Sammanfattning

I betänkandet behandlar utskottet regeringens proposition 2013/14:92 Skärpt straff för dataintrång och en följdmotion som väckts med anledning av propositionen.

Regeringen föreslår att en bestämmelse om grovt dataintrång införs i brottsbalken. Straffet föreslås vara fängelse i lägst sex månader och högst sex år. Vid bedömningen av om brottet är grovt ska man särskilt beakta om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Även försök och förberedelse till grovt dataintrång ska vara straffbart. Regeringen föreslår även att bestämmelsen om dataintrång inte längre ska vara subsidiär i förhållande till straffbestämmelserna om brytande av post- eller telehemlighet och intrång i förvar.

I propositionen behandlar regeringen även genomförandet av EU:s direktiv om angrepp mot informationssystem. Genom den straffskärpning som föreslås uppfyller Sverige kraven i direktivet.

Lagändringarna föreslås träda i kraft den 1 juli 2014.

Utskottet föreslår att riksdagen antar regeringens lagförslag och avslår följdmotionen. I betänkandet finns en reservation.

Utskottets förslag till riksdagsbeslut

Reservation (MP, SD, V)

Stockholm den 29 april 2014

På justitieutskottets vägnar

Morgan Johansson

Följande ledamöter har deltagit i beslutet: Morgan Johansson (S), Johan Linander (C), Krister Hammarbergh (M), Ewa Thalén Finné (M), Kerstin Haglö (S), Anti Avsan (M), Jan R Andersson (M), Elin Lundgren (S), Johan Pehrson (FP), Anna Wallén (S), Arhe Hamednaca (S), Patrick Reslow (M), Caroline Szyber (KD), Richard Jomshof (SD), Lena Olsson (V), Mattias Jonsson (S) och Agneta Börjesson (MP).

Redogörelse för ärendet

Bakgrund

Den 30 september 2010 lade Europeiska kommissionen fram ett förslag till direktiv om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF. Förslaget byggde i stora delar dels på det tidigare rambeslutet, dels på Europarådets konvention om it-relaterad brottslighet.

Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF trädde i kraft den 3 september 2013. Direktivet ska vara genomfört senast den 4 september 2015.

Ärendet och dess beredning

I propositionen föreslår regeringen bl.a. att en bestämmelse om grovt dataintrång införs i brottsbalken. Regeringen behandlar även genomförandet av EU:s direktiv om angrepp mot informationssystem. Genom den straffskärpning som föreslås uppfyller Sverige kraven i direktivet.

Regeringens förslag till riksdagsbeslut finns i bilaga 1. Regeringens lagförslag finns i bilaga 2.

Med anledning av propositionen har ett motionsyrkande väckts. Förslaget i motionen finns i bilaga 1.

Utskottets överväganden

Skärpt straff för dataintrång

Propositionen

Regeringen anför i propositionen att dagens samhälle präglas av att användningen av informationsteknik genomsyrar i stort sett alla sektorer. Myndigheter, företag och organisationer är i hög grad beroende av fungerande informationssystem. Den tekniska utvecklingen innebär samtidigt att samhället blir mer sårbart för brottsliga angrepp. Det finns tecken på att utvecklingen går mot allt farligare och mer storskaliga angrepp mot informationssystem. Det är angeläget att strafflagstiftningen är utformad så att denna typ av brottslighet kan mötas med påföljder som står i proportion till brottens allvar.

Målet med Europaparlamentets och rådets direktiv 2013/40/EU om angrepp mot informationssystemet är att närma medlemsstaternas strafflagstiftning till varandra när det gäller angrepp mot informationssystem. Direktivet fastställer minimiregler för brottsrekvisit och för påföljder. Syftet är också att främja förebyggandet av sådana brott och förbättra samarbetet mellan rättsliga och andra behöriga myndigheter. Regeringen bedömer att Sverige genom nu gällande lagstiftning uppfyller direktivets krav med det undantaget att det krävs en straffskräpning för brottet dataintrång.

Regeringen föreslår i propositionen att straffbestämmelsen om dataintrång kompletteras med en särskild straffskala och en egen rubricering för grovt brott, grovt dataintrång. Straffet ska vara fängelse i lägst sex månader och högst sex år. Vid bedömningen av om brottet är grovt ska man särskilt beakta om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Det ska vidare särskilt anges att försök och förberedelse till grovt dataintrång är straffbart. Regeringen föreslår dessutom att bestämmelsen om dataintrång inte längre ska vara subsidiär i förhållande till straffbestämmelserna om brytande av post- eller telehemlighet och intrång i förvar.

Utskottets ställningstagande

Utskottet konstaterar att den föreslagna bestämmelsen om grovt dataintrång behövs för att genomföra Europaparlamentets och rådets direktiv 2013/40/EU om angrepp mot informationssystem. Utskottet instämmer i regeringens bedömning att de föreslagna lagändringarna medför att påföljderna står mer i proportion till brottens allvar. Lagförslagen i sig har inte föranlett något motionsyrkande eller några andra invändningar under utskottsbehandlingen. Utskottet anser att regeringens lagförslag är ändamålsenligt utformat och att det bör antas. Utskottet föreslår därför att riksdagen antar de lagförslag som lämnas i propositionen.

Förmildrande omständigheter

Bakgrund

I 29 kap. 3 § brottsbalken ges exempel på omständigheter som, vid sidan av vad som är föreskrivet för vissa fall, särskilt ska beaktas som förmildrande vid bedömningen av straffvärdet. Av kapitlets 5 § framgår att rätten vid straffmätningen, utöver vad som följer av straffvärdet, i skälig omfattning ska ta hänsyn till vissa omständigheter som är hänförliga till gärningsmannens person eller handlande eller till brottet och som verkar i mildrande riktning.

Motionen

I kommittémotion 2013/14:JuU13 av Maria Ferm m.fl. (MP) begärs att man i lagstiftningen ska ta in en möjlighet att vid bedömningen av straffvärdet beakta som en förmildrande omständighet att den tilltalade genom sin gärning har påvisat stora eller allvarliga fel i it-system eller andra system som innehåller känsliga och viktiga uppgifter. Motionärerna anför att det finns situationer där en person genom en handling kan begå ett dataintrång, men där uppsåt att skada har saknats. Gärningsmannens avsikt har endast varit att visa på brister i systemet.

Tidigare utskottsbehandling

Utskottet har vid beredningen av motioner från den allmänna motionstiden 2013 avstyrkt ett yrkande om att det i brottsbalkens bestämmelser ska införas en möjlighet att vid bedömningen av straffvärdet beakta att den tilltalade genom it-relaterade brott har visat på stora eller allvarliga fel i it-system eller andra system som innehåller känsliga uppgifter. Utskottet förklarade att det inte var berett att ställa sig bakom det förslag som framfördes i motionsyrkandet (bet. 2013/14:JuU15 s. 33 f.).

Utskottets ställningstagande

Utskottet konstaterar att det i 29 kap. brottsbalken finns bestämmelser som anger omständigheter som rätten ska beakta vid straffmätningen. Utskottet ser inte något skäl för att ställa sig bakom ett sådant tillkännagivande som motionärerna begär och vidhåller därmed sin tidigare inställning. Utskottet avstyrker motionsyrkandet.

Reservation

Utskottets förslag till riksdagsbeslut och ställningstaganden har föranlett följande reservation. I rubriken anges vilken punkt i utskottets förslag till riksdagsbeslut som behandlas i avsnittet.

Förslag till riksdagsbeslut

Vi anser att förslaget till riksdagsbeslut under punkt 2 borde ha följande lydelse:

Riksdagen tillkännager för regeringen som sin mening vad som anförs i reservationen. Därmed bifaller riksdagen motion

2013/14:Ju13 av Maria Ferm m.fl. (MP).

Ställningstagande

Vi anser att hackare som hjälper till med att experimentera med säkerhetsfrågor och dokumenterar och åtgärdar dessa fyller en viktig funktion så länge de inte gör någon skada och inte har några brottsliga avsikter. När någon visar på allvarliga fel och brister i olika it-system för företag, och därigenom i vissa fall gör sig skyldig till brott, är det rimligt att han eller hon behandlas på samma sätt som den som själv agerar för att minska effekten av annan brottslig verksamhet eller som vill förhindra att andra brott begås.

Den som tar sig in i ett it-system och påvisar allvarliga fel och brister utan att därigenom sätta människors liv och hälsa i fara eller genom att själv sprida vidare känsliga uppgifter, kan göra sig skyldig till ett brott. Det är en sak. Det är en annan sak att personen därigenom många gånger anses göra samhället, enskilda och företag en stor tjänst genom att påvisa säkerhetsbrister. Enligt vår uppfattning ska detta ses som en förmildrande omständighet och påverka det straff som utmäts. Vi anser därför att det i 29 kap. 3 eller 5 § brottsbalken bör tas in en möjlighet att vid bedömningen av straffvärdet beakta att den tilltalade genom gärningen påvisat stora eller allvarliga fel i ett it-system eller i andra system som innehåller känsliga och viktiga uppgifter.

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2013/14:92 Skärpt straff för dataintrång:

Riksdagen antar regeringens förslag till lag om ändring i brottsbalken.

Följdmotionen

2013/14:Ju13 av Maria Ferm m.fl. (MP):

Riksdagen tillkännager för regeringen som sin mening vad som anförs i motionen om att regeringen ska återkomma med ett lagförslag som innebär att det införs en möjlighet att beakta att den tilltalade genom gärningen påvisat stora eller allvarliga fel i it-system eller andra system som innehåller känsliga och viktiga uppgifter.

Bilaga 2

Regeringens lagförslag