptuella
ursprung.
Fljande versikt av olika paradigmer fr privatliv och integritet r tagen
frn Fahriye Seda Grses avhandling i datavetenskap om integritetsskyddande
teknologier (PETs).91

1870-talet: Rtten att bli lmnad i fred. (Integritet som hemlighet)


En uppfattning om att det man vill hlla fr sig sjlv, ocks ska hllas
hemligt. Det som r privat, r privat, och ska inte lmna den privata
sfren. Staten fr i denna paradigm skyldigheten att inte avhnda sina
subjekt mer information n ndvndigt, fr om staten gr det antas
informationen ha hamnat utanfr subjektets kontroll och drmed inte
lngre vara privat. Det r denna syn som i princip r inbakad i svenska
regeringsformen.
1970-talet: Rtten till dataskydd. (Integritet som kontroll)
I detta paradigm antar man istllet att subjektet kan utva kontroll ver
uppgif er ven som gjorts tillgngliga fr andra. Istllet fr att man tap-
par kontrollen, kan man f mjlighet till rttelse, insyn, och en mjlighet
att sga nej till fortsatt behandling. De frsta dataskyddslagstif ningarna
r skrivna mot bakgrund av detta nya paradigm, och den europeiska
dataskyddslagstif ningen hller sig ven ef er den politiska processen att
ta fram en ny allmn dataskyddsfrordningen huvudsakligen inom detta
paradigm.
2000-talet: Rtten till en egen identitet. (Integritet som praktik)
Detta paradigm har pverkats av rttsutvecklingen i tyska konstitutions-
domstolen och Europadomstolen, och innebr att individer utver de
verktyg som nns i dataskyddslagstif ning och som hrstammar ur det
andra paradigmet ska ha en rtt att sjlva utveckla sin identitet utan otill-
brlig pverkan utifrn. Synsttet yttar tonvikten frn uppgif er som
direkt gr att hrleda till ett subjekt, till de mer abstrakta mngderna av
information som rr ett subjekts identitet.

Det sista synsttet kan anses ha representerats i utredningen om en ny da-


89 Hgsta domstolen, NJA 2003 s. 323.
90 SOU 2012:90, verskottsinformation vid direkttkomst.
91 Fahriye Seda Grses, Multilateral Privacy Requirements Analysis in Online Social Network
Services KU Leuven, 2010.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
22

talag frn 1993,92 men fll p att domstolarna inte upplevde att de kunde gra
adekvata bedmningar frn fall till fall.
I Sverige har domstolsvsendet of a haf en tillbakadragen roll, enligt Johan-
sen och Wejedal s pass tillbakadragen att mycket litet har skiljt domstolarna
frn vanliga frvaltningsmyndigheter,93 vilket skapar dliga frutsttningar
fr en exibel lagstif ning dr individer genom att tilldelas information sjlva
kan driva klagoml och be domstolarna om tvistlsning ven i situationer som
lagstif aren inte direkt har frutsett. Problemet kan antas vara kopplat till den
konsumentrttsliga problem vi har anfrt p sidan 7 om mjligheter fr enskilda
att hvda sin rtt.
Trots enstaka nedslag i mer moderna tillvgagngsstt fr att hantera rtten
till integritet (rtten till identitet) har den svenska lagstif ningen huvudsakligen
gtt tillbaka till en syn p integritet som motsvarar 1870-talsbegreppet. I vilket
fall saknas det bde doktrin och statliga utredningar som tar avstamp i rtten
till privatliv och integritet som en rtt till den egna identiten, innefattat den
identitet eller de identiteter man utvecklat med och genom elektroniska verktyg.
Istllet fr att bemktiga privatpersoner att f kunskap och knnedom om
hur de pverkas av andra, har lagstif aren arbetat med en dataskyddsprincip
som de kallar fr missbruksregeln. Den har inspirerats av amerikansk lagstif -
ning och s vitt Dataskydd.net kunnat utrna nns det inga utredningar om
huruvida missbruksregeln alls har frutsttningar att upprtthllas i Sverige:
till skillnad frn USA saknar nmligen Sverige en utvecklad skadestndsrtt och
svenska domstolar har inte mjlighet, eller befogenhet, att gna sig t samma fria
kon iktlsning som amerikanska domstolar.94
I den amerikanska doktrinen (som frvisso r stor och drfr spretigare n
den svenska) har man rrt sig t motsatt hll frn den svenska. Framstende fors-
kare som Helen Nissenbaum95 och Bruce Schneier96 fresprkar en europeisk-
inspirerad hanteringsmodell fr dataskydd, och den avgenden presidenten
Barack Obama har initierat en process fr moderna regler fr dataskydd.97
De svenska reglerna om hantering av verskottsinformation, men ven han-
tering av personuppgif er i staten i allmnhet, har uppsttt utanfr den hr
kontexten. I Sverige grs drfr ingen stark tskillnad mellan de enskildas in-
tressen och de statliga intressena. Det allmnna och allmnheten verkar
inte ses som separata aktrer med olika intressen. Ef ersom allmnheten be-
str av en brokig skara enskilda, naturliga personer, har konsekvensen av denna
brist p tskillnad mellan det allmnna och allmnheten blivit att det
allmnnas intressen vertar allmnhetens intresse. Allmnheten har helt
enkelt smre politiska verktyg att gra sig hrda n vad frvaltningsvsendet har
(och frvaltningsvsendet kan i detta tillmtas en vidare betydelse n bara de
brottsbekmpande myndigheterna). Markus Naarttajrvi berr ngonting lik-
nande i sin avhandling frn 2013, dock utan att gra en s tydlig och lngtgende
92 SOU 1993:10, En ny datalag
93 Se ovan fotnot 4.
94 Dataskydd.net, Remissyttrande ver SOU 2016:7 om integritet och straffskydd, maj 2016.
95 Helen Nissenbaum, Must Privacy Give Way to Use Regulation? Brown University Watson
Event, 15 mars 2016.
96 Bruce Schneier, Data and Goliath: The Hidden Battles to Capture Your Data and Control
Your World, W. W. Norton & Company, 2015.
97 Vita huset, We Cant Wait: Obama Administration Unveils Blueprint for a Privacy Bill of
Rights to Protect Consumers Online, 23 februari 2012.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
23

slutsats.98
Genom att omde niera rtten till integritet frn att vara ett skydd fr enskil-
das sjlvstndiga personlighetsutveckling till ngonting som ger staten rtt att
utreda brottslig verksamhet,99 avviker svensk rttsutveckling frn den utveck-
ling av integritets- och identitetsbegreppet som gt rum i Europa och i vrlden
i vrigt. Utredaren br bryta denna trend och istllet lyf a fram allmnhetens
intresse av att varje enskild individ kan utva sjlvstndigt in ytande ver sin
identitetsbildning i s hg utstrckning som r rimligt.
Vrt frslag r att man begrnsar tillmpningen av hemliga tvngsmedel p
ett sdant stt att bara sdan information som angivits i tillstndet fr tillmp-
ningen av det hemliga tvngsmedlet fr samlas in. En sdan avgrnsning har std
i tysk rtt, och ven i amerikansk, och vore en tillbakagng till de egentligen mer
moderna resonemang om rtten till privatliv och identitet som i Sverige frdes
p 1970- och 80-talen.
I vrigt r vi negativa till de saker som lyf s i utredningsuppdraget och som
innebr att brottsbekmpande myndigheter fr strre befogenheter att inskrn-
ka inte bara vagt misstnkta individers privata sfr, utan ven deras anhrigas
och vnners privata sfrer. Privatpersoner i Sverige r mnniskor och tnju-
ter drigenom rtten till en egen identitet. Tvngstgrder ska vara speci ka,
riktade, avgrnsade och frutsgbara fr de som drabbas.

Frslag

1. En regel om att det som inte r tilltet inte ska gras av de brottsbe-
kmpande myndigheterna

Vi ef erfrgar en regel om att det som inte r reglerat i lag, inte ska vara
tilltet fr myndigheterna att gra. En sdan regel r verensstmmande
Se ovan sidan 3, 15, 20.
med de internationella frpliktelser som Sverige r bundna av med avse-
ende p rttsskerhet och frutsgbarhet fr myndigheters handlingar.

2. Konsumenter br kunna frvnta sig att deras stat upprtthller


antingen juridisk skerhet eller mjligheter fr teknisk skerhet.

Ett nytt frfarande fr husrannsakan som innebr att de brottsbe-


kmpande myndigheterna kan riskera att bevara tekniska skerhetsfel Se ovan sidorna 4, 5, 7.
(srbarheter) eller agera fr att srbarheter inte ska tgrdas frsmrar
konsumenternas tekniska skerhet. Om utredaren vill infra ett sdant
frfarande, br utredaren fresl strka konsumenternas juridiska s-
kerhet i enlighet med Frdraget om Europeiska unionens funktionsstt
(2012/C 326/01) artikel 169(4), s att risken och bevisbrdan fr att
en elektronisk signatur r kta inte faller p konsumenten. ven vid
sdana transaktioner som inte innefattar elektroniska signaturer br
bevisbrdan yttas frn konsumenten till tjnsteleverantren/erna.

98 Se ovan fotnot 45.


99 Cecilia Gustavsson (4 april 2001) Storebror ser dig och fljer dig hem.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
24

3. Det ska stllas starka krav p rttsskerhet i form av oberoende fr-


handsprvning av metoden fr husrannsakan samt mjlighet till ef er-
handsgranskning.

Den oberoende instans som genomfr frhandsprvningen mste f Se ovan sidorna 3, 13, 20.
tillgng till tillrckligt med information fr att fatta ett informerat beslut
i enlighet med Europadomstolens praxis fr oberoende prvningar.
Informationen ska innefatta en redovisning av hur myndigheterna
tekniskt kommer att genomfra och avsluta husrannsakan. Den ska
ocks innefatta vad myndigheterna letar ef er och hur de ska undvika
att lgga beslag p sdant de inte letar ef er. Dessa regler ska glla bde
d myndigheterna undersker elektronisk apparatur de be nner sig i
fysisk nrhet av (genomskning av elektronisk apparatur) eller om de
genomfr ett sanktionerat dataintrng.

4. De brottsbekmpande myndigheterna ska o fentligt och lttillgng-


ligt redovisa de metoder de har anvnt fr att utnyttja srbarheter i
programvaror och andra elektroniska system.

Oavsett om de brottsbekmpande myndigheternas har ftt tag p me- Se ovan sidorna 11, 13.
toderna fr att utnyttja srbarheter frn andra myndigheter eller frn
nringslivet ska anvndningen omfattas av en redovisningsplikt som
ska gras o fentlig. Det ska allts inte vara mjligt fr myndigheterna
att begagna sig av en metod fr att utnyttja en srbarhet i programvaror
eller elektroniska system upprepade gnger utan att srbarheten sedan
kan tgrdas. Det behver tydligt framg att myndigheterna inte ska
kunna vnda sig till andra myndigheter med starkare sekretesskydd fr
att kringg dessa frpliktelser. Det ska heller inte vara mjligt att undg
transparenskraven genom hnvisning till fretagshemligheter i privat
sektor.

5. De brottsbekmpande myndigheterna ska ha ett strikt ansvar fr


att deras metoder att ta sig in i system p distans nr de personer de r
menade att n.
Ansvaret fr att en srbarhet som utnyttjats i en programvara eller annat
Se ovan sidorna 4, 13, 15.
elektroniskt system i enlighet med lagen inte hamnar p villovgar, till
exempel smittar andra system n det som r avsett i tillstndet, ska vara
strikt. Fr att det ska nnas en mjlighet att utkrva ett sdant ansvar
mste transparensfrpliktelserna i frslag 3 och 4 realiseras.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
25

6. Tidigare oknda srbarheter eller metoder fr att utnyttja srbarheter


(0-days) ska inte anvndas vid sanktionerade dataintrng utan ome-
delbart meddelas den nringslivsaktr eller annan aktr som bst kan
tgrda dem.
Se ovan sidan 13.
Om de brottsbekmpande myndigheterna fr knnedom om en tidi-
gare oknd srbarhet eller metod fr att utnyttja en srbarhet ska de
omedelbart vidta tgrder fr att srbarheten eller metoden att anvnda
srbarheten blir knd och kan tgrdas.

7. En srskild regel om att de brottsbekmpande myndigheterna inte ska


f ef erfrga svagare skerhet n vad som r tekniskt mjligt.

Sverige br infra en srskild regel om att myndigheter inte ska gra


konsumenters och privatpersoners liv otryggare i elektroniska miljer n Se ovan sidan 12.
vad som av ekonomiska skl r oundvikligt.

8. Den fria bevisprvningen br avgrnsas p ett sdant stt att de


brottsbekmpande myndigheterna inte har operativa incitament att
leta ef er och spara mer information n de ftt tillstnd att leta ef er och
spara frn domstol.
Se ovan sidan 20.
Anvndning av hemliga tvngsmedel ska vara avgrnsad och speci kt
och tillgnad srskilda mlsttningar. Sdan information som inte ingr
i underlaget fr anvndningen av det hemliga tvngsmedlet ska inte
kunna anvndas vid rttegngar, det ska inte sparas, lagras, kopieras eller
p annat stt behandlas av myndigheten. Svensk lagstif ning behver
en srskild regel som skyddar enskilda mot skeexpeditioner under
frunderskningar och underrttelsearbete.

Kllhnvisningar med lnkar dr mjligt

Akademi
1. Ross Anderson. Why Cryptosystems Fail ACM. 1st Conf. - Computer and Communication Security 1993. http:
//www.cl.cam.ac.uk/users/rja14/wcf.html

2. Axel M. Arnbak. Securing private communications: Protecting private communications security in EU law: funda-
mental rights, functional value chains and market incentives doktorsavhandling, Universiteit van Amsterdam, 2015.
http://dare.uva.nl/record/1/492674

3. Steven M. Bellovin, Matt Blaze, Sandy Clark, Susan Landau, Lawful Hacking: Using Existing Vulnerabilities for Wire-
tapping on the Internet. Privacy Legal Scholars Conference, June 2013. http://ssrn.com/abstract=2312107
4. Henrik Bengtsson, advokat, Advokat rman Delphi, datum oknt, Bevisbrda och beviskrav vid invndning om
underskrif sfrfalskning srskilt om elektroniska signaturer. http://delphi.se/$-1/file/artiklar/2013/
bevisborda-och-beviskrav-vid-invandning-om-underskriftsforfalskning-sarskilt-om-elektroniska-
signaturer-i-kihlman-ed-elektroniska-signaturer-henrik-bengtsson.pdf

5. Jean-Francois Blanchette, Burdens of Proof: Cryptographic Culture and Evidence Law in the Age of Electronic Docu-
ments MIT Press, 2012
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
26

6. Nicholas Bohm et al, Electronic Commerce: Who Carries the Risk of Fraud? 2000 (3) The Journal of Information,
Law and Technology (JILT) http://www2.warwick.ac.uk/fac/soc/law/elj/jilt/2000_3/bohm/
7. CitizenLab Publications. https://citizenlab.org/publications/
8. Jennie Grn. Framtidens bok frn avtalat gande till vervakat ln Examensarbete i civilrtt. Juridiska fakulteten,
Uppsala universitet, 2015. http://uu.diva-portal.org/smash/get/diva2:811095/FULLTEXT04.pdf
9. Fahriye Seda Grses, Multilateral Privacy Requirements Analysis in Online Social Network Services KU Leuven, 2010.
https://www.cosic.esat.kuleuven.be/publications/thesis-177.pdf

10. Pierre Halsius, Nationella insatsstyrkan - nutid och framtid, Rapport 399 vid Polisutbildningen vid Ume universitet,
vrterminen 2007 http://www.diva-portal.se/smash/get/diva2:276599/FULLTEXT01.pdf
11. Tormod Otter Johansen och Sebastian Wejedal, Mot ett funktionellt domstolsbegrepp Ett bidrag med anledning av
den s kallade Frsvarsunderrttelsedomstolen, SvJT 2016 s. 10 res 191
12. Lennart Johansson, Banker och internet Iustus frlag (Stockholm), 2006.
13. Stefan Larsson och Per Runesson (ed), Digitrust: Tillit i det digitala Lunds universitet juni 2014. http://digitalsociety.
se/2014/06/11/ny-rapport-tillit-i-det-digitala/

14. Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, and John Scott-Railton, For Their Eyes Only: The Com-
mercialization of Digital Spying,Citizen Lab Research Brief No. 17, April 2013. https://citizenlab.org/storage/
finfisher/final/fortheireyesonly.pdf

15. Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, and John Scott-Railton, You Only Click Twice: FinFis-
hers Global Proliferation,Citizen Lab Research Brief No. 15, March 2013. https://citizenlab.org/wp-content/
uploads/2009/10/You-Only-Click-Twice-FinFisher%E2%80%99s-Global-Proliferation.pdf

16. Morgan Marquis-Boire (lead technical research) and Jakub Dalek (lead technical research), Sarah McKune (lead legal
research), Matthew Carrieri, Masashi Crete-Nishihata, Ron Deibert, Saad Omar Khan, Helmi Noman, John Scott-
Railton, and Greg Wiseman, Planet Blue Coat: Mapping Global Censorship and Surveillance Tools, Citizen Lab Re-
search Brief No. 13, January 2013. https://citizenlab.org/wp-content/uploads/2015/03/Planet-Blue-Coat-
Mapping-Global-Censorship-and-Surveillance-ToolsPlanet-Blue-Coat-Mapping-Global-Censorship-
and-Surveillance-Tools.pdf

17. Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond, Chip and PIN is Broken 2010 IEEE Symposium on
Security and Privacy. https://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.
pdf

18. Markus Naarttijrvi. Doktorsavhandling, Ume universitet, 2013. Fr din och andras skerhet: Konstitutionella pro-
portionalitetskrav och Skerhetspolisens preventiva tvngsmedel http://umu.diva-portal.org/smash/record.
jsf?pid=diva2%3A664052&dswid=-3145

19. Helen Nissenbaum, Must Privacy Give Way to Use Regulation? Brown University Watson Event, 15 mars 2016.
http://watson.brown.edu/events/2016/helen-nissenbaum-must-privacy-give-way-use-regulation

20. Karin Nygren, Problemorienterat polisarbete, Rapport 472 vid Polisutbildningen vid Ume universitet http:
//umu.diva-portal.org/smash/get/diva2:276671/FULLTEXT01.pdf

21. Stephanie K Pell, Christopher Soghoian. Your Secret Stingrays No Secret Anymore: The Vanishing Government
Monopoly over Cell Phone Surveillance and Its Impact on National Security and Consumer Privacy Harvard Journal of
Law and Technology, Volume 28, Number 1 Fall 2014 http://papers.ssrn.com/sol3/papers.cfm?abstract_id=
2437678

22. Bruce Schneier, Data and Goliath: The Hidden Battles to Capture Your Data and Control Your World, W. W. Nor-
ton & Company, 2015.
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
27

Offentliga institutioner
1. Council of Europe, Recommendation (89) 9 on computer-related crime and and nal report of the European Commit-
tee of Crime Problems (1989) http://www.oas.org/juridico/english/89-9&finalReport.pdf
2. Council of Europe, Parliamentary Assembly, Resolution 2045 (2015) Mass surveillance Text adopted by the As-
semblyon 21 April 2015 (12th Sitting), med tillhrande Recommendation 2067 (2015). http://assembly.coe.int/
nw/xml/XRef/Xref-XML2HTML-EN.asp?fileid=21692&lang=en

3. EDPS, Opinion 8/2015: Dissemination and use of intrusive surveillance technologies. https://secure.edps.europa.
eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-12-15_Intrusive_
surveillance_EN.pdf

4. EU-kommissionen (2006). COM (2006) 744 nal. Green Paper on the Review of the Consumer Acquis. http://ec.
europa.eu/consumers/archive/cons_int/safe_shop/acquis/green-paper_cons_acquis_en.pdf

5. EU-kommissionen (2007) Detailed analysis of responses to the European Commission Green Paper on Consumer
Rights Reform http://ec.europa.eu/consumers/archive/rights/detailed_analysis_en.pdf
6. EU-kommissionen (2015). Public consultation on contract rules for online purchases of digital content and tangible
goods. http://ec.europa.eu/justice/newsroom/contract/opinion/150609_en.htm
7. EU-kommissionen (2015) COM (2015) 634 nal. Frslag till Europaparlamentets och rdets direktivet om vissa aspekter
p avtal om tillhandahllande av digitalt innehll. http://eur-lex.europa.eu/legal-content/SV/TXT/HTML/
?uri=CELEX:52015PC0634&from=EN

8. Europaparlamentets och rdets frordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identi ering och be-
trodda tjnster fr elektroniska transaktioner p den inre marknaden och om upphvande av direktiv 1999/93/EG
http://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:32014R0910&from=EN

9. Europol, Directors Speech at the conference: Privacy in the Digital Age of Encryption and Anonymity Online, Haag,
Nederlnderna, 19 maj 2016. https://www.europol.europa.eu/node/4604
10. Nederlandse overheid, Ministerie van Defensie, Gegevens verwerken met ARGO II https://www.defensie.nl/
onderwerpen/militaire-inlichtingen-en-veiligheid/inhoud/inlichtingen-en-veiligheid/gegevens-
verwerken-met-argo-ii

11. Kungliga biblioteket (17 november 2015) Bibliotekens behov av digitala miljer med std fr personlig integritet
https://bibliotekssamverkan.blogg.kb.se/2015/11/17/bibliotekens-behov-av-digitala-miljoer-med-
stod-for-personlig-integritet/

12. Post- och telestyrelsen. Strategi fr ett skrare Internet i Sverige. PTS ER-2006:12. https://www.pts.se/sv/Dokument/
Rapporter/Internet/2006/Strategi-for-ett-sakrare-Internet-i-Sverige---PTS-ER-200612/

13. SOU 1972:47, Data och integritet http://weburn.kb.se/metadata/729/SOU_8350729.htm


14. SOU 1984:54, Tvngsmedel - anonymitet - integritet http://weburn.kb.se/metadata/933/SOU_7261933.htm
15. SOU 1993:10, En ny datalag http://weburn.kb.se/metadata/201/SOU_8351201.htm
16. SOU 2006:98, Ytterligare rttsskerhetsgarantier vid anvndandet av hemliga tvngsmedel, m.m. http://www.
regeringen.se/rattsdokument/statens-offentliga-utredningar/2006/11/sou-200698/

17. SOU 2007:76. Lagring av tra kuppgif er fr brottsbekmpning. http://www.regeringen.se/rattsdokument/


statens-offentliga-utredningar/2007/11/sou-200776/

18. SOU 2012:90, verskottsinformation vid direkttkomst. http://www.regeringen.se/rattsdokument/statens-


offentliga-utredningar/2013/01/sou-201290/

19. SOU 2013:39, Europardets konvention om it-relaterad brottslighet. http://www.regeringen.se/rattsdokument/


statens-offentliga-utredningar/2013/06/sou-201339/
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
28

20. United States Department of Commerce, National Telecommunications and Information Administration, Lack of
Trust in Internet Privacy and Security May Deter Economic and Other Online Activities, 13 maj 2016. https://www.
ntia.doc.gov/blog/2016/lack-trust-internet-privacy-and-security-may-deter-economic-and-other-
online-activities

21. Vita huset, Report and Recommendations of The Presidents Review Group on Intelligence and Communications
Technologies, 12 december 2013. https://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_
final_report.pdf

22. Vita huset, We Cant Wait: Obama Administration Unveils Blueprint for a Privacy Bill of Rights to Protect Consu-
mers Online, 23 februari 2012. https://www.whitehouse.gov/the-press-office/2012/02/23/we-can-t-wait-
obama-administration-unveils-blueprint-privacy-bill-rights

Nyhetsartiklar
1. Nate Anderson (11 mars 2013)The Remote Administration Tool is the revolver of the Internets Wild West, Ars Te-
chnica. http://arstechnica.com/tech-policy/2013/03/rat-breeders-meet-the-men-who-spy-on-women-
through-their-webcams/

2. Kalle Anrell och Monica Kleja, (22 november 2013) Stadsnten stoppar verfringen, Ny Teknik. http://www.
nyteknik.se/digitalisering/stadsnaten-stoppar-direktoverforingen-6401476

3. John Bakke (12 juni 2015). Polis ville hacka Facebook SVT. http://www.svt.se/nyheter/lokalt/vasterbotten/
polisen-bad-om-hjalp-att-hacka-facebook

4. Jan Bertof (29 april 2015) Se upp fr Blocket, Egen blogg fr ordfranden i Sveriges konsumenter. http://bertoft.
se/2015/04/se-upp-for-blocket/

5. Bloomborg (30 mars 2016) FBI Worked With Israels Cellebrite to Crack iPhone http://www.bloomberg.com/news/
articles/2016-03-30/fbi-said-to-work-with-israel-s-cellebrite-to-crack-iphone

6. Blljus.nu (20 oktober 2011) Hur skulle svenska polischefer klara mte med CompStat? http://www.blaljus.nu/
nyhetsartikel/hur-skulle-svenska-polischefer-klara-mote-med-compstat

7. Blljus.nu (30 juni 2015) Framtidens polis i frorten. http://www.blaljus.nu/nyhetsartikel/framtidens-


polis-i-fororten

8. Tobias Brandel (19 februari 2014) USA dominerar skev vrldsbild i riksdagen Svenska dagbladet. http://www.svd.
se/usa-dominerar-skev-varldsbild-i-riksdagen

9. Sara L Brnstrm (4 mars 2016) Riksbanken: D blir Sverige kontantlst, Svenska dagbladet. http://www.svd.se/
riksbanken-da-blir-sverige-kontantlost

10. Stuart Burns (20 maj 2016) Hacked in a public space? Thanks, HTTPS, The Register. http://www.theregister.
co.uk/2016/05/20/https_wifi_trust_in_a_public_place/

11. Simon Camponello (12 februari 2016) FRA oroas av all outsourcing vill att staten skapar eget moln, IDG. http:
//computersweden.idg.se/2.2683/1.650026/fra-staten-moln

12. Mike Carter (27 oktober 2014) FBI created fake Seattle Times Web page to nab bomb-threat suspect, Seattle Times
http://www.seattletimes.com/seattle-news/fbi-created-fake-seattle-times-web-page-to-nab-bomb-
threat-suspect/

13. Guillaume Champeau (13 januari 2016) Chi frement : le gouvernement rejette les backdoors, Numerama. http:
//www.numerama.com/politique/138689-chiffrement-le-gouvernement-rejette-les-backdoors.html

14. Graham Cluley (10 oktober 2011) German Government R2D2 Trojan FAQ, Naked Security (Sophos) https://
nakedsecurity.sophos.com/2011/10/10/german-government-r2d2-trojan-faq/

15. Joseph Cox (6 juli 2015) The FBI Spent $775K on Hacking Teams Spy Tools Since 2011, Wired https://www.wired.
com/2015/07/fbi-spent-775k-hacking-teams-spy-tools-since-2011/
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
29

16. Dataskydd.net, (15 maj 2016) Lgt skydd fr konsumenter som vill strka sin skerhet https://dataskydd.net/
lagt-skydd-konsumenter-som-vill-starka-sin-sakerhet

17. Mattias Frdn (23 april 2016) Hrvan vxer - hundratals o fer fr pizzablu fen, Nerikes allehanda. http://na.se/
nyheter/orebro/1.3793193-harvan-vaxer-hundratals-offer-for-pizzabluffen

18. Ryan Gallagher (1 november 2011) Governments turn to hacking techniques for surveillance of citizens The Gu-
ardian. https://www.theguardian.com/technology/2011/nov/01/governments-hacking-techniques-
surveillance

19. Andy Greenberg (21 March 2012).Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid
Six-Figure Fees)Forbes. http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-
sell-spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/#b84a4e094483

20. Cecilia Gustavsson (4 april 2001) Storebror ser dig och fljer dig hem. http://www.aftonbladet.se/wendela/
article10204441.ab

21. Adrianne Je fries (13 September 2013).Meet Hacking Team, the company that helps the police hack youThe Verge.
http://www.theverge.com/2013/9/13/4723610/meet-hacking-team-the-company-that-helps-police-
hack-into-computers

22. Matthijs R. Koot (5 januari 2016). Full translation of the Dutch governments statement on encryption Cyberwar.
https://blog.cyberwar.nl/2016/01/full-translation-of-the-dutch-governments-statement-on-
encryption/

23. Linus Larsson (28 januari 2015) S spanar polisen p Facebook Dagens nyheter. http://www.dn.se/ekonomi/sa-
spanar-polisen-pa-facebook/

24. Lotta Lille (12 oktober 2012) Bedragare stal semesterkassan, Upsala nya tidning. http://www.unt.se/uppland/
heby/bedragare-stal-semesterkassan-1900975.aspx

25. Doug Olenick (8 februari 2016) Skype targeted by T9000 backdoor trojan, SCMagazine http://www.scmagazine.
com/skype-targeted-by-t9000-backdoor-trojan/article/471958/

26. Philip Oltermann (8 februari 2016) German plan to impose limit on cash transactions met with erce resistance, The
Guardian. http://www.theguardian.com/world/2016/feb/08/german-plan-prohibit-large-5000-cash-
transactions-fierce-resistance

27. P1 Morgon (17 december 2013) Bahnhof spelade in SPO:s vertalningskampanj https://sverigesradio.se/sida/
artikel.aspx?programid=1650&artikel=5735355

28. P1 Plnboken (30 mars 2016) https://sverigesradio.se/sida/avsnitt/698348?programid=2778


29. Michael Persson (9 november 2013) Nederland bestelt een nog verboden spionagesysteem, Volkskrant http://www.
volkskrant.nl/tech/nederland-bestelt-een-nog-verboden-spionagesysteem~a3541591/

30. Peter Pi (7 juli 2015) Unpatched Flash Player Flaw, More POCs Found in Hacking Team Leak, Trendlabs Security
Intelligence Blogs. http://blog.trendmicro.com/trendlabs-security-intelligence/unpatched-flash-
player-flaws-more-pocs-found-in-hacking-team-leak/

31. Bruce Schneier (25 februari 2011) HBGary and the Future of the IT Security Industry, schneier.com https://www.
schneier.com/blog/archives/2011/02/hbgary_and_the.html

32. Vernon Silver (8 november 2012) MJM as Personi ed Evil Says Spyware Saves Lives Not Kills Them Bloomberg.
http://www.bloomberg.com/news/articles/2012-11-08/mjm-as-personified-evil-says-spyware-saves-
lives-not-kills-them

33. Der Spiegel, 9 november 2014 BND will Informationen ueber Sof ware-Sicherheitsluecken einkaufenhttp://www.
spiegel.de/spiegel/vorab/bnd-will-informationen-ueber-software-sicherheitsluecken-einkaufen-a-
1001771.html
in laga ti ll j u 2 0 1 6: 0 8 u t r e d n i n g e n o m m o de r n a r e g l e r o m b e s l ag o c h h u s r a n n s a k a n
30

34. Spielerecht.de, Osborne Clarke Publication number 1506540 Update: Valve May Prohibit Steam Account Transfers
German Judgment mars 2014 http://spielerecht.de/wp-content/uploads/Update_-Valve-May-Prohibit-
Steam-Account-Transfers-German-Judgment-Published.pdf

35. Svenska dagbladet (12 februari 2015) Anders Ygeman till terrormte i USA http://www.svd.se/anders-ygeman-
till-terrormote-i-usa

36. Craig Timberg och Ellen Nakashima (6 december 2013) FBIs search for Mo, suspect in bomb threats, highlights use
of malware for surveillance, Washington Post https://www.washingtonpost.com/business/technology/fbis-
search-for-mo-suspect-in-bomb-threats-highlights-use-of-malware-for-surveillance/2013/12/06/
352ba174-5397-11e3-9e2c-e1d01116fd98_story.html

37. Tronarp, Ornerud, Hagberg (18 augusti 2015) Hgsta domstolen stoppar husrannsakan p Af onbladet, Af onbladet.
http://www.aftonbladet.se/nyheter/article21270168.ab

38. Verbraucherzentrale Bundesverband. (6 juni 2013). Samsung App-Store: Viele Klauseln unzulssig. http://www.
vzbv.de/urteil/samsung-app-store-viele-klauseln-unzulaessig

39. Kim Zetter (31 augusti 2009) Code for Skype Spyware Released to Thwart Surveillance, Wired https://www.wired.
com/2009/08/skype-trojan/

40. Geronimo kerlund (21 januari 2016) Drfr pixlar vi, SVT. http://www.svt.se/nyheter/lokalt/stockholm/
darfor-pixlar-vi

41. Kristo fer rstadius (28 oktober 2014) Vanliga modem ltta att kapa, Dagens nyheter http://www.dn.se/ekonomi/
vanliga-modem-latta-att-kapa/

Rttsfall
1. Bundesverfassungsgericht, Urteil des Ersten Senats vom 15.Dezember 1983, 1 BvR 209/83 u.a. Volkszhlung , BVer-
fGE 65, 1. Domen nns inte tillgnglig p Bundesverfassungsgerichts hemsida, men nns hr: http://www.servat.
unibe.ch/dfr/bv065001.html#.

2. Bundesverfassungsgericht, Urteil des Ersten Senats vom 27. Februar 2008 - 1 BvR 370/07 - Rn. (1-333), http://www.
bverfg.de/e/rs20080227_1bvr037007.html

3. Bundesverfassungsgericht, Urteil des Ersten Senats vom 20. April 2016 - 1 BvR 966/09 - Rn. (1-29), http://www.
bverfg.de/e/rs20160420_1bvr096609.html

4. Europadomstolen, Zakharov v. Russia (Application no. 47143/ 06). http://hudoc.echr.coe.int/eng?i=001-


159324

5. Europadomstolen, Szabo och Vissy v Hungary (Application no. 37138/14). http://hudoc.echr.coe.int/eng?i=001-


160020

6. Hgsta domstolen, NJA 2003 s. 323. https://lagen.nu/dom/nja/2003s323

vrigt (opinionsunderskningar och dylikt)


1. Dataskydd.net, Remissyttrande ver SOU 2016:7 om integritet och stra fskydd, maj 2016. https://dataskydd.net/
sites/default/files/dataskyddnet_remissyttrande_sou201607_20160509.pdf

2. 2016 CIGI Ipsos Global Survey on Internet Security and Trust https://www.cigionline.org/internet-survey-
2016

3. Internetstif elsen i samarbete med Insight Intelligence och SICS samt svenska nringslivsaktrer och Stockholms lands-
ting, Delade meningar 2, mars 2016. https://www.iis.se/docs/Delade-Meningar-2016.pdf
4. IT- och telekomfretagen, Arbetsgrupp fr datalagring. https://www.itotelekomforetagen.se/fakta-och-
debatt/nyheter-och-aktuellt/aktuellt-arkiv/arbetsgrupp-trafikdatalagring

5. Tor Borrhed, Maintrac summerar: Ett r med datalagringen! i Stadsntet, Magasinet frn Svenska stadsntsfreningen,
Nr 1 mars 2014. http://www.ssnf.org/globalassets/nyheter/stadsnatsmagasinet/sn_1_2014.pdf