IIS nyhetsbrev om internets styrning

IIS nyhetsbrev om internets styrning
september 2015
Från 10 juni 2015 har .se bytt namn till ”Internetstiftelsen i Sverige” (IIS).
På IIS vill vi med detta brev bidra till omvärldsbevakningen av den komplexa processen för
internets styrning. Sammanställningen gäller utvecklingen i Sverige, EU och globalt, och fokuserar i
första hand på händelser som rör institutionell utveckling. Brevets innehåll är en kortfattad
inventering och pekare mot aktuella frågor. Tematiska fördjupningar, kommentarer och åsikter
ligger i bilaga. Ibland ligger åsikter också i inledande sammanfattning.
Från 10 juni 2015 har .se bytt namn till ”Internetstiftelsen i Sverige” (IIS). På engelska heter vi: The
Internet Foundation in Sweden (IIS).
Innehåll
Förenta nationerna.................................................................................................................................................................. 4
Inför WSIS +10 ..................................................................................................................................................................... 4
Internet Governance Forum ........................................................................................................................................... 4
ICANN............................................................................................................................................................................................ 4
Konkurrens i domännamn .............................................................................................................................................. 4
Rätten till data, i och utanför det egna landet ......................................................................................................... 5
Den globala marknaden för domännamn ................................................................................................................. 5
Avlyssningen ......................................................................................................................................................................... 6
Ett snabbare mobilt internet .......................................................................................................................................... 6
Bilaterala digitala rustningssamtal mellan Kina och USA .................................................................................. 6
Google fällt i Ryssland ....................................................................................................................................................... 7
Strategiskt om en digital inre marknad ..................................................................................................................... 8
EU-institutionernas arbete det kommande halvåret ........................................................................................... 9
Paraplyöverenskommelse om integritet i transatlantiskt datautbyte .......................................................... 9
Överföring av personuppgifter enligt Safe Harbour-avtalet ifrågasatt ..................................................... 10
Mer om transnationell hantering av data............................................................................................................... 11
En reviderad svensk säkerhetsskyddslag .............................................................................................................. 12
Ny spelutredning .............................................................................................................................................................. 12
SNS diskuterar digital utveckling .............................................................................................................................. 12
Centrum för Rättvisa mot staten om FRA-lagen ................................................................................................. 13
Karlstads universitet koordinerar forskningsprogrammet Privacy.Us ..................................................... 13
Bilaga: EU-institutionernas arbete det kommande halvåret .............................................................................. 14
En strategi för en digital inre marknad .............................................................................................................. 14
En inre marknad för telekom ................................................................................................................................. 14
Handel och betalningar online ............................................................................................................................... 14
Sida 2 av 20
Privacy online ............................................................................................................................................................... 14
Media, upphovsrätt och mellanhandsansvar ................................................................................................... 15
Bilaga: En reviderad svensk Säkerhetsskyddslag.................................................................................................... 16
Ändrad syn på vad som är skyddsvärt ............................................................................................................... 16
Den nya lagens räckvidd........................................................................................................................................... 16
Närmre en precisering .............................................................................................................................................. 17
Vad som ska regleras i den nya lagen ...................................................................................................................... 17
En obligatorisk säkerhetsskyddsanalys – också för civila verksamheter............................................ 17
Kommentarer..................................................................................................................................................................... 18
Bilaga: En ny svensk spelutredning............................................................................................................................... 19
Kommentarer, synpunkter eller frågor:
Staffan Jonson, .IIS, internetstiftelsen i Sverige, Box 7399, 103 91 STOCKHOLM
tel 073-317 39 67, [email protected], www.iis.se
Tidigare nyhetsbrev: https://www.iis.se/lar-dig-mer/styrningen-av-internet/nyhetsbrev-ominternets-styrning/
Sida 3 av 20
Globalt
Förenta nationerna
Inför WSIS +10
15-16 december hålls World Summit on the Information Societys 10-årsuppföljning (WSIS +10) vid
FN i New York. Ett särskilt s.k. Non-paper blev publikt i september.1Papperet kondenserar
hundratals sidor text till planerna för mötet. Synpunkter på pappret samlas här.2 Bland annat
föreslås ett förlängt mandat för Internet Governance Forum (IGF), fem eller tio år. Vissa vill se ett
nytt globalt toppmöte för internet. En särskild ståndpunkts-matris för medlemsländerna har tagits
fram av ISOC.3 Där redogörs hur respektive regering vill se WSIS-implementeringen framöver.
Processen följs mer i detalj av en initierad skribent.4
Internet Governance Forum
I september blev det klart att 2015 års Internet Governance Forum (IGF) i Brasilien kommer att ha
samlingsrubriken "IGF Policy Options for Connecting the Next Billion". En skrivskyddad version av
den fortfarande föränderliga agendan går att finna här.5
I september hölls i Armenien ett lokalt Internet Governance Forum (IGF) i Jerevan.6
Nästan samtidigt hölls ett fjärde Internet Governance Forum för Afrika.7
ICANN
Konkurrens i domännamn
I september publicerade ICANN en rapport8 rörande konkurrensen i domännamn efter det att nya
toppdomäner publicerats. ICANN remitterar rapporten till allmänheten, med sista svarsdatum 7
november.9
http://unpan3.un.org/wsis10/Portals/5/WSIS%2010%20GA/WSIS%20nonpaper%20draft%20%20final.pdf
2 http://unpan3.un.org/wsis10/Preparatory-Process-Roadmap/Written-Comments-on-Non-paper
3 http://www.internetsociety.org/wsis/matrix
4 http://linguasynaptica.com/deconstructing-the-wsis10-non-paper/
5 https://docs.google.com/document/d/1aogcq3iqzBRKTRSQlGAuSRvMi8c4rF1GgASoK5vhQbk/
6 http://armigf.am/
7 http://afigf.org/ Webcast: https://livestream.com/internetsociety/afigf2015
Twitter hashtag: #AfIGF2015 - https://twitter.com/hashtag/afIGF2015
8 http://newgtlds.icann.org/en/reviews/cct/competitive-effects-phase-one-assessment-28sep15-en.pdf
9 https://www.icann.org/public-comments/competitive-effects-assessment-2015-09-28-en
1
Sida 4 av 20
Rätten till data, i och utanför det egna landet
Politico skriver om ett uppmärksammat fall som utmanar den amerikanska statens legala räckvidd
då det gäller data lagrad på servrar utomlands. Det amerikanska justitiedepartementets (DoJ) har
tidigare krävt att få ta del av e-post lagrad på servrar i Dublin. Microsoft har utmanat dessa krav.
Irland är ett av länderna som redan skrivit bilaterala avtal (s.k. MLAT:ar10)med USA för att reglera
datautlämning. Trots avtalen utmanar alltså företaget sitt justitiedepartement angående vem som
ska tillhandahålla lagrad data.
Enligt det amerikanska Justitiedepartementet ’ägs’ den Dublin-baserade e-posten av Microsoft
eftersom företaget kontrollerar den, dvs. det behövs bara ’några musklick’ för att ta fram den.
Microsoft å sin sida argumenterar att e-posten regleras av irländsk lag, varför departementet i
stället får vända sig till den irländska regeringen för att få e-posten tvångsutlämnad via det
bilaterala avtalet länderna emellan.
I den amerikanska Kongressen cirkulerar ett lagförslag som syftar till att täppa till otydligheten i
fallet.11 Där framgår att fallet är mer komplicerat, eftersom det amerikanska departementet också
påpekar att amerikanska myndigheter kan komma att lämna ut data lagrad i USA till annat land.12
Ett liknande fall uppmärksammades av New York Times. Apple har sedan en tid tillbaka i allt större
utsträckning börjat kryptera sina iPhones. Tidningen rapporterade13 i september hur det
amerikanska justitiedepartementet begärt att Apple ska lämna ut krypterade textmeddelanden. I
det här fallet vände sig alltså rättsvårdande myndigheter direkt till hårdvaruleverantören, och inte
till operatörerna.
Att regeringar ska kunna rekvirera kryptonycklar till elektronisk kommunikation
problematiserades av en grupp kryptografer i en rapport14 från juli i år.15
Den globala marknaden för domännamn
Företaget Verisign rapporterade nyligen att den globala marknaden för domännamn i slutet av juni
i år uppgick till ca. 296 miljoner. Därmed väntas 300 miljonersvallen sprängas under slutet av 2015.
Av dem utgjorde domännamn under toppdomänerna .COM och .NET tillsammans ca. 133 miljoner.
Domännamn under .SE ligger straxt under 1,4 miljoner domännamn. Under andra kvartalet 2015
var det genomsnittliga antalet domännamnsfrågor som administreras av Verisign ca 111 miljarder
frågor om dagen. 16
10
11
MLAT: mutual legal assistance treaties
https://www.congress.gov/bill/114th-congress/house-bill/1174/related-bills
12
http://www.wsj.com/articles/justice-department-says-other-nations-may-access-customer-datastored-in-u-s-1441825599
13 http://www.nytimes.com/2015/09/08/us/politics/apple-and-other-tech-companies-tangle-with-usover-access-to-data.html
http://dspace.mit.edu/bitstream/handle/1721.1/97690/MIT-CSAIL-TR-2015-026.pdf
http://www.nytimes.com/2015/07/08/technology/code-specialists-oppose-us-and-british-governmentaccess-to-encrypted-communication.html
16 www.verisign.com/en_US/innovation/dnib/index.xhtml
http://www.circleid.com/posts/20150917_global_domain_registrations_edge_closer_to_300m_verisign/
14
15
Sida 5 av 20
Avlyssningen
En initierad bloggare rapporterar17 flera intressant länkar om avlyssningen. Bland annat lär vi oss
att det amerikanska Justitidepartementet (DoJ) granskar två myndigheter för deras användning av
data insamlad av den amerikanska säkerhetstjänsten NSA.18 Någon månad efter Edward Snowdens
avslöjanden blev det också publikt att amerikanska Drug Enforcement Administration (DEA) nyttjat
uppgifterna till helt andra verksamheter än ursprungligen avsett.
The Intercept bekräftar i en lång och detaljerad artikel19 brittiska säkerhetstjänsten GCHQ:s mål att
kunna avlyssna all elektronisk kommunikation.20 Det nya handlar i huvudsak om avlyssningens
omfattning.
Ett snabbare mobilt internet
New York Times rapporterar att stora tech-bolag planerar åtgärder för snabbare laddning av
internet, särskilt till mobila enheter.21 Projektet handlar om att utveckla en universell standard för
publicering online. Projektet beskrivs som angeläget särskilt för Twitter och Google, eftersom deras
affärsmodeller sägs var mer beroende av att användarna stannar på en publik plattform.
Bilaterala digitala rustningssamtal mellan Kina och USA
Ordkriget mellan Kina och USA fortsätter när det gäller internetsäkerhet. Amerikanska intressen
klagar öppet på kinesiska försök att hacka amerikanska intressen, och kinesiska staten svarar med
Edward Snowden.
I maj publicerades ny Kinesisk säkerhetslagstiftning. I den ingår bl.a. planer på en nationell
säkerhetsgranskning av IT-industrin. I det ingår granskning av nätverkstjänster och andra
investeringar i Kina som görs av utländska investerare (läs: de stora internetbolagen).
Den kinesiske presidenten besökte USA i september. I anslutning till det högnivåmötet träffades
också kinesiska och amerikanska tjänstemän för att diskutera s.k. cyberfrågor.22
Inför mötet kom USA:s president att kritisera Kinesiska regler eftersom de anses missgynna
amerikanska bolag i Kina. Facebook och Googles innehåll är redan idag filtrerade i landet, och ges
inte tillgång till den kinesiska marknaden. Trots denna begränsning ser många företag det som
angeläget att etablera sig på en kinesisk marknad.
New York Times rapporterar att de två länderna förhandlar vad som beskrivs som världens första
överenskommelse om vapenkontroll i cyberspace. Enligt rapporterna handlar det om ett ömsesidigt
åtagande att inte vara den som först försöker skada kontrahentens kritiska infrastruktur,
åtminstone inte i fredstid.23
henrikalexandersson.blogspot.se
http://www.dailydot.com/politics/nsa-dea-fbi-snowden-doj-oig/
19 https://theintercept.com/2015/09/25/gchq-radio-porn-spies-track-web-users-online-identities/
20 https://www.privateinternetaccess.com/blog/2015/09/gchq-is-building-a-stasi-archive-on-steroids-whyare-people-still-surprised/
21 http://www.nytimes.com/2015/09/12/technology/google-twitter-and-publishers-seek-faster-web.html
http://recode.net/2015/09/11/google-tries-its-own-version-of-instant-articles-with-a-twist/
22 http://www.reuters.com/article/2015/09/13/us-usa-china-cybersecurity-idUSKCN0RC0S420150913
23 http://www.nytimes.com/2015/09/17/technology/china-tries-to-extract-pledge-of-compliance-from-ustech-firms.html
http://www.nytimes.com/2015/09/20/world/asia/us-and-china-seek-arms-deal-for-cyberspace.html
17
18
Sida 6 av 20
Google fällt i Ryssland
Wall Street Journal rapporterar att Google fällts i en konkurrensrättslig process för att ha nyttjat sin
dominanta marknadsposition i Ryssland.24 Ärendet öppnades i februari 2015, och nu har ett första
resultat publicerats.
http://www.circleid.com/posts/20150921_us_and_china_negotiating_cyeberwarfare_control_deal/
24 http://www.wsj.com/articles/google-found-guilty-of-abusing-dominant-market-position-in-russia1442250025
Sida 7 av 20
Europa
Strategiskt om en digital inre marknad
EU-kommissionen har i maj föreslagit en strategi för en fullt ut integrerad digital inre marknad
(DSM).25 Strategin syftar till att systematiskt undanröja de hinder som fortfarande separerar 28
medlemsländers nationella marknader. Strategin består av såväl hårda (lagstiftnings-) som mjuka
(andra) åtgärder. Enligt Kommissionen ska det ske genom att förenkla tillgång till digitala varor och
tjänster, skapa gynnsamma villkor för digitala nätverk och tjänster, samt genom att maximera
potentialen för ekonomisk tillväxt. Mer precisa åtgärder listas här.26
I september öppnade EU-kommissionen för offentlig konsultationer27 (remisser) och debatt om hur
internet och telekom i Europa ska regleras i framtiden.28 Processen är nu inne i en publik hearing
på området.29
Perspektivet är långsiktigt (år 2020), och handlar om mer än den historiska ryggraden i europeisk
IT-politik - utbyggnad av bredbandsinfrastruktur. Det är i praktiken också ytterligare en ny revision
av telekomregleringen.
I september har särskilt två remisser uppmärksammats. Dels vill man ha in allmänhetens
synpunkter på det regulativa ramverket för telekomreglering,30 och dels inspel om internetaccess.31
Två av Kommissionens remisser32 stänger 7 december.
Parallellt med remissperioden kommer EU-parlamentet under hösten att diskutera förslagen.
Rapportörer är Evelyn Gebhardt (IMCO) och Kaja Kallas (ITRE). 33 Operatörernas
intresseorganisation etno34 publicerade i anslutning till denna process en rapport om ändrade
konsumentmönster i Europa.
25
http://epthinktank.eu/2015/09/18/a-digital-single-market-strategy-for-europe/
26
http://www.europarl.europa.eu/RegData/etudes/BRIE/2015/568325/EPRS_BRI%282015%29568325_EN.
pdf
27 https://ec.europa.eu/digital-agenda/en/news/public-consultation-evaluation-and-review-regulatoryframework-electronic-communications
28 Det handlar om digitala inre marknaden, eller DSM-Digital Single Market i jargongen:
https://ec.europa.eu/digital-agenda/en/news/have-your-say-internet-speed-quality-european-commissionlaunches-360deg-review-telecoms-rules
29 http://ec.europa.eu/priorities/digital-single-market/
30 https://ec.europa.eu/digital-agenda/en/news/public-consultation-evaluation-and-review-regulatoryframework-electronic-communications
31 http://ec.europa.eu/digital-agenda/en/news/public-consultation-needs-internet-speed-and-qualitybeyond-2020
32 https://ec.europa.eu/digital-agenda/en/news/public-consultation-needs-internet-speed-and-qualitybeyond-2020#SV och https://ec.europa.eu/digital-agenda/en/news/public-consultation-evaluation-andreview-regulatory-framework-electronic-communications
33 IMCO är Europaparlamentets utskott för inre marknaden och konsumentskydd. ITRE är parlamentets
utskott för Industrifrågor, forskning och energi. Gebhardt är tysk socialdemokrat, och Kallas benämns estnisk
liberal
34 European Telecommunications Network Operators Association
Sida 8 av 20
Som också rapporterats tidigare har den svenska regeringen förberett genom en konsultframtagen
rapport35, som publicerades i vintras. Rapporten är underlag för ett svenskt ställningstagande på
området.
EU-institutionernas arbete det kommande halvåret
I bilaga inventeras ett urval av de europeiska institutionernas aktivitet under det kommande
halvåret.
Paraplyöverenskommelse om integritet i transatlantiskt datautbyte
EU-kommissionen meddelade i september att förhandlingarna för den s.k.
paraplyöverenskommelsen mellan EU och USA är klara. Överenskommelsen avser ett samarbete
mellan rättsvårdande myndigheter i USA resp. EU då det gäller utbyte av data (t.ex. namn, adresser,
brottsregister med mera). Överenskommelsen initierades redan 200936 i Parlamentet. Den har
också koppling till Dataskyddsdirektivet.37
Enligt Kommissionens pressmeddelande38 ska överenskommelsen skapa rutiner och garantier för
laglig dataöverföring (”lawfulness for data transfer”). Det ska i sin tur stärka fundamentala
rättigheter i transatlantiskt polissamarbete samt ’återställa förtroende’ (”restoring trust in
transatlantic relations”).
Kommissionen förklarade vidare i sitt pressmeddelande att EU-medborgare med
överenskommelsen kommer att gynnas av samma behandling och juridiska skydd som
amerikanska medborgare har då det gäller skydd av personlig integritet i transatlantiskt
datautbyte.
I ett tal nyligen argumenterade också Jean-Claude Juncker för att USA bör ge alla EU-medborgare
rätt att väcka talan i amerikansk domstol, när det gäller skydd av personliga uppgifter, och oavsett
om man bor i USA eller inte. Det senare var emellertid ett led i förhandlingarna39 om hur saker
borde vara, och inte en bekräftad konsekvens av överenskommelsen.
Internetkramarna Access granskar40 överenskommelsen mer kritiskt. Access konstaterar att
överenskommelsen inte automatiskt ger EU-medborgare rätt att få innehåll på nätet reviderat eller
borttaget utifrån integritetsintrång. Ett eventuellt skydd av EU-medborgare vilar i stället på ett
amerikanskt lagförslag som f.n. bereds.41
http://www.regeringen.se/rapporter/2015/02/digitala-tjanster---gemensamma-regler-ger-tillvaxt-ieuropa/
36 http://ec.europa.eu/justice/data-protection/index_en.htm
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:117E:0198:0206:EN:PDF
37 (95/46/EG)
38 http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm
39 http://www.out-law.com/en/articles/2014/june/us-commits-to-recognising-eu-citizens-privacy-rightsin-the-us/
40 https://www.accessnow.org/blog/2015/09/10/what-the-e.u.-u.s.-umbrella-agreement-does-and-doesnot-mean-for-privacy
35
http://www.out-law.com/en/articles/2015/september/new-eu-us-data-protection-umbrellaagreement-on-ice-until-us-passes-new-legislation/
41
https://www.congress.gov/bill/114th-congress/house-bill/1428
Sida 9 av 20
Överföring av personuppgifter enligt Safe Harbour-avtalet ifrågasatt
På kontrakurs mot den ovan beskrivna paraplyöverenskommelsen meddelade42 EU:s
Generaladvokat Yves Bot i slutet av månaden sin bedömning att det s.k. Safe Harbour – avtalet är
ogiltigt.43 Generaladvokatens bedömning brukar ha tydligt genomslag i domstolen. Upprinnelsen är
den snart välkände Österrikiske jurist-studenten Max Schrem som gör livet surt bl.a. för Facebook
när det gäller integritet online.44
Sedan ovanstående skrevs har EU-domstolen 6 oktober bekräftat i ett pressmeddelande45 att man
bedömer det s.k. Safe-Harbour avtalet ogiltigt.46
Safe Harbour-avtalet slöts år 2000, och reglerar bl.a. transatlantiskt utbyte av personuppgifter
mellan Europa och USA. Det är ursprungligen en förenklad process för att möjliggöra för
amerikanska företag att på ett lagligt sätt underkasta sig det europeiska Dataskyddsdirektivet.47
Det nya i Generaladvokat Yves Bots argumentation utgår enligt EU-observer och pressmeddelandet
från tre huvudsakliga budskap:
 eftersom Safe Harbour-avtalet bör kunna anses ogiltigt, står det enskilda europeiska
medlemsstater fritt att blockera överföringen av personuppgifter till USA.

den storskaliga amerikanska insamlingen också av europeiska personuppgifter behöver mötas
med en möjlighet till rättsligt skydd i USA för EU-medborgare. Det senare tolkas som att
eftersom Europeiska medborgares personuppgifter överförs i stor skala till USA, behöver de
också ha möjlighet att väcka talan i amerikansk domstol för skydd av samma uppgifter.

Slutligen menar han att amerikanska underrättelsemyndigheters omfattande tillgång till
europeiska medborgares personuppgifter inte står i rimlig proportion till motsvarande ingrepp i
den personliga integriteten.
Safe Harbour-reglerna är redan idag en förutsättning för de stora internetföretagens möjlighet att
tillhandahålla en universellt enhetlig tjänst. Konsekvenserna av att avtalet nu underkänts kan bli
mycket långtgående. Exempelvis kan nationell fragmentisering av data antas medföra mycket stora
kostnader, och dessutom utgöra stora praktiska hinder. Branschen har under många år baserat
affärsmodeller och design av tekniska system utifrån reglerna i avtalet. Som påpekats av
Dataskydd.net är Safe Harbour-avtalet exempelvis en grundbult i den nya myndighetsdatalag som
presenterades under året av det svenska Justitiedepartementet.48
Varje Europeisk medlemsstat har nu att ta ställning till Safe Harbour – avtalets gilitighet i den
nationella lagstiftningen. I de fall medlemsstaterna underkänner avtalet kan stora utbyten av
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-09/cp150106sv.pdf Där påpekas
emellertid att Generaladvokatens åsikt inte år bindande för EU-domstolen.
43 https://euobserver.com/justice/130397
44 Bakgrundsbild tecknas bl.a. här: http://eulawanalysis.blogspot.be/2015/09/american-mass-surveillanceof-eu.html
45 http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf
46 https://edri.org/safeharbor-the-end/
47 https://en.wikipedia.org/wiki/Data_Protection_Directive
48 http://www.svd.se/dataoverforingar-till-usa-ska-stoppas/om/debatt
42
Sida 10 av 20
personuppgifter komma att avbrytas. Det kan exempelvis handla om allt från passageraruppgifter i
internationell flygtrafik, till uppgifter om internationella banktransaktioner till individuella
e-postkonton.
Mer om transnationell hantering av data
Första oktober aviserades en dom49 från EU-domstolen i Luxemburg. Det är tillämpningen av
Dataskyddsdirektivet50 som stod i centrum. Domen handlar bl.a. om svårigheterna att tillämpa
direktivet och särskilt tillsyn av direktivet då en internettjänst ligger ‘grensle’ över flera
medlemsländers nationella lagar. Det är i många fall oklart vilkets lands lagstiftning och därmed
tillsynsmyndighet som ska gälla.
I detta fall handlar det om det Slovakiska företaget Weltimmo, och en web-baserad tjänst för
bostäder ( ?) bl.a. i Ungern. Tjänsten inbegriper gränsöverskridande fordringar på betalningar för
hantering av personliga uppgifter.
49
50
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150111en.pdf
95/46/EC
Sida 11 av 20
Sverige
En reviderad svensk säkerhetsskyddslag
I september gick remisstiden ut för utredningen (2015:25) En nya Säkerhetsskyddslag.51 Det var i
december 2011 som regeringen beslutade att göra en översyn av den befintliga
Säkerhetsskyddslagen. Under 2015 har förslaget remitterats.
Genomgripande för utredningen är en ändrad syn på vad som är skyddsvärt. Det sker i utredningen
en perspektivförskjutning från skydd av strategiskt viktig information, ofta inom försvarsmakten,
till stabilitet, säkerhet och upprätthållande av redundans i kommunikationstjänster, oftare i civila
verksamheter.
Exempelvis ska ”…skyddsvärda it-system för bl.a. ledning, styrning, reglering och övervakning av
samhällsviktiga funktioner.” träffas av den framtida säkerhetsskyddslagen. Det är ”… systemens
tillgänglighet och informationens riktighet…” som i framtiden blir viktigare än hemlighållande av
strategisk information.
Utredaren påpekar att framtida lagstifning på området kommer att träffa ”…fast och mobil telefoni
samt internet, it-kommunikation och radio. / - - - / driftlednings-centraler och centrala
kopplingspunkter med utrustning för trafik-utbyte och signalering, större transmissionsnät samt
samverkans-punkter för signalspaning vara skyddsvärda funktioner.
Det ska enligt lagen införas en ”…grundläggande skyldighet för den som ansvarar för en
säkerhetskänslig verksamhet att utreda behovet av säkerhetsskydd (se avsnitt 13.2), vidta
säkerhetsskyddsåtgärder…” etc. Ändring av befintliga it-system, ska ske i obligatoriskt samråd med
SÄPO.
I bilaga utvecklas beskrivningen av förslaget.
Ny spelutredning
Regeringen beslutade i september på nytt att utreda spelande, och då särskilt spel på internet.52
Bland annat utreds införandet av ett svenskt licenssystem som bas för att få tillhandahålla
speltjänster. I bilaga utvecklas åsikter om utredningen.
SNS diskuterar digital utveckling
Studieförbundet Näringsliv och Samhälle (SNS) är nästa svenska organisation som satsar på
kunskapsbaserad diskussion om digitaliseringens möjligheter och utmaningar.53 Under parollen
SNS Digitech Forum ska tankesmedjan hålla en serie seminarier för de som söker fördjupad
kunskap om den digitala ekonomin. Det första mötet äger rum den 21 oktober och handlar om hur
företag kan skapa nya värden i nätverkssamhället.
http://www.regeringen.se/contentassets/08d4b02afbc348edad916de817105a9c/en-nysakerhetsskyddslag-sou-201525 och http://www.regeringen.se/rattsdokument/statens-offentligautredningar/2015/03/sou-201525/
52 http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6262666
53 http://www.sns.se/artikel/sns-digitech-forum
51
Sida 12 av 20
Centrum för Rättvisa mot staten om FRA-lagen
Den svenska FRA-lagen är alltjämt under en lågintensiv jäsning. Centrum för rättvisa (CFR) tog i
mars 2011 Regeringen till Europadomstolen för mänskliga rättigheter, eftersom man ifrågasätter
om FRA-lagen lever upp till Europakonventionens krav på skydd för privatlivet.54 Centrum för
rättvisa lämnade i augusti ett yttrande, och regeringen har – utöver det yttrande man lämnade 8
maj i år - fram till 8 oktober på sig för kompletterande yttranden. Såvida inte något oväntat händer,
bedömer CFR att Europadomstolen därmed relativt snart ska kunna ta ställning i målet.
Karlstads universitet koordinerar forskningsprogrammet Privacy.Us
På Webben55 skriver universitet:
”Studenter från hela världen får nu möjlighet att söka till ett internationellt forskningsprogram där
blivande doktorander får lära sig mer om att förbättra säkerheten på internet. Det innebär alltifrån
ditt privata användande av mobiltelefonen till företagens hantering av dina uppgifter på internet.
Fokus kommer ligga på användarvänliga verktyg och skydd av den personliga integriteten.
Forskningsprogrammet och det internationella träningsnätverket Privacy.Us omfattar 34 miljoner
kronor och det är Datavetenskap vid Karlstads universitet som har fått förtroendet att kordinera det
internationellt omfattande programmet som är kopplat till EU:s ramprogram Horizon 2020 och Marie
Curie-åtgärderna.”
http://centrumforrattvisa.se/personlig-integritet/centrum-for-rattvisa-tar-fra-lagen-tilleuropadomstolen/
55 http://www.kau.se/om-universitetet/aktuellt/nyheter/artiklar/13506
54
Sida 13 av 20
Bilaga: EU-institutionernas arbete det kommande halvåret
En strategi för en digital inre marknad
Under hösten remitterar EU-kommissionen sitt långsiktiga arbete för en digital inre marknad
(Digital Singel Market – DSM). I EU-parlamentet är Evelyn Gebhardt IMCO) och Kaja Kallas (ITRE)
rapportörer. Allmänhetens remisstid sträcker sig till 7 december 2015.
Efter nyår ska en handlingsplan för förvaltnings-utveckling presenteras. Planen är en del DSMarbetet.
En inre marknad för telekom
Under hösten fortskrider arbetet med en inre marknad för telekom (Telecoms Single Market TSM).
Som tidigare rapporterats innehåller paketet de senaste årens kanske mest uppmärksammade
frågorna, dvs. regler för nätnuetralitet och avskaffandet av roamingavgifter inom unionen.
EU-Rådet röstar 1 oktober
EU-parlamentets utskott ITRE röstar 12-13 oktober
Parlamentet röstar i plenum 26-29 oktober
Reglerna om nätneutralitet väntas gälla från 1 april 2016
Handel och betalningar online
 Trede kvartalet 2015 har regler för gränsöverskridande e-handel remitterats till allmänheten.
Remissen stängde 3 september.
 Utredning av konkurrens i online-handel har remitterats hösten 2015, och väntas vara
samanställt våren 2016.
 Frågan om s.k. Geo-blocking har utretts56 under hösten. Lagförslag kan väntas under våren 2016.
Privacy online
 Data-skyddsreformen fortsätter. Förhandlingar i trojkan pågår. Reformen kan i bästa fall vara
färdig 2015, med tillämpning av reglerna från 2018.
 NIS-direktivet. Förhandlingar i trojkan pågår. Reformen kan i bästa fall vara färdig 2015, med
tillämpning av reglerna från 2018.
 Översyn av Safe-Harbour-avtalet. Det rapporteras att det under hösten kommer att erbjudas
publika remisser om ”Cyber Security contractual public-private partnership”.
 I början av 2016 väntas Domstolen fatta slutligt beslut om generaladvokatens underkännande
av Safe Harbour-avtalet.
Arbetet mot Geo-blocking är centralt i EU:s arbete att etablera en enhetlig inre marknad. Det handlar om att
motverka s.k. konstgjorda handelshinder inom EU, baserade på geografi. Man skulle exempelvis kunna säga
att blockering av Brittiska BBS:s webtjänster utanför det egna landet skulle kunna betraktas som ett sådant
handelshinder. https://ec.europa.eu/digital-agenda/en/news/public-consultation-geo-blocking-and-othergeographically-based-restrictions-when-shopping-and
56
Sida 14 av 20
Media, upphovsrätt och mellanhandsansvar
Det pågår en revision av EU:s s.k. direktiv om audiovisuella medietjänster.57 Remisstiden löpte ut
30 september. Förslag till reviderad lagstiftning kan väntas till sommaren 2016
Direktivet kallas Audiovisual Media Services (AVMS). http://eur-lex.europa.eu/legalcontent/SV/ALL/?uri=CELEX:32010L0013
57
Sida 15 av 20
Bilaga: En reviderad svensk Säkerhetsskyddslag
I september gick remisstiden ut för utredningen (2015:25) En nya Säkerhetsskyddslag.58 Det var i
december 2011 som regeringen beslutade att göra en översyn av den befintliga
Säkerhetsskyddslagen. Under 2015 har förslaget remitterats.
Ändrad syn på vad som är skyddsvärt
Årets förslag till Säkerhetsskyddslag tar utgångspunkt i att skydda rikets säkerhet.
Utredaren för ett resonemang om vilka objekt som behöver skyddas, och motiverar lagändringen
med att skyddsbehovet skiftat sedan lagen tillkom. Särskilt lyfter utredaren fram två avgörande
faktorer för detta skifte: Informationssamhällets inträde, och internationalisering. Där konstateras
t.ex. att ett ”… av de allra allvarligaste hoten idag utgörs av elektroniska angrepp i olika former.”
Det finns i utredningen en uttalad vilja att skifta fokus i det nationella informationssäkerhetsarbetet, från fokus på det som tidigare kallades konfidentiella uppgifter, till en mer generisk syn på
informationssäkerhet. Grovt förenklat betyder det att informationssäkerhet i framtiden ska betyda
allt mindre ’försvars-relaterad’ information, och alltmer ’civil’ information.
Det skiftade perspektivet ger utrymme och möjlighet för en expansion av vilka verksamheter som
träffas av lagen. Den kommande nya Säkerhetsskyddslagen föreslås explicit gälla både enskilda och
allmänna, dvs. i större utsträckning än idag gälla också privata verksamheter.59
Den nya lagens räckvidd
Utredningen ägnar mycket energi åt att tala runt den nya lagens räckvidd. Utredningen menar att
det bl.a. finns ett ” behov av att tydligare inkludera informationstillgångar och elektroniska
kommunikationssystem som utifrån höga krav på riktighet och tillgänglighet är av kritisk betydelse
för ett fungerande samhälle.”60
Så vilka kommunikationssystem och informationstillgångar är då kritiska för ett fungerande
samhälle? Utredaren svarar själv att ”Det skyddsvärda området - - - ska även kunna innefatta annat
slag av säkerhetskänslig verksamhet, t.ex. verksamheter som innefattar hantering av it-system eller av
sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller
verksamhet som behöver skyddas - - -”61
”Det kan t.ex. vara fråga om it-system som styr viktiga samhällsfunktioner eller som hanterar
sammanställningar av uppgifter där uppgifternas tillgänglighet eller riktighet är av kritisk betydelse
för ett fungerande samhälle. Folkbokföringen är ett exempel.” 62
http://www.regeringen.se/contentassets/08d4b02afbc348edad916de817105a9c/en-nysakerhetsskyddslag-sou-201525 och http://www.regeringen.se/rattsdokument/statens-offentligautredningar/2015/03/sou-201525/
59 Sid 257
60 Sid 283
61 Sid 290
62 Sid 291
58
Sida 16 av 20
Närmre en precisering
Utredaren för också ett omfattande resonemang kring vad som ska skyddas. Generellt ber han om
ett relativt öppet mandat för den framtida lagen: ”Svaret på frågan vilka tillgångar och funktioner i
verksamheter som behöver säkerhetsskydd varierar över tid och kommer alltså att behöva omprövas
kontinuerligt. Den måste bl.a. därför besvaras på verksamhetsnivå.” Det förenklade svaret på
utredarens fråga lyder alltså: -Vi får se, från fall till fall.
För att ändå försöka precisera den nya lagens räckvidd ger utredaren exempel:
”Här ges exempel på områden, verksamheter och funktioner som är av sådan karaktär att de skulle
kunna omfattas av krav på skydd enligt säkerhetsskyddslagen. Gemensamt för flera av områdena är
att det inom dessa finns skyddsvärda it-system för bl.a. ledning, styrning, reglering och övervakning av
samhällsviktiga funktioner. Dessa it-system karaktäriseras ofta, men inte alltid, av att det är
systemens tillgänglighet och informationens riktighet som står i fokus snarare än konfidentialiteten.”
Vad gäller elektronisk kommunikation preciserar utredaren relativt tydligt en framtida reglering:
”Elektronisk kommunikation
Vid sidan av elförsörjningen är elektronisk kommunikation avgörande för att kunna upprätthålla
skyddsvärda verksamheter och funktioner i samhället. Sektorn innefattar fast och mobil telefoni
samt internet, it-kommunikation och radio. Såvitt gäller elektronisk kommunikation kan t.ex.
driftlednings-centraler och centrala kopplingspunkter med utrustning för trafik-utbyte och
signalering, större transmissionsnät samt samverkans-punkter för signalspaning vara skyddsvärda
funktioner. Även system som hanterar verkställighet av hemlig avlyssning och övervakning av
elektronisk kommunikation kan vara skyddsvärda.”63
Vad som ska regleras i den nya lagen
En obligatorisk säkerhetsskyddsanalys – också för civila verksamheter
Vi kan av tidigare beskrivning dra slutsatsen att privata verksamheter som teleoperatörer,
Stiftelsen för internetinfratruktur, internetknytpunkten (Netnod) med fler kommer att träffas av
den föreslagna lagen. Nästa led i utredarens förslag är att det ska genomföras en obligatorisk s.k.
Säkerhetsskyddsanalys.
Enligt förslaget ska det för alla införas en ”…grundläggande skyldighet för den som ansvarar för en
säkerhetskänslig verksamhet att utreda behovet av säkerhetsskydd (se avsnitt 13.2), vidta
säkerhetsskyddsåtgärder och kontrollera det egna säkerhetsskyddet.” Det är med andra ord företaget
självt som ska stå kostnaderna för en sådan utredning.
Men kraven når längre än så. Om någon part vill upprätta (eller väsentligt förändra) ett elektroniskt
register som bedöms av betydelse för Sveriges säkerhet, och även om registret i sig inte behandlar
s.k. säkerhetsskyddsklassificerade uppgifter, ska samråd ske med SÄPO eller försvarsmakten. Det
kan t.ex. handla om folkbokföringsregistret, men även även andra IT-system som på nationell nivå
kan bedömas som samhällsviktiga funktioner, som t.ex. elförsörjning, telekommunikationer etc. 64
63
64
Sid 299 ff
Sid 358
Sida 17 av 20
Med andra ord tycks utredaren mena att civila och privata företag får en samrådsplikt med SÄPO
för att ändra eller upprätta nya register.
Kommentarer
Det skifte som utredaren skissar upp är både rimligt och trovärdigt. Det är en anpassning till
informationssamhällets och internationaliseringens nya förutsättningar. Men, utredningen är också
genomsyrad av ett uppenbart DNA från försvarsmakten och säkerhetspolisen. Där finns en
hänvisning till avvägning mellan skydd av nationella intressen å ena sidan, och personlig integritet
å andra sidan. 65 Avvägningen är dessvärre styvmoderligt behandlad.
I likhet med den samtida utredningen om Datalagring och integritet, finns flera synpunkter att
lämna. Även denna utredning verkar vara skev i urvalet av experter, sakna resonemang om vanliga
medborgares digitala integritet, samt även i detta fall vara en partsinlaga från en avgränsad grupp
intressenter.66 Inte heller denna senare utredning tycks fullt ut ta konsekvenserna av sina egna
förslag.
Fokus i utredningen ligger på styrning av statliga myndigheter, men lämnar fullständig walk-over
för kommuner, företag av alla storlekar, samt individers säkerhet, dvs. hela det civila samhällets
perspektiv och intressen. Trots det tycks utredaren vänta sig att bl.a. säkerhetspolisen ska ha ett
bestämmande och eventuellt ekonomiskt inflytande över civila IT-system och register.
Enligt förslaget ska alltså civila och privata innehavare av register eller IT-system självmant göra en
s.k. Säkerhetsskyddsanalys, anmälan sina register till säkerhetspolisen, och anpassa verksamhetens
ambitionsnivå då det gäller systemens säkerhet, tekniska stabilitet och tillförlitlighet. Och domare
för när kvaliteten på informationen ska anses rimlig blir alltså säkerhetspolisen?
Utredningen saknar en tillräckligt långtgående konsekvensanalys. Att expandera lagens räckvidd
till en helt ny typ av civila aktörer, belasta dem med kostnaden, samt ett påtvingat godkännande
från SÄPO för att ändra i sina register är anmärkningsvärt.
65
66
Sid 246
https://www.iis.se/blogg/datalagringsutredningen-en-partsinlaga-for-de-polisiara-intressena/
Sida 18 av 20
Bilaga: En ny svensk spelutredning
Ny spelutredning
I september beslutade regeringen på nytt att utreda spelande, och då särskilt spel på internet.67
Direktivet68 till utredningen var redan allmänt känt69 då beslutet fattades: Konkurrensen mot
Svenska Spel från utländska spelfirmor ska stävjas.
Utredningen handlar bland annat om att utreda införandet av ett svenskt licenssystem som bas för
att få tillhandahålla speltjänster. Sveriges Radio påpekar att det handlar om att hindra folk från att
spela hos spelbolag som står utanför ett framtida svenskt licenssystem. Därmed handlar det ju som
så många gånger förut om att staten ska skydda sitt monopol på spelande, en verksamhet som drar
in stora andelar av spelandets omsättning i skatteintäkt till staten.
Ett av förslagen för att hindra spel hos sådana tjänsteleverantörer bygger på den nygamla idén att
blockera IP-adresser, domännamn samt betalningsförmedlare för de tjänsteleverantörer som inte
uppfyller den svenska statens krav. På sidan 14 i utredningsdirektivet är det inskrivet redan som en
lösning för utredningen att komma fram till.70 Oönskat innehåll på internet ska med andra ord
censureras genom blockering direkt i internetinfrastrukturen.
Det är inte första gången den här tekniska lösningen är på tapeten. Förra gången71 det begav sig i
sågade bl.a. Post- och Telestyrelsen förslaget, på grund av bristande proportionalitet.72
Men hur kan då Civilministern rättfärdiga en sådan censur av innehåll på internet? Till Sveriges
radio radade han upp de gamla vanliga argumenten om spelberoende, att det behöver vara ordning
och reda, att man genom denna ordning skyddar spelarna, att man håller kriminella aktörer borta
från spelverksamhet samt att sådana regler hindrar illojal konkurrens (Sic!) mellan Det svenska
monopolet och utländska spelbolag. Men, mest slående var kanske ändå cirkelargumentet att
censuren av oönskat innehåll på internet ska ske därför att det är ”… en grundförutsättning för att
vi ska ha en spellagstiftning….”.
Så länge staten själv bedriver ett eget och omfattande spelmonopol faller emellertid argumenten
platta. Regeringen börjar då automatiskt sin argumentation från Moral Low Ground s.a.s. Att staten
vill skydda sitt monopol på spel är knappast något nytt, och har ju därför alltid omgärdats av en viss
portion dubbelmoral. Det nya är däremot att man är beredd att införa censur på internet inom
ytterligare en sektor för att nå målet.
Så återigen, och på ytterligare en arena uppstår frågan: -Vem ska faktiskt och operativt smutsa ner
sina händer med denna blockering av IP-adresser och Domännamn? Jag är beredd att sätta pengar
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6262666
http://www.regeringen.se/rattsdokument/kommittedirektiv/2015/09/dir.-201595/
69 http://www.dn.se/debatt/licenssystem-ska-ge-sverige-kontroll-over-spelmarknaden/
70 ”…varför det bör övervägas om främjandeförbudet ska kompletteras med ytterligare åtgärder. Som
exempel på en sådan åtgärd kan nämnas Spelutredningens förslag att förbjuda betalningsförmedling för
otillåtna lotterier och förbud mot elektronisk kommunikation till domäner och ipadresser där otillåtna spel
förekommer”
71 http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/2008/12/sou-2008124/
72 http://www.pts.se/upload/Remissvar/2009/08-12781-remissvar-en-framtida-spelreglering.pdf
67
68
Sida 19 av 20
på att internetoperatörerna blir de som även på detta område ska utgöra både domare och exekutiv
på samma gång. Det brukar heta att branschen ska självreglera, dvs. frivilligt ta statens kostnad för
lagefterlevnad.
Men det som kanske är mest slående i den här historien är hur snabbt regeringen är beredd att
kasta oss utför det sluttande planet. För bara något år sedan motiverades svensk implementering a
EU:s datalagringsdirektiv i svensk rätt med vi behöver skydd mot allvarliga brott som exempelvis
terrorism. Nu rättfärdigas grunden för mycket längre gående censur av oönskat innehåll på internet
med folkhälsoargument (spelberoende).
Ännu en gång har ännu ett statsråd blivit itutat att världen står och faller med frågorna i just hans
portfölj. Men det handlar ju även denna gång om den politiska avvägningen. Maskinellt utförd
censur av internet kontra folkhälsa. Operatörer som självmant ska agera polis kontra skydd av
statens skatteintäkter. Finns där kvar någon som gör ett politiskt avvägande?
Sida 20 av 20