Prop. 2013/14:92
Skärpt straff för dataintrång
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 13 mars 2014
Fredrik Reinfeldt
Beatrice Ask (Justitiedepartementet)
Propositionens huvudsakliga innehåll
Dagens samhälle präglas av att användningen av informationsteknik genomsyrar i stort sett alla sektorer. Myndigheter, företag och organisationer är i hög grad beroende av fungerande informationssystem. Den tekniska utvecklingen innebär samtidigt att samhället blir mer sårbart för brottsliga angrepp. Det finns tecken på att utvecklingen går mot allt farligare och mer storskaliga angrepp mot informationssystem. Det är angeläget att strafflagstiftningen är utformad så att denna typ av brottslighet kan mötas med påföljder som står i proportion till brottens allvar.
I propositionen föreslås därför att det införs en bestämmelse om grovt dataintrång i brottsbalken. Straffet föreslås vara fängelse i lägst sex månader och högst sex år. Vid bedömningen av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Även försök och förberedelse till grovt dataintrång ska vara straffbart.
Vidare föreslås att bestämmelsen om dataintrång inte längre ska vara subsidiär i förhållande till straffbestämmelserna om brytande av posteller telehemlighet och intrång i förvar.
I propositionen behandlas även genomförandet av EU:s direktiv om angrepp mot informationssystem. Genom den straffskärpning som föreslås uppfyller Sverige kraven i direktivet.
Lagändringarna föreslås träda i kraft den 1 juli 2014.
1. Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i brottsbalken.
2. Förslag till lag om ändring i brottsbalken
Härigenom föreskrivs1 att 4 kap.9 c och 10 §§brottsbalken ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap. 9 c §2
Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
10 §3
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller till dataintrång som om det fullbordats inte skulle ha varit att
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja ett sådant brott döms det till ansvar enligt 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller grovt
1 Jfr Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 14.8.2013, s. 8–14, Celex 32013L0040). 2 Senaste lydelse 2007:213. 3 Senaste lydelse 2004:406.
anse som ringa. dataintrång.
Denna lag träder i kraft den 1 juli 2014.
3. Ärendet och dess beredning
Den 30 september 2010 lade Europeiska kommissionen fram ett förslag till direktiv om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF. Förslaget byggde i stora delar dels på det tidigare rambeslutet, dels på Europarådets konvention om it-relaterad brottslighet. En faktapromemoria om direktivförslagets innehåll har överlämnats till riksdagen (2010/11:FPM15).
Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (fortsättningsvis direktivet) trädde i kraft den 3 september 2013. Direktivet ska vara genomfört senast den 4 september 2015. Direktivet finns i bilaga 1.
Regeringen gav den 27 oktober 2011 en särskild utredare i uppdrag att efter en behovsanalys lämna förslag på de författningsändringar som krävs för att Sverige ska kunna tillträda Europarådets konvention om itrelaterad brottslighet och dess tilläggsprotokoll (dir. 2011:98). Utredningen, som tog namnet Utredningen om it-brottskonventionen, fick genom tilläggsdirektiv den 11 oktober 2012 i uppdrag att även analysera behovet av och lämna förslag till de författningsändringar som behövs för att genomföra direktivet. Utredningen fick dessutom i uppgift att överväga behovet av skärpta straff för brytande av post- eller telehemlighet och dataintrång (dir. 2012:102).
Utredningen lämnade i juni 2013 betänkandet Europarådets konvention om it-relaterad brottslighet (SOU 2013:39). I betänkandet lämnas bl.a. förslag till de lagändringar som bedöms nödvändiga för att tillträda konventionen och dess tilläggsprotokoll samt för att genomföra direktivet.
Denna proposition behandlar de frågor som omfattades av utredningens tilläggsuppdrag, dvs. genomförandet av direktivet och frågan om skärpta straff för dataintrång och brytande av post- eller telehemlighet. Utredningens övriga förslag bereds vidare inom Regeringskansliet.
En sammanfattning av betänkandet och dess lagförslag i relevanta delar finns i bilaga 2 respektive bilaga 3.
Betänkandet har remissbehandlats och en förteckning över remissinstanserna finns i bilaga 4. En sammanställning av remissyttrandena i nu aktuella delar finns tillgänglig i Justitiedepartementet (Ju2013/4173/Å).
Lagrådet
Regeringen beslutade den 16 januari 2014 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga
6. Lagrådet har lämnat förslaget utan erinran.
I förhållande till lagrådsremissens lagförslag har en mindre språklig ändring gjorts.
4. Bakgrund och allmänna utgångspunkter
4.1. Angrepp mot informationssystem
Dagens samhälle präglas av att användningen av informationsteknik genomsyrar i stort sett alla sektorer. Myndigheter, företag och organisationer är i hög grad beroende av fungerande informationssystem. Många företag baserar sin verksamhet på internet. Även inom den offentliga sektorn har beroendet av internet ökat bl.a. med satsningar på självbetjäningstjänster och 24-timmarsmyndigheter. Internet är också av avgörande betydelse för människors vardag, t.ex. för att söka information, kommunicera med andra eller sköta bankärenden. Denna tekniska utveckling är i allt väsentligt eftersträvansvärd och positiv.
Samtidigt har utvecklingen medfört att samhället är mer sårbart för olika former av brottsliga angrepp som riktar sig mot informationssystem. Det finns tecken på att utvecklingen går mot farligare och mer storskaliga angrepp, till exempel intrång i eller överbelastningsattacker mot bankers och myndigheters informationssystem. Angreppen begås med allt mer sofistikerade metoder och kan orsaka betydande ekonomiska skador på grund av avbrott i informationssystemens drift och i kommunikationen. Angreppen kan även orsaka förlust eller förvanskning av hemlig eller i övrigt integritetskänslig information som är av stor betydelse för enskilda.
Informationssystemens ökade betydelse visar att det är en angelägen uppgift för samhället att motverka och bekämpa angrepp mot sådana system. I det ligger att säkerställa att brottsligheten kan mötas med straffrättsliga påföljder som motsvarar brottens svårhetsgrad.
4.2. Tidigare åtgärder inom EU och Europarådet
EU:s rambeslut om angrepp mot informationssystem (2005/222/RIF)
Inom EU antogs i februari 2005 ett rambeslut om angrepp mot informationssystem (2005/222/RIF). Rambeslutet omfattade åtaganden att kriminalisera olagligt intrång i informationssystem, olaglig systemstörning och olaglig datastörning samt förstadier till dessa gärningar. Det reglerade även vilka påföljder som gärningarna ska kunna leda till. Vidare fanns bestämmelser om försvårande omständigheter, ansvar och sanktioner för juridiska personer, domsrätt samt utbyte av uppgifter. Rambeslutet föranledde ändringar i brottsbalkens bestämmelse om dataintrång. Bestämmelsen utvidgades till att omfatta dels den som olovligen blockerar en uppgift som är avsedd för automatiserad behandling, dels den som olovligen allvarligt stör eller hindrar användningen av en sådan uppgift. Lagändringarna trädde i kraft den 1 juni 2007 (prop. 2006/07:66, bet. 2006/07:JuU13, rskr. 2006/07:147). I och med antagandet av direktivet ersattes rambeslutet.
Europarådets konvention om it-relaterad brottslighet
Europarådets konvention om it-relaterad brottslighet (Convention on Cybercrime, ETS No.185) har till stor del utgjort en förebild för såväl EU:s rambeslut om angrepp mot informationssystem som direktivet.
Konventionen innehåller bl.a. bestämmelser om vilka handlingar som ska vara straffbelagda som olagligt intrång i datorsystem, olaglig avlyssning, datastörning, systemstörning och missbruk av apparatur. Därutöver innehåller konventionen ytterligare straffbestämmelser om itrelaterade brott. Konventionen innehåller också processuella bestämmelser och bestämmelser om internationellt samarbete.
Frågor om kriminalisering av gärningar av rasistisk och främlingsfientlig natur som har begåtts med hjälp av datorsystem behandlas i ett tilläggsprotokoll till konventionen. Sverige har undertecknat, men inte tillträtt, konventionen och tilläggsprotokollet.
4.3. Gällande rätt
Den centrala straffbestämmelsen när det gäller olika former av angrepp mot informationssystem är bestämmelsen om dataintrång i 4 kap. 9 c § brottsbalken. Bestämmelsen fick sitt nuvarande innehåll genom en lagändring 2007, som i huvudsak syftade till att genomföra EU:s rambeslut om angrepp mot informationssystem. Samtidigt förtydligades bestämmelsen och moderniserades språkligt.
För dataintrång döms den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Avsikten med begreppet ”uppgift som är avsedd för automatiserad behandling” är att alla uppgifter, dvs. fakta, information eller begrepp, som uttrycks i en för en dator anpassad och läsbar form ska omfattas av bestämmelsen. Det är för tillämpningen av begreppet utan betydelse var uppgifterna finns eller förvaras i systemet. Det innebär att alla uppgifter oavsett på vilket datamedium de finns omfattas. Även uppgifter som är under befordran omfattas, oavsett på vilket sätt befordran sker (prop. 2006/07:66 s. 38 f.).
När det gäller uppgifter som befordras via radio gäller dock som regel att avlyssning av sådan radiokommunikation faller utanför det straffbara området. Det följer av principen om att etern är fri och att olovlighetskravet därmed inte kan anses vara uppfyllt. Om intrånget däremot sker i radiobefordrade uppgifter som t.ex. är krypterade kan dock ansvar för dataintrång komma i fråga (s. 49).
Det handlande som straffbeläggs i bestämmelsen är för det första att någon bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling. Det krävs inte att det sker i ett visst syfte eller att det medför någon särskild effekt, t.ex. skada. Inte heller behöver någon säkerhetsåtgärd kringgås.
Vidare straffbeläggs att ändra, utplåna eller blockera en uppgift som är avsedd för automatiserad behandling. En ändring kan direkt gälla den
uppgift som ska databehandlas eller göras i det datorprogram som styr den aktuella databehandlingen. Att en uppgift utplånas innebär att den helt eller delvis förstörs genom t.ex. radering. Med begreppet blockera ska förstås åtgärder som innebär att en sådan uppgift görs oåtkomlig eller att den hindras från att flöda.
Det kan även vara straffbart att föra in en uppgift som är avsedd för automatiserad behandling i ett register. Registerbegreppet medför en begränsning av det straffbara området så till vida att endast sådana införingar som sker i uppgifter som är strukturerade på visst sätt omfattas.
Slutligen omfattar dataintrångsbestämmelsen även den som genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en uppgift som är avsedd för automatiserad behandling. Exempel på sådana åtgärder är tillgänglighets- eller överbelastningsattacker.
Bestämmelsen om dataintrång är subsidiär i förhållande till straffbestämmelserna i 4 kap.8 och 9 §§brottsbalken om brytande av post- eller telehemlighet respektive intrång i förvar.
Straffskalan för dataintrång sträcker sig från böter till fängelse i högst två år. Försök och förberedelse till dataintrång som om det fullbordats inte skulle ha ansetts som ringa är straffbart enligt 4 kap. 10 § brottsbalken. Av 23 kap. 2 § tredje stycket brottsbalken framgår att straffet för förberedelse ska bestämmas under den högsta och får sättas under den lägsta gräns som gäller för fullbordat brott. Högre straff än fängelse i två år får bestämmas endast om fängelse i åtta år eller däröver kan följa på det fullbordade brottet. Medverkan till dataintrång är straffbelagd enligt 23 kap. 4 § brottsbalken.
Förfaranden som innebär angrepp mot informationssystem kan även vara straffbara som t.ex. brytande av post- eller telehemlighet (4 kap. 8 § brottsbalken), skadegörelse (12 kap. 1 § brottsbalken), grov skadegörelse (12 kap. 3 § brottsbalken), sabotage (13 kap. 4 § brottsbalken), grovt sabotage (13 kap. 5 § brottsbalken) eller under vissa förutsättningar som terroristbrott enligt lagen (2003:148) om straff för terroristbrott.
5. EU:s direktiv om angrepp mot informationssystem
Europaparlamentets och rådets direktiv om angrepp mot informationssystem har ersatt det tidigare rambeslutet. Direktivets mål är att närma medlemsstaternas strafflagstiftning till varandra när det gäller angrepp mot informationssystem genom att fastställa minimiregler för brottsrekvisit och påföljder. Syftet är också att främja förebyggandet av sådana brott och förbättra samarbetet mellan rättsliga och andra behöriga myndigheter. Tyngdpunkten i direktivet utgörs av materiella straffrättsliga bestämmelser som till stor del överensstämmer med dem som finns i rambeslutet och konventionen.
Efter artikel 1 som innehåller en beskrivning av syftet med direktivet följer i artikel 2 definitioner av vissa begrepp som används i direktivet.
I artiklarna 3–7 anges de gärningar som ska vara straffbelagda när de begås uppsåtligen och orättmätigt. Ringa fall behöver dock inte straffbeläggas. Artikel 3, Olagligt intrång i informationssystem, reglerar intrång i informationssystem när det begås genom intrång i en säkerhetsåtgärd. Enligt artikel 4, Olaglig systemstörning, ska det vara straffbart att allvarligt hindra eller avbryta driften av ett informationssystem genom att mata in, överföra, skada, radera, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbehandlingsbara uppgifter. Av artikel 5, Olaglig datastörning, följer att det ska vara straffbart att radera, skada, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbehandlingsbara uppgifter i ett informationssystem. Enligt artikel 6, Olaglig avlyssning, ska avlyssning med tekniska hjälpmedel av icke-offentliga överföringar av datorbehandlingsbara uppgifter, till, från eller inom ett informationssystem, inklusive elektromagnetisk strålning från informationssystem som innehåller sådana uppgifter vara straffbelagda. Enligt artikel 7, Verktyg som används för att begå brott, ska det vara straffbart att tillverka, sälja, anskaffa i syfte att använda, importera, distribuera eller på annat sätt tillgängliggöra vissa uppräknade verktyg, om det sker orättmätigt och med uppsåt att begå något av de brott som avses i artiklarna 3–6. De verktyg som avses är datorprogram som utformats eller anpassats i första hand för att begå något av de brott som avses i artiklarna 3–6. Vidare avses ett lösenord, en åtkomstkod eller liknande uppgifter som gör det möjligt att få tillgång till ett informationssystem eller delar av ett sådant system.
I artikel 8 anges att anstiftan av och medhjälp till sådana gärningar som ska utgöra brott enligt direktivet ska straffbeläggas. Där anges även de gärningar för vilka försök ska vara straffbart, nämligen de i artiklarna 4 och 5.
Artikel 9 reglerar vilka påföljder som ska kunna dömas ut. Enligt punkt 1 ska påföljderna vara effektiva, proportionella och avskräckande. Enligt punkt 2 ska brott som avses i artiklarna 3–7 ha ett maximistraff på minst två års fängelse, åtminstone i fall som inte är ringa. Av punkt 3 följer att olaga systemstörning och olaglig datastörning ska ha ett maximistraff på minst tre års fängelse när ett betydande antal informationssystem har påverkats genom användningen av ett verktyg som avses i artikel 7 och som har utformats eller anpassats i första hand för detta syfte. För dessa brott ställs vidare i punkt 4 ett krav på lägsta maximistraff på fängelse i minst fem år om brottet:
a) begåtts inom ramen för en kriminell organisation,
b) förorsakat allvarlig skada, eller
c) begåtts mot ett informationssystem som utgör kritisk infrastruktur. Av punkt 5 följer att det ska ses som en försvårande omständighet när olaglig systemstörning och olaglig datastörning begåtts genom missbruk av personuppgifter.
I artiklarna 10 och 11 regleras juridiska personers ansvar samt påföljder för dessa. Frågor om domsrätt regleras i artikel 12. Därefter följer i artikel 13 bestämmelser om informationsutbyte och i artikel 14 bestämmelser om övervakning och statistik. Avslutningsvis ges i artiklarna 15–19 bestämmelser om bl.a. införlivande, rapportering och
ikraftträdande. Direktivet ska vara genomfört senast den 4 september 2015.
6. Genomförandet av direktivet
Regeringens bedömning: Svensk rätt uppfyller genom befintlig lagstiftning kraven enligt direktivet med undantag för att det krävs straffskärpning för brottet dataintrång.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser har på ett övergripande plan förklarat sig dela bedömningarna som utredningen har gjort i betänkandet. Enligt Stockholms universitet är dock hållbarheten av bedömningen beträffande olovlig avlyssning i artikel 6 beroende både av hur direktivbestämmelsen tolkas och av hur principen om eterns frihet förstås. Frågan bör därför övervägas ytterligare under den fortsatta beredningsprocessen. Hovrätten över Skåne och Blekinge har ansett att eftersom bestämmelsen i 4 kap. 9 b § brottsbalken endast omfattar en mycket specifik befattning med det tekniska hjälpmedlet kan det finnas anledning att överväga om kraven i artikel 7 är uppfyllda i svensk rätt.
Skälen för regeringens bedömning
Genomförandet av direktivet i svensk rätt
Ett EU-direktiv är bindande med avseende på det resultat som ska uppnås men överlåter åt de nationella myndigheterna att bestämma form och tillvägagångsätt för genomförandet. I den utsträckning som det som föreskrivs i direktivet redan är uppfyllt är det tillräckligt att hänvisa till befintlig lagstiftning och andra åtgärder. Det är regeringen som ansvarar för att EU-rättsliga direktiv genomförs korrekt och i rätt tid. I den utsträckning det krävs lagändringar för att genomföra hela eller delar av ett direktiv sker det i enlighet med den ordinarie lagstiftningsprocessen, vilket innefattar sedvanlig remiss- och riksdagsbehandling.
I samband med att det nu aktuella förslaget till direktiv presenterades gjordes inom Regeringskansliet en analys av förslaget liksom av dess konsekvenser för svensk lagstiftning vid ett kommande genomförande. En faktapromemoria som beskrev innehållet i förslaget samt gällande svenska regler och förslagets effekt på dessa överlämnades till riksdagen. I faktapromemorian redogjordes bl.a. för att artiklarna 6 och 7 om olovlig avlyssning respektive befattning med vissa angivna verktyg var nya i förhållande till rambeslutet och att det krävdes ytterligare analys av bestämmelsernas överenstämmelse med svensk rätt. Vidare klargjordes att även direktivets bestämmelser om påföljder och försvårande omständigheter behövde analyseras vidare.
Därefter har en särskild utredare haft i uppdrag att bl.a. analysera behovet av och lämna förslag till de författningsändringar som krävs för att genomföra direktivet i svensk rätt.
Enligt utredningen krävs lagstiftningsåtgärder för att uppfylla direktivets bestämmelse i artikel 9 om påföljder. Utredningen har konstaterat att punkten 2 ställer krav på att vissa straffbara befattningar med verktyg som avses i artikel 7 ska vara belagda med ett maximistraff på minst två års fängelse. Enligt utredningen uppfyller svensk rätt kriminaliseringsåtagandet genom främst bestämmelserna om förberedelse till brott, bl.a. förberedelse till dataintrång. Eftersom straffskalan för dataintrång inte medger att ett fängelsestraff som uppgår till två år döms ut för förberedelse till brottet, har utredningen ansett att det krävs en skärpning av straffskalan.
Vidare har utredningen konstaterat att punkterna 3 och 4 kräver att sådana gärningar som beskrivs i artiklarna om olaglig systemstörning och olaglig datastörning i vissa fall ska vara belagda med ett maximistraff på minst tre respektive fem års fängelse. Utredningen har gjort bedömningen att svensk rätt uppfyller direktivets kriminaliseringskrav främst genom dataintrångsbestämmelsen. Eftersom det högsta straffet för dataintrång är fängelse i högst två år, har utredningen gjort bedömningen att direktivet även i denna del kräver en skärpning av straffskalan. När det gäller övriga artiklar i direktivet har utredningen gjort bedömningen att svensk rätt uppfyller de krav som ställs.
Sverige uppfyller genom befintlig lagstiftning i huvudsak kraven enligt direktivet
Regeringen delar utredningens bedömning av vilka lagstiftningsåtgärder som krävs för att Sverige ska uppfylla direktivets förpliktelser. I likhet med utredningen anser alltså regeringen att direktivet kräver en skärpning av straffet för dataintrång.
När det gäller de synpunkter som remissinstanserna har framfört gör regeringen följande överväganden.
Regeringen instämmer inledningsvis i utredningens bedömning att det som direktivet betecknar som olovlig avlyssning kan utgöra brytande av telehemlighet, om det är fråga om överföring av meddelanden via ett allmänt kommunikationsnät. Likaså ansluter sig regeringen till utredningens bedömning att förfarandet annars kan utgöra dataintrång bestående i att någon bereder sig tillgång till uppgifter avsedda för automatiserad behandling.
För straffansvar för brytande av telehemlighet och dataintrång krävs dock också att intrånget varit olovligt. Som regel faller då avlyssning av uppgifter som befordras via radio utanför det straffbara området. Det följer av principen om att etern är fri och att olovlighetskravet därmed inte är uppfyllt. Om intrånget däremot sker i radiobefordrade uppgifter som är t.ex. krypterade kan dock ansvar för dataintrång komma ifråga (prop. 2006/07:66 s. 49).
Utredningen har uttalat att det är osäkert hur långt principen om eterns frihet sträcker sig när det gäller information som inte kan avlyssnas med t.ex. en vanlig radiomottagare, utan vars avlyssning kräver användning av speciella tekniska hjälpmedel. Enligt regeringens mening saknas det bärande skäl för att inom ramen för detta lagstiftningsärende göra uttalanden om eller närmare beröra hur principen om eterns frihet ska avgränsas med beaktande av t.ex. den tekniska utvecklingen. En
avgörande utgångspunkt för denna bedömning är att direktivet endast ställer krav på straffbeläggande av sådan avlyssning som sker orättmätigt. I begreppet orättmätigt ligger bl.a. enligt definitionen i direktivets artikel 2 d) att handlandet inte är tillåtet enligt nationell rätt. Direktivet måste därför förstås så att ett handlande som är tillåtet i enlighet med etablerade principer i ett land, t.ex. principen om eterns frihet, inte kan anses begås orättmätigt och därmed inte omfattas av kriminaliseringsåtagandet.
Regeringen anser därför sammantaget att svensk rätt uppfyller kraven på vad som ska vara straffbelagt som olovlig avlyssning enligt artikel 6.
Beträffande sådan befattning med verktyg som ska vara straffbar enligt artikel 7 instämmer regeringen i utredningens bedömning att direktivets krav uppfylls genom främst bestämmelserna om förberedelse till de brott som motsvarar kriminaliseringsåtagandena i artiklarna 3–6, dvs. i första hand dataintrång, men även brytande av telehemlighet, skadegörelse och sabotage. Ett handlande som faller utanför tillämpningsområdet för den särskilda bestämmelsen om förberedelse till brytande av telehemlighet i 4 kap. 9 b § brottsbalken kan alltså beroende på omständigheterna vara straffbart som förberedelse till något av de andra brott som nämnts. Dessutom kan vissa av de förfaranden som beskrivs i artikeln även utgöra medverkan till brott. Regeringen bedömer därför att direktivets åtaganden i artikel 7 är uppfyllda.
Sammanfattningsvis kan således konstateras att det som framkommit vid remissbehandlingen inte föranleder regeringen att göra någon annan bedömning av behovet av lagstiftning än den som utredningen har gjort. Regeringen anser följaktligen att det krävs en lagändring i form av skärpt straff för dataintrång för att Sverige ska kunna genomföra direktivet. Regeringen gör vidare bedömningen att svensk rätt i övrigt uppfyller direktivets krav.
7. Skärpt straff för dataintrång
Regeringens förslag: Straffbestämmelsen om dataintrång ska kompletteras med en särskild straffskala och egen rubricering för grovt brott, grovt dataintrång. Straffet ska vara fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
Det ska vidare särskilt anges att försök och förberedelse till grovt dataintrång är straffbart. Bestämmelsen om dataintrång ska inte längre vara subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Utredningen har som en särskild omständighet även föreslagit att gärningen kunnat orsaka allvarlig skada.
Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig är positiva till en särskild straffskala för grovt dataintrång. Ingen
remissinstans har yttrat sig över förslaget att särskilt reglera försöks- och förberedelseansvaret för grovt dataintrång eller dataintrångsbestämmelsens subsidiaritet. Åklagarmyndigheten, Rikspolisstyrelsen och
Säkerhetspolisen har särskilt framhållit behovet av en särskild straffskala för grova dataintrång, eftersom utvecklingen synes gå mot allt farligare och mer storskaliga angrepp. Stockholms universitet, som i och för sig har godtagit förslaget, har dock ansett att det bör övervägas ytterligare i vilken utsträckning de gärningar som bestämmelsen tar sikte på redan utgör brott enligt andra kvalificerade bestämmelser och hur stort behovet är av den förhöjda straffskalan. Uppsala universitet har påpekat att införandet av det nya särskilda brottet skapar konkurrensproblem i förhållande till brotten grov skadegörelse, sabotage och i speciella fall även terroristbrott och att lagstiftaren därför bör ange en prioritetsordning mellan brotten. Lunds universitets internetinstitut har ansett att det tydligt bör framgå att omständigheten ”allvarlig skada” ska täckas av gärningsmannens avsikt och uppsåt. Dessutom har internetinstitutet framhållit att antalet uppgifter inte bör vara vägledande för om ett brott är grovt eftersom det av den omständigheten inte går att dra någon slutsats om skadeverkningarna. Juliagruppen har framfört att det grova brottet bör formuleras så att det mer betonar fall där någon försöker få fram synnerligen känsliga uppgifter eller använder sig av raffinerade och avancerade metoder. Juliagruppen har vidare framfört att lagen måste formuleras tydligare när det gäller bruk och innehav av olika verktyg för datorintrång samt att lagstiftningen bör göra skillnad på intrång och systemstörning. Sveriges Advokatsamfund har ansett att brottet dataintrång bör kompletteras med en bestämmelse om datastörning.
Dessutom har samfundet pekat på behovet av ökade kunskaper inom itområdet bland rättsväsendets företrädare och angett att möjligheterna för offentliga förvarare att få ersättning för allmänna medel för anlitandet av tekniskt sakkunnig måste ses över. Enligt Försvarsmakten finns det mot bakgrund av vad som avses med begreppet orättmätigt i Europarådets konvention om it-relaterad brottslighet anledning att i svensk rätt förtydliga vad som faller utanför det straffbara området när det gäller dataintrång.
Skälen för regeringens förslag
Behovet av skärpt straff
Straffskalan för dataintrång, som sträcker sig från böter till fängelse i högst två år, har inte ändrats sedan bestämmelsen först infördes i datalagen (1973:289).
Samhällsutvecklingen har inneburit att informationssystem har en ojämförligt större betydelse i samhället idag än de hade när bestämmelsen infördes. Samtidigt innebär en ökad användning av informationsteknik en förhöjd risk för att datorer och deras nätverk används som verktyg eller mål för att begå brott. Utvecklingen innebär således att samhället har blivit allt mer sårbart för it-angrepp. Under de senaste åren har också flera allvarliga och omfattande angrepp mot informationssystem mot myndigheter och organisationer uppmärksammats i såväl Sverige som utomlands. Det finns alltså tecken på att utvecklingen går mot allt farligare och återkommande storskaliga
angrepp mot viktiga informationssystem. Tendensen är förenad med utvecklingen av allt mer sofistikerade metoder, såsom skapande och användning av s.k. botnät, som innebär övertagande och fjärrstyrning av ett stort antal datorer genom att vid riktade it-angrepp infektera dem via sabotageprogram.
Storskaliga angrepp kan orsaka betydande ekonomiska skador på grund av avbrott i informationssystemens drift och kommunikation. De kan också leda till förlust eller förvanskning av hemlig eller i övrigt integritetskänslig information. Många gånger kan dessa typer av angrepp träffas av straffansvaret för sabotage i 13 kap. 4 § brottsbalken. Även bestämmelserna om grov skadegörelse i 12 kap. 3 § brottsbalken och terroristbrott i lagen (2003:148) om straff för terroristbrott kan i vissa fall vara tillämpliga. Beroende på omständigheterna, t.ex. att skadan i och för sig är omfattande men av tillfällig karaktär eller att den infrastruktur som skadas inte har avsevärd betydelse för samhället, kan emellertid mycket straffvärda beteenden falla utanför de nämnda bestämmelsernas tillämpningsområden. Ett sådant exempel kan vara olika typer av tillgänglighetsattacker riktade mot företag och organisationer. Det kan således bli aktuellt att tillämpa dataintrångsbestämmelsen på gärningar som fått allvarliga konsekvenser för informationssystem som kan ha stor betydelse för såväl företag som enskilda.
Straffskalan för ett brott ska spegla dess allvar. Det är en grundläggande princip att allvarligare brott ska bedömas strängare än mindre allvarliga brott och att lika allvarliga brott ska bedömas lika strängt. Straffskalan måste vara utformad så att ett straff som motsvarar brottets svårhet kan dömas ut.
Mot bakgrund av vad som anförts om konsekvenserna av allvarliga och storskaliga angrepp mot informationssystem, kan det enligt regeringens mening finnas fall som har ett betydligt högre straffvärde än vad som ryms inom dagens straffskala. Härtill kommer, såsom konstaterats i avsnitt 6, att direktivet kräver skärpta lägsta maximistraff i vissa avseenden. Regeringen delar därför utredningens och flertalet remissinstansers bedömning att det finns ett behov av att vid straffvärdebedömningen kunna beakta allvaret i storskaliga och andra betydande angrepp mot informationssystem och att straffskalan för dataintrång därför bör skärpas.
En särskild straffskala och rubricering för grovt dataintrång
Regeringen anser, i likhet med utredningen, att straffskärpningen bör ske genom att bestämmelsen om dataintrång kompletteras med en särskild straffskala för grovt brott. Det grova brottet bör föras in i ett nytt andra stycke i bestämmelsen och ges en egen brottsrubricering, grovt dataintrång.
När det gäller straffskalans utformning har utredningen föreslagit fängelse i lägst sex månader och högst sex år. Som skäl för sin bedömning har utredningen inledningsvis lyft fram att direktivet kräver ett minsta maximistraff om fem år men ansett att ett sådant maximistraff skulle passa mindre väl in i den svenska systematiken när det gäller utformning av straffskalor. Utredningen har också bedömt att den föreslagna straffskalan är tillräckligt vid för att medge en nyanserad
bedömning av olika former av dataintrång. Slutligen har lyfts fram att utformningen av straffskalan passar väl in i brottsbalkens systematik när det gäller gradindelade brott.
Regeringen ansluter sig till utredningens bedömning och anser att den föreslagna straffskalan framstår som väl avvägd. Regeringen kan också konstatera att den föreslagna straffskalan medför att det blir möjligt att döma till fängelse i två år för förberedelse till dataintrång, vilket är nödvändigt för att uppfylla förpliktelserna i direktivet.
I likhet med vad utredningen har föreslagit bör de omständigheter som särskilt ska beaktas vid bedömningen av om brottet är grovt anges i lagtexten. En sådan utformning främjar förutsebarheten och ger en bättre ledning och en större enhetlighet i rättstillämpningen. Samtidigt bör framhållas att domstolen alltid måste göra en helhetsbedömning av samtliga omständigheter i det enskilda fallet.
När det gäller vilka omständigheter som särskilt bör nämnas delar regeringen i allt väsentligt utredningens bedömning. Som en första särskild omständighet bör således anges att gärningen har orsakat allvarlig skada. De skador som uppkommer till följd av ett dataintrång är som regel av ekonomisk karaktär men även andra typer av skador kan förekomma och bör kunna beaktas. Som utredningen har pekat på finns ett starkt intresse av att skydda säkerheten i systemen och allmänhetens tillit till dem. Därför bör till exempel allvarliga skadeverkningar som ett rubbat förtroende har fört med sig kunna beaktas. Även annan allvarlig skada än ekonomisk som drabbar enskilda till följd av dataintrånget bör kunna beaktas. Det kan handla om skada till följd av ett intrång som innebär åtkomst till synnerligen känsliga personuppgifter som kan komma att missbrukas med allvarliga konsekvenser för den enskilde. Som exempel kan nämnas uppgifter som kan röja identiteten avseende en person som har fingerade personuppgifter eller adressuppgifter för personer som medgetts kvarskrivning.
En annan omständighet som särskilt bör beaktas är gärningens omfattning. Typiskt sett är det försvårande att ett dataintrång avsett ett stort antal uppgifter. Detta bör därför utgöra en särskild omständighet som ska beaktas vid bedömande av om brottet är grovt. Under denna omständighet hör att en betydande mängd uppgifter har manipulerats på något av de sätt som nämns i bestämmelsens första stycke eller att någon har berett sig tillgång till en stor mängd uppgifter. Ett annat exempel är omfattande tillgänglighetsattacker eller andra storskaliga attacker som inneburit betydande ingrepp i viktiga kommunikationer genom att gärningsmannen har allvarligt stört eller hindrat att ett stort antal uppgifter kan användas på avsett sätt. Som Lunds universitets internetinstitut har framhållit bör enbart det förhållandet att gärningen avsett ett stort antal uppgifter dock inte alltid medföra att gärningen bedöms som grovt dataintrång. Omständigheterna vid t.ex. en tillgänglighetsattack kan vara sådana att den endast fått begränsade konsekvenser.
Slutligen bör även den omständigheten att en gärning varit av särskilt farlig art särskilt anges i lagtexten. Den sista omständigheten är avsedd att träffa bl.a. sådana fall där själva förfarandet i sig eller det mål som gärningen riktat sig mot är att se som en försvårande omständighet. Så kan vara fallet om tillvägagångsättet varit förslaget och gjort
brottsligheten svårupptäckt. Den omständighet som Juliagruppen har pekat på, dvs. att en gärning begås med raffinerade och särskilt avancerade metoder, kan alltså falla in under särskilt farlig art. Det bör även beaktas om brottet begåtts mot ett kritiskt infrastruktursystem som upprätthåller viktiga samhällsfunktioner, t.ex. inom hälso- och sjukvård eller allmänna kommunikationsmedel. Även bankers informations- och betalningssystem tillhör särskilt skyddsvärda mål.
Utredningen har som ytterligare en särskild omständighet föreslagit att gärningen kunnat orsaka allvarlig skada. Enligt regeringens mening kan ett handlande som kunnat orsaka allvarlig skada i vissa fall vara att anse som av särskilt farlig art, t.ex. på grund av det tillvägagångssätt som gärningsmannen använt sig av eller det mål som gärningen riktat sig mot. Att gärningsmannens syfte sträckt sig längre än till den effekt som gärningen fått är dessutom en omständighet som ska beaktas i skärpande riktning vid straffvärdesbedömningen enligt 29 kap. 2 § 1 brottsbalken.
Under vissa omständigheter kan gärningar som träffas av dataintrångsbrottet även omfattas av straffansvaret i bestämmelserna om t.ex. sabotage eller skadegörelse. Regeringen anser dock inte att det finns tillräckliga skäl för att, såsom Uppsala universitet efterfrågat, ange en prioritetsordning mellan brotten. Utgångspunkten är att sedvanliga konkurrensregler ska tillämpas. Det innebär normalt att när det är fråga om konkurrens mellan dataintrångsbrottet och ett annat brott med samma skyddsintresse ska domstolen döma enbart för det brott med den strängare straffskalan. För övriga konkurrenssituationer som kan förekomma får domstolen göra en prövning i varje enskilt fall enligt gällande konkurrensprinciper.
Eftersom de objektiva rekvisiten för dataintrång i bestämmelsens första stycke inte är föremål för överväganden i detta lagstiftningsarbete finns inte anledning att här göra några uttalanden om hur t.ex. rekvisitet ”olovligen” ska förstås såsom Försvarsmakten har förespråkat.
När det gäller Sveriges Advokatsamfunds och Juliagruppens förslag att komplettera dataintrångsbestämmelsen med en bestämmelse om datastörning konstaterar regeringen att en sådan ändring kräver överväganden och en omarbetning av dataintrångsbestämmelsen som inte låter sig göras inom ramen för detta lagstiftningsarbete. Inte heller frågorna om bruk av verktyg för datorintrång och möjligheterna till ersättning av allmänna medel för anlitandet av tekniskt sakkunnig kan behandlas i detta sammanhang.
Konsekvenser av förslaget
Den föreslagna straffskalan för grovt dataintrång får vissa konsekvenser bl.a. för möjligheten att använda straffprocessuella tvångsmedel. Bland annat medför den möjlighet att besluta om hemlig avlyssning av elektronisk kommunikation och hemlig kameraövervakning under förutsättning att domstolen gör bedömningen att brottets straffvärde är högre än två år.
Förslaget påverkar också preskriptionstidens längd. För grovt dataintrång kommer preskriptionstiden att bli tio år.
Regeringen bedömer liksom utredningen att dessa konsekvenser är rimliga.
Försök och förberedelse till grovt dataintrång
Försök och förberedelse till dataintrång som om det fullbordats inte skulle ha ansetts som ringa är straffbart enligt 4 kap. 10 § brottsbalken. Eftersom en särskild straffskala med en egen brottsrubricering införs för grovt brott bör 10 § kompletteras så att det uttryckligen framgår att straffansvaret för försök och förberedelse gäller även grovt dataintrång.
Dataintrångsbestämmelsens förhållande till brytande av post- eller telehemlighet och intrång i förvar
Bestämmelsen om dataintrång är uttryckligen subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar.
När bestämmelsen om dataintrång fanns i datalagen var den subsidiär i förhållande till brottsbalken och straffbestämmelserna i lagen (1990:409) om skydd för företagshemligheter. När dataintrångsbestämmelsen överfördes till brottsbalken slopades subsidiaritetsklausulen i förhållande till lagen om skydd mot företagshemligheter. Samtidigt klargjordes förhållandet till bestämmelserna om straff för brytande av post- eller telehemlighet och intrång i förvar uttryckligen i bestämmelsen.
Den ändring som regeringen nu föreslår innebär att dataintrångsbestämmelsen kompletteras med en särskild straffskala och brottsrubricering för grovt brott. Motsvarande straffskala och gradindelning finns inte för brytande av post- eller telehemlighet eller intrång i förvar. Mot den bakgrunden är det inte lämpligt att behålla subsidiariteten i förhållande till de straffbestämmelserna. Inte heller i övrigt finns det skäl för att behålla den nuvarande ordningen.
Regeringen delar därför utredningens bedömning att dataintrångsbestämmelsen inte längre bör vara subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar. Förhållandet mellan bestämmelsen om dataintrång och bestämmelserna om brytande av post- eller telehemlighet och om intrång i förvar får i fortsättningen i stället avgöras enligt sedvanliga principer för bedömningen av konkurrens mellan överlappande straffstadganden i brottsbalken.
Slutsatser
Sammanfattningsvis föreslår regeringen följande. Straffbestämmelsen om dataintrång kompletteras med en särskild straffskala och egen rubricering för grovt brott, grovt dataintrång. Straffet ska vara fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Det ska vidare särskilt anges att försök och förberedelse till grovt dataintrång är straffbart. Bestämmelsen om dataintrång ska inte längre vara subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar.
Hänvisningar till S7
- Prop. 2013/14:92: Avsnitt Författningskommentar till 10 § brottsbalken, Författningskommentar till 9 c § brottsbalken
8. Straffskalan för brytande av post- eller telehemlighet
Regeringens bedömning: Det finns inget behov av att ändra straffskalan för brytande av post- eller telehemlighet.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Det stora flertalet av remissinstanserna har inte yttrat sig särskilt i frågan. Myndigheten för samhällsskydd och beredskap har delat utredningens bedömning. Sveriges Advokatsamfund och IT &
Telekomföretagen har emellertid uppfattningen att straffskalan för brytande av post- eller telehemlighet bör ändras på samma sätt som föreslås beträffande dataintrång. Samfundet har dessutom framfört att även straffbestämmelserna om intrång i förvar och olovlig avlyssning bör kompletteras med ett grovt brott.
Skälen för regeringens bedömning: Enligt 4 kap. 8 § brottsbalken döms den som olovligen bereder sig tillgång till ett meddelande, som ett post- eller telebefordringsföretag förmedlar som postförsändelse eller i telemeddelande för brytande av post- eller telehemlighet till böter eller fängelse i högst två år. Bestämmelsen skyddar såväl meddelanden i traditionell form som elektroniska meddelanden. Den brottsliga gärningen består i att bereda sig tillgång till meddelandet. För ansvar förutsätts uppsåt och att handlingen vidtas olovligen. Straffskalan har varit oförändrad sedan brottsbalkens tillkomst.
Av den officiella kriminalstatistiken framgår att antalet lagföringar för brottet har varit ytterst få. Totalt har det rört sig om ett 20-tal lagföringar under den senaste tioårsperioden. Som utredningen har konstaterat går det inte av statistiken att utläsa hur många – om ens någon – av lagföringarna som har avsett intrång i elektroniska meddelanden.
Regeringen delar utredningens bedömning att det är svårt att se att det förfarande som bestämmelsen straffbelägger skulle kunna orsaka motsvarande skada och få så vittgående konsekvenser som vissa av de förfaranden som dataintrångsbestämmelsen straffbelägger. I de fall ett intrång i ett elektroniskt meddelande under befordran utgör ett led i ett storskaligt angrepp torde angreppet regelmässigt också träffas av straffansvaret i bestämmelserna om dataintrång, sabotage, skadegörelse eller terroristbrott. Det finns heller inget krav i direktivet som innebär att straffskalan för brytande av post- eller telehemlighet måste ändras.
I likhet med utredningen gör regeringen därför bedömningen att den nuvarande straffskalan är väl avvägd. En oförändrad straffskala för brytande av post- eller telehemlighet innebär vidare att straffskalan även fortsättningsvis kommer att vara densamma som för straffbestämmelserna om intrång i förvar och olovlig avlyssning. Det finns inom ramen för detta lagstiftningsarbete inte förutsättningar att göra en sådan översyn av straffskalorna för intrång i förvar och olovlig avlyssning som Sveriges Advokatsamfund efterfrågar.
Sammanfattningsvis anser regeringen att det för närvarande inte finns något behov av att ändra straffskalan för brytande av post- eller telehemlighet.
9. Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Lagändringarna ska träda i kraft den 1 juli 2014.
Regeringens bedömning: Några särskilda övergångsbestämmelser behövs inte.
Utredningens förslag och bedömning: Utredningen har föreslagit att lagändringarna ska träda i kraft den 1 januari 2015. Utredningen har bedömt att lagändringarna inte kräver några särskilda övergångsbestämmelser.
Remissinstanserna: Ingen av remissinstanserna har yttrat sig särskilt i frågan.
Skälen för regeringens förslag och bedömning: Lagändringarna bör träda i kraft så snart som möjligt. Regeringen föreslår att detta sker den 1 juli 2014. Det krävs inga särskilda övergångsbestämmelser.
10. Ekonomiska konsekvenser
Regeringens bedömning: De föreslagna ändringarna leder inte till annat än begränsade kostnadsökningar. Dessa kan finansieras inom ramen för befintliga anslag.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt yttrat sig i frågan.
Skälen för regeringens bedömning: De föreslagna lagändringarna innebär bl.a. att dataintrångsbrottet kompletteras med en särskild straffskala och egen rubricering för grovt brott, grovt dataintrång. Straffet ska vara fängelse i lägst sex månader och högst sex år. Ändringen kan antas resultera i att påföljden för allvarliga dataintrång i fler fall än i dag kommer att bestämmas till fängelse, vilket kan medföra en viss ökning av Kriminalvårdens kostnader. Det kan heller inte uteslutas att begränsade merkostnader kan uppkomma för Polisen, åklagare och domstolarna till följd av att möjligheten att använda vissa tvångsmedel ökar genom förslaget och att en längre preskriptionstid kommer att gälla för grovt dataintrång i förhållande till dataintrång. Regeringen gör bedömningen att eventuella merkostnader kan finansieras inom myndigheternas befintliga anslag.
11. Författningskommentar
Förslaget till lag om ändring i brottsbalken
4 kap.
9 c § Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
Ändringen av paragrafen, som föreskriver straffansvar för dataintrång, har behandlats i avsnitt 7.
Ändringen i första stycket innebär att bestämmelsen inte längre är subsidiär i förhållande till straffbestämmelserna i 4 kap.8 och 9 §§brottsbalken om brytande av post- eller telehemlighet och intrång i förvar.
I andra stycket, som är nytt, införs en särskild straffskala och rubricering för grovt dataintrång. Straffskalan är fängelse i lägst sex månader och högst sex år. Ändringen syftar till att det vid allvarliga fall av dataintrång ska vara möjligt att döma ut ett straff som står i proportion till brottets allvar.
Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Omständigheten ska vara täckt av den tilltalades uppsåt.
Med allvarlig skada avses främst betydande ekonomiska skador. Vid sidan av de rent ekonomiska effekterna kan det emellertid även finnas andra skador som särskilt bör beaktas. Allvarliga skadeverkningar som ett rubbat förtroende har fört med sig för en verksamhet kan beaktas som en allvarlig skada i bestämmelsens mening. Även annan allvarlig skada än ekonomisk som drabbar enskilda till följd av dataintrånget bör kunna beaktas. Det kan handla om skada till följd av ett intrång som innebär åtkomst till synnerligen känsliga personuppgifter som kan komma att missbrukas med allvarliga konsekvenser för den enskilde. Som exempel kan nämnas uppgifter som kan röja identiteten avseende en person som har fingerade personuppgifter eller adressuppgifter för personer som medgetts kvarskrivning.
Med att gärningen avsett ett stort antal uppgifter avses bl.a. omfattande spridning av datavirus eller andra sabotageprogram. Även fall där ett stort antal uppgifter har raderats eller ändrats eller om någon har berett sig tillgång till en stor mängd uppgifter kan medföra att brottet bedöms som grovt. Ett annat exempel är omfattande tillgänglighetsattacker eller andra storskaliga attacker som inneburit betydande ingrepp i viktiga kommunikationer genom att gärningsmannen allvarligt har stört eller hindrat att ett stort antal uppgifter kan användas på avsett sätt. Enbart det
förhållande att gärningen avsett ett stort antal uppgifter bör dock inte alltid medföra att gärningen bedöms som grovt dataintrång. Omständigheterna vid t.ex. en tillgänglighetsattack kan vara sådana att den endast fått begränsade konsekvenser.
Med att gärningen annars varit av särskilt farlig art avses bl.a. fall där själva förfarandet i sig eller det mål som gärningen riktat sig mot är att se som en försvårande omständighet. Så kan vara fallet om tillvägagångsättet varit förslaget och gjort brottsligheten svårupptäckt. Också när gärningar begås med raffinerade metoder såsom t.ex. användningen av botnät, det vill säga övertagande och fjärrstyrning av ett stort antal datorer genom att infektera dem via sabotageprogram genom riktade angrepp, kan det vara fråga om särskilt farlig art. Det bör även beaktas om brottet begåtts mot ett kritiskt infrastruktursystem som upprätthåller viktiga samhällsfunktioner, t.ex. inom hälso- och sjukvård eller allmänna kommunikationsmedel. Även bankers informations- och betalningssystem tillhör särskilt skyddsvärda mål.
Uppräkningen är inte uttömmande utan även andra försvårande omständigheter ska beaktas. Domstolen ska göra en helhetsbedömning av samtliga omständigheter i det enskilda fallet.
Förhållandet mellan dataintrång och övriga brott får avgöras enligt sedvanliga konkurrensregler. Det innebär normalt att när det är fråga om konkurrens mellan dataintrångsbrottet och ett annat brott med samma skyddsintresse, så ska domstolen enbart döma för det brott som har den strängare straffskalan. För övriga konkurrenssituationer som kan förekomma får domstolen göra en prövning i varje enskilt fall enligt gällande konkurrensprinciper.
För försök, förberedelse eller stämpling till människorov, människohandel
10 §
eller olaga frihetsberövande och för underlåtenhet att avslöja ett sådant brott döms det till ansvar enligt 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller grovt dataintrång.
Paragrafen har ändrats på så sätt att grovt dataintrång har lagts till i sista meningen. Ändringen innebär att det uttryckligen framgår att försök och förberedelse till grovt dataintrång är straffbart. Ändringen har behandlats i avsnitt 7. Paragrafen har också ändrats språkligt.
Prop. 2013/14:92
Bilaga 1
23
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 2013/40/EU
av den 12 augusti 2013
om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR
ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktions
sätt, särskilt artikel 83.1,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de natio
nella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommit
téns yttrande ( 1 ),
i enlighet med det ordinarie lagstiftningsförfarandet ( 2 ), och
av följande skäl:
(1)
Målen för detta direktiv är att tillnärma medlemsstaternas
straffrättsliga lagstiftning vad gäller angrepp mot infor
mationssystem, genom att fastställa minimiregler om
fastställande av brottsrekvisit och påföljder, och att för
bättra samarbetet mellan behöriga myndigheter, inbegri
pet polismyndigheter och andra specialiserade brotts
bekämpande organ i medlemsstaterna samt behöriga spe
cialiserade unionsbyråer och -organ såsom Eurojust, Eu
ropol och dess europeiska it-brottscentrum samt Europe
iska byrån för nät- och informationssäkerhet (Enisa).
(2)
Informationssystem är av central betydelse för det poli
tiska, sociala och ekonomiska samspelet i unionen. Sam
hället är i högsta grad och i växande utsträckning bero
ende av sådana system. Att dessa system fungerar smidigt
och säkert i unionen är en förutsättning för utvecklingen
av den inre marknaden och för en konkurrenskraftig och
innovativ ekonomi. Säkerställande av en lämplig skydds
nivå för informationssystem bör ingå i ett effektivt över
gripande ramverk med förebyggande åtgärder, tillsam
mans med straffrättsliga åtgärder mot it-relaterad brotts
lighet.
(3)
Angrepp mot informationssystem, särskilt angrepp som
är kopplade till organiserad brottslighet, är ett växande
problem både inom unionen och på global nivå, och
oron ökar för terroristattacker eller politiskt motiverade
angrepp mot de informationssystem som ingår i med
lemsstaternas och unionens kritiska infrastruktur. Detta
utgör ett hot mot arbetet för att skapa ett säkrare infor
mationssamhälle och ett område med frihet, säkerhet och
rättvisa och kräver därför åtgärder på unionsnivå och
bättre samarbete och samordning på internationell nivå.
(4)
Inom unionen finns det en rad kritiska infrastrukturer för
vilka driftstörningar, eller vars förstörelse, skulle kunna få
betydande gränsöverskridande konsekvenser. Det har vi
sat sig att behovet av att förbättra förmågan att skydda
kritisk infrastruktur i unionen innebär att åtgärderna mot
angrepp mot informationssystem bör kompletteras med
stränga straffrättsliga påföljder som återspeglar angrep
pens svårhetsgrad. Med kritisk infrastruktur kan avses
anläggningar, system eller delar av dessa belägna i med
lemsstaterna som är nödvändiga för att upprätthålla cen
trala samhällsfunktioner, hälsa, säkerhet, trygghet och
människors ekonomiska eller sociala välfärd, såsom kraft
verk, transportnät eller myndighetsnätverk, och där stör
ningar i driften eller förstörelse av dessa skulle få bety
dande konsekvenser i en medlemsstat till följd av att man
inte lyckas upprätthålla dessa funktioner.
(5)
Det finns tecken på en utveckling mot allt farligare och
återkommande storskaliga angrepp mot informations
system som ofta är av vital betydelse för medlemsstater
eller särskilda funktioner i den offentliga eller privata
sektorn. Denna tendens är förenad med utvecklingen av
alltmer sofistikerade metoder, såsom skapande och an
vändning av s.k. botnät, som omfattar flera skeden i en
brottslig gärning, där varje skede i sig kan utgöra ett
allvarligt hot mot allmänna intressen. Detta direktiv syftar
bland annat till att införa straffrättsliga påföljder för ska
pandet av botnät, det vill säga övertagande och fjärrs
tyrning av ett stort antal datorer genom att infektera
dem via sabotageprogram genom riktade it-angrepp.
När de väl har skapats kan de infekterade datorerna,
som utgör botnätet, utan användarnas vetskap aktiveras
för storskaliga it-angrepp, som i allmänhet kan orsaka
allvarlig skada, på det sätt som avses i detta direktiv.
Medlemsstaterna får fastställa vad som utgör allvarlig
skada enligt deras nationella rätt och praxis, exempelvis
störning av systemtjänster av stort allmänintresse, orsa
kande av stora ekonomiska kostnader eller förlust av
personuppgifter eller känslig information.
(6)
Storskaliga it-angrepp kan orsaka betydande ekonomiska
skador på grund av avbrott i informationssystemens drift
och i kommunikationen och förlust eller förvanskning av
hemlig information som är viktig ur kommersiell syn
punkt eller andra uppgifter. Särskild uppmärksamhet
bör ägnas åt att öka medvetenheten hos innovativa
små och medelstora företag om vilka hot sådana angrepp
utgör och deras sårbarhet för angrepp av detta slag, med
tanke på att de i allt större utsträckning är beroende av
att informationssystem fungerar korrekt och är tillgäng
liga, och de ofta begränsade resurser de har för infor
mationssäkerhet.
SV
L 218/8
Europeiska unionens officiella tidning
14.8.2013
( 1
) EUT C 218, 23.7.2011, s. 130.
( 2 ) Europaparlamentets ståndpunkt av den 4 juli 2013 (ännu ej offent
liggjord i EUT) och rådets beslut av den 22 juli 2013.
24
Prop. 2013/14:92
Bilaga 1
(7)
Gemensamma definitioner på detta område är viktiga för
att säkerställa att detta direktiv tillämpas enhetligt i med
lemsstaterna.
(8)
Det finns ett behov av att fastställa en gemensam inställ
ning i fråga om brottsrekvisit, genom att gemensamt
kriminalisera olagligt intrång i informationssystem, olag
lig systemstörning, olaglig datastörning och olaglig av
lyssning.
(9)
Avlyssning omfattar, men är inte nödvändigtvis begrän
sad till, avlyssning, kontroll eller övervakning av kom
munikationsinnehåll och anskaffande av uppgifter, an
tingen direkt genom åtkomst till och användning av in
formationssystem eller indirekt med tekniska hjälpmedel,
genom användning av olika typer av elektroniska avlyss
ningsanordningar eller avlyssning med tekniska hjälpme
del.
(10) Medlemsstaterna bör fastställa påföljder för angrepp mot
informationssystem. De påföljder som fastställs bör vara
effektiva, proportionella och avskräckande och bör in
begripa fängelsestraff och/eller böter.
(11) I detta direktiv föreskrivs straffrättsliga påföljder åtmin
stone i fall som inte är ringa. Medlemsstaterna får fast
ställa vad som utgör ett ringa fall enligt deras nationella
rätt och praxis. Ett fall kan anses vara ringa till exempel
när den skada och/eller risk som gärningen medför för
offentliga eller privata intressen, såsom ett datasystems
eller datorbehandlingsbara uppgifters integritet eller en
persons integritet, rättigheter och andra intressen, är obe
tydlig eller av sådan art att åläggande av straffrättsliga
påföljder inom den lagstadgade gränsen eller åläggande
av straffrättsligt ansvar inte är nödvändigt.
(12) Identifiering och rapportering av hot och risker från it-
angrepp och svagheter i informationssystem bör ingå i
ett effektivt förebyggande av och effektiva åtgärder mot
it-angrepp och för att förbättra säkerheten i infor
mationssystem. Effekten kan förstärkas genom incitament
att rapportera säkerhetsbrister. Medlemsstaterna bör
sträva efter att ge i lag föreskrivna möjligheter att upp
täcka och rapportera säkerhetsbrister.
(13) Det är lämpligt att föreskriva strängare påföljder när ett
angrepp mot ett informationssystem görs inom ramen
för en sådan kriminell organisation som avses i rådets
rambeslut 2008/841/RIF av den 24 oktober 2008 om
kampen mot organiserad brottslighet ( 1 ), när it-angreppet
är storskaligt och därmed påverkar ett betydande antal
informationssystem, inklusive när angreppet syftar till att
skapa ett botnät, eller när it-angreppet orsakar allvarlig
skada, inklusive när det genomförs via ett botnät. Det är
också lämpligt att föreskriva strängare påföljder när ett
sådant angrepp riktas mot kritisk infrastruktur i med
lemsstaterna eller unionen.
(14) Införandet av effektiva åtgärder mot identitetsstöld och
andra identitetsrelaterade brott utgör en annan viktig del
i en samlad ansats mot it-relaterad brottslighet. Behovet
av unionsåtgärder mot denna typ av brottsligt beteende
kan också övervägas vid utvärderingen av behovet av ett
övergripande horisontellt unionsinstrument.
(15) Enligt rådets slutsatser av den 27–28 november 2008
bör det utarbetas en ny strategi i samarbete med med
lemsstaterna och kommissionen, med hänsyn till Europa
rådets konvention från 2001 om it-relaterad brottslighet.
Konventionen är den viktigaste rättsliga referensramen
när det gäller att bekämpa it-relaterad brottslighet, inklu
sive angrepp mot informationssystem. Detta direktiv byg
ger på den konventionen. Det bör därför ses som en
prioritet att alla medlemsstater slutför ratificeringen av
konventionen så snart som möjligt.
(16) Med hänsyn till de olika metoder som kan användas för
att angripa informationssystem och till den snabba ut
vecklingen av hård- och programvara, hänvisar detta di
rektiv till verktyg som kan användas för att begå brott
som anges i detta direktiv. Verktyg i denna mening är
exempelvis sabotageprogram, inklusive sådana som kan
skapa botnät, som används för it-angrepp. Även om ett
verktyg är lämpat eller särskilt lämpat för att utföra ett av
de brott som anges i detta direktiv kan verktyget vara
tillverkat för lagliga ändamål. Eftersom det finns ett be
hov av att undvika kriminalisering av fall där sådana
verktyg tillverkas och saluförs för lagliga ändamål, t.ex.
för test av it-produkters funktionssäkerhet eller infor
mationssystems säkerhet, måste, utöver det allmänna kra
vet på uppsåt, också ett krav på direkt uppsåt uppfyllas,
att dessa verktyg är avsedda att användas för att begå ett
eller flera av de brott som anges i detta direktiv.
(17) Detta direktiv ålägger inte straffrättsligt ansvar när de
objektiva kriterier för brott som anges i detta direktiv
är uppfyllda men då gärningarna begås utan brottsligt
uppsåt, till exempel när en person inte visste att det rörde
sig om obehörig åtkomst eller vid föreskrivna test eller
skydd av informationssystem, till exempel när en person
har fått i uppdrag av ett företag eller en leverantör att
testa styrkan hos dess säkerhetssystem. Avtalsenliga skyl
digheter eller överenskommelser om att begränsa åt
komst till informationssystem genom en användarpolicy
eller användarvillkor samt arbetsmarknadstvister om åt
komst till och användning av arbetsgivarens infor
mationssystem för privata ändamål, bör inte föranleda
straffrättsligt ansvar enligt detta direktiv, om åtkomsten
under dessa omständigheter skulle bedömas vara otillåten
och således utgöra den enda grunden för lagföring. Detta
direktiv påverkar inte den rätt till åtkomst till infor
mation som följer av nationell rätt och unionsrätt, men
får samtidigt inte fungera som undantag för att motivera
olaglig och godtycklig åtkomst till information.
SV
14.8.2013
Europeiska unionens officiella tidning
L 218/9
( 1 ) EUT L 300, 11.11.2008, s. 42.
Prop. 2013/14:92
Bilaga 1
25
(18) It-angrepp kan underlättas av olika omständigheter, till
exempel när förövaren har åtkomst till de säkerhets
system som är inbyggda i de drabbade informationssyste
men i tjänsten. Inom ramen för nationell rätt bör sådana
omständigheter på lämpligt sätt beaktas vid lagföring.
(19) Medlemsstaternas nationella rätt bör innehålla regler om
försvårande omständigheter i enlighet med de tillämpliga
regler om försvårande omständigheter som fastställts ge
nom deras rättsystem. De bör se till att rätten vid på
följdsbestämningen har möjlighet ta hänsyn till dessa
försvårande omständigheter. Det är upp till rätten att
bedöma dessa omständigheter, tillsammans med övriga
faktiska sakomständigheter i det enskilda fallet.
(20) Detta direktiv reglerar inte villkoren för utövandet av
behörighet när det gäller de brott som avses i direktivet,
exempelvis att det ska föreligga en anmälan från offret på
den plats där brottet begicks, en formell underrättelse
från den stat där brottet begicks, eller att åtal inte väckts
mot gärningsmannen på den plats där gärningen har
begåtts.
(21) Stater och offentliga organ är, inom ramen för detta
direktiv, skyldiga att till fullo garantera respekten för de
mänskliga rättigheterna och grundläggande friheterna, i
enlighet med gällande internationella förpliktelser.
(22) Genom detta direktiv stärks betydelsen av nätverk, såsom
G8 eller Europarådets nätverk av kontaktpunkter, som är
tillgängliga dygnet runt alla dagar i veckan. Sådana kon
taktpunkter bör kunna ge konkret stöd och till exempel
underlätta utbyte av tillgänglig relevant information och
tillhandahålla teknisk rådgivning eller rättslig information
i utredningar eller rättegångar rörande brott med anknyt
ning till informationssystem och data som rör den begä
rande medlemsstaten. För att säkerställa att nätverken
fungerar smidigt bör varje kontaktpunkt kunna kom
municera med kontaktpunkter i andra medlemsstater
omgående, bland annat med hjälp av utbildad och utrus
tad personal. Med hänsyn till hur snabbt storskaliga it-
angrepp kan genomföras, bör medlemsstaterna ha kapa
citet att snabbt besvara brådskande förfrågningar från
detta nät av kontaktpunkter. I sådana fall kan det vara
lämpligt att förfrågan om information åtföljs av en tele
fonkontakt, för att se till att den anmodade medlems
staten behandlar förfrågan snabbt och ger återkoppling
inom åtta timmar.
(23) Samarbete mellan, å ena sidan, de offentliga myndighe
terna och, å andra sidan, den privata sektorn och det
civila samhället är mycket viktigt för att förebygga och
motverka angrepp mot informationssystem. Det är nöd
vändigt att främja och förbättra samarbetet mellan tjäns
televerantörer, producenter, brottsbekämpande organ och
rättsliga myndigheter samtidigt som rättsstatsprincipen
beaktas fullt ut. Samarbetet kan inbegripa t.ex. stöd från
tjänsteleverantörernas sida när det gäller att säkra poten
tiella bevis, bidra till fastställandet av gärningsmännens
identitet och, som en sista utväg, i enlighet med nationell
rätt och praxis, helt eller delvis stänga ned informations
system eller funktioner som har angripits eller använts
för olagliga ändamål. Medlemsstaterna bör också över
väga att inrätta nätverk för samarbete och partnerskap
med tjänsteleverantörer och producenter för utbyte av
uppgifter om de brott som omfattas av detta direktiv.
(24) Det finns behov av att samla in jämförbara uppgifter om
de brott som avses i detta direktiv. Relevanta uppgifter
bör göras tillgängliga för behöriga specialiserade unions
byråer och -organ, t.ex. Europol och Enisa i enlighet med
deras uppdrag och informationsbehov, för att få en mer
heltäckande bild av problemet med it-relaterad brottslig
het och nätverks- och informationssäkerhet på unions
nivå och därigenom medverka till utformningen av mer
effektiva åtgärder. Medlemsstaterna bör översända upp
gifter om gärningsmännens tillvägagångssätt till Europol
och dess europeiska it-brottscentrum för utarbetande av
hotbedömningar och strategiska analyser i samband med
it-relaterad brottslighet i enlighet med rådets beslut
2009/371/RIF av den 6 april 2009 om inrättande av
Europeiska polisbyrån (Europol) ( 1 ). Tillhandahållandet
av information kan bidra till bättre insikt om nuvarande
och framtida hot och därmed bidra till att bättre och mer
målinriktade beslut fattas om bekämpande och förebyg
gande av angrepp mot informationssystem.
(25) Kommissionen bör överlämna en rapport om tillämp
ningen av detta direktiv och lägga fram nödvändiga för
slag till lagstiftning som skulle kunna leda till att dess
tillämpningsområde utvidgas med hänsyn till utveck
lingen på området för it-relaterad brottslighet. Exempel
på sådan utveckling är tekniska lösningar som till ex
empel möjliggör en effektivare bekämpning av angrepp
mot informationssystem, eller som gör det lättare att
förebygga eller minimera konsekvenserna av sådana an
grepp. Kommissionen bör för detta ändamål beakta till
gängliga analyser och rapporter som utarbetats av rele
vanta aktörer, särskilt Europol och Enisa.
(26) För att man effektivt ska kunna bekämpa it-relaterad
brottslighet är det nödvändigt att öka informationssyste
mens motståndskraft genom lämpliga åtgärder för att
bättre skydda dem mot it-angrepp. Medlemsstaterna bör
vidta nödvändiga åtgärder för att skydda de informations
system som utgör del av deras kritiska infrastruktur från
it-angrepp, och skyddet av deras informationssystem med
tillhörande data bör ingå i det. En viktig del i en heltäc
kande strategi för att effektivt motverka it-relaterad
brottslighet är att se till att juridiska personer har en
tillräckligt hög skydds- och säkerhetsnivå på infor
mationssystem, t.ex. i samband med tillhandahållande
av offentligt tillgängliga elektroniska kommunikations
tjänster i enlighet med gällande unionslagstiftning om
integritet och elektronisk kommunikation samt om
SV
L 218/10
Europeiska unionens officiella tidning
14.8.2013
( 1 ) EUT L 121, 15.5.2009, s. 37.
26
Prop. 2013/14:92
Bilaga 1
dataskydd. Lämpliga skyddsnivåer bör tillhandahållas mot
hot och svagheter som på ett rimligt sätt kan identifieras
i enlighet med den senaste utvecklingen inom den speci
fika sektorn och de konkreta situationerna för databe
handlingen. De kostnader och bördor som ett sådant
skydd medför bör stå i proportion till den sannolika
skadan av ett it-angrepp för de drabbade. Medlemssta
terna uppmanas att fastställa relevanta åtgärder i fråga
om ansvar inom ramen för nationell rätt när det är
uppenbart att en juridisk person inte har haft en lämplig
skyddsnivå mot it-angrepp.
(27) Stora luckor och skillnader i medlemsstaternas lagstift
ning och straffrättsliga förfaranden när det gäller angrepp
mot informationssystem kan försvåra kampen mot orga
niserad brottslighet och terrorism, och kan komplicera
ett effektivt polisiärt och rättsligt samarbete på detta om
råde. De moderna informationssystemens nationsöver
skridande och gränslösa natur innebär att angrepp mot
sådana system ofta har en gränsöverskridande dimension,
vilket understryker det akuta behovet av ytterligare insat
ser för att tillnärma den straffrättsliga lagstiftningen på
detta område. För övrigt bör adekvata åtgärder för ge
nomförande och tillämpning av rådets rambeslut
2009/948/RIF av den 30 november 2009 om förebyg
gande och lösning av tvister om utövande av jurisdiktion
i straffrättsliga förfaranden (
1
) göra det lättare att sam
ordna åtal i fall av angrepp mot informationssystem.
Medlemsstaterna bör också i samarbete med unionen
verka för bättre internationellt samarbete i fråga om sä
kerheten i informationssystem, datornätverk och datorbe
handlingsbara uppgifter. Vederbörlig hänsyn till säkerhe
ten vid dataöverföring och lagring av uppgifter bör tas
med i alla internationella avtal som rör uppgiftsutbyte.
(28) Bättre samarbete mellan behöriga brottsbekämpande or
gan och rättsliga myndigheter i hela unionen är nödvän
digt för att man ska kunna bekämpa it-relaterad brotts
lighet på ett effektivt sätt. I detta sammanhang bör ökade
insatser för att ge adekvat utbildning till de berörda myn
digheterna för ökad förståelse av it-relaterad brottslighet
och dess konsekvenser, och för att främja samarbete och
utbyte av bästa metoder, exempelvis genom de behöriga
specialiserade unionsbyråerna och -organen, uppmuntras.
Sådan utbildning bör bland annat syfta till att öka med
vetenheten om de olika nationella rättssystemen, de even
tuella rättsliga och tekniska svårigheter som kan uppstå
vid brottsutredningar eller fördelningen av befogenheter
mellan de relevanta nationella myndigheterna.
(29) Detta direktiv respekterar de mänskliga rättigheterna och
de grundläggande friheterna och står i överensstämmelse
med de principer som erkänns särskilt i Europeiska unio
nens stadga om de grundläggande rättigheterna och den
europeiska konventionen om skydd för de mänskliga
rättigheterna och de grundläggande friheterna, inklusive
skyddet av personuppgifter, rätten till privatliv, yttrande-
och informationsfrihet, rätten till en rättvis rättegång,
oskuldspresumtion och rätten till försvar, samt med le
galitetsprincipen och principen om proportionalitet mel
lan brottet och påföljden. Detta direktiv syftar särskilt till
att säkerställa att dessa rättigheter och principer respek
teras fullt ut och måste genomföras i enlighet med detta.
(30) Skyddet av personuppgifter är en grundläggande rättighet
i enlighet med artikel 16.1 i EUF-fördraget och artikel 8 i
Europeiska unionens stadga om de grundläggande rättig
heterna. Därför bör all behandling av personuppgifter i
samband med genomförandet av detta direktiv vara helt
och hållet förenlig med den unionsrätt som gäller beträf
fande uppgiftsskydd.
(31) I enlighet med artikel 3 i protokollet om Förenade kung
arikets och Irlands ställning med avseende på området
med frihet, säkerhet och rättvisa, fogat till fördraget om
Europeiska unionen och fördraget om Europeiska unio
nens funktionssätt, har dessa medlemsstater meddelat att
de önskar delta i antagandet och tillämpningen av detta
direktiv.
(32) I enlighet med artiklarna 1 och 2 i protokollet om Dan
marks ställning, fogat till fördraget om Europeiska unio
nen och fördraget om Europeiska unionens funktionssätt,
deltar Danmark inte i antagandet av detta direktiv, som
inte är bindande för eller tillämpligt på Danmark.
(33) Eftersom målen för detta direktiv, nämligen att under
ställa angrepp mot informationssystem i alla medlems
stater effektiva, proportionella och avskräckande straff
rättsliga påföljder och att förbättra och uppmuntra sam
arbete mellan rättsliga och andra behöriga myndigheter,
inte i tillräcklig utsträckning kan uppnås av medlemssta
terna, och de därför bättre kan uppnås på unionsnivå,
kan unionen vidta åtgärder i enlighet med subsidiaritets
principen i artikel 5 i fördraget om Europeiska unionen. I
enlighet med proportionalitetsprincipen i samma artikel
går detta direktiv inte utöver vad som är nödvändigt för
att uppnå dessa mål.
(34) Syftet med detta direktiv är att ändra och utöka bestäm
melserna i rådets rambeslut 2005/222/RIF av den
24 februari 2005 om angrepp mot informations
system ( 2 ). Med avseende på de medlemsstater som deltar
i antagandet av detta direktiv bör rambeslut
2005/222/RIF för tydlighetens skull ersättas i sin helhet,
eftersom de ändringar som görs är många och väsentliga.
SV
14.8.2013
Europeiska unionens officiella tidning
L 218/11
( 1 ) EUT L 328, 15.12.2009, s. 42. ( 2 ) EUT L 69, 16.3.2005, s. 67.
Prop. 2013/14:92
Bilaga 1
27
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Syfte
Detta direktiv fastställer minimiregler om fastställande av brotts
rekvisit och påföljder inom området angrepp mot informations
system. Det syftar också till att främja förebyggande av sådana
brott och förbättra samarbetet mellan rättsliga och andra behö
riga myndigheter.
Artikel 2
Definitioner
I detta direktiv avses med
a) informationssystem: en apparat eller en grupp av samman
kopplade apparater eller apparater som hör samman med
varandra, av vilka en eller flera genom ett program auto
matiskt behandlar datorbehandlingsbara uppgifter, samt da
torbehandlingsbara uppgifter som lagras, behandlas, hämtas
eller överförs med hjälp av en apparat eller en grupp av
apparater för att de ska kunna drivas, användas, skyddas
och underhållas,
b) datorbehandlingsbara uppgifter: framställning av fakta, infor
mation eller begrepp i en form som lämpar sig för behand
ling i ett informationssystem, inklusive program som lämpar
sig för att få ett informationssystem att utföra en viss upp
gift,
c) juridisk person: enhet som har status av juridisk person enligt
tillämplig rätt, med undantag av stater, eller offentliga organ
vid utövandet av de befogenheter som de har i egenskap av
statsmakter samt internationella offentliga organisationer,
d) orättmätigt: handlande som avses i detta direktiv, inklusive
intrång, störning eller avlyssning, utan tillstånd från ägaren
eller annan rättighetshavare till systemet eller del av detta,
eller som inte är tillåtet enligt nationell rätt.
Artikel 3
Olagligt intrång i informationssystem
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för
att se till att orättmätigt intrång som begås uppsåtligen i ett
informationssystem som helhet eller en del av ett sådant system
straffbeläggs när det begås genom intrång i en säkerhetsåtgärd
och åtminstone i fall som inte är ringa.
Artikel 4
Olaglig systemstörning
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för
att se till att det är straffbart att, uppsåtligen och orättmätigt,
allvarligt hindra eller avbryta driften av ett informationssystem
genom att mata in, överföra, skada, radera, försämra, ändra,
hindra flödet av eller göra det omöjligt att komma åt datorbe
handlingsbara uppgifter, åtminstone i fall som inte är ringa.
Artikel 5
Olaglig datastörning
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för
att se till att det är straffbart att, uppsåtligen och orättmätigt,
radera, skada, försämra, ändra, hindra flödet av eller göra det
omöjligt att komma åt datorbehandlingsbara uppgifter i ett
informationssystem, åtminstone i fall som inte är ringa.
Artikel 6
Olaglig avlyssning
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för
att se till att avlyssning med tekniska hjälpmedel, som sker
uppsåtligen och orättmätigt, av icke-offentliga överföringar av
datorbehandlingsbara uppgifter till, från eller inom ett infor
mationssystem, inklusive elektromagnetisk strålning från infor
mationssystem som innehåller sådana uppgifter, straffbeläggs,
åtminstone i fall som inte är ringa.
Artikel 7
Verktyg som används för att begå brott
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för
att se till att det är straffbart att uppsåtligen tillverka, sälja,
anskaffa i syfte att använda, importera, distribuera eller på annat
sätt tillgängliggöra ett av följande verktyg, om det sker orätt
mätigt och med uppsåt att begå något av de brott som avses i
artiklarna 3–6, åtminstone i fall som inte är ringa:
a) Ett datorprogram som utformats eller anpassats i första hand
för att begå något av de brott som avses i artiklarna 3–6.
b) Ett datorlösenord, en åtkomstkod eller liknande uppgifter
som gör det möjligt att få tillgång till ett informationssystem
eller delar av ett sådant system.
Artikel 8
Anstiftan, medhjälp och försök
1. Medlemsstaterna ska se till att anstiftan av och medhjälp
till de brott som avses i artiklarna 3–7 straffbeläggs.
2. Medlemsstaterna ska se till att försök att begå de brott
som avses i artiklarna 4 och 5 straffbeläggs.
Artikel 9
Påföljder
1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att de brott som avses i artiklarna 3–8 är belagda
med effektiva, proportionella och avskräckande straffrättsliga
påföljder.
2. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att de brott som avses i artiklarna 3–7 är belagda
med ett maximistraff på minst två års fängelse, åtminstone i fall
som inte är ringa.
3. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att de brott som avses i artiklarna 4 och 5 är
belagda med ett maximistraff på minst tre års fängelse när de
SV
L 218/12
Europeiska unionens officiella tidning
14.8.2013
28
Prop. 2013/14:92
Bilaga 1
begås uppsåtligen och när ett betydande antal informations
system har påverkats genom användning av ett verktyg som
avses i artikel 7 och som har utformats eller anpassats i första
hand för detta syfte.
4. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att de brott som avses i artiklarna 4 och 5 är
belagda med ett maximistraff på minst fem års fängelse när de
a) begås inom ramen för en kriminell organisation enligt defi
nitionen i rambeslut 2008/841/RIF, oberoende av den på
följdsnivå som föreskrivs däri, eller
b) förorsakar allvarlig skada, eller
c) begås mot ett informationssystem som utgör kritisk infra
struktur.
5. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att det i enlighet med nationell rätt kan anses som
en försvårande omständighet, när de brott som avses i artiklarna
4 och 5 begås genom missbruk av personuppgifter som rör en
annan person än gärningsmannen i syfte att vinna tredje mans
förtroende och därigenom medför skada för den som identite
ten tillhör, om inte dessa omständigheter redan täcks av ett
annat brott som är straffbart enligt nationell rätt.
Artikel 10
Juridiska personers ansvar
1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att juridiska personer kan ställas till ansvar för de
brott som avses i artiklarna 3–8 och som begås till deras för
mån av en person som agerar antingen enskilt eller som en del
av den juridiska personens organisation och har en ledande
ställning inom den juridiska personen, grundad på något av
följande:
a) Behörighet att företräda den juridiska personen.
b) Befogenhet att fatta beslut på den juridiska personens vägnar.
c) Befogenhet att utöva kontroll inom den juridiska personen.
2. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att juridiska personer kan ställas till ansvar när
brister i övervakning eller kontroll som ska utföras av en sådan
person som avses i punkt 1 har gjort det möjligt för en person
som är underställd den juridiska personen att till förmån för
denna juridiska person begå något av de brott som avses i
artiklarna 3–8.
3. Juridiska personers ansvar enligt punkterna 1 och 2 ska
inte utesluta lagföring av fysiska personer som begår, anstiftar
eller medverkar till något av de brott som avses i artiklarna 3–8.
Artikel 11
Påföljder för juridiska personer
1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att en juridisk person som har fällts till ansvar
enligt artikel 10.1 kan bli föremål för effektiva, proportionella
och avskräckande påföljder, som ska innefatta bötesstraff eller
administrativa avgifter och som får inbegripa andra påföljder,
som
a) fråntagande av rätt till offentliga förmåner eller stöd,
b) tillfälligt eller permanent näringsförbud,
c) rättslig övervakning,
d) rättsligt beslut om upplösning av verksamheten,
e) tillfällig eller permanent stängning av inrättningar som har
använts för att begå brottet.
2. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att en juridisk person som har fällts till ansvar
enligt artikel 10.2 kan bli föremål för effektiva, proportionella
och avskräckande påföljder eller andra åtgärder.
Artikel 12
Behörighet
1. Medlemsstaterna ska fastställa sin behörighet beträffande
de brott som avses i artiklarna 3–8, när brottet har begåtts
a) helt eller delvis på deras territorium, eller
b) av en medborgare i medlemsstaten, åtminstone i sådana fall
där gärningen utgör ett brott på den plats där den begicks.
2. En medlemsstat ska vid fastställandet av sin behörighet
enligt punkt 1 a se till att behörigheten innefattar fall där
a) gärningsmannen är fysiskt närvarande på dess territorium
när brottet begås, oavsett om brottet riktar sig mot ett infor
mationssystem på denna medlemsstats territorium eller inte,
eller
b) brottet riktar sig mot ett informationssystem på dess territo
rium, oavsett om gärningsmannen är fysiskt närvarande på
territoriet när brottet begås eller inte.
3. En medlemsstat ska underrätta kommissionen om den
beslutar att fastställa sin behörighet över ett brott som avses i
artiklarna 3–8 vilket har begåtts utanför dess territorium, in
begripet när
a) gärningsmannen har sin hemvist på denna medlemsstats
territorium, eller
b) gärningen har begåtts till förmån för en juridisk person som
är etablerad inom denna medlemsstats territorium.
Artikel 13
Informationsutbyte
1. För utbyte av uppgifter om de brott som avses i artiklarna
3–8 ska medlemsstaterna se till att ha en operativ nationell
kontaktpunkt och att använda det befintliga nät med operativa
kontaktpunkter som kan nås dygnet runt alla dagar i veckan.
Medlemsstaterna ska också se till att ha förfaranden som gör att
de vid brådskande begäran om bistånd inom högst åtta timmar
efter mottagandet kan ange åtminstone huruvida begäran kom
mer att besvaras samt formen och den beräknade tidpunkten
för svaret.
SV
14.8.2013
Europeiska unionens officiella tidning
L 218/13
Prop. 2013/14:92
Bilaga 1
29
2. Medlemsstaterna ska underrätta kommissionen om sin ut
sedda kontaktpunkt som avses i punkt 1. Kommissionen ska
vidarebefordra denna information till de andra medlemsstaterna
och behöriga specialiserade unionsbyråer och -organ.
3. Medlemsstaterna ska vidta de åtgärder som är nödvändiga
för att se till att lämpliga rapporteringskanaler är tillgängliga för
att underlätta att de brott som avses i artiklarna 3–6 rapporteras
till behöriga nationella myndigheter utan onödigt dröjsmål.
Artikel 14
Övervakning och statistik
1. Medlemsstaterna ska se till att det finns ett system för
registrering, insamling och tillhandahållande av statistiska upp
gifter om de brott som avses i artiklarna 3–7.
2. De statistiska uppgifter som avses i punkt 1 ska åtmin
stone omfatta befintliga uppgifter om antalet sådana brott som
avses i artiklarna 3–7 som registrerats av medlemsstaterna och
antalet personer som åtalats och dömts för sådana brott som
avses i artiklarna 3–7.
3. Medlemsstaterna ska översända de uppgifter som samlas
in enligt denna artikel till kommissionen. Kommissionen ska se
till att en samlad översikt över dessa statistiska rapporter offent
liggörs och översänds till behöriga specialiserade unionsbyråer
och -organ
Artikel 15
Ersättande av rambeslut 2005/222/RIF
Rambeslut 2005/222/RIF ersätts härmed med avseende på med
lemsstater som deltar i antagandet av detta direktiv, utan att
detta påverkar medlemsstaternas skyldigheter vad gäller tidsfris
ten för införlivande av rambeslutet med nationell rätt.
Med avseende på de medlemsstater som deltar i antagandet av
detta direktiv ska hänvisningar till rambeslut 2005/222/RIF an
ses som hänvisningar till detta direktiv.
Artikel 16
Införlivande
1. Medlemsstaterna ska senast den 4 september 2015 sätta i
kraft de lagar och andra författningar som är nödvändiga för att
följa detta direktiv.
2. Medlemsstaterna ska till kommissionen överlämna texten
till de bestämmelser genom vilka skyldigheterna enligt detta
direktiv införlivas med deras nationella lagstiftning.
3. När en medlemsstat antar dessa bestämmelser ska de in
nehålla en hänvisning till detta direktiv eller åtföljas av en sådan
hänvisning när de offentliggörs. Närmare föreskrifter om hur
hänvisningen ska göras ska varje medlemsstat själv utfärda.
Artikel 17
Rapportering
Kommissionen ska senast den 4 september 2017 överlämna en
rapport till Europaparlamentet och rådet med en utvärdering av
i vilken utsträckning medlemsstaterna har vidtagit de åtgärder
som är nödvändiga för att följa detta direktiv, vid behov åtföljd
av lagstiftningsförslag. Kommissionen ska även beakta den tek
niska och rättsliga utvecklingen på området för it-relaterad
brottslighet, särskilt vad gäller tillämpningsområdet för detta
direktiv.
Artikel 18
Ikraftträdande
Detta direktiv träder i kraft den tjugonde dagen efter det att det
har offentliggjorts i Europeiska unionens officiella tidning.
Artikel 19
Adressater
Detta direktiv riktar sig till medlemsstaterna i enlighet med
fördragen.
Utfärdat i Bryssel den 12 augusti 2013.
På Europaparlamentets vägnar
M. SCHULZ
Ordförande
På rådets vägnar
L. LINKEVIČIUS
Ordförande
SV
L 218/14
Europeiska unionens officiella tidning
14.8.2013
Sammanfattning av betänkandet Europarådets konvention om it-relaterad brottslighet (SOU 2013:39)
Behovet av lagändringar mot bakgrund av direktivet
Inom EU antogs 2005 ett rambeslut om angrepp mot informationssystem. Europaparlamentets och rådets direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF syftar till att ytterligare närma medlemsstaternas strafflagstiftning till varandra på området för angrepp mot informationssystem och att ändra och utöka bestämmelserna i rambeslutet. Vidare är avsikten att förbättra samarbetet mellan myndigheter och brottsbekämpande organ i medlemsstaterna.
Tyngdpunkten i direktivet utgörs av materiellt straffrättsliga bestämmelser. Bestämmelserna överensstämmer till stor del med de som finns i Europarådets konvention om it-relaterad brottslighet. Till skillnad från konventionen ställer direktivet emellertid precisa krav på vilka påföljder som ska kunna dömas ut för vissa av brotten i direktivet.
Enligt artikel 9.3 och 9.4 ska brotten olaglig systemstörning och olaglig datastörning i vissa fall vara belagda med ett maximistraff på minst tre respektive fem års fängelse. Svensk rätt uppfyller genom främst dataintrångsbestämmelsen direktivets krav på vilka handlingar som ska vara straffbelagda som olaglig systemstörning och olaglig datastörning. Straffskalan för dataintrång är böter eller fängelse i högst två år. Utredningen bedömer därför att straffskalan för dataintrång måste skärpas för att Sverige ska kunna genomföra direktivet. Av artikel 9.2 följer vidare att vissa straffbara befattningar med verktyg ska vara belagda med ett maximistraff på minst två års fängelse. Svensk rätt uppfyller i denna del kravet på straffbarhet genom främst bestämmelserna om förberedelse till brott, bl.a. förberedelse till dataintrång. För förberedelse till dataintrång är det inte möjligt att döma till två års fängelse. Det krävs alltså även av detta skäl en skärpning av straffskalan för dataintrång.
I övrigt anser utredningen att svensk rätt redan uppfyller de krav som ställs i direktivet.
En särskild straffskala för grovt dataintrång
Straffskalan för brytande av post- eller telehemlighet sträcker sig från böter till fängelse två år. Enligt utredningens mening är den nuvarande straffskalan alltjämt väl avvägd. Något skäl att skärpa straffet för brytande av post- eller telehemlighet anser utredningen alltså inte finnas.
Även straffskalan för dataintrång sträcker sig från böter till fängelse två år. Den nuvarande straffskalan för dataintrång ger emellertid enligt utredningens uppfattning inte tillräckligt utrymme för att kunna beakta allvaret i storskaliga angrepp mot informationssystem. Av olika skäl är det inte alltid möjligt att vid sådana angrepp mot informationssystem tillämpa andra straffbestämmelser med högre straffskalor, såsom bestämmelserna om sabotage, grov skadegörelse och terroristbrott. Enligt
utredningens mening finns kriminalpolitiska skäl för att skärpa straffskalan för dataintrång.
Utredningen föreslår därför att det införs en särskild straffskala för grovt dataintrång. Straffskalan ska sträcka sig från fängelse sex månader till fängelse sex år. Vid bedömande av om ett dataintrång är grovt ska särskilt beaktas om gärningen har orsakat eller kunnat orsaka allvarlig skada eller har avsett ett stort antal uppgifter eller om gärningen annars varit av särskilt farlig art.
Bestämmelsen om dataintrång ska inte längre vara subsidiär i förhållande till straffbestämmelserna om brytande av post- eller telehemlighet och om intrång i förvar. Försök och förberedelse till grovt dataintrång ska vara straffbart.
Betänkandets lagförslag
Förslag till lag om ändring i brottsbalken
Härigenom föreskrivs att 4 kap.9 c och 10 §§brottsbalken ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap. 9 c §4
Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Om brottet är grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska särskilt beaktas om gärningen har orsakat eller kunnat orsaka allvarlig skada eller har avsett ett stort antal uppgifter eller om gärningen annars varit av särskilt farlig art.
10 §5
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa.
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller till grovt dataintrång.
4 Senaste lydelse 2007:213. 5 Senaste lydelse 2004:406.
Denna lag träder i kraft den 1 januari 2015.
Förteckning över remissinstanserna
Efter remiss har yttrande över betänkandet avgetts av Riksdagens ombudsmän, Hovrätten för Västra Sverige, Hovrätten över Skåne och Blekinge, Helsingborgs tingsrätt, Hässleholms tingsrätt, Göteborgs tingsrätt, Gävle tingsrätt, Luleå tingsrätt, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Säkerhetspolisen, Statens kriminaltekniska laboratorium, Säkerhets- och integritetsskyddsnämnden, Brottsförebyggande rådet, Migrationsverket, Datainspektionen, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Totalförsvarets forskningsinstitut, Barnombudsmannen, Länsstyrelsen i Stockholms län, Statskontoret, Tullverket, Skatteverket, Uppsala universitet (Juridiska fakultetsnämnden), Stockholms universitet (Juridiska fakultetsnämnden), Post- och telestyrelsen, Diskrimineringsombudsmannen, Bahnhof AB, ECPAT Sverige, Rättighetsalliansen, IT&Telekomföretagen, Svenska Journalistförbundet, Sveriges advokatsamfund och Juliagruppen.
Yttrande har också inkommit från Lunds universitets internetinstitut och .SE (Stiftelsen för Internetinfrastruktur).
Svenskt Näringsliv har avstått från att yttra sig. Centrum mot rasism, Stiftelsen Expo, SIG Security, Svenska avdelningen av Internationella juristkommissionen, Civil Rights Defenders, Svenska Tidningsutgivareföreningen, Föreningen Utgivarna, Sveriges Domareförbund, Netnod Internet Exchange i Sverige AB, Tele2 AB och TeliaSonera AB har beretts tillfälle att avge yttrande men har avstått.
Lagrådsremissens lagförslag
Förslag till lag om ändring i brottsbalken
Härigenom föreskrivs6att 4 kap.9 c och 10 §§brottsbalken ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
9 c §7
Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
10 §8
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms det till ansvar enligt 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, dataintrång som om det
6 Jfr Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 14.8.2013, s. 8–14, Celex 32013L0040). 7 Senaste lydelse 2007:213. 8 Senaste lydelse 2004:406.
till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa.
fullbordats inte skulle ha varit att anse som ringa, eller grovt dataintrång.
Denna lag träder i kraft den 1 juli 2014.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2014-01-21
Närvarande: F.d. justitierådet Leif Thorsson samt justitieråden
Gudmund Toijer och Olle Stenman.
Skärpt straff för dataintrång
Enligt en lagrådsremiss den 16 januari 2014 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i brottsbalken.
Förslaget har inför Lagrådet föredragits av rättssakkunniga Jenny Engvall.
Lagrådet lämnar förslaget utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 13 februari 2014
Närvarande: Statsministern Reinfeldt, ordförande, och statsråden Björklund, Bildt, Ask, Larsson, Erlandsson, Borg, Ohlsson, Norman, Attefall, Engström, Kristersson, Elmsäter-Svärd, Ullenhag, Hatt, Ek, Lööf, Enström, Arnholm, Svantesson
Föredragande: statsrådet Ask
Regeringen beslutar proposition 2013/14:92 Skärpt straff för dataintrång
Rättsdatablad
Författningsrubrik Bestämmelser som inför, ändrar, upphäver eller upprepar ett normgivningsbemyndigande
Celexnummer för bakomliggande EUregler
Lag om ändring i brottsbalken