Brandväggar vs personuppgiftslagen

Antipiratbyrån (APB) går idag ut med anledning av
fredagens beslut
från Datainspektionen (DI) och säger att ”om vår
insamling av IP-nummer är otillåten enligt personuppgiftslagen (PUL)
är
också brandväggar otillåtna
”.

Det är en intressant slutsats, men jag tror att den är felaktig. Det
finns ett par skäl till varför en vanlig brandvägg skulle vara
tillåten medans APB’s insamling av IP-nummer inte skulle vara
det. Alla skäl är inte tillämpliga i alla situationer, men tillsammans
täcker de in rätt många fall.

Privat verksamhet

Det första är framförallt tillämpligt på alla som har en brandvägg
hemma i lägenheten (om man räknar in loggande bredbandsrouters blir vi
rätt många): här är det fråga om ”verksamhet av rent privat
natur
”, och då säger PUL 6
§
säger att lagen inte är tillämplig i dessa fall.

Lagen om elektronisk kommunikation

Den andra skälet bygger på anledningen till varför man har en
brandvägg överhuvudtaget — att skydda information. I lagen (2003:389)
om elektronisk kommunikation (LEK), 6 kap. 3 § sägs följande:

Den som tillhandahåller en allmänt tillgänglig elektronisk
kommunikationstjänst skall vidta lämpliga åtgärder för att säkerställa
att behandlade uppgifter skyddas. Den som tillhandahåller ett allmänt
kommunikationsnät skall vidta de åtgärder som är nödvändiga för att
upprätthålla detta skydd i nätet. Åtgärderna skall vara ägnade att
säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik
och kostnaderna för att genomföra åtgärderna, är anpassad till risken
för integritetsintrång.

I klartext: sätt upp en brandvägg så att du inte blir
krakkad. Den här paragrafen ser onekligen ut att strida mot PUL. Men då
PUL enligt 2 § är subsidär,
har LEK högre prioritet:

2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall de bestämmelserna gälla.

Just det här att PUL är en subsidär lag är rätt viktigt för
resonerandet i största allmänhet. Om man kan hitta något annat skäl i
författningarna till varför man är skyldig till att ha en brandvägg,
så gäller det alltid över PUL.

Så långt allt bra. Men vad är en ”elektronisk kommunikationstjänst”
enligt LEK? Enligt 1 kap. 7 § så är det
tjänst som vanligen tillhandahålls mot ersättning och som helt
eller huvudsakligen utgörs av överföring av signaler i elektroniska
kommunikationsnät
”. Exakt vad det innebär har jag inte grävt i,
men det torde utesluta åtminstone en del av de företagsbrandväggar som
finns idag. ISP’er och liknande borde dock kunna använda sig av det
här försvaret.

DIFS 1998:3

Det tredje skälet tar sikte på varför en brandvägg loggar uppgifter —
så att man i efterhand kan se varifrån ett angrepp kommit. Denna
uppgift är nödvändig för att kunna utkräva ansvar från en angripare
för skadan denne åsamkat — dvs att göra gällande ett rättsligt
anspråk. Sådant är, enligt DIFS
1998:3 1 § d
(PDF) tillåtet, så länge som det gäller ”enstaka
uppgift”.

Just det här anförde APB gällande DI’s beslut. DI underkände
argumentet
(PDF) främst på grund av att APB’s
personuppgiftsbehandling var så omfattande:

Behandlingens omfattning innebär dock att den inte kan sägas avse
endast enstaka uppgift. I denna bedömning har Datainspektionen beaktat
att det när det gäller abuse-breven är fråga om behandling av en
mycket stor mängd uppgifter som innebär att många människor riskerar
att utpekas som misstänkta brottslingar.

Skulle en brandvägg, som varje dag loggar tusentals intrångsförsök,
fortfarande kunna anses behandla ”enskilda uppgifter”? Det beror på;
om alla de tusentals intrångsförsöken skulle leda till krav på
skadestånd, så nej, kanske inte.

Blir man drabbad av flera tusen intrångsförsök varje dag är
sannolikheten stor att de allra flesta härstammar från maskar. Om man
däremot avgränsar sig till att enbart anmäla riktade attacker så är
det sannolikare att det är fråga om ”enskilda uppgifter”.

Det här resonemanget går inte att utläsa ur varken PUL eller DIFS
1998:3, men jag tycker att DI’s beslut i APB-fallet går längs den här
linjen.

I vilket fall som helst känns det absurt att en automatiserad
uppgiftsbehandling som är OK en vecka (då endast ett enstaka
intrångsförsök skedde) skulle vara otillåten nästa (då tusentals
intrångsförsök skett), när ingen ändring skett å egen part.

PUL 10 § f)

Det sista skälet tar sikte på varför man egentligen har
brandväggar — så att den stackars sysadminen kan hålla systemen
körande, skyddade från det stora farliga internet. Det får sägas vara
ett ganska berättigat intresse. Enligt 10 § f) PUL är det tillåtet
att behandla personuppgifter om det är nödvändigt för att:

ett ändamål som rör ett berättigat intresse hos den
personuppgiftsansvarige eller hos en sådan tredje man till vilken
personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse
väger tyngre än den registrerades intresse av skydd mot kränkning av
den personliga integriteten.

Den registrerades intresse av skydd mot kränkning av sin personliga
integritet får sägas väga ganska lätt i det här fallet…

Men är det inte fortfarande fråga om personuppgifter om
lagöverträdelser? Sådana går in under 21 §, där undantagen i 10 §
inte är tillämpliga. Njae, inte nödvändigtvis. Det hela hänger på om
man behandlar uppgifter om att ett datorintrångsförsök begåtts, eller
om ett IP-paket med ett visst innehåll mottagits. Från förarbetena
till PUL (SOU 1997:39 s 383):

En uppgift om att någon har eller kan ha begått stöld utgör otvivelaktigt
en uppgift om lagöverträdelse även om det inte finns någon dom beträffande
brottet; uppgiften har kvalificerats till att avse något visst brott.
Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska
iakttagelser kan anses utgöra uppgifter om lagöverträdelser, t.ex. en
uppgift om att någon använt narkotika, en uppgift om att någon kört
bil mellan två orter med viss (för hög) genomsnittlig hastighet, en
uppgift om att någon som arbetar med att tömma parkeringsautomater har
privat växlat in stora mängder mynt i bank osv. Elektronisk
övervakningsutrustning, t.ex. kameror, installeras vidare ofta i
privat verksamhet just i det befogade syftet att förr eller senare
registrera lagöverträdelser, och det skulle givetvis innebära
olägenheter om registreringen blev olaglig och skadeståndsgrundande i
samma ögonblick som syftet med den uppnåtts, dvs. när genomförandet av
t.ex. ett rån registrerats. Detta talar starkt för att uppgifter om
faktiska iakttagelser om en persons handlande inte rimligen kan anses
som uppgifter om lagöverträdelser i alla de fall handlandet kan
innebära en lagöverträdelse.

Dvs: om den brandväggsansvarige inte behandlar uppgifterna i syfte att
anmäla tusentals försök till datorintrång, utan bara för att hålla
koll på vad för trafik som kommer in (kanske med syfte att spärra
framtida kommunikation från specifika IP-nummer), så är 21 § inte
tillämplig, och därmed går undantaget i 10 § f) att använda.

Summering

Det här är resultatet av en knapp förmiddags grävande i författningar och förarbeten, och är således förmodligen bristfällig och säkert åtminstone delvis felaktig. De fyra olika invändningarna tycker jag ändå pekar på att frågan är komplicerad och inte alls så självklar åt ena eller andra hållet som många vill göra gällande.

Veckans Del.icio.us-länkar

Den här veckans intressanta länkar, från del.icio.us/staffanmalmgren

Veckans Del.icio.us-länkar

Den här veckans intressanta länkar, från del.icio.us/staffanmalmgren

PM om drogtestning

Som en del i C1’an skrev jag en PM om arbetsgivares rätt att drogtesta anställda. Det är ett rätt omdiskuterat område, och jag blev förvånad över att arbetsgivare har så pass stora möjligheter att drogtesta, åtminstone om de kan motivera det med verksamhetsskäl. Frågan är helt oreglerad i lag, men det finns en del praxis i domar från arbetsdomstolen. Lagstiftning var åtminstone på gång för några år sedan med utredningen Personlig integritet i arbetslivet (SOU 2002:18), men den verkar inte ha gått vidare.

Här är PM’en (i PDF-format).

I övrigt har jag nu skrivit tentan, och har därmed har mitt första sommarlov på många många år tagit sin början. Vad det innebär för min bloggningsfrekvens vet jag inte, men jag kommer förmodligen jobba en del med lagen.nu. Åtminstone när det regnar.

Hur man slipper vänta på reparationer – lite praktisk konsumenträtt

Imorgon är det tenta, så idag återanvänder jag en text från annat forum, rörande praktisk konsumenträtt. Jag berörde ämnet i ett PM för ett tag sedan, men nu har jag även samlat på mig lite Allmäna reklamationsnämnden-praxis. Det händer inte helt sällan att man köper någon pryl som går sönder. När man går till försäljaren för att reklamera säger denne: ”OK, vi skickar den på reparation så får du den om 4-6 veckor”. Om man behöver prylen under tiden (om det exempelvis är en laptop, ett moderkort, ett modem eller något annat man behöver hela tiden), vad kan man göra då?

Enligt konsumenköplagen 22 § har man
rätt till ”avhjälpande [dvs reparation], omleverans, prisavdrag eller
ersättning för att avhjälpa felet eller häva köpet”. Man har som kund
rätt att fritt välja mellan dessa fem alternativ.

Om man nöjer sig med att kräva omleverans (dvs att få ett nytt
exemplar) enligt 26 § kan säljaren inte säga ”nänä, först ska vi
försöka reparera prylen” — såvida inte omleverandet skulle medföra en
oskälig kostnad för säljaren, vilket kanske är fallet om prylen är
specialbeställd eller -byggd, men knappast för en lagervara.

Ett väldigt upplysande exempel är ARNs referat 2003-4268, om rätten att få ett nytt exemplar av ett modem, istället för att behöva vänta på att det gamla repareras.

Säljare framhåller av någon anledning sällan att man får välja mellan
avhjälpande eller omleverans (”vill du ha en ny pryl direkt eller
vänta jättelänge på en reparation?”) — det kan iofs bero på att den
här bestämmelsen infördes ganska nyligen (2002).

Om man kräver något annat än avhjälpande eller
omleverans (att häva köpet, dvs begära pengarna tillbaka, torde vara
det vanligaste) får säljaren dock först försöka reparera eller
omleverera (27 §) *om* det kan ske inom skälig tid och utan väsentlig
olägenhet för köparen. Jag känner inte till vilka riktlinjer som finns
för ”skälig tid” och ”väsentlig olägenhet”, men den som är intresserad
kan säkert gräva fram lite praxis från ARN
.

En relaterad fråga är vad man kan göra när ens bredband eller någon annan tjänst strular. Man tycker att Konsumenttjänstlagen (KtjL) ska kunna hjälpa till där, men den har ett väldigt snävt definerat verkningsområde. I princip gäller den bara tjänster utförda på prylar man äger, inte abonemangsliknande saker.

För ett tag sedan uppmärksammade Thomas på konstig.nu mig dock om att KtjL kan tolkas analogt i sådana här fall. Det är lustigt, att göra en analog tolkning av KtjL var typ det allra första vi fick göra i JIK‘en, men jag hade helt förträngt det sedan dess.

Två svar på tal

Den första: I förrgår skrev
jag
om att det var omöjligt att hitta EG-domstolens dom i
apoteksmonopolmålet. Nu kan man hitta den här. Jag
har dock inte läst den än (den är låååång, och jag har en tenta i övermorgon…)

Jag försökte också hitta de två hovrättsdomar som handlade om
spritimportförbudets vara eller inte vara. Ingen av de bägge finns på
Domstolsväsendets
rättsinformation
, men genom Juridik Direkt (som man kommer åt som
juridikstudent) hittade jag vad som verkar vara de relevanta målen:
B194-99 i Hovrätten över Skåne och Blekinge, där de tilltalade frias
för varusmuggling (där var det dock inte fråga om internethandel), och
B1260-02 i Hovrätten för
Västra Sverige
, där TR’s domslut fastställs (som är att spriten i
fråga förverkas).

Hovrättens domar finns i de flesta fall inte på nätet. Vissa fall, som
har allmänt intresse men som inte överklagas till HD, publiceras i Rättsfall
från Hovrätterna
i anonymiserad form, och dyker då (gissningsvis?)
upp även hos Domstolsväsendets rättsinformation. Men så inte dessa två
domar.

Den andra: Förra veckan klagade jag över att det är så svårt att hitta bland internationella
normkällor
, men nyligen såg jag att Wikipedia-spinoffen Wikisource håller på
att bygga upp en samling konstitutionella
dokument
, och det finns väl ingen anledning till att den inte kan
byggas ut med även andra normkällor (så länge de inte är
upphovsrättsskyddade, vilket väl tillhör ovanligheterna). Här är EU-konstitutionen,
exempelvis.

Ännu ett nytt kopieringsskydd för CD-skivor

Wired skriver
om
ett nytt kopieringsskydd för CD-skivor, utvecklat av
First4Internet och använt på ett tiotal titlar från Sony/BMG, som
tydligen ska låta folk göra första-generationskopior av en köpt skiva,
men kopiorna ska sedan inte i sin tur gå att kopiera. Konceptet kallas
för ”Sterile Burning”, men det tekniska produktnamnet verkar vara XCP2

Den tekniska beskrivningen av XCP2 är inte uttömmande, och det ser
ut som att det bygger på någon typ av samarbete från datorn man
bränner med (”[…] is also able to integrate with second session
technologies such as Windows Media Player […]”), nästan i stil med
det autoinstallerande ”kopieringsskyddet” Mediamax CD-3 som Suncomm
försökte lura på världen förraförra året.

Om skivbranshen har ont om pengar borde de kanske sluta licensera
verkningslösa skydd från ormoljeförsäljare.
Från Cory Doctorow’s ”All Complex
Ecosystems Have Parasites
”:

Likewise, DRM has exacted a punishing toll wherever it has come
into play, costing us innovation, free speech, research and the
public’s rights in copyright. And likewise, DRM has not stopped
infringement: today, infringement is more widespread than ever.
All those costs borne by society in the name of protecting
artists and stopping infringement, and not a penny put into an
artist’s pocket, not a single DRM-restricted file that can’t be
downloaded for free and without encumbrance from a P2P network.

Den enda skiva jag har som är markerad med kopieringsskyddssymbolen
rippades hur enkelt som helst med EAC. Jag vet inte vilket av
de olika skydden den var utrustad med, men om det är så enkelt att
kringgå ett skydd att man inte ens märker att det finns där, kan man
verkligen säga att man ”kringgått” något?

Vad gällde Mediamax CD-3 så hävdar jag att ett sådant kopieringsskydd
aldrig skulle kunna betecknas som ”verkningsfyllt”. Jag menar, ett
”skydd” som bygger på att ”angriparen” har en dator som stödjer
Autoplay och kör Win32-binärer — kom igen!

Exemplet från Prop 2004/05:110 (s 414), får sägas hålla med mig:

Den tekniska åtgärden måste emellertid vara verkningsfull,
dvs. den måste ha effekt. Något krav på att åtgärden skall vara
omöjlig att ta sig förbi kan förstås inte ställas upp. Samtidigt får
den inte vara så enkel att kringgå att den överhuvudtaget inte kan
anses verkningsfull, t.ex. om man med ett enkelt handgrepp kan ta bort
en spärr eller tejpa över en kod så att spärren inte fungerar. Var den
exakta gränsen går för skydd blir en sak för domstol att
avgöra.

Jag skulle inte bli förvånad om XCP2 visar sig vara lika enkelt att
kringgå.

Som en sidnot: Nu försöker utvecklarna av sådana här skydd iallafall
adressera ett vanligt klagomål, det om att man måste få göra en privat
kopia till bilen eller sommarstugan. Och, tja, det är väl bra för de
som har en vanlig amish-CD-spelare, men själv har jag inte lyssnat på
en CD på det vanliga sättet på flera år. Jag rippar till FLAC, transcodar
eventuellt till MP3
och lyssnar genom min Showcenter eller någon
av mina bärbara musikmaskiner. JWZ om fysiska CD-skivor: ”Here in the
21st Century, they’re solely for backup