Har du olovligen berett dig tillgång till en upptagning för automatiserad databehandling idag?

Bruce Schneier länkar
till
en mycket intressant artikel
om vad begreppet ”Unauthorized access” betyder i datorsammanhang, i ett
rättsligt perspektiv, utgående från amerikansk rättspraxis och
-doktrin. Artikelförfattaren, Orin
S. Kerr
, kommer fram till att begrepp som ”access” och
”authorized” används som om deras mening vore otvetydig, när de i
själva verket är väldigt dåligt definerade. Artikeln är inte pinfärsk
(oktober 2003), men så vitt jag vet är de frågeställningar som tas upp
fortfarande aktuella. Det handlar helt enkelt om var gränsen för
brottet ”dataintrång” skall dras.

Svensk och amerikansk lagstiftning verkar vara ganska likartad här, i
det att det finns ett brott (dataintrång respektive ”unauthorized
access”) som har två rekvisit — i svensk lag ”att bereda sig tillgång
till upptagning för automatiserad databehandling”, samt att denna
handling skall vara ”otillåten” (BrB 4:9 c). Amerikansk lag
har de bägge rekvisiten i brottsbenämningen.

Jag har tidigare
intresserat mig
för den svenska motsvarigheten, och kom fram till
att framförallt ”olovligen” var ett väldigt suddigt begrepp. Kerr kommer även i sin artikel fram till att gränserna är suddiga och inte
har dragits konsekvent i praxis. Han förespråkar att
”kontraktsbaserade” överträdelser inte i sig ska bedömas som
”unauthorized”, utan att det ska krävas någon typ av kringående av en
teknisk accesskontroll:

This Article proposes that courts should reject contract-based
notions of authorization, and instead limit the scope of unauthorized
access statutes to cases involving the circumvention of code-based
restrictions. The fact that computer use violates a contractual restriction
should not turn that use into an unauthorized access. The bypassing
of a code-based restriction such as a password gate should be
required to trigger criminal liability, such that hacking into a computer
could be an unauthorized access, but violating Terms of Service would
not be.

En kontraktsbaserad överträdelse skulle här kunna vara att bryta mot
ett explicit eller implicit avtal (ett avtalsbrott kan dock
naturligtvis alltid angripas med civilrättsliga principer). Ett
explicit avtalsbrott skulle kunna vara att bryta mot en webtjänsts
användarvillkor, ett implicit avtalsbrott skulle kunna vara att
använda en annonsblockerare.

Den EG-konvention
om angrepp mot informationssystem
som Sverige har börjat
implementera iom Ds 2005:5 gav
utrymme för medlemsländerna att lagstifta om att det skulle krävas
kringgående av säkerhetsåtgärder för att rekvisitet ”olovligen”
skulle uppfyllas. Utredningen bakom Ds 2005:5 har valt att inte
utnyttja denna möjlighet, vilket jag tycker är synd. Det leder till,
som jag skrev i mitt tidigare
inlägg
, att många handlingar som har ett positivt värde för
samhället, kan betraktas som dataintrång.

Jag var på ett
föredrag
för ett tag sedan där Ds 2005:5 (och framförallt Ds 2005:6)
presenterades. Jag fick intrycket att målsättningen hade varit att
göra minsta möjliga ändring i de svenska lagarna för att kunna säga
att EG-konventionskraven är uppfyllda. Det är förmodligen därför man
inte gjorde något åt det hopplösa uttrycket ”bereder sig tillgång till
upptagning för automatisk databehandling” inte ändrats. Eller, fel av
mig, man föreslår faktiskt en ändring, till ”bereder sig tillgång till
en upptagning för automatiserad databehandling”…

Kerrs artikel ger en bra analys av varför en definition av
”unauthorized” som kan innefatta kontraktsbaserade överträdelser leder
till en oförutsägbar rättstillämpning. Jag hoppas att den svenska
lagstiftaren utnyttjar möjligheten till att tydliggöra begreppen
längre fram i lagstiftningsprocessen.