”Hemlig dataavläsning – statliga virus i frihetens och öppenhetens tjänst… eller?”
DEBATT – av Stefan Larsson, docent i teknik och social förändring och doktor i rättssociologi vid Lunds universitets internetinstitut
”Det är inte OK” sa statsminister Löfven efter terrorattackerna i Frankrike i november. Han talade om att stärka polisens befogenheter för att ta sig in i folks datorer – så kallad hemlig dataavläsning – och utredningsdirektivet (Dir. 2016:36) kom den 12 maj. Det öppna, fria, demokratiska samhället hotas av terrorismen- frtsatte Löfven – och försäkrade att regeringen skulle vidta ”de åtgärder som krävs för att upprätthålla ordningen, säkerheten och tryggheten i vårt Sverige”.
Det gick snabbt. Bara sex dagar efter de tragiska händelserna så visste man från statligt håll vilka befogenheter man behövde stärka de polisiära myndigheterna med.
Den principiellt viktiga frågan är dock hur långt man egentligen kan gå för att skydda ett öppet och fritt demokratisk samhälle med polisiära övervakningsbefogenheter innan det där fria och öppna börja tummas på av själva befogenheterna.
Vi bör således fundera ett par varv kring detta med statliga trojaner – det vill säga de spionprogram som ska infektera misstänkas datorer och telefoner – som en kommentator kallat ”en befogenhet som sträcker sig längre än någonting annat vi har sett” (Oisin Cantwell i Aftonbladet 12/5). Framförallt gällande avvägningsproblematiken, risken med att upprätthålla säkerhetshål i mjukvaror, risken med ändamålsglidning, utredningens beroende av tajming, samt hänvisningen till andra länders användning.
Avvägningarna
Det är viktigt, och helt centralt för frågan, att först konstatera att det handlar om flera lovvärda intressen som delvis är oförenliga och därför måste vägas mot varandra. Om bara ena sidan får stå för bedömningen kommer balansen att fallera.
Exempelvis alltför starka polisiära befogenheter är inte förenligt med vad som brukar kallas ett fritt och demokratiskt samhälle. Å andra sidan, ett absolut skydd för individers integritet skulle leda till att de polisiära metoderna skulle bli tandlösa – och vi behöver naturligtvis riktigt bra brottsbekämpande myndigheter.
Någonstans här finns en principiell fråga om vilken typ av samhälle och stat vi vill ha. Det finns en gräns för när statens maktmedel gällande övervakning och kontroll av medborgarna också börjar tumma på öppenheten och friheten, när demokratins skydd så att säga kan bli ”demokratins självmål”, som Wilhelm Agrell och Julia Branting uttrycker det (i SvD 1/6).
Man kan inte ha en polisstat och ett öppet demokratiskt samhälle samtidigt. Det finns dock fler värden att beakta.
Tekniken, och konsekvenserna av bevarade säkerhetsbrister
De tekniska farhågorna ser ut att ha svagast representation i utredningsdirektivet, som jag ser det – även om det konstateras att utredningen ”ska utgå från de tekniska möjligheter som finns och beakta de svårigheter vid verkställighet som kan förutses”. Direktivet beskriver mer ett behov av att ”uppdatera” metoder och att det är problematiskt med krypterad kommunikation i polisiärt arbete.
I direktiven nämns både hård- och mjukvara, mjukvarutrojaner såväl som fysisk placering av utrustning hos en misstänkt.
Den hemliga dataavläsningen, får vi mest uttolka, handlar därmed om att kringgå krypteringen – inte att bryta den – genom att bereda sig access till misstänktas datorer och telefoner innan kommunikationen blir krypterad. Men – och detta är en internationellt omdiskuterad sak – hur kan “the good guys” bereda sig tillträde, rent tekniskt, utan att hålla luckor öppna även för “the bad guys”?
Experterna säger det oftast frankt: Det kan man inte!
Ett worst case-scenario är att man därigenom bidrar till en osäkrare digitaliserad tillvaro för oss alla genom att säkerhetshål i de verktyg och tjänster vi använder inte täpps igen så snabbt som de kunde. Med den tekniska säkerhetssidan följer också frågan om relationen till de företag som utvecklar tjänster och produkter.
Här kan man dra en parallell till det uppmärksammade amerikanska San Bernardinofallet där Apple inte bistod FBI med att komma in i en mobiltelefon som ägts av den skyldige vid en masskjutning. FBI lyckades emellertid hacka sig in i telefonen, men Apple fick inte veta hur, och lämnades därmed med den publika förvissningen om att det kan finnas en säkerhetsbrist i deras produkt.
Frågan som följer gäller då myndigheternas ansvar gentemot de tjänsteutvecklare vars tjänster och produkter som arbetet med den hemliga dataavlyssningen har hittat brister i.
Sådana frågor bör rimligen vara med i utredningsdirektivet på ett mer detaljerat plan. Utredaren ska enligt direktivet framförallt inhämta upplysningar från de myndigheter som kan ha nytta av den hemliga dataavläsningen. Den utredande lagmannen, Petra Lundh, riskerar därmed att vare sig ha direktiv som styr mot frågan om teknisk osäkerhet och dess följder eller mot expertis som kan bidra med avvägda insikter (det vill säga som inte huvudsakligen har sina behov för ögonen).
Hur undviker man ändamålsglidning över tid?
En vanlig farhåga i sammanhang med statliga och polisiära befogenheter är att det ska ske en ändamålsglidning över tid, et vill säga att man inför väldigt långtgående befogenheter för att bekämpa väldigt allvarlig brottslighet – vilket har stöd hos många – och sedan sänker ribban för vilken brottslighet som får bekämpas med dessa långtgående befogenheter, vilket inte har stöd hos många.
Det omtalade Datalagringsdirektivet är exempelvis sprunget ur och motiverat av hemska bombdåd i London och Madrid och utvecklades för att bekämpa ”allvarlig brottslighet”. Förra året varnade Tele2 för att många myndigheter – bland annat Skatteverket – begärde ut den information som lagrats som en följd av direktivets implementering i Sverige.
Glidningen från argumentet kring dödliga terrordåd till småskaliga skattebrott är just en beklämmande ändamålsglidning.
Och man kan notera att tvångsmedel som införts tenderar att vara här för att stanna. Även här kan datalagringsdirektivet verka som exempel.
Trots att EU-domstolen ogiltigförklarat datalagringsdirektivet så vill inte de nationella jurisdiktionerna släppa de befogenheter som det gett – inte heller i Sverige.
Utredningens kontextuella beroende – tajmingens betydelse
Det finns även en aspekt av tajming med integritetskänslig lagstiftning, vilket inte minst förslaget dagarna efter Parishändelserna i november vittnar om – men vad betyder det att sådana här utredningar är beroende av att tajma dåliga händelser? Denna fråga kan uppfattas som kontroversiell att ens diskutera, inte minst för att det starka motargumentet är att tajmingen är avgörande eftersom det gör frågan aktuell snarare än enbart legitimerande.
Historien bjuder dock på en rad införanden av långtgående underrättelsemetoder som i i eftertankens kranka sken framstått som förblindade och överilade och här hänvisas ofta till vågen av stärkta övervakningsmandat som följde i en rad länder efter 9/11. Och för vårt specifika falls vidkommande kan man konstatera skälet till att det gick snabbt att i november ens kunna föreslå vilka befogenheter som behöver förstärkas hos de polisiära myndigheterna naturligtvis beror på att argumenten och förslaget redan fanns tillgängligt före attacken i Paris – men att det inte funnits stöd nog för att genomdrivas i en demokratiskt deliberativ process.
Beredningen för rättsväsendets utveckling (BRU) föreslog redan år 2005 att hemlig dataavläsning skulle införas som ett nytt tvångsmedel i svensk rätt men förslaget kritiserades så hårt av många remissinstanser att det inte ledde till någon lagstiftning. Kritiken handlade, i korthet, om att balansen mellan nyttan och intrång inte var klarlagd.
Både Säpo och Åklagarkammaren för säkerhetsmål uttryckte på en debatt i Rosenbad i april 2014 att de ville ha hemliga dataavläsningsbefogenheter och mottog en del kritik.
Inrikesminister Anders Ygeman pratade i media om det i slutet av augusti 2015. Visst är det ett uttryck för ett behov som identifierats av åklagare, inrikesminister, Säpo och flera, men det innebär också att det kontroversiella paketet var klart att visas upp när kontexten blev mer tillåtande. Som efter Parishändelserna i november.
Att stärka de polisiära och säkerhetsmässiga tillvägagångssätten är behov som berörda myndigheter och ansvariga ministrar rimligen uppfattar som permanenta. De finns där latent och ständigt, i linje med vad underrättelseforskaren Agrell beskrivit som “övervakningens permanenta undantagstillstånd”. Alla inblandade vet troligen att de bara bör lyftas i lägen när de kan framstå som legitima om man vill nå framgång i lagstiftningsprocessen.
En poäng här är att argumenten framstår som mest legitima direkt efter en hemsk terrorhändelse, oavsett om de specifika åtgärderna matchar händelsen eller ej, det vill säga om åtgärderna hade kunnat avhjälpa händelserna eller ej. Strikt talat visste man ju inte hur terroristerna hade kommuniceratid när man höll presskonferens om behovet av att införa hemlig dataavläsning.
Andra länder
Utredningsdirektiven hänvisar till att motsvarande lagstiftning redan finns i bland annat Tyskland och Danmark. Mycket lite är känt kring nyttan av den danska användningen – vilket är ett demokratiskt problem att vi inte får se vare sig bredden av de intrång som görs eller den förmodade nytta som intrången ska leda till.
I somras avslöjades att dansk polis köpt in italienska Hacking Teams spionprogramvara RCS (Remote Control Systems) via den israeliska återförsäljaren Nice för 4,2 miljoner danska kronor. Om den typen av handel blir fallet för Sveriges del vet vi ingenting om.
När det gäller Tyskland kan man anta att de menar den lagstiftning som reglerar den tyska federala polisens befogenheter (den så kallade Bundeskriminalamtgesetz – BKAG).
Utan att vara en expert på tysk rätt kan man först konstatera att det är riktigt att regleringen finns men också att just denna reglering nyligen prövats av den federala författningsdomstolen (BVerfG) som den 20 april i år fann att lagstiftningen gjorde ett oproportionerlig intrång i den personliga integriteten och därmed måste ändras (läs domen här).
Det som kritiserades för att vara grundlagsstridigt hade framförallt att göra med det som på engelska kan kallas ”covert surveillance measures” som fanns vara för brett och ospecifikt formulerade – speciellt i relation till privatlivets skydd.
Så – det gäller att hålla huvudet kallt och göra goda avvägningar även i tider av oro. När uppdraget redovisas i november behöver vi en ordentlig remissomgång som möjliggör en god avvägning av frågans alla relevanta sidor. Och det får inte gå för fort.
