Brandväggar vs personuppgiftslagen

Antipiratbyrån (APB) går idag ut med anledning av
fredagens beslut
från Datainspektionen (DI) och säger att ”om vår
insamling av IP-nummer är otillåten enligt personuppgiftslagen (PUL)
är
också brandväggar otillåtna
”.

Det är en intressant slutsats, men jag tror att den är felaktig. Det
finns ett par skäl till varför en vanlig brandvägg skulle vara
tillåten medans APB’s insamling av IP-nummer inte skulle vara
det. Alla skäl är inte tillämpliga i alla situationer, men tillsammans
täcker de in rätt många fall.

Privat verksamhet

Det första är framförallt tillämpligt på alla som har en brandvägg
hemma i lägenheten (om man räknar in loggande bredbandsrouters blir vi
rätt många): här är det fråga om ”verksamhet av rent privat
natur
”, och då säger PUL 6
§
säger att lagen inte är tillämplig i dessa fall.

Lagen om elektronisk kommunikation

Den andra skälet bygger på anledningen till varför man har en
brandvägg överhuvudtaget — att skydda information. I lagen (2003:389)
om elektronisk kommunikation (LEK), 6 kap. 3 § sägs följande:

Den som tillhandahåller en allmänt tillgänglig elektronisk
kommunikationstjänst skall vidta lämpliga åtgärder för att säkerställa
att behandlade uppgifter skyddas. Den som tillhandahåller ett allmänt
kommunikationsnät skall vidta de åtgärder som är nödvändiga för att
upprätthålla detta skydd i nätet. Åtgärderna skall vara ägnade att
säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik
och kostnaderna för att genomföra åtgärderna, är anpassad till risken
för integritetsintrång.

I klartext: sätt upp en brandvägg så att du inte blir
krakkad. Den här paragrafen ser onekligen ut att strida mot PUL. Men då
PUL enligt 2 § är subsidär,
har LEK högre prioritet:

2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall de bestämmelserna gälla.

Just det här att PUL är en subsidär lag är rätt viktigt för
resonerandet i största allmänhet. Om man kan hitta något annat skäl i
författningarna till varför man är skyldig till att ha en brandvägg,
så gäller det alltid över PUL.

Så långt allt bra. Men vad är en ”elektronisk kommunikationstjänst”
enligt LEK? Enligt 1 kap. 7 § så är det
tjänst som vanligen tillhandahålls mot ersättning och som helt
eller huvudsakligen utgörs av överföring av signaler i elektroniska
kommunikationsnät
”. Exakt vad det innebär har jag inte grävt i,
men det torde utesluta åtminstone en del av de företagsbrandväggar som
finns idag. ISP’er och liknande borde dock kunna använda sig av det
här försvaret.

DIFS 1998:3

Det tredje skälet tar sikte på varför en brandvägg loggar uppgifter —
så att man i efterhand kan se varifrån ett angrepp kommit. Denna
uppgift är nödvändig för att kunna utkräva ansvar från en angripare
för skadan denne åsamkat — dvs att göra gällande ett rättsligt
anspråk. Sådant är, enligt DIFS
1998:3 1 § d
(PDF) tillåtet, så länge som det gäller ”enstaka
uppgift”.

Just det här anförde APB gällande DI’s beslut. DI underkände
argumentet
(PDF) främst på grund av att APB’s
personuppgiftsbehandling var så omfattande:

Behandlingens omfattning innebär dock att den inte kan sägas avse
endast enstaka uppgift. I denna bedömning har Datainspektionen beaktat
att det när det gäller abuse-breven är fråga om behandling av en
mycket stor mängd uppgifter som innebär att många människor riskerar
att utpekas som misstänkta brottslingar.

Skulle en brandvägg, som varje dag loggar tusentals intrångsförsök,
fortfarande kunna anses behandla ”enskilda uppgifter”? Det beror på;
om alla de tusentals intrångsförsöken skulle leda till krav på
skadestånd, så nej, kanske inte.

Blir man drabbad av flera tusen intrångsförsök varje dag är
sannolikheten stor att de allra flesta härstammar från maskar. Om man
däremot avgränsar sig till att enbart anmäla riktade attacker så är
det sannolikare att det är fråga om ”enskilda uppgifter”.

Det här resonemanget går inte att utläsa ur varken PUL eller DIFS
1998:3, men jag tycker att DI’s beslut i APB-fallet går längs den här
linjen.

I vilket fall som helst känns det absurt att en automatiserad
uppgiftsbehandling som är OK en vecka (då endast ett enstaka
intrångsförsök skedde) skulle vara otillåten nästa (då tusentals
intrångsförsök skett), när ingen ändring skett å egen part.

PUL 10 § f)

Det sista skälet tar sikte på varför man egentligen har
brandväggar — så att den stackars sysadminen kan hålla systemen
körande, skyddade från det stora farliga internet. Det får sägas vara
ett ganska berättigat intresse. Enligt 10 § f) PUL är det tillåtet
att behandla personuppgifter om det är nödvändigt för att:

ett ändamål som rör ett berättigat intresse hos den
personuppgiftsansvarige eller hos en sådan tredje man till vilken
personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse
väger tyngre än den registrerades intresse av skydd mot kränkning av
den personliga integriteten.

Den registrerades intresse av skydd mot kränkning av sin personliga
integritet får sägas väga ganska lätt i det här fallet…

Men är det inte fortfarande fråga om personuppgifter om
lagöverträdelser? Sådana går in under 21 §, där undantagen i 10 §
inte är tillämpliga. Njae, inte nödvändigtvis. Det hela hänger på om
man behandlar uppgifter om att ett datorintrångsförsök begåtts, eller
om ett IP-paket med ett visst innehåll mottagits. Från förarbetena
till PUL (SOU 1997:39 s 383):

En uppgift om att någon har eller kan ha begått stöld utgör otvivelaktigt
en uppgift om lagöverträdelse även om det inte finns någon dom beträffande
brottet; uppgiften har kvalificerats till att avse något visst brott.
Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska
iakttagelser kan anses utgöra uppgifter om lagöverträdelser, t.ex. en
uppgift om att någon använt narkotika, en uppgift om att någon kört
bil mellan två orter med viss (för hög) genomsnittlig hastighet, en
uppgift om att någon som arbetar med att tömma parkeringsautomater har
privat växlat in stora mängder mynt i bank osv. Elektronisk
övervakningsutrustning, t.ex. kameror, installeras vidare ofta i
privat verksamhet just i det befogade syftet att förr eller senare
registrera lagöverträdelser, och det skulle givetvis innebära
olägenheter om registreringen blev olaglig och skadeståndsgrundande i
samma ögonblick som syftet med den uppnåtts, dvs. när genomförandet av
t.ex. ett rån registrerats. Detta talar starkt för att uppgifter om
faktiska iakttagelser om en persons handlande inte rimligen kan anses
som uppgifter om lagöverträdelser i alla de fall handlandet kan
innebära en lagöverträdelse.

Dvs: om den brandväggsansvarige inte behandlar uppgifterna i syfte att
anmäla tusentals försök till datorintrång, utan bara för att hålla
koll på vad för trafik som kommer in (kanske med syfte att spärra
framtida kommunikation från specifika IP-nummer), så är 21 § inte
tillämplig, och därmed går undantaget i 10 § f) att använda.

Summering

Det här är resultatet av en knapp förmiddags grävande i författningar och förarbeten, och är således förmodligen bristfällig och säkert åtminstone delvis felaktig. De fyra olika invändningarna tycker jag ändå pekar på att frågan är komplicerad och inte alls så självklar åt ena eller andra hållet som många vill göra gällande.