Bruce Schneier länkar till en mycket intressant artikel om vad begreppet “Unauthorized access” betyder i datorsammanhang, i ett rättsligt perspektiv, utgående från amerikansk rättspraxis och -doktrin. Artikelförfattaren, Orin S. Kerr, kommer fram till att begrepp som “access” och “authorized” används som om deras mening vore otvetydig, när de i själva verket är väldigt dåligt definerade. Artikeln är inte pinfärsk (oktober 2003), men så vitt jag vet är de frågeställningar som tas upp fortfarande aktuella. Det handlar helt enkelt om var gränsen för brottet “dataintrång” skall dras.
Svensk och amerikansk lagstiftning verkar vara ganska likartad här, i det att det finns ett brott (dataintrång respektive “unauthorized access”) som har två rekvisit — i svensk lag “att bereda sig tillgång till upptagning för automatiserad databehandling”, samt att denna handling skall vara “otillåten” (BrB 4:9 c). Amerikansk lag har de bägge rekvisiten i brottsbenämningen.
Jag har tidigare intresserat mig för den svenska motsvarigheten, och kom fram till att framförallt “olovligen” var ett väldigt suddigt begrepp. Kerr kommer även i sin artikel fram till att gränserna är suddiga och inte har dragits konsekvent i praxis. Han förespråkar att “kontraktsbaserade” överträdelser inte i sig ska bedömas som “unauthorized”, utan att det ska krävas någon typ av kringående av en teknisk accesskontroll:
This Article proposes that courts should reject contract-based notions of authorization, and instead limit the scope of unauthorized access statutes to cases involving the circumvention of code-based restrictions. The fact that computer use violates a contractual restriction should not turn that use into an unauthorized access. The bypassing of a code-based restriction such as a password gate should be required to trigger criminal liability, such that hacking into a computer could be an unauthorized access, but violating Terms of Service would not be.
En kontraktsbaserad överträdelse skulle här kunna vara att bryta mot ett explicit eller implicit avtal (ett avtalsbrott kan dock naturligtvis alltid angripas med civilrättsliga principer). Ett explicit avtalsbrott skulle kunna vara att bryta mot en webtjänsts användarvillkor, ett implicit avtalsbrott skulle kunna vara att använda en annonsblockerare.
Den EG-konvention om angrepp mot informationssystem som Sverige har börjat implementera iom Ds 2005:5 gav utrymme för medlemsländerna att lagstifta om att det skulle krävas kringgående av säkerhetsåtgärder för att rekvisitet “olovligen” skulle uppfyllas. Utredningen bakom Ds 2005:5 har valt att inte utnyttja denna möjlighet, vilket jag tycker är synd. Det leder till, som jag skrev i mitt tidigare inlägg, att många handlingar som har ett positivt värde för samhället, kan betraktas som dataintrång.
Jag var på ett föredrag för ett tag sedan där Ds 2005:5 (och framförallt Ds 2005:6) presenterades. Jag fick intrycket att målsättningen hade varit att göra minsta möjliga ändring i de svenska lagarna för att kunna säga att EG-konventionskraven är uppfyllda. Det är förmodligen därför man inte gjorde något åt det hopplösa uttrycket “bereder sig tillgång till upptagning för automatisk databehandling” inte ändrats. Eller, fel av mig, man föreslår faktiskt en ändring, till “bereder sig tillgång till en upptagning för automatiserad databehandling”…
Kerrs artikel ger en bra analys av varför en definition av “unauthorized” som kan innefatta kontraktsbaserade överträdelser leder till en oförutsägbar rättstillämpning. Jag hoppas att den svenska lagstiftaren utnyttjar möjligheten till att tydliggöra begreppen längre fram i lagstiftningsprocessen.
Tags: avtalsfrihet, dataintrång, webscraping