SOU 2013:39

Europarådets konvention om it-relaterad brottslighet

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 27 oktober 2011 att tillkalla en särskild utredare med uppdrag att analysera behovet av författningsändringar för att Sverige ska kunna tillträda Europarådets konvention om itrelaterad brottslighet med tilläggsprotokoll och lämna förslag till de författningsändringar som behövs för att möjliggöra ett svenskt tillträde till instrumenten (dir. 2011:98).

Till särskild utredare förordnades överåklagaren Nils Rekke. Som experter i utredningen förordnades från och med den 1 december 2011 kriminalkommissarien Anders Ahlqvist (Rikspolisstyrelsen), advokaten Per Furberg (Setterwalls Advokatbyrå), kammaråklagaren Chatrine Rudström (Åklagarmyndigheten), kanslirådet Susanne Södersten (Justitiedepartementet) och professorn Per Ole Träskman (Lunds universitet).

Som experter förordnades vidare från och med den 21 augusti 2012 rättssakkunnige Walo von Greyerz (Justitiedepartementet) och från och med den 13 september 2012 kammaråklagaren Cecilia Trossmark (Ekobrottsmyndigheten).

Som sekreterare i utredningen anställdes från och med den 1 december 2011 hovrättsassessorn Anna Graninger.

Den 11 oktober 2012 beslutade regeringen att även ge utredningen i uppdrag att analysera behovet av och lämna förslag till de författningsändringar som behövs för att genomföra Europaparlamentets och rådets kommande men ännu inte formellt antagna direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF och överväga behovet av skärpta straff för brytande av post- eller telehemlighet och dataintrång för att ge ett ökat utrymme att beakta allvaret i storskaliga angrepp mot informationssystem (dir. 2012:102).

Utredningen, som har antagit namnet Utredningen om it-brottskonventionen (Ju 2011:12), överlämnar härmed betänkandet

Europarådets konvention om it-relaterad brottslighet (SOU 2013:39).

Experterna har i allt väsentligt ställt sig bakom utredningens överväganden och förslag. Betänkandet har därför formulerats i viform.

Uppdraget är härmed slutfört.

Stockholm i maj 2013

Nils Rekke

/Anna Graninger

Sammanfattning

Vårt uppdrag

Utredningen har haft i uppdrag att analysera behovet av och lämna förslag till de författningsändringar som krävs för att Sverige ska kunna tillträda Europarådets konvention om it-relaterad brottslighet och dess tilläggsprotokoll.

Därutöver har vi i tilläggsdirektiv fått i uppdrag att analysera behovet av och lämna förslag till de författningsändringar som behövs för att genomföra Europaparlamentets och rådets kommande men ännu inte formellt antagna direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF.

I uppdraget har vidare ingått att överväga behovet av skärpta straff för brytande av post- eller telehemlighet och dataintrång för att ge ett ökat utrymme att på ett nyanserat sätt beakta allvaret i storskaliga angrepp mot informationssystem.

Behovet av lagändringar mot bakgrund av konventionen och tilläggsprotokollet

Europarådets konvention om it-relaterad brottslighet har tre huvudsyften. Det första är att åstadkomma en tillnärmning av ländernas nationella straffrätt beträffande vissa gärningar. Det andra är att säkerställa att det finns nationella processrättsliga bestämmelser som tillgodoser behoven av att utreda och lagföra de brott som behandlas i konventionen och andra brott som begås med hjälp av datorer samt att kunna ta till vara bevisning i elektronisk form. Det tredje är att lägga grunden för ett snabbt och effektivt internationellt samarbete vid bekämpningen av it-relaterade brott.

Konventionen öppnades för undertecknande den 23 november 2001 och trädde i kraft den 1 juli 2004. Hittills har 51 stater under-

tecknat konventionen och 39 stater ratificerat den. Majoriteten av EU:s medlemsstater har ratificerat konventionen liksom de övriga nordiska länderna. Sverige undertecknade konventionen samma dag som den upprättades, men har ännu inte ratificerat den.

Under arbetet med konventionen fanns det några frågor som inte hann slutbehandlas. Dessa har tagits upp i ett tilläggsprotokoll till konventionen. Tilläggsprotokollet behandlar kriminalisering av gärningar av rasistisk och främlingsfientlig natur begångna med hjälp av datorsystem.

Tilläggsprotokollet öppnades för undertecknande den 28 januari 2003 och trädde i kraft den 1 mars 2006. Hittills har 37 stater undertecknat tilläggsprotokollet och 20 stater ratificerat det. Sverige undertecknade tilläggsprotokollet samma dag som det upprättades, men har ännu inte ratificerat det.

Vår bedömning är att svensk rätt redan uppfyller såväl konventionens som tilläggsprotokollets krav på straffrättsliga bestämmelser, under förutsättning att dels förslagen i regeringens proposition 2012/13:74 Förfalsknings- och sanningsbrotten antas av riksdagen, dels Sverige utnyttjar den möjlighet som finns i tilläggsprotokollet att kräva vissa ytterligare rekvisit för straffansvar när det gäller förnekande, grovt förringande, gillande eller rättfärdigande av folkmord eller brott mot mänskligheten.

Vad avser konventionens processrättsliga bestämmelser, till vilka tilläggsprotokollet hänvisar, gör vi bedömningen att lagstiftningsåtgärder krävs för att svensk rätt ska leva upp till konventionens krav i artikel 16 och 17. Artiklarna gäller skyndsamt säkrande av lagrade datorbehandlingsbara uppgifter och skyndsamt säkrande och partiellt röjande av trafikuppgifter. Vi bedömer också att det finns skäl att överväga att införa en sådan möjlighet till föreläggande att lämna information inom ramen för en husrannsakan som avses i konventionens artikel 19.4, även om svensk rätt formellt sett redan kan anses uppfylla de krav som ställs. I övrigt anser vi att svensk rätt redan uppfyller de krav som ställs med hänsyn till att vissa möjligheter till förbehåll finns.

När det gäller konventionens bestämmelser om internationellt sam-

arbete, till vilka tilläggsprotokollet på samma sätt som när det gäller

de processrättsliga bestämmelserna hänvisar, anser vi att lagstiftningsåtgärder krävs för att svensk rätt ska leva upp till konventionens krav i artiklarna 29 och 30, vilka avser rättslig hjälp med skyndsamt säkrande av lagrade datorbehandlingsbara uppgifter och skyndsamt röjande av vissa trafikuppgifter (motsvarigheterna till artiklarna 16

och 17 på området för rättslig hjälp). I övrigt bedömer vi att svensk rätt redan uppfyller de krav som ställs.

Genomförandet av konventionen och tilläggsprotokollet i svensk rätt

Artikel 16 i konventionen innebär att det ska vara möjligt att skyndsamt säkra särskilt angivna lagrade datorbehandlingsbara uppgifter. Ett säkrande innebär att uppgifterna ska bevaras på ett betryggande sätt. Med uppgifter avses vilken typ av uppgifter som helst, dvs. såväl trafik-, innehålls- som abonnentuppgifter. Den grundläggande tanken bakom artikeln är att säkrandet ska göras på ett mindre ingripande sätt än genom exempelvis husrannsakan och beslag. Säkrandet är vidare tänkt att kunna ske såväl hos fysiska som juridiska personer, inklusive tjänsteleverantörer. Det ska kunna tillämpas såväl på de brott som straffbeläggs i enlighet med konventionen och på andra brott som begåtts med hjälp av ett datorsystem som generellt på insamling av bevis i elektronisk form om ett brott.

För att uppfylla kraven i artikeln föreslår vi att det i rättegångsbalken införs en möjlighet att förelägga någon att under viss tid bevara elektroniska uppgifter. Den som i elektronisk form innehar en viss lagrad uppgift som skäligen kan antas ha betydelse för utredningen om ett brott ska således kunna föreläggas att bevara uppgiften. I föreläggandet ska anges under hur lång tid uppgiften ska bevaras. Tiden får inte bestämmas längre än nödvändigt och får inte överstiga 90 dagar. Om det finns särskilda skäl ska tiden för bevarande få förlängas med högst 30 dagar. Om det är möjligt ska föreläggandet ges skriftligt. I annat fall ska den som föreläggandet riktas mot så snart som möjligt få ett skriftligt bevis om beslutet. Meddelande om åtgärden får inte obehörigen föras vidare. Föreläggandet ska innehålla en underrättelse om detta.

Enligt vårt förslag ska ett bevarandeföreläggande inte få riktas mot den som skäligen kan misstänkas för brottet eller mot närstående till den misstänkte. Beslut om bevarandeföreläggande ska få meddelas av undersökningsledaren eller åklagaren. Den som ålagts ett bevarandeföreläggande ska få begära rättens prövning av det. För rättens prövning ska i tillämpliga delar gälla vad som gäller för prövning av beslag.

Om ett bevarandeföreläggande riktas mot en sådan leverantör som är skyldig att lagra trafikuppgifter enligt lagen (2003:389)om

elektronisk kommunikation föreslår vi att samma regler som gäller i fråga om åtgärder för att skydda uppgifter som ska lagras, ska gälla även för uppgift som omfattas av föreläggandet. Vidare ska motsvarande regler om rätt till ersättning för kostnader och om anpassning för utlämnande av uppgifter som gäller för lagring av trafikuppgifter gälla för uppgifter som ska bevaras.

Den som inte följer ett bevarandeföreläggande kan enligt vår mening i vissa situationer hållas straffrättsligt ansvarig enligt bestämmelsen om brytande av myndighets bud i 17 kap. 13 § brottsbalken. Straffansvar enligt 9 kap. 6 § rättegångsbalken kan utkrävas för den som utan tillstånd bryter mot skyldigheten att hemlighålla att säkringsåtgärder vidtagits.

För att uppfylla kraven i konventionens artikel 29 föreslår vi att möjligheten att förelägga någon som i elektronisk form innehar en viss lagrad uppgift som skäligen kan antas ha betydelse för utredningen om ett brott att bevara uppgiften, räknas upp som en av de åtgärder som omfattas av rättslig hjälp enligt lagen (2000:562) om internationell rättslig hjälp i brottmål.

Enligt artikel 17 ska ett sådant skyndsamt säkrande av trafikuppgifter som avses i artikel 16 kunna äga rum oavsett om en eller flera tjänsteleverantörer har varit inblandade vid överföringen av ett meddelande. I många fall är flera tjänsteleverantörer involverade då elektroniska uppgifter överförs. Det är därför inte säkert att det är tillräckligt att trafikuppgifter hos enbart en av tjänsteleverantörerna i överföringskedjan säkras. För att det ska vara möjligt att förelägga samtliga de tjänsteleverantörer som deltagit vid överföringen att bevara trafikuppgifter krävs först att dessa kan identifieras. För att säkrande ska kunna äga rum hos de tjänsteleverantörer som varit delaktiga vid överföringen föreskriver artikel 17 att det ska vara möjligt att skyndsamt få tillgång till de uppgifter som krävs för att tjänsteleverantörerna och den väg på vilken meddelandet överfördes ska kunna spåras. Även säkrandet enligt artikel 17 ska kunna tillämpas såväl på de brott som straffbeläggs i enlighet med konventionen och på andra brott som begåtts med hjälp av ett datorsystem som generellt på insamling av bevis i elektronisk form om ett brott.

För att uppfylla kraven i artikel 17 föreslår vi att det i lagen om elektronisk kommunikation införs en skyldighet för leverantörer att till den myndighet som beslutat om ett bevarandeföreläggande lämna ut uppgift om vilka övriga leverantörer som har deltagit vid överföringen av det meddelande som omfattas av föreläggandet. Vi bedömer att det inte krävs några ytterligare lagstiftningsåtgärder än

denna för att uppfylla kraven i konventionens artikel 30 på rättslig hjälp med skyndsamt röjande av vissa trafikuppgifter.

Enligt konventionens artikel 19.4 ska det finnas en möjlighet i nationell rätt för behöriga myndigheter att förelägga en person som har kunskap om ett datorsystems funktion eller om de åtgärder som tillämpas för att skydda de datorbehandlingsbara uppgifter som finns i systemet, att i den mån det är skäligt lämna den information som är nödvändig för att möjliggöra husrannsakan i it-miljö. Vi bedömer att de svenska reglerna om vittnesförhör inför rätta visserligen formellt sett får anses uppfylla de krav som ställs upp i artikeln, men att det ändå finns skäl att i svensk rätt införa en specifik möjlighet till föreläggande att lämna information i syfte att underlätta husrannsakan i it-miljö. Enligt brottsutredande myndigheter finns nämligen ett praktiskt behov av att införa en sådan möjlighet till föreläggande.

Vi föreslår därför en ny bestämmelse i rättegångsbalken som innebär att den som kan antas känna till funktionerna i eller andra förutsättningar för åtkomst till ett visst datasystem och granskning av uppgifterna där får föreläggas att lämna de upplysningar som behövs för att ett beslut om husrannsakan ska kunna verkställas. Ett beslut om föreläggande får meddelas av undersökningsledaren eller åklagaren. Föreläggandet ska dokumenteras.

Om någon skäligen kan misstänkas för brottet får enligt vårt förslag föreläggande inte riktas mot den misstänkte. Föreläggande får inte heller riktas mot den som, om åtal väcks, inte skulle vara skyldig att vittna i målet eller om sådan uppgift som de brottsutredande myndigheterna vill få tillgång till. Vägrar den förelagde att lämna upplysningar får på undersökningsledarens eller åklagarens begäran vittnesförhör med honom eller henne äga rum inför rätten. Om förhöret ska i tillämpliga delar gälla vad som föreskrivs om bevisupptagning utom huvudförhandling. En misstänkt får beredas tillfälle att närvara vid förhöret om det kan ske utan men för utredningen.

I tilläggsprotokollets artikel 6.1 uppställs krav på kriminalisering av gärningar som innebär att någon uppsåtligen och orättmätigt med hjälp av ett datorsystem sprider eller på annat sätt för allmänheten tillgängliggör material som förnekar, grovt förringar, gillar eller rättfärdigar gärningar som enligt folkrätten eller vissa internationella domstolar utgör folkmord eller brott mot mänskligheten. Vi föreslår att Sverige utnyttjar den möjlighet som finns att förklara att krav uppställs på att förnekandet eller det grova förringandet görs med uppsåt att uppmuntra till hat, diskriminering eller våld mot en enskild person eller en grupp av personer på grund av ras, hudfärg,

härstamning, nationellt eller etniskt ursprung liksom även trosbekännelse, eftersom svensk rätt då, genom främst bestämmelserna om hets mot folkgrupp och uppvigling, uppfyller artikelns krav på vad som ska vara straffbelagt.

Artiklarna 20 och 21 i konventionen gäller insamling i realtid av trafikuppgifter respektive avlyssning av innehållsuppgifter. Vi föreslår att Sverige avger förbehåll av innehåll att åtgärderna i artikel 20 endast tillämpas på sådana brott avseende vilka hemlig övervakning av elektronisk kommunikation kan användas och att förbehåll avges av innehåll att åtgärderna i artiklarna 20 och 21 inte tillämpas på meddelanden som endast överförs i ett elektroniskt kommunikationsnät av mindre betydelse från allmän kommunikationssynpunkt.

Behovet av lagändringar mot bakgrund av direktivet

Inom EU antogs 2005 ett rambeslut om angrepp mot informationssystem. Europaparlamentets och rådets direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF syftar till att ytterligare närma medlemsstaternas strafflagstiftning till varandra på området för angrepp mot informationssystem och att ändra och utöka bestämmelserna i rambeslutet. Vidare är avsikten att förbättra samarbetet mellan myndigheter och brottsbekämpande organ i medlemsstaterna. Förhandlingarna om direktivet är i allt väsentligt slutförda. Det återstår för EU:s institutioner att formellt anta den text som har godkänts av företrädare för rådet och Europaparlamentet. Efter att direktivet antas har medlemsstaterna två år på sig att genomföra det.

Tyngdpunkten i direktivet utgörs av materiellt straffrättsliga bestämmelser. Bestämmelserna överensstämmer till stor del med de som finns i Europarådets konvention om it-relaterad brottslighet. Till skillnad från konventionen ställer direktivet emellertid precisa krav på vilka påföljder som ska kunna dömas ut för vissa av brotten i direktivet.

Enligt artikel 9.3 och 9.4 ska brotten olaglig systemstörning och olaglig datastörning i vissa fall vara belagda med ett maximistraff på minst tre respektive fem års fängelse. Svensk rätt uppfyller genom främst dataintrångsbestämmelsen direktivets krav på vilka handlingar som ska vara straffbelagda som olaglig systemstörning och olaglig datastörning. Straffskalan för dataintrång är böter eller fängelse i högst två år. Vi bedömer därför att straffskalan för dataintrång måste

skärpas för att Sverige ska kunna genomföra direktivet. Av artikel 9.2 följer vidare att vissa straffbara befattningar med verktyg ska vara belagda med ett maximistraff på minst två års fängelse. Svensk rätt uppfyller i denna del kravet på straffbarhet genom främst bestämmelserna om förberedelse till brott, bl.a. förberedelse till dataintrång. För förberedelse till dataintrång är det inte möjligt att döma till två års fängelse. Det krävs alltså även av detta skäl en skärpning av straffskalan för dataintrång.

I övrigt anser vi att svensk rätt redan uppfyller de krav som ställs i direktivet.

En särskild straffskala för grovt dataintrång

Straffskalan för brytande av post- eller telehemlighet sträcker sig från böter till fängelse två år. Enligt vår mening är den nuvarande straffskalan alltjämt väl avvägd. Något skäl att skärpa straffet för brytande av post- eller telehemlighet anser vi alltså inte finnas.

Även straffskalan för dataintrång sträcker sig från böter till fängelse två år. Den nuvarande straffskalan för dataintrång ger emellertid enligt vår uppfattning inte tillräckligt utrymme för att kunna beakta allvaret i storskaliga angrepp mot informationssystem. Av olika skäl är det inte alltid möjligt att vid sådana angrepp mot informationssystem tillämpa andra straffbestämmelser med högre straffskalor, såsom bestämmelserna om sabotage, grov skadegörelse och terroristbrott. Enligt vår mening finns det alltså vid sidan av direktivet kriminalpolitiska skäl för att skärpa straffskalan för dataintrång.

Vi föreslår därför att det införs en särskild straffskala för grovt dataintrång. Straffskalan ska sträcka sig från fängelse sex månader till fängelse sex år. Vid bedömande av om ett dataintrång är grovt ska särskilt beaktas om gärningen har orsakat eller kunnat orsaka allvarlig skada eller har avsett ett stort antal uppgifter eller om gärningen annars varit av särskilt farlig art.

Bestämmelsen om dataintrång ska inte längre vara subsidiär i förhållande till straffbestämmelserna om brytande av post- eller telehemlighet och om intrång i förvar. Försök och förberedelse till grovt dataintrång ska vara straffbart.

Summary

Our remit

The Inquiry was tasked with analysing the need and making proposals for the legislative amendments required for Sweden to be able to accede to the Council of Europe Convention on Cybercrime and its Additional Protocol.

In supplementary terms of reference, we were also tasked with analysing the need and making proposals for the legislative amendments needed to implement the draft (not yet formally adopted) Directive of the European Parliament and of the Council on attacks against information systems, repealing Council Framework Decision 2005/222/JHA.

The remit also included considering the need for tougher penalties for breaches of postal or telecommunication secrecy, or data security, in order to allow greater scope to take more nuanced account of the seriousness of large-scale attacks on information systems.

The need for legislative amendments in light of the Convention and Additional Protocol

The Council of Europe Convention on Cybercrime has three main aims. The first is to bring national penal law provisions concerning certain offences more closely into alignment. The second is to ensure that there are national procedural law provisions that meet the need to investigate and take legal action against the offences dealt with in the Convention and other offences committed using computers, and to be able to utilise evidence in electronic form. The third is to pave the way for rapid and effective international cooperation to combat cybercrime.

The Convention was opened for signature on 23 November 2001 and entered into force on 1 July 2004. So far, 51 states have signed the Convention and 39 states have ratified it. The majority of the EU Member States have ratified the Convention, along with the other Nordic countries. Sweden signed the Convention on the day it was drawn up, but has not yet ratified it.

Several issues emerged during work on the Convention that were not settled. These were taken up in an Additional Protocol to the Convention. The Additional Protocol concerns the criminalisation of acts of a racist and xenophobic nature committed through computer systems.

The Additional Protocol was opened for signature on 28 January 2003 and entered into force on 1 March 2006. So far, 37 states have signed the Additional Protocol and 20 states have ratified it. Sweden signed the Additional Protocol on the day it was drawn up, but has not yet ratified it.

In our assessment, Swedish law already fulfils the requirements of both the Convention and the Additional Protocol with regard to

penal law provisions, as long as the proposals in Government bill

2012/13:74 Falsification offences and offences against the truth are adopted by the Riksdag, and Sweden uses the possibility to set certain additional criminal liability requirements with regard to denial, gross minimisation, approval or justification of genocide or crimes against humanity.

With regard to the procedural law provisions of the Convention, to which the Additional Protocol refers, we consider that legislative measures are needed in order for Swedish law to conform to the requirements in Articles 16 and 17 of the Convention. The articles concern expedited preservation of stored computer data and expedited preservation and partial disclosure of traffic data. We also consider that there are grounds to consider introducing the kind of possibility to order the disclosure of information as part of a search referred to in Article 19.4 of the Convention, even though, in formal terms, Swedish law can be considered to already fulfil the requirements set. In other respects we consider that Swedish law already fulfils the requirements set, given the possibilities for reservations.

With regard to the provisions of the Convention concerning

international cooperation, to which the Additional Protocol refers

in the same way as for the procedural law provisions, we consider that legislative measures are needed in order for Swedish law to

conform to the requirements in Articles 29 and 30 of the Convention concerning judicial assistance for the expedited preservation of stored computer data and expedited disclosure of preserved traffic data (which correspond to Articles 16 and 17 in the area of judicial assistance). In other respects we consider that Swedish law already fulfils the requirements set.

Implementation of the Convention and Additional Protocol in Swedish law

Article 16 of the Convention states that it should be possible to obtain the expeditious preservation of specified computer data. Preservation means that data is stored securely. The term ‘data’ refers to any kind of data, i.e. traffic data, content data or subscriber information. The basic idea behind the article is that the preservation of data should be achieved less intrusively than by search and seizure. Furthermore, the intention is that it should be possible to preserve data from both natural and legal persons, including service providers. It should be applicable both to offences that are punishable under the Convention and other offences committed using a computer system, and generally to the collection of electronic evidence concerning an offence.

In order to meet the requirements contained in the article, we propose that a possibility to order a person to preserve electronic data for a given period be introduced into the Swedish Code of Judicial Procedure. Anyone who has certain data stored in electronic form that can reasonably be assumed to be of significance to the investigation of an offence could thereby be ordered to preserve that data. The order should specify how long the data must be preserved. The time period may not be longer than necessary, and no longer than 90 days in any case. If there are special grounds to do so, it should be possible to extend the time period by a maximum of 30 days. If possible the order should be issued in writing. Otherwise the person who is the subject of the order should receive written evidence of the decision as soon as possible. Communications concerning the measure may not be forwarded without authorisation. The order should contain information to this effect.

According to our proposal, a preservation order may not be issued to anyone who might reasonably be suspected of the offence or anyone closely associated with the suspect. Decisions to issue a

preservation order should be communicated by the leader of the investigation or the prosecutor. A person to whom a preservation order is issued should be able to demand a judicial review of the order. Such judicial reviews should, where appropriate, be subject to the rules that apply to reviews of seizures.

If a preservation order is issued to a service provider that is liable to store traffic data under the Electronic Communications Act (2003:389), we propose that the same rules that apply for measures to protect data to be stored should also apply to data covered by the order. Furthermore, corresponding rules on the right to compensation for costs and on adaptation for disclosure of data that apply to traffic data storage should apply to data to be preserved.

In our view, in certain situations it should be possible to hold anyone who fails to comply with a preservation order criminally liable under the provisions on breaches of official orders contained in Chapter 17, Section 13 of the Penal Code. Under Chapter 9, Section 6 of the Swedish Code of Judicial Procedure criminal liability may be enforced against anyone who, without authorisation, breaches an obligation to conceal the fact that a preservation measure has been taken.

In order to meet the requirements contained in Article 29 of the Convention, we propose that the possibility to order anyone who has certain data stored in electronic form that can reasonably be assumed to be of significance to the investigation of an offence to preserve that data should count as one of the measures covered by judicial assistance under the Act on International Judicial Assistance in Criminal Matters (2000:562).

Under Article 17, the expeditious preservation of traffic data referred to in Article 16 should be possible regardless of whether one or more service providers were involved in the transmission of a communication. In many cases, several service providers are involved when electronic data is transmitted. It is therefore not necessarily sufficient to preserve traffic data from just one of the service providers in the chain of transmission. For it to be possible to order all service providers involved in the transmission to preserve traffic data, it must first be possible to identify them. For it to be possible to preserve data from those service providers that have been involved in the transmission, Article 17 states that it must be possible to gain expeditious access to the data required to trace the service providers and the path through which the communication was transmitted. Preservation under Article 17 should also be

applicable both to offences that are punishable under the Convention and other offences committed using a computer system, and generally to the collection of electronic evidence concerning an offence.

In order to meet the requirements contained in Article 17, we propose that an obligation be introduced into the Electronic Communications Act for service providers to submit information concerning the other providers involved in transmission of the communication that is the subject of the preservation order to the authority that has decided to issue the order. In our assessment, no other legislative measures are needed in order to meet the requirements contained in Article 30 of the Convention concerning judicial assistance for the expedited disclosure of certain traffic data.

Under Article 19.4 of the Convention, national legislation must empower the competent authorities to order any person who has knowledge about the functioning of a computer system or measures applied to protect the computer data therein to provide, as is reasonable, the necessary information to enable searches of the IT environment to be undertaken. In our view, although the Swedish rules on the examination of witnesses in court can certainly be considered to meet the requirements of the article in formal terms, there are still grounds to introduce a specific possibility to order the disclosure of information into Swedish law with the aim of facilitating searches in IT environments. This is because there is, according to the criminal investigation authorities, a practical need to introduce the possibility to issue this kind of order.

We therefore propose a new provision in the Swedish Code of Judicial Procedure stating that anyone who can be assumed to be familiar with the functions of a given computer system or other requirements for accessing it and examining the data in it may be ordered to provide the necessary instructions for a search to be conducted. A decision to issue an order may be communicated by the investigation leader or the prosecutor. The order must be documented.

Under our proposal, if anyone can reasonably be suspected of the offence, the order cannot be issued to the suspect. Nor may an order be issued to anyone who, if prosecution proceedings are initiated, would not be obliged to testify in the case or with regard to the data that the criminal investigation authorities wish to access. If the subject of the order refuses to disclose information, the investigation leader or prosecutor may demand that they be examined

before a court. This examination should be subject to the appropriate parts of the rules that apply to the taking of evidence outside of a main hearing. A suspect may be given the opportunity to attend the examination if this will not harm the investigation.

Article 6.1 of the Additional Protocol requires the criminalisation of acts whereby a person intentionally, and without right, uses a computer system to distribute or otherwise make available to the public material which denies, grossly minimises, approves or justifies acts constituting genocide or crimes against humanity, as defined in international law or certain international courts. We propose that Sweden take the opportunity to declare a requirement that the offences of denial or gross minimisation are committed with intent to incite hatred, discrimination or violence against an individual or group on grounds of race, skin colour, origin, national or ethnic roots, or faith, because Swedish law would then meet the criminalisation requirements contained in the article, primarily through the provisions on agitation against a national or ethnic group and incitement to rebellion.

Articles 20 and 21 of the Convention concern the real-time collection of traffic data and the interception of content data respectively. We propose that Sweden enter a reservation of substance to the effect that the measures in Article 20 should only apply to offences for which secret surveillance of electronic communications can be used, and that a reservation of substance be entered to the effect that the measures in Articles 20 and 21 should not apply to communications transmitted solely through an electronic communications network that is relatively insignificant from a general communication standpoint.

Need for legislative amendments in light of the Directive

In 2005, a framework decision concerning attacks on information systems was adopted within the EU. The Directive of the European Parliament and of the Council on attacks against information systems, repealing Council Framework Decision 2005/222/JHA, aims to bring the Member States’ criminal legislation into greater alignment in the area of attacks on information systems, and to amend and expand the provisions in the framework decision. A further aim is to improve cooperation between authorities and law enforcement bodies in the Member States. The negotiations on the Directive

have, in essence, been concluded. It remains for the EU institutions to formally adopt the text that has been approved by representatives in the Council and the European Parliament. Once the Directive is adopted the Member States have two years to implement it.

The central point of the Directive consists of material criminal law provisions. These provisions largely correspond to those found in the Council of Europe Convention on Cybercrime. Unlike the Convention, however, the Directive sets specific requirements for the penalties that can be imposed for certain offences outlined in the text.

Under Articles 9(3) and 9(4), the offences of illegal system interference and illegal data interference should, in some cases, respectively be punishable by a maximum penalty of at least three years’ or five years’ imprisonment. Primarily through the provisions on data security breaches, Swedish law meets the requirements contained in the Directive with regard to the actions that should be punishable as illegal system interference and illegal data interference. The scale of penalties for data security breaches is a fine or a maximum of two years’ imprisonment. We therefore consider that the scale of penalties for data security breaches must be tougher in order for Sweden to be able to implement the Directive. Furthermore, Article 9(2) states that certain the criminal use of various tools should be punishable by a maximum penalty of two years’ imprisonment. Swedish law meets the punishability requirement, primarily through the provisions on preparation to commit an offence, including preparation to commit a data security breach. However, preparation to commit a data security breach cannot be punished by two years’ imprisonment. This is another reason why the scale of penalties for data security breaches needs to be tougher.

In other respects we consider that Swedish law fulfils the requirements set out in the Directive.

A special scale of penalties for gross breaches of data security

The scale of penalties for breaches of postal or telecommunication secrecy ranges from fines to two years’ imprisonment. In our view, the current scale of penalties is still well-balanced. There is therefore no reason to introduce a tougher scale of penalties for breaches of postal or telecommunication secrecy.

The scale of penalties for breaches of data security also ranges from fines to two years’ imprisonment. In our view, however, the current penalty scale for data security breaches does not allow sufficient scope to take account of the seriousness of large-scale attacks on information systems. For various reasons, in the case of such attacks on information systems it is not always possible to apply other penalty provisions involving higher penalty scales, such as those concerning sabotage, gross vandalism or terrorist offences. In our view therefore, even aside from the Directive there are criminal policy grounds to introduce a tougher scale of penalties for data security breaches.

We therefore propose the introduction of a special scale of penalties for gross breaches of data security. The scale should range from six months’ to six years’ imprisonment. When assessing whether a breach of data security is gross, special attention should be paid to whether the act caused, or could have caused, serious damage, targeted a large volume of data or was otherwise of a particularly dangerous nature.

The provision on breaches of data security should no longer be subsidiary to the penalty provisions concerning breaches of postal or telecommunication secrecy and intrusion into a safe depository. Attempts and preparations to commit gross breaches of data security should be punishable offences.

1. Författningsförslag

1.1. Förslag till lag om ändring i rättegångsbalken

Härigenom föreskrivs att det i rättegångsbalken ska införas tre nya paragrafer, 27 kap. 16 och 16 a §§ samt 28 kap. 7 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

27 kap.

16 §

1

Den som i elektronisk form innehar en viss lagrad uppgift som skäligen kan antas ha betydelse för utredningen om ett brott får föreläggas att bevara uppgiften.

I föreläggandet ska anges under hur lång tid uppgiften ska bevaras. Tiden får inte bestämmas längre än nödvändigt och får inte överstiga 90 dagar. Om det finns särskilda skäl får tiden för bevarande förlängas med högst 30 dagar.

Föreläggande får inte riktas mot den som skäligen kan misstänkas för brottet eller någon honom eller henne sådan närstående person som avses i 36 kap. 3 §.

1 Tidigare 16 § upphävd genom 1989:650.

16 a §

Föreläggande enligt 16 § beslutas av undersökningsledaren eller åklagaren. Om det är möjligt ska föreläggandet ges skriftligt. I annat fall ska den förelagde så snart som möjligt få ett skriftligt bevis om beslutet.

Meddelande om åtgärden får inte obehörigen föras vidare. Föreläggandet ska innehålla en underrättelse om detta.

Den som ålagts föreläggandet får begära rättens prövning av föreläggandet. För rättens prövning gäller i tillämpliga delar vad som sägs i 6 §.

28 kap.

7 a §

Undersökningsledaren eller åklagaren får förelägga den som kan antas känna till funktionerna i eller andra förutsättningar för åtkomst till ett visst datasystem och granskning av uppgifterna där att lämna de upplysningar som behövs för att ett beslut om husrannsakan ska kunna verkställas. Beslut om föreläggande ska dokumenteras.

Om någon skäligen kan misstänkas för brottet får föreläggande inte riktas mot den misstänkte. Föreläggande får inte heller riktas mot den som, om åtal väcks, inte skulle vara skyldig att vittna i målet om omständighet som avses i första stycket.

Vägrar den förelagde att lämna upplysningar får på undersök-

ningsledarens eller åklagarens begäran vittnesförhör med honom eller henne äga rum inför rätten. Om förhöret gäller i tillämpliga delar vad som föreskrivs om bevisupptagning utom huvudförhandling. En misstänkt får beredas tillfälle att närvara vid förhöret om det kan ske utan men för utredningen.

Denna lag träder i kraft den 1 januari 2015.

1.2. Förslag till lag om ändring i brottsbalken

Härigenom föreskrivs att 4 kap.9 c och 10 §§brottsbalken ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

9 c §2

Den som i annat fall än som

sägs i 8 och 9 §§ olovligen be-

reder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för

dataintrång till böter eller fängelse

i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Om brottet är grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska särskilt beaktas om gärningen har orsakat eller kunnat orsaka allvarlig skada eller har avsett ett stort antal uppgifter eller om gärningen annars varit av särskilt farlig art.

10 §3

För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott

För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott

2 Senaste lydelse 2007:213. 3 Senaste lydelse 2004:406.

döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa.

döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller till grovt

dataintrång.

Denna lag träder i kraft den 1 januari 2015.

1.3. Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål

Härigenom föreskrivs i fråga om lagen (2000:562) om internationell rättslig hjälp i brottmål

dels att 1 kap. 2 §, 2 kap. 1, 2 och 4 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 kap. 24 c §, samt när-

mast före 4 kap. 24 c § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

2 §4

Rättslig hjälp enligt denna lag omfattar följande åtgärder:

1. förhör i samband med förundersökning i brottmål,

2. bevisupptagning vid domstol,

3. telefonförhör,

4. förhör genom videokonferens,

5. kvarstad, beslag samt husrannsakan och andra åtgärder som avses i 28 kap. rättegångsbalken,

6. hemlig avlyssning av elek-

tronisk kommunikation och hemlig övervakning av elektronisk kommunikation,

7. tekniskt bistånd med hem-

lig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation,

8.

tillstånd till gränsöver-

skridande hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation,

9. hemlig kameraövervakning, 10. hemlig rumsavlyssning,

6. föreläggande enligt 27 kap. 16 § rättegångsbalken ,

7. hemlig avlyssning av elek-

tronisk kommunikation och hemlig övervakning av elektronisk kommunikation,

8. tekniskt bistånd med hem-

lig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation,

9.

tillstånd till gränsöver-

skridande hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation,

10. hemlig kameraövervakning, 11. hemlig rumsavlyssning,

4 Senaste lydelse 2012:284.

11.

överförande av frihets-

berövade för förhör m.m., och

12. rättsmedicinsk undersök-

ning av en avliden person.

12. överförande av frihets-

berövade för förhör m.m., och

13. rättsmedicinsk undersök-

ning av en avliden person.

Lagen hindrar inte att hjälp lämnas med annan åtgärd än sådan som anges i första stycket om det kan ske utan tvångsmedel eller annan tvångsåtgärd.

I fråga om överlämnande, utlämning och delgivning finns särskilda bestämmelser. Det finns också särskilda bestämmelser om rättslig hjälp i brottmål åt vissa internationella organ.

2 kap.

1 §5

Rättslig hjälp som avses i 1 kap. 2 § första stycket 1–6, 9,

10 och 12 ska lämnas under de

förutsättningar som gäller för en motsvarande åtgärd under en svensk förundersökning eller rättegång enligt rättegångsbalken eller annan lag eller författning och enligt de särskilda bestämmelserna i denna lag.

Rättslig hjälp som avses i 1 kap. 2 § första stycket 7, 8 och

11 lämnas enligt de särskilda

bestämmelserna i denna lag.

Rättslig hjälp som avses i 1 kap. 2 § första stycket 1–7, 10,

11 och 13 ska lämnas under de

förutsättningar som gäller för en motsvarande åtgärd under en svensk förundersökning eller rättegång enligt rättegångsbalken eller annan lag eller författning och enligt de särskilda bestämmelserna i denna lag.

Rättslig hjälp som avses i 1 kap. 2 § första stycket 8, 9 och

12 lämnas enligt de särskilda

bestämmelserna i denna lag.

I 5 kap. 2 § finns bestämmelser om att den rättsliga hjälpen får förenas med villkor i vissa fall.

2 §6

Rättslig hjälp som avses i 1 kap. 2 § första stycket 1–4, 7 och 11 får lämnas även om den gärning som ansökan avser inte motsvarar ett brott enligt svensk lag. Rättslig hjälp som avses i 1 kap. 2 § första stycket 5, 6,

8–10 och 12 får endast lämnas

Rättslig hjälp som avses i 1 kap. 2 § första stycket 1–4, 6,

8 och 12 får lämnas även om den

gärning som ansökan avser inte motsvarar ett brott enligt svensk lag. Rättslig hjälp som avses i 1 kap. 2 § första stycket 5, 7,

9–11 och 13 får endast lämnas

5 Senaste lydelse 2007:982. 6 Senaste lydelse 2007:982.

om den gärning som ansökan avser motsvarar ett brott enligt svensk lag (dubbel straffbarhet), om inte annat följer av 4 kap. 20 § beträffande husrannsakan och beslag.

om den gärning som ansökan avser motsvarar ett brott enligt svensk lag (dubbel straffbarhet), om inte annat följer av 4 kap. 20 § beträffande husrannsakan och beslag.

4 §7

En ansökan om rättslig hjälp i Sverige enligt denna lag bör innehålla

– uppgift om den utländska domstol eller myndighet som handlägger ärendet,

– en beskrivning av det rättsliga förfarande som pågår, – uppgift om den aktuella gärningen med tid och plats för denna, samt de bestämmelser som är tillämpliga i den ansökande staten,

– uppgift om vilken åtgärd som begärs och, i förekommande fall, i vilken egenskap en person ska höras,

– namn på och adress till de personer som är aktuella i ärendet. I 4 kap. 8, 11, 14, 24 a, 25, 25 b, 25 c, 26 a och 29 §§ finns särskilda bestämmelser om vad en ansökan ytterligare ska innehålla vid vissa slag av åtgärder.

I 4 kap. 8, 11, 14, 24 a, 24 c, 25, 25 b, 25 c, 26 a och 29 §§ finns särskilda bestämmelser om vad en ansökan ytterligare ska innehålla vid vissa slag av åtgärder.

Om ärendet är brådskande eller om verkställighet önskas inom viss tidsfrist, ska detta anges och motiveras.

En ansökan om rättslig hjälp ska göras skriftligen genom post, bud eller telefax. Den får även, efter överenskommelse i det enskilda fallet, översändas på annat sätt.

4 kap.

Föreläggande enligt 27 kap. 16 § rättegångsbalken

24 c §

En ansökan om föreläggande enligt 27 kap. 16 § rättegångsbalken handläggs av åklagare.

7 Senaste lydelse 2011:906.

Av ansökan ska framgå sådana uppgifter som behövs för att åtgärden ska kunna genomföras.

Åklagaren ska genast pröva om det finns förutsättningar för åtgärden. Om åtgärden beslutas ska denna gälla för en period om minst 60 dagar.

Denna lag träder i kraft den 1 januari 2015.

1.4. Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation

Härigenom föreskrivs i fråga om lagen (2003:389) om elektronisk kommunikation

dels att 6 kap. 5, 16 c, 16 d, 21 och 22 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 6 kap. 16 g §, av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

6 kap.

5 §8

Den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 § ska utplåna eller avidentifiera lagrade eller på annat sätt behandlade trafikuppgifter som avser användare som är fysiska personer eller som avser abonnenter, när uppgifterna inte längre behövs för att överföra ett elektroniskt meddelande. Det gäller dock inte om uppgifterna sparas för sådan behandling som anges i 6, 13, 16 a eller 16 c §.

Den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 § ska utplåna eller avidentifiera lagrade eller på annat sätt behandlade trafikuppgifter som avser användare som är fysiska personer eller som avser abonnenter, när uppgifterna inte längre behövs för att överföra ett elektroniskt meddelande. Det gäller dock inte om uppgifterna sparas för sådan behandling som anges i 6, 13, 16 a eller 16 c §

eller om uppgifterna begärts bevarade enligt 27 kap. 16 § rättegångsbalken.

16 c §9

Uppgifter som lagrats enligt 16 a § får behandlas endast för att lämnas ut enligt 22 § första stycket 2, 27 kap. 19 § rättegångsbalken eller lagen (2012:278) om inhämtning av uppgifter om elektronisk kom-

Uppgifter som lagrats enligt 16 a § får behandlas endast för att lämnas ut enligt 22 § första stycket 2 eller 9, 27 kap. 19 § rättegångsbalken eller lagen (2012:278) om inhämtning av uppgifter om elektronisk kom-

8 Senaste lydelse 2012:127. 9 Senaste lydelse 2012:285.

munikation i de brottsbekämpande myndigheternas underrättelseverksamhet.

munikation i de brottsbekämpande myndigheternas underrättelseverksamhet.

16 d §10

Uppgifter som avses i 16 a § ska lagras i sex månader räknat från den dag kommunikationen avslutades. Vid utgången av denna tid ska den lagringsskyldige genast utplåna dem, om annat inte följer av andra stycket.

Om uppgifter som avses i första stycket begärts utlämnade före utgången av den föreskrivna lagringstiden men uppgifterna inte har hunnit lämnas ut, ska den lagringsskyldige lagra uppgifterna till dess så har skett och därefter genast utplåna de lagrade uppgifterna.

Om uppgifter som avses i första stycket begärts utlämnade

eller om uppgifter begärts bevarade enligt 27 kap. 16 § rättegångsbalken före utgången av den

föreskrivna lagringstiden men uppgifterna inte har hunnit lämnas ut eller tiden för bevarande

inte har löpt ut, ska den lag-

ringsskyldige lagra uppgifterna till dess så har skett och därefter genast utplåna de lagrade uppgifterna.

16 g §

Om någon som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 § förelagts att bevara viss lagrad uppgift enligt 27 kap. 16 § rättegångsbalken gäller vad som sägs i 3 a § om åtgärder för att skydda uppgifter som ska lagras enligt 16 a § även för uppgift som ska bevaras enligt 27 kap. 16 § rättegångsbalken . Vidare gäller vad som sägs i 16 e § om rätt till ersättning för kostnader och i 16 f § om anpassning för utlämnande av uppgifter på motsvarande sätt även för

10 Senaste lydelse 2012:127.

uppgift som ska bevaras enligt 27 kap. 16 § rättegångsbalken .

21 §11

Tystnadsplikt enligt 20 § första stycket gäller även för uppgift som hänför sig till

1. åtgärden att kvarhålla försändelser enligt 27 kap. 9 § rättegångsbalken,

2. angelägenhet som avser användning av hemlig avlyssning av elektronisk kommunikation eller hemlig övervakning av elektronisk kommunikation enligt 27 kap. 18 eller 19 § rättegångsbalken eller tekniskt bistånd med hemlig avlyssning av elektronisk kommunikation eller med hemlig övervakning av elektronisk kommunikation enligt 4 kap. 25 b § lagen (2000:562) om internationell rättslig hjälp i brottmål,

3. angelägenhet som avser inhämtning av signaler i elektronisk form enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet,

4. inhämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet, och

5. begäran om utlämnande av uppgift om abonnemang enligt 22 § första stycket 2.

4. inhämtning av uppgifter enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet,

5. begäran om utlämnande av uppgift om abonnemang enligt 22 § första stycket 2,

6. föreläggande att bevara uppgifter enligt 27 kap. 16 § rättegångsbalken , och

7. begäran om utlämnande av uppgift om tillhandahållare av elektroniska kommunikationsnät eller elektroniska kommunikationstjänster enligt 22 § första stycket 9.

11 Senaste lydelse 2012:285.

22 §12

Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och därvid har fått del av eller tillgång till uppgift som avses i 20 § första stycket ska på begäran lämna

1. uppgift som avses i 20 § första stycket 1 till en myndighet som i ett särskilt fall behöver en sådan uppgift för delgivning enligt delgivningslagen (2010:1932), om myndigheten finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl,

2. uppgift som avses i 20 § första stycket 1 och som gäller misstanke om brott till åklagarmyndighet, polismyndighet eller någon annan myndighet som ska ingripa mot brottet,

3. uppgift som avses i 20 § första stycket 1 och 3 samt uppgift om i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits till polismyndighet, om myndigheten finner att uppgiften behövs i samband med efterforskning av personer som har försvunnit under sådana omständigheter att det kan befaras att det föreligger fara för deras liv eller allvarlig risk för deras hälsa,

4. uppgift som avses i 20 § första stycket 1 till Kronofogdemyndigheten om myndigheten behöver uppgiften i exekutiv verksamhet och myndigheten finner att uppgiften är av väsentlig betydelse för handläggningen av ett ärende,

5. uppgift som avses i 20 § första stycket 1 till Skatteverket, om verket finner att uppgiften är av väsentlig betydelse för handläggningen av ett ärende som avser kontroll av skatt eller avgift eller rätt folkbokföringsort enligt folkbokföringslagen (1991:481),

6. uppgift som avses i 20 § första stycket 1 till polismyndighet, om myndigheten finner att uppgiften behövs i samband med underrättelse, efterforskning eller identifiering vid olyckor eller dödsfall eller för att myndigheten ska kunna fullgöra en uppgift som avses i 12 § polislagen (1984:387),

7. uppgift som avses i 20 § första stycket 1 till polismyndighet eller åklagarmyndighet, om myndigheten finner att uppgiften behövs i ett särskilt fall för att myndigheten ska kunna

7. uppgift som avses i 20 § första stycket 1 till polismyndighet eller åklagarmyndighet, om myndigheten finner att uppgiften behövs i ett särskilt fall för att myndigheten ska kunna

12 Senaste lydelse 2012:285.

fullgöra underrättelseskyldighet enligt 33 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, och

8. uppgift som avses i 20 § första stycket 1 och 3 till regional alarmeringscentral som avses i lagen (1981:1104) om verksamheten hos vissa regionala alarmeringscentraler.

fullgöra underrättelseskyldighet enligt 33 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

8. uppgift som avses i 20 § första stycket 1 och 3 till regional alarmeringscentral som avses i lagen (1981:1104) om verksamheten hos vissa regionala alarmeringscentraler, och

9. uppgift om vilka övriga tillhandahållare av elektroniska kommunikationsnät eller elektroniska kommunikationstjänster som har deltagit vid överföringen av ett meddelande som omfattas av ett föreläggande enligt 27 kap. 16 § första stycket rättegångsbalken till den myndighet som meddelat föreläggandet.

Ersättning för att lämna ut andra uppgifter enligt första stycket 8 än lokaliseringsuppgifter ska vara skälig med hänsyn till kostnaderna för utlämnandet.

Denna lag träder i kraft den 1 januari 2015.

2. Utredningens uppdrag och arbete

2.1. Utredningens uppdrag

Utredningens ursprungliga direktiv

Utredningens ursprungliga direktiv beslutades av regeringen den 27 oktober 2011 (dir. 2011:98). Direktiven finns bifogade som

bilaga 1.

Utredningens uppdrag enligt direktiven är att analysera behovet av författningsändringar för att Sverige ska kunna tillträda Europarådets konvention om it-relaterad brottslighet och dess tilläggsprotokoll och att lämna förslag till de författningsändringar som behövs för att möjliggöra ett svenskt tillträde till instrumenten.

Tilläggsdirektiven av den 11 oktober 2012

Regeringen beslutade den 11 oktober 2012 om tilläggsdirektiv till utredningen (dir. 2012:102). Tilläggsdirektiven finns bifogade som

bilaga 2.

Enligt tilläggsdirektiven ska utredningen analysera behovet av och lämna förslag till de författningsändringar som behövs för att genomföra Europaparlamentets och rådets kommande men ännu inte formellt antagna direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF. Utredningen ska vidare överväga behovet av skärpta straff för brytande av post- eller telehemlighet och dataintrång för att ge ett ökat utrymme att på ett nyanserat sätt beakta allvaret i storskaliga angrepp mot informationssystem.

2.2. Utredningens arbete

Utredningsarbetet påbörjades i december 2011. Utredningen har haft nio sammanträden, varav ett i form av ett tvådagars internatsammanträde.

Utredningen (huvudsakligen utredaren och sekreteraren) har samrått med Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Säkerhetspolisen, Tullverket, Säkerhets- och integritetsskyddsnämnden och Post- och telestyrelsen.

Utredningen har följt beredningen inom Regeringskansliet med bl.a. betänkandena Urkunden i tiden (SOU 2007:92), Förunder-

sökning – objektivitet, beslag, dokumentation m.m. (SOU 2011:45)

och Utlämning (2011:71) samt med lagrådsremissen De brottsbekäm-

pande myndigheternas tillgång till uppgifter om elektronisk kommunikation, som under utredningstiden lett till lagstiftning. Vidare har

utredningen följt relevant arbete inom EU, bl.a. förhandlingarna om förslaget till direktiv om angrepp mot informationssystem (KOM[2010] 517 slutlig), förslaget till direktiv om en europeisk utredningsorder (2010/C 165/02) och utvärderingen av Europaparlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG. Utredningen har även följt arbetet i riksdagen med de tidigare vilande lagförslagen i propositionen om genomförandet av sistnämnda direktiv (bet. 2010/11:JuU14, rskr. 2010/11:189) samt Yttrandefrihetskommitténs (dir 2007:76) och Utredningens om vissa hemliga tvångsmedel (Ju 2010:08) arbete.

Information om lagstiftning från andra nordiska länder har inhämtats dels genom sökningar i databaser, dels genom kontakter med företrädare för utländska myndigheter och universitet.

Från Brottsförebyggande rådet (Brå) har utredningen inhämtat vissa statistikuppgifter.

Den särskilde utredaren och sekreteraren har deltagit vid en konferens om it-brott arrangerad av Europäische Rechtsakademie (ERA), den 24–25 maj 2012 i Milano. Den särskilde utredaren och några av experterna har vidare deltagit i dels en konferens syftande till att ytterligare stärka samarbetet mellan USA och Sverige när det gäller it-relaterad brottslighet, arrangerad av det svenska och amerikanska justitiedepartementet samt svensk och amerikansk polis, den 11–12 oktober 2012 i Stockholm, dels en konferens om it-

relaterad ekonomisk brottslighet, arrangerad av Ekobrottsmyndigheten, den 25–26 oktober 2012 i Stockholm. Den särskilde utredaren har även sammanträffat med företrädare för den kommitté inom Europarådet som övervakar Europarådets konvention om itrelaterad brottslighet med tilläggsprotokoll (the Cybercrime Convention Committee [T-CY]).

2.3. Disposition av betänkandet

Betänkandet omfattar 12 kapitel. I kapitel 3 finns en kort bakgrund till konventionen, tilläggsprotokollet och direktivet. Därefter följer i kapitel 4 avsnitt om det huvudsakliga innehållet i de tre instrumenten. Dessa inledande kapitel är deskriptiva till sin karaktär.

Våra överväganden och förslag redovisas i kapitel 5–9. I kapitel 5 analyserar vi med utgångspunkt i konventionens artiklar de behov av lagändringar som konventionen föranleder. I kapitel 6 och 7 görs motsvarande analys i förhållande till tilläggsprotokollet (kapitel 6) och direktivet (kapitel 7). I kapitel 8 ger vi, mot bakgrund av de analyser vi gjort i kapitel 5 och 6, förslag till hur konventionen och tilläggsprotokollet ska genomföras i svensk rätt. I kapitel 9 överväger vi behovet av skärpta straff för brytande av post- eller telehemlighet och dataintrång och lämnar, delvis mot bakgrund av analysen i kapitel 7, förslag till en särskild straffskala för grovt dataintrång.

Kapitel 10 innehåller kostnads- och konsekvensanalys och kapitel 11 förslag i fråga om ikraftträdande. Kapitel 12, slutligen, innehåller utredningens författningsförslag med kommentarer. Författningsförslagen är som brukligt också, jämte sammanfattningen, redovisade inledningsvis i betänkandet.

3. Bakgrund

Tillkomsten av Europarådets konvention om it-relaterad brottslighet (ETS nr 185), Rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem och Europaparlamentets och rådets kommande men ännu inte formellt antagna direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF, ska ses mot bakgrund av de genomgripande förändringar i samhället som datoriseringen och de globala datornätverken har fört med sig. Dagens samhälle präglas av att informationsteknik genomsyrar i stort sett alla sektorer. Det innebär samtidigt att samhället är sårbart för olika former av angrepp som riktar sig mot tekniken, såsom olovliga intrång i informationssystem samt störningar av sådana system och av uppgifter i systemen. En effektiv kamp mot it-relaterad brottslighet kräver ett utvidgat, snabbt och väl fungerande internationellt samarbete.

I november 1996 beslutade Europarådets styrkommitté för brottsfrågor (CDPC) att uppdra åt en expertkommitté att utreda frågor rörande it-relaterad brottslighet med sikte på en konvention eller annan bindande internationell överenskommelse. Efter beslut i ministerrådet påbörjades arbetet på en konvention om it-relaterad brottslighet i april 1997. Den slutliga versionen av konventionen förelades ministerrådet i juni 2001. Konventionen antogs av ministerrådet den 8 november 2001.

Konventionen öppnades för undertecknande den 23 november 2001 och trädde i kraft den 1 juli 2004. Hittills (per den 20 maj 2013) har 51 stater undertecknat konventionen och 39 stater ratificerat den. Majoriteten av EU:s medlemsstater har ratificerat konventionen liksom de övriga nordiska länderna. Även stater som inte är medlemmar i Europarådet kan ansluta sig till konventionen. Konventionen har ratificerats av Australien, Dominikanska republiken, Japan och USA och undertecknats av Kanada och Sydafrika.

Sverige undertecknade konventionen samma dag som den upprättades, men har ännu inte ratificerat den.

Under arbetet med konventionen fanns det några frågor som inte hann slutbehandlas. Dessa har tagits upp i ett tilläggsprotokoll till konventionen (ETS nr 189).

Tilläggsprotokollet behandlar kriminalisering av gärningar av rasistisk och främlingsfientlig natur begångna med hjälp av datorsystem.

Tilläggsprotokollet öppnades för undertecknande den 28 januari 2003 och trädde i kraft den 1 mars 2006. Hittills (per den 20 maj 2013) har 37 stater undertecknat tilläggsprotokollet och 20 stater ratificerat det.

Sverige undertecknade tilläggsprotokollet samma dag som det upprättades, men har ännu inte ratificerat det.

Frågan om Sverige bör tillträda konventionen och tilläggsprotokollet samt vilka lagändringar som krävs för ett tillträde har behandlats i promemorian Brott och brottsutredning i it-miljö (Ds 2005:6). I promemorian gjordes bedömningen att Sverige borde tillträda såväl konventionen som tilläggsprotokollet. Enligt promemorian uppfyller inte svensk rätt, främst på straffprocessrättens område, konventionens krav. Promemorian har remissbehandlats. Samtliga remissinstanser som yttrade sig i frågan var positiva till att konventionen och protokollet tillträds. Många remissinstanser pekade dock på behovet av samordning med andra pågående lagstiftningsärenden och anförde att förslaget brast i överskådlighet. Det framfördes också att förslag som närmare ansluter till konventionens systematik borde övervägas. Sedan promemorian skrevs har förutsättningarna för bedömningen av om svensk rätt uppfyller konventionens krav väsentligen förändrats.

Mot den angivna bakgrunden ingår det i vårt uppdrag att se över vilka författningsändringar som behövs för att Sverige ska kunna leva upp till kraven i konventionen och tilläggsprotokollet.

Den 3 december 1998 antogs i Wien en handlingsplan för att på bästa sätt genomföra bestämmelserna i Amsterdamfördraget om upprättandet av ett område med frihet, säkerhet och rättvisa. I handlingsplanen angavs i punkten 46 att Europeiska unionen bör vidta åtgärder för att, om det anses nödvändigt, fastställa minimiregler avseende brottsrekvisit och påföljder på bl.a. områdena terrorism och organiserad brottslighet. I handlingsplanen nämndes vidare databrott.

Den 15–16 oktober 1999 höll Europeiska rådet ett särskilt möte i Tammerfors om skapandet av ett område med frihet, säkerhet och rättvisa i unionen. Europeiska rådet förklarade då att insatserna för att enas om gemensamma definitioner, brottsbeskrivningar och påföljder i ett första skede bör begränsas till ett antal sektorer med särskild betydelse, däribland högteknologisk brottslighet.

Vid Europeiska rådets möte i Santa Maria da Feira den 19–20 juni 2000 godkände Europeiska rådet en övergripande handlingsplan för Europa. Handlingsplanen innefattade åtgärder för att förbättra säkerheten på internet och skapa en samordnad och enhetlig strategi för bekämpande av databrottslighet.

Under 2000 offentliggjorde Europeiska kommissionen ett meddelande med titeln ”Ett säkrare informationssamhälle – ökad säkerhet i informationsinfrastrukturen och bekämpning av datorrelaterad brottslighet” (KOM [2000] 890 slutlig). I meddelandet föreslogs en strategi för att bekämpa problemen med databrottslighet. I ytterligare ett meddelande från kommissionen 2001 med rubriken ”Nät- och informationssäkerhet: förslag till en europeisk strategi” analyserades problem rörande nätsäkerhet och presenterades också en strategisk plan för åtgärder inom området (KOM [2001] 298 slutlig). I de båda kommissionsmeddelandena angavs att det finns behov av en snabb tillnärmning av den materiella straffrätten i EU när det gäller angrepp mot informationssystem. Det sistnämnda meddelandet följdes upp med rådets resolution av den 28 januari 2002 om nät- och informationssäkerhet.

I två resolutioner från Europaparlamentet den 19 maj 2000 respektive den 5 september 2001 behandlades också problem med informationssäkerhet och högteknologisk brottslighet.

I ett meddelande den 30 oktober 2001 (KOM [2001] 628 slutlig) angav kommissionen att den avsåg att lägga fram ett förslag till rambeslut om gemensamma definitioner, brottsbeskrivningar och påföljder för angrepp mot informationssystem. Våren 2002 presenterade kommissionen förslaget till rambeslut om angrepp mot informationssystem. Under delar av 2002 och 2003 framförhandlades innehållet i rambeslutet om angrepp mot informationssystem. Vid rådet för rättsliga och inrikes frågor den 27–28 februari 2003 nåddes en politisk överenskommelse om innehållet i rambeslutet. Det antogs sedan den 24 februari 2005. Europarådets konvention om itrelaterad brottslighet har till stor del utgjort förebild för rambeslutet.

Behovet av lagändringar för att genomföra rambeslutet övervägdes i propositionen 2006/07:66 Angrepp mot informationssystem.

I propositionen gjordes bedömningen att det för att Sverige fullt ut skulle uppfylla åtagandena enligt rambeslutet krävdes ett utvidgat straffansvar i förhållande till gällande rätt på området. Dataintrångsbestämmelsen utvidgades därför till att omfatta dels den som olovligen blockerar en uppgift som är avsedd för automatiserad behandling, dels den som olovligen allvarligt stör eller hindrar användningen av en sådan uppgift. Kriminaliseringen innebar exempelvis att s.k. tillgänglighetsattacker blev straffbara. Vidare förtydligades dataintrångsbestämmelsen och moderniserades språkligt genom att uttrycket ”uppgift som är avsedd för automatiserad behandling” ersatte det tidigare använda upptagningsbegreppet. Ändringarna trädde i kraft den 1 juni 2007.

Inom EU pågår förhandlingar om att ersätta rambeslutet med ett direktiv om angrepp mot informationssystem (Europaparlamentets och rådets direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF). Europarådets konvention om it-relaterad brottslighet har även utgjort förebild för direktivet. Direktivet syftar till att ytterligare närma medlemsstaternas strafflagstiftning till varandra på området för angrepp mot informationssystem och att ändra och utöka bestämmelserna i rambeslutet. Vidare är avsikten att förbättra samarbetet mellan myndigheter och brottsbekämpande organ i medlemsstaterna. Förhandlingarna om direktivet är i allt väsentligt slutförda. Det återstår för EU:s institutioner att formellt anta den text som har godkänts av företrädare för rådet och Europaparlamentet (dok. 11399/12). Efter att direktivet antas har medlemsstaterna två år på sig att genomföra det.

Direktivets bestämmelser, i synnerhet på straffrättens område, överensstämmer till stor del med dem som finns i Europarådets konvention om it-relaterad brottslighet. De lagändringar som kan föranledas av direktivet är därför sådana att de sannolikt behövs även för att tillträda konventionen. Mot denna bakgrund och med beaktande av den tid som Sverige har på sig att genomföra direktivet efter att det antas, ingår det i vårt uppdrag att även analysera behovet av och lämna förslag till de författningsändringar som behövs för att genomföra det kommande men ännu inte formellt antagna direktivet om angrepp mot informationssystem.

4. Innehållet i konventionen, tilläggsprotokollet och direktivet

4.1. Konventionens innehåll i korthet

Europarådets konvention om it-relaterad brottslighet (konventionen) har tre huvudsyften. Det första är att åstadkomma en tillnärmning av ländernas nationella straffrätt beträffande vissa gärningar. Det andra är att säkerställa att det finns nationella processrättsliga bestämmelser som tillgodoser behoven av att utreda och lagföra de brott som behandlas i konventionen och andra brott som begås med hjälp av datorer samt att kunna ta till vara bevisning i elektronisk form. Det tredje är att lägga grunden för ett snabbt och effektivt internationellt samarbete vid bekämpningen av it-relaterade brott.

I konventionens preambel erinras om behovet av att säkerställa en lämplig avvägning mellan intresset av att lag och ordning upprätthålls och respekten för de grundläggande mänskliga rättigheterna, bl.a. yttrandefriheten och informationsfriheten, så som de garanteras i bl.a. 1950 års Europarådskonvention om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och 1966 års FN-konvention om medborgerliga och politiska rättigheter.

Konventionen är indelad i fyra kapitel. Dessa innehåller definitioner, bestämmelser om åtgärder som ska vidtas på nationell nivå, bestämmelser om internationellt samarbete och slutbestämmelser.

Konventionstexten i svensk översättning är bifogad betänkandet som bilaga 3. Till konventionen har utarbetats en förklarande rapport som finns tillgänglig via bl.a. Europarådets hemsida (www.coe.int). Den förklarande rapporten är vägledande vid tolkningen av konventionen.

Kapitel I – Definitioner

I artikel 1 a–d finns definitioner av vissa centrala begrepp som ska gälla vid tillämpningen av konventionen. De begrepp som definieras är datorsystem, datorbehandlingsbara uppgifter, tjänsteleverantör och trafikuppgifter. Konventionen innehåller inget krav på att definitionerna ska införas i nationell rätt så länge det finns adekvata motsvarigheter där.

Kapitel II – Åtgärder som ska vidtas på nationell nivå

I kapitel II är bestämmelserna uppdelade i tre avsnitt. I avsnitt 1, som omfattar artiklarna 2–13, finns straffrättsliga bestämmelser, i avsnitt 2, som omfattar artiklarna 14–21, finns processrättsliga bestämmelser och i avsnitt 3 finns artikel 22, som gäller domsrätt.

Avsnitt 1 inleds med artiklar som innehåller krav på kriminalisering av vissa gärningar (artiklarna 2–10). I samtliga dessa bestämmelser är det en förutsättning att gärningen har begåtts uppsåtligen. Vidare är det en förutsättning att det handlande som beskrivs har begåtts ”orättmätigt” (”without right”). Syftet med detta är att markera att ett visst förfarande, som formellt faller in under beskrivningen av vad som ska vara kriminaliserat, ändå kan vara tillåtet. Ett handlande kan exempelvis stödjas på medgivande eller avtal eller på omständigheter som enligt den nationella rätten utesluter straffrättsligt ansvar. Administrativa eller straffprocessuella ingripanden faller därför utanför, för att nämna några exempel. Hur uttrycket ”orättmätigt” ska tolkas måste bestämmas med utgångspunkt i det sammanhang där uttrycket förekommer och de principer som gäller i den nationella rätten.

Enligt artikel 2 ska intrång i hela eller en del av ett datorsystem straffbeläggas. Som villkor för kriminalisering får uppställas krav på att brottet har begåtts genom intrång i säkerhetsåtgärder med uppsåt att komma över datorbehandlingsbara uppgifter eller med annat brottsligt uppsåt eller mot ett datorsystem som är kopplat till ett annat datorsystem.

Enligt artikel 3 ska avlyssning med tekniska hjälpmedel av icke allmänna överföringar av datorbehandlingsbara uppgifter till, från eller inom ett datorsystem, inklusive elektromagnetiska emissioner från ett datorsystem med sådana datorbehandlingsbara uppgifter, kriminaliseras. Som villkor för kriminalisering får uppställas krav på

att brottet har begåtts med brottsligt uppsåt eller mot ett datorsystem som är kopplat till ett annat datorsystem.

Enligt artikel 4 ska datastörning som består i att någon skadar, raderar, försämrar, ändrar eller undertrycker datorbehandlingsbara uppgifter kriminaliseras. Kriminaliseringen får inskränkas till gärningar som medför allvarlig skada.

Enligt artikel 5 ska systemstörning som består i att någon allvarligt hindrar ett datorsystems drift genom att mata in, överföra, skada, radera, försämra, ändra eller undertrycka datorbehandlingsbara uppgifter kriminaliseras.

Artikel 6 anger att viss befattning med olika typer av verktyg ska

utgöra ett brott, om gärningen begås i syfte att brott enligt artiklarna 2–5 ska begås.

I artikel 7 behandlas datorrelaterad förfalskning. Kriminaliseringen ska omfatta brott som består i att mata in, ändra, radera eller undertrycka datorbehandlingsbara uppgifter så att resultatet blir icke autentiska uppgifter, om syftet är att dessa ska användas för rättsliga ändamål som om de vore autentiska. Som villkor för straffansvar får uppställas krav på bedrägligt uppsåt eller liknande brottsligt uppsåt.

Datorrelaterat bedrägeri regleras i artikel 8. Kriminaliseringen ska omfatta att någon förorsakar en annan person förlust av egendom genom att mata in, ändra, radera eller undertrycka datorbehandlingsbara uppgifter eller genom att störa ett datorsystems drift. En förutsättning för straffansvar ska vara att gärningen begås med bedrägligt eller annat brottsligt uppsåt att skaffa en ekonomisk förmån åt sig själv eller någon annan.

Artikel 9 reglerar barnpornografibrott. De handlingar som ska

kriminaliseras är bl.a. att på olika sätt med hjälp av datorsystem framställa, bjuda ut eller tillgängliggöra, sprida eller överföra, anskaffa och inneha barnpornografi. Med barnpornografi avses i konventionen pornografiskt material som visuellt avbildar en minderårig som ägnar sig åt handlande med uttrycklig sexuell innebörd, en person som ser ut att vara minderårig som ägnar sig åt sådant handlande, och realistiska bilder som föreställer en minderårig som ägnar sig åt sådant handlande.

Enligt artikel 10 ska olika former av intrång i upphovsrätt och till upphovsrätten närstående rättigheter straffbeläggas, om de begås i kommersiell skala och med hjälp av ett datorsystem. De upphovsrätter som avses i artikeln anges genom en hänvisning till vissa upphovsrättsliga konventioner.

I artikel 11 regleras försök och olika former av medhjälp till brott.

Enligt artikel 12 åtar sig konventionsstaterna att under vissa förhållanden ställa juridiska personer till ansvar.

Artikel 13 innehåller bestämmelser om påföljder och åtgärder.

Varje konventionsstat ska se till att de brott som föreskrivs i konventionen beläggs med effektiva, proportionella och avskräckande påföljder. De juridiska personer som kan ställas till ansvar enligt artikel 12 ska på motsvarande sätt kunna bli föremål för effektiva, proportionella och avskräckande brottspåföljder eller andra sanktioner.

De processrättsliga reglerna i avsnitt 2 inleds med allmänna bestämmelser som är gemensamma för hela det processrättsliga avsnittet (artiklarna 14 och 15). Härefter följer bestämmelser om skyndsamt säkrande av lagrade uppgifter (artiklarna 16 och 17), skyldighet att lämna uppgifter (artikel 18), husrannsakan och beslag (artikel 19) samt insamling i realtid av uppgifter (artiklarna 20 och 21).

I artikel 14 anges tillämpningsområdet för de processrättsliga reglerna i konventionen. Syftet är att dessa ska tillämpas inte bara på brott enligt artiklarna 2–11 utan även på andra brott som har begåtts med hjälp av datorsystem samt på insamling av bevis i elektronisk form. Tillämpningsområdet är således betydligt vidare än enbart de brott som konventionen tar upp.

Rättssäkerhetsgarantier och andra villkor behandlas i artikel 15. Enligt artikel 16 ska det vara möjligt att genom förelägganden eller på liknande sätt åstadkomma skyndsamt säkrande av särskilt angivna datorbehandlingsbara uppgifter, däribland trafikuppgifter.

Enligt artikel 17 ska, i fråga om trafikuppgifter som ska säkras enligt artikel 16, sådant säkrande kunna åstadkommas även om flera tjänsteleverantörer har deltagit vid överföringen av meddelandet. I detta syfte ska det vara möjligt att se till att en tillräcklig mängd trafikuppgifter skyndsamt röjs för myndigheterna, så att de tjänsteleverantörer som har deltagit vid överföringen ska kunna identifieras.

Enligt artikel 18 ska en person kunna föreläggas att lämna ut särskilt angivna datorbehandlingsbara uppgifter, som personen har i sin besittning eller har kontroll över, om dessa är lagrade i ett datorsystem eller i ett medium för lagring av datainformation. Vidare ska en tjänsteleverantör kunna föreläggas att lämna ut abonnentuppgifter.

I artikel 19 regleras husrannsakan och beslag av lagrade datorbehandlingsbara uppgifter. Det ska bl.a. vara möjligt att vid en hus-

rannsakan av ett visst datorsystem skyndsamt utvidga husrannsakan till ett annat datorsystem, om det finns anledning att tro att den information som eftersöks finns i det andra systemet. Vidare ska behörig myndighet, i den mån det är skäligt, kunna förelägga en person som har kunskap om ett visst datorsystem och dess säkerhetsfunktioner att lämna upplysningar om detta för att möjliggöra husrannsakan.

I artikel 20 regleras insamling i realtid av trafikuppgifter.

Artikel 21 reglerar avlyssning av innehållsuppgifter. Konventions-

staterna åtar sig att i fråga om vissa allvarliga brott, som bestäms i den nationella lagstiftningen, kunna insamla eller ta upp innehållet i särskilt angivna meddelanden, som överförs med hjälp av datorsystem.

I avsnitt 3, som enbart innehåller artikel 22, finns regler om domsrätt.

Kapitel III – Internationellt samarbete

Bestämmelserna om internationellt samarbete utgör en betydande del av konventionen. Kapitlet är uppdelat i två avsnitt: ett allmänt avsnitt där de grundläggande principerna för samarbetet läggs fast (artiklarna 23–28) och ett med särskilda bestämmelser om rättslig hjälp med olika former av åtgärder (artiklarna 29–35).

Artiklarna om internationellt samarbete har, om inte annat anges, ett vidare tillämpningsområde än enbart de brott som anges i artiklarna 2–11, nämligen i fråga om utredning och lagföring av alla typer av datorrelaterade brott och brott som har begåtts med hjälp av datorsystem samt insamling av bevis i elektronisk form om brott.

I artikel 23 läggs de allmänna principerna för det internationella samarbetet fast. Med utgångspunkt i konventionen, internationella överenskommelser om rättsligt samarbete och andra överenskommelser samt den nationella lagstiftningen ska parterna i största möjliga utsträckning samarbeta med varandra för att utreda eller lagföra brott som nyss har nämnts eller för att samla in bevis i elektronisk form om brott.

Utlämning behandlas i artikel 24. Artikeln reglerar endast utlämning i de fall där det inte finns ett utlämningsavtal mellan staterna eller om staterna, trots att det finns ett sådant avtal, väljer att helt eller delvis använda bestämmelserna i artikeln i stället. Vidare regleras enbart utlämning för brott som anges i artiklarna 2–11.

De allmänna principerna för rättslig hjälp behandlas i artikel 25. Konventionsstaterna ska i största möjliga utsträckning ge varandra hjälp för att utreda och lagföra brott som är it-relaterade samt för att samla in bevis i elektronisk form om brott. Artikeln innehåller också detaljregler om kommunikationen mellan parterna.

I artikel 26 finns bestämmelser om informationsutbyte på eget initiativ, dvs. informationsutbyte som inte sker med anledning av en ansökan om rättslig hjälp eller annan framställning.

Artiklarna 27 och 28 behandlar förfarandet vid framställning om rättslig hjälp när det saknas tillämpliga internationella avtal. Även om det finns ett sådant avtal kan parterna enas om att artikel 27 helt eller delvis ska tillämpas.

Av artikel 27 framgår bl.a. att parterna ska peka ut en eller flera centralmyndigheter som ska ansvara för att sända och ta emot framställningar om rättslig hjälp, verkställa sådana framställningar eller lämna över framställningarna till rätt myndighet. Centralmyndigheterna ska kommunicera direkt med varandra.

Rättslig hjälp ska som huvudregel ges i enlighet med det förfarande som anges av den ansökande staten.

I artikel 28 finns bestämmelser om sekretess och användningsbegränsning.

I artikel 29 regleras rättslig hjälp med skyndsamt säkrande av lagrade datorbehandlingsbara uppgifter. En konventionsstat får anmoda en annan konventionsstat att genom föreläggande eller på annat sätt skyndsamt säkra uppgifter som lagrats med hjälp av ett datorsystem inom dennas territorium och vilka den ansökande staten avser att begära rättslig hjälp med åtkomst till. Säkrandet ska gälla under en period om minst sextio dagar, för att göra det möjligt för den begärande parten att överlämna en framställning om rättslig hjälp med husrannsakan, beslag eller annan liknande åtgärd eller med röjande av uppgifterna. När en sådan framställning mottagits ska uppgifterna bevaras till dess att ställning har tagits till framställningen.

Om det, vid verkställandet av rättslig hjälp med att säkra trafikuppgifter enligt artikel 29, upptäcks att en tjänsteleverantör i en annan stat har medverkat i överföringen av ett särskilt angivet meddelande, ska den anmodade staten enligt artikel 30 skyndsamt för den ansökande staten röja en tillräcklig mängd trafikuppgifter för att tjänsteleverantören i fråga och den väg som meddelandet har överförts ska kunna identifieras.

Artiklarna 31–34 behandlar ömsesidig hjälp med utredningsbefogenheter.

Enligt artikel 31 får en konventionsstat begära rättslig hjälp med husrannsakan, beslag eller andra liknande åtgärder i syfte att säkra och röja uppgifter som lagrats med hjälp av ett datorsystem i den anmodade staten, bl.a. uppgifter som har säkrats enligt artikel 29.

Åtkomst till lagrade datorbehandlingsbara uppgifter som är allmänt tillgängliga eller som är åtkomliga med stöd av samtycke behandlas i artikel 32. En konventionsstat har rätt att, utan rättslig hjälp, skaffa sig tillgång till sådan lagrad information som är allmänt tillgänglig, oavsett var denna finns rent geografiskt. På motsvarande sätt ska en konventionsstat, genom ett datorsystem inom det egna territoriet, kunna skaffa sig åtkomst till eller ta emot sådana lagrade datorbehandlingsbara uppgifter som finns hos en annan konventionsstat, om det sker med stöd av ett lagenligt och frivilligt samtycke av en person som har rätt att röja uppgifterna.

Artikel 33 behandlar rättslig hjälp med insamling i realtid av

trafikuppgifter. Konventionsstaterna ska lämna rättslig hjälp med insamling i realtid av trafikuppgifter rörande sådana särskilt angivna meddelanden som överförs med hjälp av datorsystem inom staternas territorium. För hjälpen ska gälla de villkor och förfaranden som anges i den nationella rätten. Rättslig hjälp ska dock åtminstone omfatta sådana brott för vilka trafikuppgifter skulle kunna samlas in i realtid i ett motsvarande nationellt förfarande.

I artikel 34 behandlas rättslig hjälp med avlyssning av innehållsuppgifter i särskilt angivna meddelanden. Konventionsstaterna åtar sig att, så långt den nationella lagstiftningen och tillämpliga överenskommelser medger det, tillhandahålla rättslig hjälp med sådan avlyssning.

Enligt artikel 35 ska parterna peka ut en nationell kontaktpunkt, som kan nås dygnet runt alla dagar i veckan, för att säkerställa omedelbar hjälp i frågor som rör it-relaterade brott samt för insamling av bevisning i elektronisk form om brott.

Kapitel IV – Slutbestämmelser

I det avslutande kapitlet finns ett antal bestämmelser av formell karaktär.

I artikel 36 regleras frågan om undertecknande och ikraftträdande.

I artikel 37 föreskrivs ordningen för hur stat som inte är medlem i Europarådet och som inte har deltagit i utarbetandet av konventionen kan ansluta sig till den.

I artikel 38 ges en konventionsstat möjlighet att ange för vilket eller vilka territorier konventionen ska gälla.

Artikel 39 behandlar konventionens verkan bl.a. i relation till

andra internationella instrument.

I artikel 40 anges uttömmande i vilken utsträckning en konventionsstat kan utnyttja rätten att uppställa ytterligare rekvisit.

Artikel 41 behandlar federala stater. Artikel 42 behandlar uttömmande rätten för konventionsstater

att göra förbehåll. Enligt artikel 43 kan ett förbehåll enligt artikel 42 återtas helt eller delvis.

Frågan om hur förslag till ändringar i konventionen väcks och hur en sådan fråga ska behandlas regleras i artikel 44.

Hur tvister angående tolkningen av konventionen ska lösas anges i artikel 45.

I artikel 46 regleras frågan om samråd med anledning av genomförande och tillämpning av konventionen, utbyte av information om viktiga rättsliga, politiska eller tekniska utvecklingsrön angående it-relaterad brottslighet och insamling av bevis i elektronisk form.

Rätten till uppsägning av konventionen behandlas i artikel 47.

Artikel 48, slutligen, anger de meddelanden (om undertecknande,

deponering av olika instrument, ikraftträdande osv.) som ska lämnas från Europarådets generalsekreterare till bl.a. de fördragsslutande staterna.

4.2. Tilläggsprotokollets innehåll i korthet

Tilläggsprotokollet till konventionen om it-relaterad brottslighet behandlar frågor om kriminalisering av gärningar av rasistisk och främlingsfientlig natur som begåtts med hjälp av ett datorsystem. Protokollet har två syften. Det ena är att åstadkomma en tillnärm-

ning av den materiella straffrätten i fråga om de nämnda brotten. Det andra är att förbättra det internationella samarbetet vid bekämpning av sådana brott.

I protokollets preambel uttrycks oro för risken för att datorsystem kan missbrukas för att sprida rasistisk och främlingsfientlig propaganda. Det framhålls att gärningar av rasistisk och främlingsfientlig natur utgör en kränkning av de mänskliga rättigheterna och ett hot mot rättssamhället. Samtidigt erkänns att yttrandefriheten utgör en av de viktigaste grundvalarna i ett demokratiskt samhälle och en grundläggande förutsättning för samhällets framåtskridande och varje människas utveckling. Vidare betonas behovet av att säkerställa en lämplig avvägning mellan yttrandefriheten och bekämpning av gärningar av rasistisk eller främlingsfientlig natur. Det framhålls också att tilläggsprotokollet inte avser att påverka redan etablerade principer om yttrandefrihet i nationella rättssystem.

Tilläggsprotokollet är, liksom konventionen, indelad i fyra kapitel. Dessa innehåller gemensamma bestämmelser, bestämmelser om åtgärder som ska vidtas på nationell nivå, bestämmelser om förhållandet mellan konventionen och tilläggsprotokollet samt slutbestämmelser.

Protokollstexten i svensk översättning är bifogad betänkandet som bilaga 4. Till tilläggsprotokollet har, på samma sätt som till konventionen, utarbetats en förklarande rapport som finns tillgänglig via bl.a. Europarådets hemsida (www.coe.int).

Kapitel I – Gemensamma bestämmelser

I artikel 1 anges syftet med tilläggsprotokollet, som är att komplettera bestämmelserna i konventionen vad gäller kriminalisering av gärningar av rasistisk och främlingsfientlig natur begångna med hjälp av datorsystem.

Artikel 2 innehåller en definition av rasistiskt och främlings-

fientligt material. Med detta avses i protokollet skrivet material, bild eller annan framställning av idéer eller teorier som förespråkar, främjar eller uppmuntrar till hat, diskriminering eller våld mot en enskild person eller en grupp av personer på grund av ras, hudfärg, härstamning, nationellt eller etniskt ursprung eller trosbekännelse, om detta kännetecken tas som förevändning. Vidare slås det fast att de uttryck och termer som används i protokollet ska tolkas på samma sätt som i konventionen.

Kapitel II – Åtgärder som ska vidtas på nationell nivå

Kapitel II innehåller bestämmelser med krav på kriminalisering av vissa gärningar. I samtliga dessa bestämmelser är det en förutsättning att gärningen har begåtts uppsåtligen. På samma sätt som i konventionen är det vidare en förutsättning att det handlande som beskrivs har begåtts ”orättmätigt” (”without right”). I motsats till vad som är fallet med de gärningar som behandlas i konventionen ställs det inga krav på att de gärningar som behandlas i tilläggsprotokollet ska vara straffbara på försöksstadiet.

Enligt artikel 3 ska konventionsstaterna straffbelägga gärningar som består i att till allmänheten sprida eller på annat sätt göra tillgängligt rasistiskt och främlingsfientligt material med hjälp av datorsystem. En konventionsstat får förbehålla sig rätten att inte införa straffansvar när materialet förespråkar, främjar eller uppmuntrar diskriminering utan samband med hat eller våld, under förutsättning att det finns andra effektiva motåtgärder. Vidare finns en möjlighet att förbehålla sig rätten att inte tillämpa artikeln i sådana fall av diskriminering där det, på grund av etablerade principer om yttrandefrihet i statens rättssystem, inte kan föreskrivas åtgärder.

I artikel 4 behandlas hot som är rasistiskt och främlingsfientligt motiverade. Konventionsstaterna ska straffbelägga gärningar som består i att med hjälp av ett datorsystem antingen hota personer av det skälet att de kännetecknas av en viss ras, hudfärg, härstamning eller nationellt eller etniskt ursprung eller trosbekännelse, eller att hota en grupp av personer som särskiljs på sätt som nyss har sagts, med att begå vad som enligt statens nationella lagstiftning är ett allvarligt brott.

Artikel 5 handlar om kränkningar som är rasistiskt eller främ-

lingsfientligt motiverade. Kriminaliseringen ska omfatta gärningar som består i att offentligen med hjälp av ett datorsystem kränka antingen personer av det skälet att de tillhör en grupp som kännetecknas av viss ras, hudfärg, härstamning eller nationellt eller etniskt ursprung eller trosbekännelse, eller en grupp av personer som särskiljs genom något av dessa kännetecken. En konventionsstat får antingen uppställa krav på att brottet resulterar i att personen eller gruppen av personer utsätts för hat, missaktning eller löje eller förbehålla sig rätten att helt eller delvis inte tillämpa artikeln.

I artikel 6 behandlas spridning av visst material som rör folkmord eller brott mot mänskligheten. Varje konventionsstat ska

straffbelägga gärningar som består i att med hjälp av ett datorsystem till allmänheten sprida eller på annat sätt göra tillgängligt material som förnekar, grovt förringar, gillar eller rättfärdigar gärningar som utgör folkmord eller brott mot mänskligheten. Det ska vara fråga om folkmord eller brott mot mänskligheten så som dessa gärningar definieras i folkrätten och som har erkänts genom lagakraftvunna beslut i vissa internationella domstolar. Syftet med bestämmelsen är att slå fast att fakta beträffande vissa välbelagda historiska skeenden inte ska kunna förnekas, förringas, förhärligas eller rättfärdigas.

En konventionsstat har möjlighet att antingen uppställa krav på att förnekande eller grovt förringande görs med uppsåt att uppmuntra till hat, diskriminering eller våld mot en enskild person eller en grupp av personer på grund av ras, hudfärg, härstamning eller nationellt eller etniskt ursprung eller trosbekännelse eller att förbehålla sig rätten att helt eller delvis inte tillämpa artikeln.

Enligt artikel 7 ska uppsåtlig medhjälp till brott som straffbeläggs i enlighet med protokollet kriminaliseras.

Kapitel III – Förhållandet mellan konventionen och tilläggsprotokollet

I artikel 8, som behandlar förhållandet mellan konventionen och tilläggsprotokollet, föreskrivs att följande artiklar i konventionen i tillämpliga delar ska gälla även för protokollet:

artikel 1 som innehåller definitioner,

artikel 12 om juridiska personers ansvar,

artikel 13 om påföljder och åtgärder,

artikel 22 om jurisdiktion,

artikel 41 om federala stater,

artikel 44 om ändringar,

artikel 45 om tvistlösning, och

artikel 46 om samråd mellan parterna.

Vidare ska de fördragsslutande staterna utvidga tillämpningsområdet för konventionens processrättsliga bestämmelser (artiklarna 14–21) och bestämmelser om internationellt samarbete (artiklarna 23–35) till att gälla även artiklarna 2–7 i protokollet.

Kapitel IV – Slutbestämmelser

I det avslutande kapitlet finns, liksom i konventionens avslutande kapitel, ett antal bestämmelser av formell karaktär.

Artikel 9 behandlar frågor om undertecknande. Protokollet står

öppet för undertecknande av alla som har undertecknat konventionen. Det är alltså inte möjligt att tillträda enbart tilläggsprotokollet.

Artikel 10 behandlar ikraftträdande och artikel 11 rör anslutning

till protokollet efter att detta har trätt i kraft.

Enligt artikel 12 gäller förbehåll och förklaringar som har avgetts rörande bestämmelser i konventionen också för tilläggsprotokollet, om inte den fördragsslutande staten förklarar något annat. I artikeln anges vidare i vilken utsträckning staterna får förklara att de utnyttjar möjligheten att ställa upp särskilda rekvisit. Slutligen anges att en stat har möjlighet att göra förbehåll enligt två artiklar i konventionen, nämligen artikel 22.2 och artikel 41.1, oavsett tidigare förbehåll. Några andra förbehåll är inte tillåtna.

I artikel 13 regleras återtagande av förbehåll. Protokollets territoriella tillämpning behandlas i artikel 14. Möjligheten till uppsägning av protokollet regleras i artikel 15. Meddelanden angående protokollet behandlas i artikel 16.

4.3. Direktivets innehåll i korthet

Europaparlamentets och rådets direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF syftar till att ytterligare närma medlemsstaternas strafflagstiftning till varandra på området för angrepp mot informationssystem. Vidare är avsikten att förbättra samarbetet mellan myndigheter och brottsbekämpande organ i medlemsstaterna.

I direktivets preambel uttalas bl.a. att angrepp mot informationssystem, särskilt angrepp som är kopplade till organiserad brottslighet, är ett växande problem både inom unionen och på global

nivå, och att oron ökar för terroristattacker eller politiskt motiverade angrepp mot de informationssystem som ingår i medlemsstaternas och unionens kritiska infrastruktur. Mot bakgrund av att detta utgör ett hot mot arbetet för att skapa ett säkrare informationssamhälle och ett område med frihet, säkerhet och rättvisa understryks behovet av motåtgärder på unionsnivå och bättre samordning och samarbete på internationell nivå. Vidare uttalas att direktivet särskilt syftar till att sörja för att grundläggande friheter och rättigheter – bl.a. de principer som erkänns särskilt i Europeiska unionens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna – respekteras fullt ut.

Tyngdpunkten i direktivet utgörs av materiella straffrättsliga bestämmelser. De straffrättsliga bestämmelserna överensstämmer till stor del med dem som finns i konventionen och i rådets rambeslut 2005/222/RIF om angrepp mot informationssystem, av vilket det senare alltså ersätts med direktivet.

Som nämnts i avsnitt 3 är direktivet ännu inte formellt antaget, men förhandlingarna om det är i allt väsentligt slutförda. Det återstår för EU:s institutioner att formellt anta den text som har godkänts av företrädare för rådet och Europaparlamentet (dok. 11399/12). En svensk version av denna text är bifogad betänkandet som bilaga 5.

I artikel 1 anges syftet med direktivet, nämligen att fastställa minimiregler när det gäller definitionen av vad som ska utgöra brott och vilka påföljder som ska följa på brotten på området angrepp mot informationssystem. Syftet är också att underlätta förebyggande av sådan brottslighet och att förbättra samarbetet mellan myndigheter som verkar inom området.

I artikel 2 finns definitioner av vissa centrala begrepp som ska gälla vid genomförandet av direktivet. De begrepp som definieras är

informationssystem, datorbehandlingsbara uppgifter, juridisk person

och orättmätigt. Definitionerna överensstämmer i många delar med de definitioner som finns i artikel 1 i rambeslutet och i artikel 1 i konventionen. Direktivet innehåller inget krav på att definitionerna ska införas i nationell rätt.

I artiklarna 3–7 behandlas vilka gärningar som ska utgöra brott, om de utförs uppsåtligen och orättmätigt.

Enligt artikel 3 ska intrång i hela eller en del av ett informationssystem vara straffbart när brottet begås genom intrång i en säkerhetsåtgärd. Ringa fall behöver dock inte straffbeläggas.

Av artikel 4 följer att det ska vara straffbart att allvarligt hindra eller avbryta driften av ett informationssystem genom att mata in, överföra, skada, radera, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbehandlingsbara uppgifter, åtminstone i fall som inte är ringa.

Enligt artikel 5 ska det vara straffbart att radera, skada, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbehandlingsbara uppgifter i ett informationssystem, åtminstone i fall som inte är ringa.

Enligt artikel 6 ska avlyssning med tekniska hjälpmedel av ickeoffentliga överföringar av datorbehandlingsbara uppgifter till, från eller inom ett informationssystem, inklusive elektromagnetisk strålning från informationssystem som innehåller sådana uppgifter, straffbeläggas, åtminstone i fall som inte är ringa.

Artikel 7 anger att viss befattning med olika typer av verktyg ska

utgöra ett brott, om gärningen begås i syfte att brott enligt artiklarna 3–6 ska begås, åtminstone i fall som inte är ringa.

I artikel 8 anges att anstiftan av och medhjälp till sådana gärningar som utgör brott enligt direktivet ska straffbeläggas. Det anges även att brotten olaglig systemstörning och olaglig datastörning i artikel 4 respektive 5 ska straffbeläggas på försöksnivå.

Artikel 9 innehåller både generella och artikelspecifika bestämmelser om vilka påföljder som ska kunna dömas ut för brotten i direktivet. Enligt artikel 9.1 ska brotten i direktivet generellt ha påföljder som är effektiva, proportionerliga och avskräckande. Enligt artikel 9.2 ska samtliga brott i direktivet, undantaget osjälvständiga brottsformer och ringa brott, ha en straffskala med ett maximistraff på minst två års fängelse. För brotten olaglig systemstörning (artikel 4) och olaglig datastörning (artikel 5) krävs enligt

artikel 9.3 dessutom ett lägsta maximistraff på tre års fängelse när

ett betydande antal informationssystem har påverkats genom användning av ett verktyg som har utformats eller anpassats primärt för detta syfte. För brotten olaglig systemstörning och olaglig datastörning ställs vidare enligt artikel 9.4 ett krav på ett lägsta maximistraff på fängelse i fem år under tre alternativa förutsättningar: (a) brottet har begåtts inom ramen för en kriminell organisation, (b) brottet har orsakat allvarlig skada, eller (c) brottet har begåtts mot ett kritiskt infrastrukturinformationssystem. Artikel 9.5 anger att missbruk av andra personers personuppgifter ska utgöra en försvårande omständighet vid brotten olaglig systemstörning och olaglig datastörning när det innebär olägenheter för denna person i

den mån detta missbruk inte redan täcks av andra brott i den nationella lagstiftningen.

Artikel 10 har under förhandlingarna utgått ur utkastet till direktiv.

I artiklarna 11 och 12 regleras juridiska personers ansvar samt påföljder för juridiska personer.

Jurisdiktionsfrågor regleras i artikel 13. I artikel 14 finns bestämmelser om informationsutbyte, som bl.a. innebär att medlemsstaterna ska peka ut en operativ nationell kontaktpunkt som kan nås dygnet runt alla dagar i veckan.

I artikel 15 finns bestämmelser om övervakning och statistik. Direktivet avslutas med bestämmelser om ersättande av 2005 års rambeslut (artikel 16), införlivande (artikel 17), rapporteringsskyldighet (artikel 18), ikraftträdande (artikel 19) och adressater (artikel 20).

5. Behovet av lagändringar mot bakgrund av konventionen

5.1. Inledning

I vårt uppdrag ingår att analysera behovet av författningsändringar för att Sverige ska kunna tillträda Europarådets konvention om itrelaterad brottslighet (konventionen) med tilläggsprotokoll. Vi ska också lämna förslag till de författningsändringar som behövs för att möjliggöra ett svenskt tillträde till instrumenten. I detta kapitel analyseras med utgångspunkt i konventionens artiklar de behov av lagändringar som konventionen föranleder. I följande kapitel görs motsvarande analys i förhållande till tilläggsprotokollet.

5.2. Definitioner (artikel 1)

I artikel 1 finns definitioner av centrala termer som ska gälla vid tillämpning av konventionen. Det ställs inte något krav på att definitionerna ska införas i nationell rätt.

Med ”datorsystem” avses i konventionen en apparat eller grupp av apparater som är sammankopplade eller som hör samman med varandra, av vilka en eller flera genom ett program utför automatiserad behandling av uppgifter. Definitionen är avsedd att täcka såväl traditionella datorer som andra tekniska apparater som kan användas för datakommunikation, exempelvis moderna mobiltelefoner. Den omfattar både hårdvara och mjukvara och alla tekniska delar från hårddisk till skrivare. Definitionen omfattar såväl enstaka datorer som nätverk. Den täcker vidare alla typer av nätverk oavsett på vilket sätt de är tekniskt förbundna med varandra. I svenskt språkbruk torde den lämpligaste termen för det som åsyftas i konventionen vara ”datasystem”. Enligt Svenska datatermgruppens ordlista (ord-

listeartikel 64) innefattas nämligen i detta begrepp datorer, program, servrar m.m. liksom den tekniska lösningen och utformningen.

Definitionen av ”datorbehandlingsbara uppgifter” bygger på Internationella standardiseringskommissionens (ISO) definition av begreppet. Med datorbehandlingsbara uppgifter avses framställning av fakta, information eller begrepp i en form som lämpar sig för behandling i ett datorsystem. Definitionen omfattar även program. Däremot faller elektromagnetiska emissioner utanför definitionen (se dock artikel 3). Definitionen avser data i elektronisk eller annan direkt processbar form.

Med ”tjänsteleverantör” avses en offentlig eller privat enhet som erbjuder sina användare möjlighet att kommunicera med hjälp av datorsystem samt varje annan enhet som behandlar eller lagrar datorbehandlingsbara uppgifter för en sådan kommunikationstjänst eller för användarna av en sådan tjänst. Det saknar betydelse om det är fråga om öppna eller slutna nätverk.

I lagen (2003:389) om elektronisk kommunikation (LEK) definieras ”operatör” som den som innehar eller på annat sätt råder över ett allmänt kommunikationsnät eller tillhörande installation (1 kap. 7 §). Konventionens definition av tjänsteleverantör är alltså vidare än LEK:s definition av operatör. Begreppet tjänsteleverantör i konventionens mening omfattar enligt vår bedömning i huvudsak den krets av aktörer som på flera ställen i LEK benämns som ”den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst” (se 6 kap. 20 och 22 §§ LEK). Vi kommer fortsättningsvis att använda oss av begreppet ”leverantör” när vi åsyftar en vidare personkrets än den som omfattas av LEK:s definition av operatör. I sammanhanget kan dock påpekas att regleringen i LEK i fråga om vilka tjänster och nät som omfattas av lagen och vilka skyldigheter som gäller för olika aktörer inte är lättöverskådlig.

Trafikuppgifter är en form av hjälpmedel som skapas av datorerna själva i syfte att göra det möjligt att följa datakommunikationen från början till slutet. Med ”trafikuppgifter” avses i konventionen varje typ av datorbehandlingsbara uppgifter som hänför sig till ett meddelande som förmedlas med hjälp av datorsystem och som genereras av ett datorsystem som ingick i kommunikationskedjan och som anger meddelandets ursprung, destination, färdväg, tid, datum, storlek, varaktighet eller typ av underliggande tjänst (t.ex. elektronisk post).

5.3. Straffrättsliga bestämmelser

5.3.1. Allmänt om bestämmelserna

Konventionens straffrättsliga bestämmelser omfattar brott som är direkt riktade mot datorbehandlingsbara uppgifter och datorsystem (artiklarna 2–6), datorrelaterade brott (artiklarna 7 och 8), innehållsrelaterade brott (artikel 9), och brott mot upphovsrätt m.m. (artikel 10) samt försök och medhjälp till de nämnda brotten (artikel 11). Konventionen behandlar enbart uppsåtliga brott. I samtliga artiklar, utom artikeln som gäller upphovsrätt, finns dessutom krav på att gärningen ska ha begåtts orättmätigt (”without right”). Syftet med detta är, som nämnts i avsnitt 4.1, att ange att ett visst handlande, trots att det faller in under beskrivningen av vad som ska vara kriminaliserat, ändå kan vara tillåtet. Det kan till exempel stödjas på lag, medgivande, avtal eller omständigheter som utesluter straffansvar enligt den nationella rätten. Vad som ska läggas i begreppet orättmätigt får avgöras utifrån det sammanhang där det förekommer (se den förklarande rapporten p. 38).

Ringa brott får, utan att det har kommit till direkt uttryck i kon-

ventionstexten, undantas från kriminalisering (se den förklarande rapporten p. 37).

5.3.2. Den svenska dataintrångsbestämmelsen och motsvarande bestämmelser i Finland, Danmark och Norge

När det gäller frågan om svensk rätt uppfyller konventionens krav är den svenska bestämmelsen om dataintrång i 4 kap. 9 c § brottsbalken av central betydelse för flera av konventionens straffrättsliga artiklar. I detta avsnitt görs därför en genomgång av bestämmelsen om dataintrång.

Bestämmelsen om dataintrång infördes i brottsbalken 1998 i samband med att den tidigare datalagen (1973:289) ersattes med personuppgiftslagen (1998:204). Datalagens bestämmelse om dataintrång (21 §) överfördes då till brottsbalken utan ändring i sak. Datalagen hade tillkommit samtidigt som vissa ändringar gjorts i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet. Bestämmelsen om dataintrång fick sin nuvarande utformning genom en lagändring 2007 som i huvudsak syftade till att genomföra EU:s rambeslut 2005/222/RIF om angrepp mot informationssystem.

För dataintrång döms den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Straffet är böter eller fängelse i högst två år.

Uttrycket ”uppgift som är avsedd för automatiserad behandling” infördes i bestämmelsen i samband med lagändringen 2007. Det ersatte då det tidigare använda begreppet ”upptagning för automatisk databehandling”. Denna lagändring var inte direkt föranledd av det nämnda rambeslutet utan hade till syfte att förtydliga och språkligt modernisera dataintrångsbestämmelsen. Avsikten med det valda begreppet är att fånga in alla uppgifter, dvs. fakta, information eller begrepp, som uttrycks i en för en dator anpassad och läsbar form och att även program av olika slag ska omfattas av begreppet (prop. 2006/07:66 s. 40 och 49). För tillämpningen av begreppet ska det vara utan betydelse var någonstans de nämnda uppgifterna finns eller förvaras i systemet och det ska inte längre finnas något utrymme för diskussioner om uppgifterna är att anse som ”fixerade” eller inte, på vilket datamedium de förvaras eller med vilken teknik de överförs (prop. 2006/07:66 s. 4041). Även uppgifter som finns i en dators temporära minne omfattas och vidare också uppgifter som är under befordran, oavsett på vilket sätt befordran sker (prop. 2006/07:66 s. 49). När det gäller uppgifter som befordras via radio sägs emellertid i propositionen att avlyssning av sådan radiokommunikation faller utanför det straffbara området eftersom det följer av principen om att etern är fri och av att olovlighetsrekvisitet (se närmare i det följande) därmed inte kan anses uppfyllt (prop. 2006/07:66 s. 49). Om intrånget däremot sker i radiobefordrade uppgifter som t.ex. är krypterade anges i propositionen att ansvar för dataintrång dock kan komma i fråga och att sådant ansvar också kan komma i fråga för ändring eller utplånande av eller annan påverkan på radiobefordrade uppgifter som anges i paragrafen (prop. 2006/07:66 s. 49).

Ansvar för dataintrång förutsätter uppsåt (1 kap. 2 § brottsbalken). Gärningsmannen behöver inte handla med ett direkt uppsåt att åstadkomma viss effekt utan alla uppsåtsformer, även likgiltighetsuppsåt, är tillämpliga (Berggren m.fl., Brottsbalken En kommentar

Kap. 1–12, s. 4:50 c). För straffansvar krävs vidare att gärningen ut-

förs olovligen. Härmed utesluts från det straffbara området sådant förfarande som sker med samtycke av den som har rätt att förfoga

över uppgiften eller i överensstämmelse med gällande rätt, t.ex. regler om tvångsmedel (jfr Berggren m.fl., Brottsbalken En kommentar

Kap. 1–12, s. 4:50 c).

Det handlande som straffbeläggs i dataintrångsbestämmelsen är för det första att någon bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling. Det krävs inte att det sker i ett visst syfte eller att det medför någon särskild effekt, t.ex. skada. Inte heller förutsätts att någon säkerhetsåtgärd kringgås. Vidare straffbeläggs att ändra, utplåna eller blockera en sådan uppgift som nyss angetts. En ändring kan direkt gälla den uppgift som ska databehandlas. En ändring kan också göras i det datorprogram som styr den aktuella databehandlingen. Ändringen kan vara bestående eller tillfällig (Berggren m.fl., Brottsbalken En kommentar Kap. 1–12, s. 4:50 a). Att en uppgift utplånas innebär att den helt eller delvis förstörs, t.ex. genom radering. Att dataintrångsbestämmelsen även omfattar den som