Ett absolut måste för att kunna bekämpa terrorism och organiserad brottslighet eller ett dråpslag mot den personliga integriteten? Åsikterna om betänkandet SOU 2005:38, Tillgång till elektronisk kommunikation i brottsutredningar, som Justitiedepartementet beställt, går vitt isär.

Utredarna går igenom de förändringar i lagstiftningen som kan behövas för att underlätta och effektivisera polisens arbete med att avslöja allvarlig brottslighet – bättre möjligheter att få tag på information via elektroniska källor som mobiltelefoni och datorer.

Något de flesta remissinstanser är överens om är att rättsväsendet behöver hänga med i utvecklingen och kunna använda ny teknik för att utreda brott. Hur det ska gå till i praktiken råder det dock ingen enighet om.
På ena sidan har vi myndigheter som Rikspolisstyrelsen och Säpo som generellt tycker förslaget är bra, och på andra sidan Internet och teleoperatörer med Bahnhof i spetsen – och andra, som Journalistförbundet – som är oroade för vad det kommer att innebära för den personliga integriteten. Däremellan hittar vi till exempel Datainspektionen och Justitie­kanslern, som inte är fullt så negativa som operatörerna men klart skeptiska till vissa delar i förslaget.

Målet med utredningen, där förre Säpo-chefen Anders Eriksson varit ordförande, var att undersöka möjligheterna att effektivisera och kvalitetshöja rättsväsendets arbete. Det som har orsakat rabalder är den del som presenterades i fjol om hur elektronisk kommunikation påverkar brottsutredningar och hur rättsväsendet ska kunna arbeta effektivare på det området.

Svårt att yttra sig om sekretessbelagd teknik
Vad är det då så som är kontroversiellt i förslaget? Det är flera delar som fått kritik av en rad remissinstanser, men främst den om hur polisen ska kunna använda dataavläsning i sina utredningar – det vill säga avlyssna datorer.

Polisens problem, för att ta det först, är att de har svårt att komma åt mycket av den information som finns på misstänktas datorer – brottslingar kan kryptera den, eller helt enkelt radera den på ett sätt som gör den mycket svår att återskapa.

Utredningens förslag är att polisen ska få rätt att använda dataavläsning med hjälp av speciell mjuk- eller hårdvara. I praktiken ska polisen alltså få laglig rätt att installera trojaner och andra spionprogram på misstänktas datorer. I allvarliga fall ska polisen även få öppna misstänktas datorer och installera hårdvara som samlar upp den information som finns på datorn. Då ska det inte spela någon roll om data krypteras på hårddisken, eftersom polisens system ska kunna läsa av information medan den skapas eller läses och innan den krypteras. Enligt utredningen innebär det att polisen kan jobba mycket effektivare när det gäller att avslöja avancerad brottslighet och terrorism.

Hur det hela ska gå till rent tekniskt är oklart, och det är grunden till en del av kritiken mot förslaget. I utredningen nämns till exempel Danmark som ett exempel där liknande me­toder redan är tillåtna, men ingenting om hur det går till, hur mycket det används eller hur effektivt det är. Utredarna hävdar att de fått uppgifter om effektiviteten som de av sekretessskäl inte kan redogöra för. Samma sak är det med risken för att övervakningen ska avslöjas.

I och med att det inte finns några tekniska detaljer om hur avläsningen ska gå till blir det förstås svårare för remissinstanserna att säga vare sig bu eller bä.

Journalistförbundet är en remissinstans som verkligen inte gillar att utredningen använder sekretessargumentet. I sitt yttrande skriver Journalistförbundet att det är "närmast absurt att ta ställning till ett utredningsförslag som vill införa ett hemligt tvångsmedel och där de starkaste bevisen för dess effektivitet är sekretess­belagda".

Att dataavläsningen kan användas mot folk som inte är misstänkta utan bara kommunicerar med någon misstänkt är en annan sak Journalistförbundet vänder sig emot. Dessutom tycker de meddelarskyddet äventyras, eftersom källor som vill lämna information till en journalist anonymt kan avslöjas av avläsningen.

Bahnhof: "fullständigt skrattretande"
Bahnhof är heller inte särskilt imponerade, utan säger att "om förslagen till utökad möjlighet att bedriva hemlig avlyssning och hemlig tele­övervakning är dåligt underbyggda så är faktaunderlagen för detta förslag fullständigt skrattretande". Just sekretesskyddet gör att även Bahnhof tycker att det saknas viktig information som hade behövts för att avgöra om de nya avlyssningsmöjligheterna verkligen är så effektiva som utredningen gör gällande, och om de i sådana fall uppväger den integritetskränkning som kan uppstå.

Även Justitiekanslern, JK, har ifrågasatt hur effektiv den här övervakningen kan bli. Lite mer avancerade brottslingar brukar hålla reda på polisens metoder, och lär knappast köra på datorer utan antivirus och brandvägg. Frågan är ju om polisen verkligen kan skapa trojaner som inte antivirusen kan upptäcka. Annars kommer det här bara att hjälpa polisen att haffa de allra klumpigaste brottslingarna.

Ett alternativ vore förstås att få antivirusföretagen att modifiera sina program så att de inte larmar om de upptäcker program som lagts in av polisen. Att få alla leverantörer att gå med det lär dock bli mycket svårt, för att inte säga omöjligt – spontant känns sådana undantag som en säkerhetsrisk, och även användare som inte har någon som helst tanke på att begå brott lär ställa sig tveksamma till att använda skydd som de vet är gjorda för att släppa igenom vissa spionprogram.

Justitiekanslern: många frågetecken
JK undrar också vad som händer om vad det nu är som polisen planterat i datorn skadar data på hårddisken på något sätt. Enligt JK borde den som drabbas ha rätt till skadestånd, vilket be­tyder att polisen måste meddela den drabbade i efterhand att det var deras system som orsakade skadan.

En annan fråga JK vill ha svar på är vad som händer om den misstänkte kopplar upp sig mot en server på jobbet. Ska polisen i sådana fall också ha rätt till information som ligger på servern? Och om datorn flyttar utomlands? Avbryts avlyssningen då – eller kan polisen fortsätta avlyssningen med risk för att själva bryta mot lagen i det nya landet?

Det ska poängteras att JK trots invändningarna inte vill avstyrka att förslaget blir grund för ny lagstiftning, utan påpekar bara att det finns frågetecken som behöver rätas ut först.

Datainspektionen har heller inte mycket gott att säga i sitt remissyttrande. De undrar hur datorerna ska identifieras på ett säkert sätt – hur ska polisen vara säkra på att inte avlyssna maskiner som inte omfattas om beslutet om hemlig dataavlyssning? Identifierar man på IP-adress kan det bli problem med dynamiska IP-adresser. Dessutom ogillar Datainspektionen att polisen inte är bundna att omedelbart radera avlyssnad information som inte har med brottsutredningen att göra. Datainspektionen är så kritisk till den här delen av utredningen att den avstyrker förslaget om hemlig dataavläsning.

Operatörerna osäkra om kraven
Andra förslag som väckt kritik från i första hand operatörerna är anpassningsskyldigheten och bevarandeskyldigheten. Anpassningsskyldigheten innebär att operatörerna är skyldiga att se till att polisen kan få ut information som behövs i en brottsutredning ur operatörernas system.

Kritiken här går bland annat ut på att utredningen inte gör tillräckligt klart vad som ska omfattas av anpassningsskyldigheten, så att operatörerna inte vet vad som krävs av dem – och därmed varken hur svårt det blir rent tekniskt eller vad det kan komma att kosta.

Det blir kunderna som får betala
Om operatörerna ska stå för kostnaderna för en utvidgad anpassningsskyldighet menar Bahnhof att risken är att mindre operatörer kan slås ut eftersom de inte har lika många kunder att fördela den extra kostnaden på, vilket resulterar att de inte längre kan ha konkurrenskraftiga priser. Och minskar konkurrensen kan det leda till ytterligare höjda priser för konsumenterna i förlängningen.

Bevarandeskyldigheten handlar om att operatörerna ska tvingas spara information om kundernas aktiviteter en viss tid. Redan idag har polisen rätt att ta del av den information en misstänkt skickar och tar emot från en operatör, men får då bara ut information från och med när övervakningen börjar. Det finns en del historisk information också, men det handlar mest om sådant operatörerna behöver för faktureringen och det lagras sällan mer än sex månader. Polisen vill att operatörerna ska lagra mer och längre, vilket kan hjälpa dem att se samband och hitta tidigare kontakter som kan vara viktiga för att lösa brottet.

Här kommer utredningen inte med några direkta förslag till förändringar, men den gör ändå en del uttalanden som retat upp Bahnhof.Bland annat pekar Bahnhof på risken med att spara mejl som användarna själva inte vill ha liggande på servern. Det finns alltid en risk att någon lyckas hacka sig in på en server och få tillgång till all e-postkommunikation för privatpersoner, företag och myndigheter. Dessutom kostar det pengar att lagra allt. Bahnhof räknar med att den extra kostnaden för dem själva skulle ligga på runt två miljoner kronor – vilket motsvarar företagets hela vinst för år 2004.

Sedan är frågan hur mycket det hjälper att få ut information från operatörerna. Risken är ju att brottslingarna snabbt byter till operatörer utomlands eller driver egna mejlservrar istället. Det är en sak att få ut information från Telia eller Bredbandsbolaget – en helt annan att få det från en privat server i Rumänien eller Sudan.

Risken blir återigen att det bara är de klantigaste brottslingarna man kan fånga. De ska väl i och för sig också sättas åt, men det stora målet måste ju ändå vara att fånga de brottslingar som det är svårt eller omöjligt att komma åt utan det nya tvångsmedlet.

Post- och Telestyrelsen, PTS, är också kritisk till att operatörerna i förslaget inte får ersättning för sina utgifter i samband med anpassnings- och bevarandeskyldigheten, och vill att konsekvenserna ska utredas ytterligare innan något beslut fattas.

De är heller inte glada över förslaget att Rikspolisstyrelsen tar över ansvaret för att övervaka att opera­törerna uppfyller kraven för anpassningsskyldigheten – idag är det PTS ansvar, och de menar att det är olämpligt att den myndighet som vill få ut information därifrån också är den som ska se till att operatören uppfyller kraven. Rikspolisstyrelsen å sin sida ser inga problem.

Lättare lokalisera telefoner
Utredningen har också tittat på hur polisen bättre ska kunna lokalisera en viss mobiltelefon geografiskt. Bland annat vill utredningen att polisen ska få rätt att veta vilken basstation en viss telefon är kopplad till vid en viss tidpunkt. På så sätt kan polisen se var en misstänkt (eller i varje fall hans telefon), befinner sig, om det är i tätort, på några hundra meter när. Det skulle ge dem goda möjligheter att följa en misstänkt
utan att behöva skugga honom.

Utredningen vill också att polisen, när det gäller allvarliga brott, ska få använda övervakning även om det inte finns någon skäligen misstänkt. Bahnhof anser dock i sitt yttrande att det saknas en analys av huruvida förslagen verkligen får den verkan utredarna hävdar, och att det redovisade faktamaterialet inte räcker som grund till ny lagstiftning.

Det är också oklart om det ska vara tillåtet att använda den här metoden för att lokalisera en mobiltelefon hela tiden, eller bara när samtal pågår. Det är något Säpo också undrar över i sitt remissyttrande.

Men Rikspolisstyrelsen är nöjd ...
Det råder alltså ingen brist på kritiska röster. Men utredningen har även sina tillskyndare. I första hand är det rättsväsendet med Riks­polisstyrelsen och Säpo i första rummet.

I sitt yttrande skriver Rikspolisstyrelsen att det "är oerhört viktigt att polisen ligger i framkant när det gäller möjligheten att använda elektronisk kommunikation för att utreda brottslighet." På det hela taget tycker de att betänkandet "belyser väl de problem som polisen idag stöter på när det gäller tillgången till elektronisk kommunikation". De "ser stora effektivitetsvinster med flera av de förslag som läggs fram och välkomnar därför betänkandet".

Rikspolisstyrelsen tillstyrker det mesta utredningen föreslår, bland annat det annars så kritiserade förslaget om dataavläsning. De anser att hemlig dataavläsning egentligen inte ska ses som ett nytt tvångsmedel, mer som att de tvångsmedel som redan finns anpassas till den tekniska utvecklingen. Ett beslut om avlyssning blir helt verkningslöst om informationen krypteras, och därför måste polisen få avlyssna da­torer med nya metoder, menar Rikspolissty­relsen.

På några ställen är dock även de lite kritiska. Bland annat vill de inte att det ska behövas ett domstolsbeslut för att få ut historiska trafikuppgifter från operatörerna – det gör brotts­bekämpningen dyrare och mindre effektiv.
Istället vill de att polisen ska få ökad möjlighet att begära ut trafikuppgifter utan att gå till domstol.

... och det är Säpo också.
Säpo är också nöjda med utredningen och skriver att "de överväganden som ligger till grund för förslagen i betänkandet väl speglar de motsättningar som kan finnas mellan effektivitet och eventuellt intrång i den personliga integriteten och hur denna avvägning bör falla ut i de frågor som behandlas i betänkandet". De är dock, precis som Rikspolisstyrelsen, missnöjda med att det inte föreslås bli obligatoriskt att registrera sig när man köper kontantkort till mobilen. Idag är det omöjligt för polisen att veta vem som använder ett kontantkort. Med en obligatorisk registrering skulle det bli mycket enklare.

Det var nu inte utredningen inne på, och and­ra remissinstanser har pekat på att det knappast vore något problem för brottslingar att anlita en A-lagare eller annan lämplig bulvan att göra själva inköpet.

Långt kvar till lagförslag
Huruvida förslaget omvandlas till lag återstår att se. Svaren från ett 50-tal remissinstanser kom in i julas, och nu ska Justitiedepartementet sammanställa materialet. Med så många svar kommer det att ta sin tid, och det lär dröja åtminstone ett år innan departementet kan lämna över något förslag till lagrådet – som sedan ska gå igenom det innan riksdagen kan fatta beslut om eventuella lagändringar.

Men till slut blir det upp till riksdagen att göra avvägningen. Bättre möjligheter för polisen att bekämpa allvarliga brott eller värnande om den personliga integriteten och operatörernas finanser (och i förlängningen konkurrens och prisbild)?

Det råder knappast någon tvekan om att polisen behöver nya möjligheter om de ska kunna hålla jämna steg med den avancerade brottsligheten. Frågan är hur mycket integritet vi är redo att ge upp.

I USA har den debatten rasat sedan den 11 september 2001. I Sverige är det först nu den börjar komma igång på allvar. Om SOU 2005:38 helt eller delvis är rätt väg att gå råder det väldigt delade meningar om – men nu har vi alla fall något konkret att diskutera, och bara det är värt en del.


EU:s avlyssning tandlös men accepterad
Det är inte bara svenska staten som vill få bättre möjligheter att avlyssna och övervaka elektronisk trafik. Det finns också ett EU-direktiv om att myndigheterna enklare ska kunna ta del av elektronisk kommunikation genom att operatörerna ska tvingas lagra meddelanden en viss tid.

En som tittat närmare på det här förslaget är Jacob Palme, professor vid Data- och Systemvetenskapliga institutionen på KTH, och han är inte särskilt imponerad.

– Om jag förstår det rätt så är det inget problem att implementera det, men det blir en väldigt ofullständig loggning, säger han. Det är bara den e-post som passerar en e-postväxel som drivs av en Internetleverantör som kommer att loggas, och en stor andel av e-posten på internet går direkt från avsändare till mottagare via exempelvis ett företags e-postväxel och passerar aldrig någon Internetleverantörs e-postväxel.

Direktivet verkar inte vara inne på att utöka kraven till att gälla all e-post som går över internet. Det skulle också vara svårt att åstadkomma i praktiken:
– Då skulle det bli stora tekniska problem, för Internet är inte byggt för att all e-post ska behöva gå via centrala meddelandeväxlar som drivs av e-postleverantörer, säger Jacob Palme.

Risken finns därför att direktivet bara kommer att drabba dem som inte kan hitta vägar runt övervakningen.
– De kommer bara att logga de okunniga personernas aktiviteter, och inte de intelligentas.

Rent generellt tror dock Jacob Palme att övervakningen kommer att öka, och att det inte kommer att bli något stort ramaskri från medborgarna, utan att de flesta kommer att acceptera det så länge myndigheterna sköter det snyggt och så länge möjligheterna inte missbrukas.
– Min uppfattning är att folk inte är rädda för kränkning av personlig inte­gritet, utan de är rädda för otillbörlig kontroll och styrning, säger han. Problemet som folk ser det är inte kränkningen i sig utan vad den används till.


Stora nedskärningar i integriteten
Förutom SOU 2005:38 är ytterligare fyra lagförslag som påverkar den personliga integriteten på gång
under året.

§
Hemlig rumsavlyssning ska ge polisen rätt att bugga, och preventiv telefonavlyssning utökar polisens möjligheter att använda telefonavlyssning för att upptäcka brott innan de begås. Vidare finns det förslag på att poliser ska få bära dold mikrofon och att poliser och andra tjänstemän ska få uppträda under falsk identitet.
§
Dessutom har det presenterats en rad lagförslag som kan på­verka integriteten, men där det är oklart när de kan läggas fram för riksdagen. Här hittar vi bland annat EU:s direktiv när det gäller lagring av elektronisk information för operatörer.

§
En del lagar har redan antagits, som ökad användning av DNA-registrering och rätten att använda överskottsinformation, det vill säga information som kommit fram i en annan utredning.

SOU 2005:38 i PDF-format.
Bahnhofs remissyttrande med en hel del allvarlig kritik mot utredningsförslaget.
Vad Justitiekanslern tycker om SOU 2005:38
Data­inspektionen redogör för sina invändningar i sitt remissvar
Polisen är dock positiva till förslaget. Här är deras eget remissyttrande


Skärmdump
Inte bara för laglydiga. Polisen vill använda trojaner och spionprogram för att övervaka misstänktas datorer, men frågan är om de verkligen kan överlista brandväggar och antivirusprogram – som även kriminella säkerligen lär använda.

Av Kent Olofsson
Artikeln publicerades ursprungligen i Säkerhet & Sekretess nummer 3/2006. Du kan prenumerera på tidningen här.