Regeringens proposition 2013/14:92
Skärpt straff för dataintrång | Prop. |
2013/14:92 |
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 13 mars 2014
Fredrik Reinfeldt
Beatrice Ask
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
Dagens samhälle präglas av att användningen av informationsteknik genomsyrar i stort sett alla sektorer. Myndigheter, företag och organisationer är i hög grad beroende av fungerande informationssystem. Den tekniska utvecklingen innebär samtidigt att samhället blir mer sårbart för brottsliga angrepp. Det finns tecken på att utvecklingen går mot allt farligare och mer storskaliga angrepp mot informationssystem. Det är angeläget att strafflagstiftningen är utformad så att denna typ av brottslighet kan mötas med påföljder som står i proportion till brottens allvar.
I propositionen föreslås därför att det införs en bestämmelse om grovt dataintrång i brottsbalken. Straffet föreslås vara fängelse i lägst sex månader och högst sex år. Vid bedömningen av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Även försök och förberedelse till grovt dataintrång ska vara straffbart.
Vidare föreslås att bestämmelsen om dataintrång inte längre ska vara subsidiär i förhållande till straffbestämmelserna om brytande av post- eller telehemlighet och intrång i förvar.
I propositionen behandlas även genomförandet av EU:s direktiv om angrepp mot informationssystem. Genom den straffskärpning som föreslås uppfyller Sverige kraven i direktivet.
Lagändringarna föreslås träda i kraft den 1 juli 2014.
1
Prop. 2013/14:92 | Innehållsförteckning | |||
1 | Förslag till riksdagsbeslut ................................................................. | 3 | ||
2 | Förslag till lag om ändring i brottsbalken ......................................... | 4 | ||
3 | Ärendet och dess beredning .............................................................. | 6 | ||
4 | Bakgrund och allmänna utgångspunkter........................................... | 7 | ||
4.1 | Angrepp mot informationssystem ...................................... | 7 | ||
4.2 | Tidigare åtgärder inom EU och Europarådet...................... | 7 | ||
4.3 | Gällande rätt ....................................................................... | 8 | ||
5 | EU:s direktiv om angrepp mot informationssystem.......................... | 9 | ||
6 | Genomförandet av direktivet .......................................................... | 11 | ||
7 | Skärpt straff för dataintrång ............................................................ | 13 | ||
8 | Straffskalan för brytande av post- eller telehemlighet .................... | 19 | ||
9 | Ikraftträdande- och övergångsbestämmelser................................... | 20 | ||
10 | Ekonomiska konsekvenser.............................................................. | 20 | ||
11 | Författningskommentar................................................................... | 21 | ||
Bilaga 1 | Direktivet .............................................................................. | 23 | ||
Bilaga 2 Sammanfattning av betänkandet Europarådets | ||||
konvention om |
30 | |||
Bilaga 3 | Betänkandets lagförslag........................................................ | 32 | ||
Bilaga 4 Förteckning över remissinstanserna...................................... | 34 | |||
Bilaga 5 | Lagrådsremissens lagförslag................................................. | 35 | ||
Bilaga 6 | Lagrådets yttrande................................................................. | 37 | ||
Utdrag ur protokoll vid regeringssammanträde den 13 februari | ||||
2014 ....................................................................................... | 38 | |||
Rättsdatablad........................................................................................... | 39 |
2
1 | Förslag till riksdagsbeslut | Prop. 2013/14:92 |
Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i brottsbalken.
3
Prop. 2013/14:92 2 | Förslag till lag om ändring i brottsbalken | |
Härigenom föreskrivs1 att 4 kap. 9 c och 10 §§ brottsbalken ska ha | ||
följande lydelse. | ||
Nuvarande lydelse | Föreslagen lydelse | |
4 kap. | ||
9 c §2 |
Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
10 §3
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller till dataintrång som om det fullbordats inte skulle ha varit att
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja ett sådant brott döms det till ansvar enligt 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller grovt
1Jfr Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 14.8.2013, s.
2Senaste lydelse 2007:213.
3Senaste lydelse 2004:406.
4
anse som ringa. | dataintrång. | Prop. 2013/14:92 |
Denna lag träder i kraft den 1 juli 2014.
5
Prop. 2013/14:92 | 3 | Ärendet och dess beredning | |
Den 30 september 2010 lade Europeiska kommissionen fram ett förslag | |||
till direktiv om angrepp mot informationssystem och om ersättande av | |||
rådets rambeslut 2005/222/RIF. Förslaget byggde i stora delar dels på det | |||
tidigare rambeslutet, dels på Europarådets konvention om |
|||
brottslighet. En faktapromemoria om direktivförslagets innehåll har | |||
överlämnats till riksdagen (2010/11:FPM15). | |||
Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti | |||
2013 om angrepp mot informationssystem och om ersättande av rådets | |||
rambeslut 2005/222/RIF (fortsättningsvis direktivet) trädde i kraft den | |||
3 september 2013. Direktivet ska vara genomfört senast den 4 september | |||
2015. Direktivet finns i bilaga 1. | |||
Regeringen gav den 27 oktober 2011 en särskild utredare i uppdrag att | |||
efter en behovsanalys lämna förslag på de författningsändringar som | |||
krävs för att Sverige ska kunna tillträda Europarådets konvention om it- | |||
relaterad | brottslighet och | dess tilläggsprotokoll (dir. 2011:98). | |
Utredningen, som tog namnet Utredningen om |
|||
fick genom tilläggsdirektiv den 11 oktober 2012 i uppdrag att även | |||
analysera behovet av och lämna förslag till de författningsändringar som | |||
behövs för att genomföra direktivet. Utredningen fick dessutom i uppgift | |||
att överväga behovet av skärpta straff för brytande av post- eller | |||
telehemlighet och dataintrång (dir. 2012:102). | |||
Utredningen lämnade i juni 2013 betänkandet Europarådets konvention | |||
om |
|||
förslag till de lagändringar som bedöms nödvändiga för att tillträda | |||
konventionen och dess tilläggsprotokoll samt för att genomföra | |||
direktivet. | |||
Denna proposition behandlar de frågor som omfattades av | |||
utredningens tilläggsuppdrag, dvs. genomförandet av direktivet och | |||
frågan om skärpta straff för dataintrång och brytande av post- eller | |||
telehemlighet. Utredningens övriga förslag bereds vidare inom | |||
Regeringskansliet. | |||
En sammanfattning av betänkandet och dess lagförslag i relevanta | |||
delar finns i bilaga 2 respektive bilaga 3. | |||
Betänkandet har remissbehandlats och en förteckning över | |||
remissinstanserna finns i | bilaga 4. En sammanställning av |
remissyttrandena i nu aktuella delar finns tillgänglig i Justitiedepartementet (Ju2013/4173/Å).
Lagrådet
Regeringen beslutade den 16 januari 2014 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådet har lämnat förslaget utan erinran.
I förhållande till lagrådsremissens lagförslag har en mindre språklig ändring gjorts.
6
4 | Bakgrund och allmänna utgångspunkter Prop. 2013/14:92 |
4.1Angrepp mot informationssystem
Dagens samhälle präglas av att användningen av informationsteknik genomsyrar i stort sett alla sektorer. Myndigheter, företag och organisationer är i hög grad beroende av fungerande informationssystem. Många företag baserar sin verksamhet på internet. Även inom den offentliga sektorn har beroendet av internet ökat bl.a. med satsningar på självbetjäningstjänster och
Samtidigt har utvecklingen medfört att samhället är mer sårbart för olika former av brottsliga angrepp som riktar sig mot informationssystem. Det finns tecken på att utvecklingen går mot farligare och mer storskaliga angrepp, till exempel intrång i eller överbelastningsattacker mot bankers och myndigheters informationssystem. Angreppen begås med allt mer sofistikerade metoder och kan orsaka betydande ekonomiska skador på grund av avbrott i informationssystemens drift och i kommunikationen. Angreppen kan även orsaka förlust eller förvanskning av hemlig eller i övrigt integritetskänslig information som är av stor betydelse för enskilda.
Informationssystemens ökade betydelse visar att det är en angelägen uppgift för samhället att motverka och bekämpa angrepp mot sådana system. I det ligger att säkerställa att brottsligheten kan mötas med straffrättsliga påföljder som motsvarar brottens svårhetsgrad.
4.2Tidigare åtgärder inom EU och Europarådet
EU:s rambeslut om angrepp mot informationssystem (2005/222/RIF)
Inom EU antogs i februari 2005 ett rambeslut om angrepp mot informationssystem (2005/222/RIF). Rambeslutet omfattade åtaganden att kriminalisera olagligt intrång i informationssystem, olaglig systemstörning och olaglig datastörning samt förstadier till dessa gärningar. Det reglerade även vilka påföljder som gärningarna ska kunna leda till. Vidare fanns bestämmelser om försvårande omständigheter, ansvar och sanktioner för juridiska personer, domsrätt samt utbyte av uppgifter. Rambeslutet föranledde ändringar i brottsbalkens bestämmelse om dataintrång. Bestämmelsen utvidgades till att omfatta dels den som olovligen blockerar en uppgift som är avsedd för automatiserad behandling, dels den som olovligen allvarligt stör eller hindrar användningen av en sådan uppgift. Lagändringarna trädde i kraft den 1 juni 2007 (prop. 2006/07:66, bet. 2006/07:JuU13, rskr. 2006/07:147). I och med antagandet av direktivet ersattes rambeslutet.
7
Prop. 2013/14:92 | Europarådets konvention om |
Europarådets konvention om |
|
Cybercrime, ETS No.185) har till stor del utgjort en förebild för såväl | |
EU:s rambeslut om angrepp mot informationssystem som direktivet. | |
Konventionen innehåller bl.a. bestämmelser om vilka handlingar som | |
ska vara straffbelagda som olagligt intrång i datorsystem, olaglig | |
avlyssning, datastörning, systemstörning och missbruk av apparatur. | |
Därutöver innehåller konventionen ytterligare straffbestämmelser om it- | |
relaterade brott. Konventionen innehåller också processuella | |
bestämmelser och bestämmelser om internationellt samarbete. | |
Frågor om kriminalisering av gärningar av rasistisk och | |
främlingsfientlig natur som har begåtts med hjälp av datorsystem | |
behandlas i ett tilläggsprotokoll till konventionen. Sverige har | |
undertecknat, men inte tillträtt, konventionen och tilläggsprotokollet. |
4.3 Gällande rätt
Den centrala straffbestämmelsen när det gäller olika former av angrepp mot informationssystem är bestämmelsen om dataintrång i 4 kap. 9 c § brottsbalken. Bestämmelsen fick sitt nuvarande innehåll genom en lagändring 2007, som i huvudsak syftade till att genomföra EU:s rambeslut om angrepp mot informationssystem. Samtidigt förtydligades bestämmelsen och moderniserades språkligt.
För dataintrång döms den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Avsikten med begreppet ”uppgift som är avsedd för automatiserad behandling” är att alla uppgifter, dvs. fakta, information eller begrepp, som uttrycks i en för en dator anpassad och läsbar form ska omfattas av bestämmelsen. Det är för tillämpningen av begreppet utan betydelse var uppgifterna finns eller förvaras i systemet. Det innebär att alla uppgifter oavsett på vilket datamedium de finns omfattas. Även uppgifter som är under befordran omfattas, oavsett på vilket sätt befordran sker (prop. 2006/07:66 s. 38 f.).
När det gäller uppgifter som befordras via radio gäller dock som regel att avlyssning av sådan radiokommunikation faller utanför det straffbara området. Det följer av principen om att etern är fri och att olovlighetskravet därmed inte kan anses vara uppfyllt. Om intrånget däremot sker i radiobefordrade uppgifter som t.ex. är krypterade kan dock ansvar för dataintrång komma i fråga (s. 49).
Det handlande som straffbeläggs i bestämmelsen är för det första att någon bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling. Det krävs inte att det sker i ett visst syfte eller att det medför någon särskild effekt, t.ex. skada. Inte heller behöver någon säkerhetsåtgärd kringgås.
Vidare straffbeläggs att ändra, utplåna eller blockera en uppgift som är
avsedd för automatiserad behandling. En ändring kan direkt gälla den
8
uppgift som ska databehandlas eller göras i det datorprogram som styr Prop. 2013/14:92 den aktuella databehandlingen. Att en uppgift utplånas innebär att den
helt eller delvis förstörs genom t.ex. radering. Med begreppet blockera ska förstås åtgärder som innebär att en sådan uppgift görs oåtkomlig eller att den hindras från att flöda.
Det kan även vara straffbart att föra in en uppgift som är avsedd för automatiserad behandling i ett register. Registerbegreppet medför en begränsning av det straffbara området så till vida att endast sådana införingar som sker i uppgifter som är strukturerade på visst sätt omfattas.
Slutligen omfattar dataintrångsbestämmelsen även den som genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en uppgift som är avsedd för automatiserad behandling. Exempel på sådana åtgärder är tillgänglighets- eller överbelastningsattacker.
Bestämmelsen om dataintrång är subsidiär i förhållande till straffbestämmelserna i 4 kap. 8 och 9 §§ brottsbalken om brytande av post- eller telehemlighet respektive intrång i förvar.
Straffskalan för dataintrång sträcker sig från böter till fängelse i högst två år. Försök och förberedelse till dataintrång som om det fullbordats inte skulle ha ansetts som ringa är straffbart enligt 4 kap. 10 § brottsbalken. Av 23 kap. 2 § tredje stycket brottsbalken framgår att straffet för förberedelse ska bestämmas under den högsta och får sättas under den lägsta gräns som gäller för fullbordat brott. Högre straff än fängelse i två år får bestämmas endast om fängelse i åtta år eller däröver kan följa på det fullbordade brottet. Medverkan till dataintrång är straffbelagd enligt 23 kap. 4 § brottsbalken.
Förfaranden som innebär angrepp mot informationssystem kan även vara straffbara som t.ex. brytande av post- eller telehemlighet (4 kap. 8 § brottsbalken), skadegörelse (12 kap. 1 § brottsbalken), grov skadegörelse (12 kap. 3 § brottsbalken), sabotage (13 kap. 4 § brottsbalken), grovt sabotage (13 kap. 5 § brottsbalken) eller under vissa förutsättningar som terroristbrott enligt lagen (2003:148) om straff för terroristbrott.
5EU:s direktiv om angrepp mot informationssystem
Europaparlamentets och rådets direktiv om angrepp mot informationssystem har ersatt det tidigare rambeslutet. Direktivets mål är att närma medlemsstaternas strafflagstiftning till varandra när det gäller angrepp mot informationssystem genom att fastställa minimiregler för brottsrekvisit och påföljder. Syftet är också att främja förebyggandet av sådana brott och förbättra samarbetet mellan rättsliga och andra behöriga myndigheter. Tyngdpunkten i direktivet utgörs av materiella straffrättsliga bestämmelser som till stor del överensstämmer med dem som finns i rambeslutet och konventionen.
Efter artikel 1 som innehåller en beskrivning av syftet med direktivet följer i artikel 2 definitioner av vissa begrepp som används i direktivet.
9
Prop. 2013/14:92
10
I artiklarna
I artikel 8 anges att anstiftan av och medhjälp till sådana gärningar som ska utgöra brott enligt direktivet ska straffbeläggas. Där anges även de gärningar för vilka försök ska vara straffbart, nämligen de i artiklarna 4 och 5.
Artikel 9 reglerar vilka påföljder som ska kunna dömas ut. Enligt punkt 1 ska påföljderna vara effektiva, proportionella och avskräckande. Enligt punkt 2 ska brott som avses i artiklarna
a)begåtts inom ramen för en kriminell organisation,
b)förorsakat allvarlig skada, eller
c)begåtts mot ett informationssystem som utgör kritisk infrastruktur.
Av punkt 5 följer att det ska ses som en försvårande omständighet när olaglig systemstörning och olaglig datastörning begåtts genom missbruk av personuppgifter.
I artiklarna 10 och 11 regleras juridiska personers ansvar samt påföljder för dessa. Frågor om domsrätt regleras i artikel 12. Därefter följer i artikel 13 bestämmelser om informationsutbyte och i artikel 14 bestämmelser om övervakning och statistik. Avslutningsvis ges i artiklarna
ikraftträdande. Direktivet ska vara genomfört senast den 4 september Prop. 2013/14:92 2015.
6 | Genomförandet av direktivet | ||
Regeringens bedömning: Svensk rätt uppfyller genom befintlig | |||
lagstiftning kraven enligt direktivet med undantag för att det krävs | |||
straffskärpning för brottet dataintrång. | |||
Utredningens bedömning överensstämmer med regeringens. | |||
Remissinstanserna: Flertalet remissinstanser har på ett övergripande | |||
plan förklarat sig dela bedömningarna som utredningen har gjort i | |||
betänkandet. Enligt Stockholms universitet är dock hållbarheten av | |||
bedömningen beträffande olovlig avlyssning i artikel 6 beroende både av | |||
hur direktivbestämmelsen tolkas och av hur principen om eterns frihet | |||
förstås. Frågan bör därför övervägas ytterligare under den fortsatta | |||
beredningsprocessen. Hovrätten över Skåne och Blekinge har ansett att | |||
eftersom bestämmelsen i 4 kap. 9 b § brottsbalken endast omfattar en | |||
mycket specifik befattning med det tekniska hjälpmedlet kan det finnas | |||
anledning att överväga om kraven i artikel 7 är uppfyllda i svensk rätt. | |||
Skälen för regeringens bedömning | |||
Genomförandet av direktivet i svensk rätt | |||
Ett |
|||
men överlåter åt de nationella myndigheterna att bestämma form och | |||
tillvägagångsätt för genomförandet. I den utsträckning som det som | |||
föreskrivs i direktivet redan är uppfyllt är det tillräckligt att hänvisa till | |||
befintlig lagstiftning och andra åtgärder. Det är regeringen som ansvarar | |||
för att |
|||
utsträckning det krävs lagändringar för att genomföra hela eller delar av | |||
ett direktiv sker det i enlighet med den ordinarie lagstiftningsprocessen, | |||
vilket innefattar sedvanlig remiss- och riksdagsbehandling. | |||
I samband med att det nu aktuella förslaget till direktiv presenterades | |||
gjordes inom Regeringskansliet en analys av förslaget liksom av dess | |||
konsekvenser för svensk lagstiftning vid ett kommande genomförande. | |||
En faktapromemoria som beskrev innehållet i förslaget samt gällande | |||
svenska regler och förslagets effekt på dessa överlämnades till riksdagen. | |||
I faktapromemorian redogjordes bl.a. för att artiklarna 6 och 7 om olovlig | |||
avlyssning respektive befattning med vissa angivna verktyg var nya i | |||
förhållande till rambeslutet och att det krävdes ytterligare analys av | |||
bestämmelsernas överenstämmelse med svensk rätt. Vidare klargjordes | |||
att även direktivets bestämmelser om påföljder och försvårande | |||
omständigheter behövde analyseras vidare. | |||
Därefter har en särskild utredare haft i uppdrag att bl.a. analysera | |||
behovet av och lämna förslag till de författningsändringar som krävs för | |||
att genomföra direktivet i svensk rätt. | 11 | ||
Prop. 2013/14:92
12
Enligt utredningen krävs lagstiftningsåtgärder för att uppfylla direktivets bestämmelse i artikel 9 om påföljder. Utredningen har konstaterat att punkten 2 ställer krav på att vissa straffbara befattningar med verktyg som avses i artikel 7 ska vara belagda med ett maximistraff på minst två års fängelse. Enligt utredningen uppfyller svensk rätt kriminaliseringsåtagandet genom främst bestämmelserna om förberedelse till brott, bl.a. förberedelse till dataintrång. Eftersom straffskalan för dataintrång inte medger att ett fängelsestraff som uppgår till två år döms ut för förberedelse till brottet, har utredningen ansett att det krävs en skärpning av straffskalan.
Vidare har utredningen konstaterat att punkterna 3 och 4 kräver att sådana gärningar som beskrivs i artiklarna om olaglig systemstörning och olaglig datastörning i vissa fall ska vara belagda med ett maximistraff på minst tre respektive fem års fängelse. Utredningen har gjort bedömningen att svensk rätt uppfyller direktivets kriminaliseringskrav främst genom dataintrångsbestämmelsen. Eftersom det högsta straffet för dataintrång är fängelse i högst två år, har utredningen gjort bedömningen att direktivet även i denna del kräver en skärpning av straffskalan. När det gäller övriga artiklar i direktivet har utredningen gjort bedömningen att svensk rätt uppfyller de krav som ställs.
Sverige uppfyller genom befintlig lagstiftning i huvudsak kraven enligt direktivet
Regeringen delar utredningens bedömning av vilka lagstiftningsåtgärder som krävs för att Sverige ska uppfylla direktivets förpliktelser. I likhet med utredningen anser alltså regeringen att direktivet kräver en skärpning av straffet för dataintrång.
När det gäller de synpunkter som remissinstanserna har framfört gör regeringen följande överväganden.
Regeringen instämmer inledningsvis i utredningens bedömning att det som direktivet betecknar som olovlig avlyssning kan utgöra brytande av telehemlighet, om det är fråga om överföring av meddelanden via ett allmänt kommunikationsnät. Likaså ansluter sig regeringen till utredningens bedömning att förfarandet annars kan utgöra dataintrång bestående i att någon bereder sig tillgång till uppgifter avsedda för automatiserad behandling.
För straffansvar för brytande av telehemlighet och dataintrång krävs dock också att intrånget varit olovligt. Som regel faller då avlyssning av uppgifter som befordras via radio utanför det straffbara området. Det följer av principen om att etern är fri och att olovlighetskravet därmed inte är uppfyllt. Om intrånget däremot sker i radiobefordrade uppgifter som är t.ex. krypterade kan dock ansvar för dataintrång komma ifråga (prop. 2006/07:66 s. 49).
Utredningen har uttalat att det är osäkert hur långt principen om eterns frihet sträcker sig när det gäller information som inte kan avlyssnas med t.ex. en vanlig radiomottagare, utan vars avlyssning kräver användning av speciella tekniska hjälpmedel. Enligt regeringens mening saknas det bärande skäl för att inom ramen för detta lagstiftningsärende göra uttalanden om eller närmare beröra hur principen om eterns frihet ska avgränsas med beaktande av t.ex. den tekniska utvecklingen. En
avgörande utgångspunkt för denna bedömning är att direktivet endast Prop. 2013/14:92 ställer krav på straffbeläggande av sådan avlyssning som sker
orättmätigt. I begreppet orättmätigt ligger bl.a. enligt definitionen i direktivets artikel 2 d) att handlandet inte är tillåtet enligt nationell rätt. Direktivet måste därför förstås så att ett handlande som är tillåtet i enlighet med etablerade principer i ett land, t.ex. principen om eterns frihet, inte kan anses begås orättmätigt och därmed inte omfattas av kriminaliseringsåtagandet.
Regeringen anser därför sammantaget att svensk rätt uppfyller kraven på vad som ska vara straffbelagt som olovlig avlyssning enligt artikel 6.
Beträffande sådan befattning med verktyg som ska vara straffbar enligt artikel 7 instämmer regeringen i utredningens bedömning att direktivets krav uppfylls genom främst bestämmelserna om förberedelse till de brott som motsvarar kriminaliseringsåtagandena i artiklarna
Sammanfattningsvis kan således konstateras att det som framkommit vid remissbehandlingen inte föranleder regeringen att göra någon annan bedömning av behovet av lagstiftning än den som utredningen har gjort. Regeringen anser följaktligen att det krävs en lagändring i form av skärpt straff för dataintrång för att Sverige ska kunna genomföra direktivet. Regeringen gör vidare bedömningen att svensk rätt i övrigt uppfyller direktivets krav.
7 | Skärpt straff för dataintrång | |
Regeringens förslag: Straffbestämmelsen om dataintrång ska | ||
kompletteras med en särskild straffskala och egen rubricering för | ||
grovt brott, grovt dataintrång. Straffet ska vara fängelse i lägst sex | ||
månader och högst sex år. Vid bedömande av om brottet är grovt ska | ||
det särskilt beaktas om gärningen har orsakat allvarlig skada eller | ||
avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. | ||
Det ska vidare särskilt anges att försök och förberedelse till grovt | ||
dataintrång är straffbart. Bestämmelsen om dataintrång ska inte längre | ||
vara subsidiär i förhållande till brytande av post- eller telehemlighet | ||
och intrång i förvar. | ||
Utredningens förslag överensstämmer i huvudsak med regeringens. | ||
Utredningen har som en särskild omständighet även föreslagit att | ||
gärningen kunnat orsaka allvarlig skada. | ||
Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig | ||
är | positiva till en särskild straffskala för grovt dataintrång. Ingen | 13 |
Prop. 2013/14:92
14
remissinstans har yttrat sig över förslaget att särskilt reglera försöks- och förberedelseansvaret för grovt dataintrång eller dataintrångsbestämmelsens subsidiaritet. Åklagarmyndigheten, Rikspolisstyrelsen och
Säkerhetspolisen har särskilt framhållit behovet av en särskild straffskala för grova dataintrång, eftersom utvecklingen synes gå mot allt farligare och mer storskaliga angrepp. Stockholms universitet, som i och för sig har godtagit förslaget, har dock ansett att det bör övervägas ytterligare i vilken utsträckning de gärningar som bestämmelsen tar sikte på redan utgör brott enligt andra kvalificerade bestämmelser och hur stort behovet är av den förhöjda straffskalan. Uppsala universitet har påpekat att införandet av det nya särskilda brottet skapar konkurrensproblem i förhållande till brotten grov skadegörelse, sabotage och i speciella fall även terroristbrott och att lagstiftaren därför bör ange en prioritetsordning mellan brotten. Lunds universitets internetinstitut har ansett att det tydligt bör framgå att omständigheten ”allvarlig skada” ska täckas av gärningsmannens avsikt och uppsåt. Dessutom har internetinstitutet framhållit att antalet uppgifter inte bör vara vägledande för om ett brott är grovt eftersom det av den omständigheten inte går att dra någon slutsats om skadeverkningarna. Juliagruppen har framfört att det grova brottet bör formuleras så att det mer betonar fall där någon försöker få fram synnerligen känsliga uppgifter eller använder sig av raffinerade och avancerade metoder. Juliagruppen har vidare framfört att lagen måste formuleras tydligare när det gäller bruk och innehav av olika verktyg för datorintrång samt att lagstiftningen bör göra skillnad på intrång och systemstörning. Sveriges Advokatsamfund har ansett att brottet dataintrång bör kompletteras med en bestämmelse om datastörning. Dessutom har samfundet pekat på behovet av ökade kunskaper inom itområdet bland rättsväsendets företrädare och angett att möjligheterna för offentliga förvarare att få ersättning för allmänna medel för anlitandet av tekniskt sakkunnig måste ses över. Enligt Försvarsmakten finns det mot bakgrund av vad som avses med begreppet orättmätigt i Europarådets konvention om
Skälen för regeringens förslag
Behovet av skärpt straff
Straffskalan för dataintrång, som sträcker sig från böter till fängelse i högst två år, har inte ändrats sedan bestämmelsen först infördes i datalagen (1973:289).
Samhällsutvecklingen har inneburit att informationssystem har en ojämförligt större betydelse i samhället idag än de hade när bestämmelsen infördes. Samtidigt innebär en ökad användning av informationsteknik en förhöjd risk för att datorer och deras nätverk används som verktyg eller mål för att begå brott. Utvecklingen innebär således att samhället har blivit allt mer sårbart för
angrepp mot viktiga informationssystem. Tendensen är förenad med utvecklingen av allt mer sofistikerade metoder, såsom skapande och användning av s.k. botnät, som innebär övertagande och fjärrstyrning av ett stort antal datorer genom att vid riktade
Storskaliga angrepp kan orsaka betydande ekonomiska skador på grund av avbrott i informationssystemens drift och kommunikation. De kan också leda till förlust eller förvanskning av hemlig eller i övrigt integritetskänslig information. Många gånger kan dessa typer av angrepp träffas av straffansvaret för sabotage i 13 kap. 4 § brottsbalken. Även bestämmelserna om grov skadegörelse i 12 kap. 3 § brottsbalken och terroristbrott i lagen (2003:148) om straff för terroristbrott kan i vissa fall vara tillämpliga. Beroende på omständigheterna, t.ex. att skadan i och för sig är omfattande men av tillfällig karaktär eller att den infrastruktur som skadas inte har avsevärd betydelse för samhället, kan emellertid mycket straffvärda beteenden falla utanför de nämnda bestämmelsernas tillämpningsområden. Ett sådant exempel kan vara olika typer av tillgänglighetsattacker riktade mot företag och organisationer. Det kan således bli aktuellt att tillämpa dataintrångsbestämmelsen på gärningar som fått allvarliga konsekvenser för informationssystem som kan ha stor betydelse för såväl företag som enskilda.
Straffskalan för ett brott ska spegla dess allvar. Det är en grundläggande princip att allvarligare brott ska bedömas strängare än mindre allvarliga brott och att lika allvarliga brott ska bedömas lika strängt. Straffskalan måste vara utformad så att ett straff som motsvarar brottets svårhet kan dömas ut.
Mot bakgrund av vad som anförts om konsekvenserna av allvarliga och storskaliga angrepp mot informationssystem, kan det enligt regeringens mening finnas fall som har ett betydligt högre straffvärde än vad som ryms inom dagens straffskala. Härtill kommer, såsom konstaterats i avsnitt 6, att direktivet kräver skärpta lägsta maximistraff i vissa avseenden. Regeringen delar därför utredningens och flertalet remissinstansers bedömning att det finns ett behov av att vid straffvärdebedömningen kunna beakta allvaret i storskaliga och andra betydande angrepp mot informationssystem och att straffskalan för dataintrång därför bör skärpas.
En särskild straffskala och rubricering för grovt dataintrång
Regeringen anser, i likhet med utredningen, att straffskärpningen bör ske genom att bestämmelsen om dataintrång kompletteras med en särskild straffskala för grovt brott. Det grova brottet bör föras in i ett nytt andra stycke i bestämmelsen och ges en egen brottsrubricering, grovt dataintrång.
När det gäller straffskalans utformning har utredningen föreslagit fängelse i lägst sex månader och högst sex år. Som skäl för sin bedömning har utredningen inledningsvis lyft fram att direktivet kräver ett minsta maximistraff om fem år men ansett att ett sådant maximistraff skulle passa mindre väl in i den svenska systematiken när det gäller utformning av straffskalor. Utredningen har också bedömt att den föreslagna straffskalan är tillräckligt vid för att medge en nyanserad
Prop. 2013/14:92
15
Prop. 2013/14:92
16
bedömning av olika former av dataintrång. Slutligen har lyfts fram att utformningen av straffskalan passar väl in i brottsbalkens systematik när det gäller gradindelade brott.
Regeringen ansluter sig till utredningens bedömning och anser att den föreslagna straffskalan framstår som väl avvägd. Regeringen kan också konstatera att den föreslagna straffskalan medför att det blir möjligt att döma till fängelse i två år för förberedelse till dataintrång, vilket är nödvändigt för att uppfylla förpliktelserna i direktivet.
I likhet med vad utredningen har föreslagit bör de omständigheter som särskilt ska beaktas vid bedömningen av om brottet är grovt anges i lagtexten. En sådan utformning främjar förutsebarheten och ger en bättre ledning och en större enhetlighet i rättstillämpningen. Samtidigt bör framhållas att domstolen alltid måste göra en helhetsbedömning av samtliga omständigheter i det enskilda fallet.
När det gäller vilka omständigheter som särskilt bör nämnas delar regeringen i allt väsentligt utredningens bedömning. Som en första särskild omständighet bör således anges att gärningen har orsakat allvarlig skada. De skador som uppkommer till följd av ett dataintrång är som regel av ekonomisk karaktär men även andra typer av skador kan förekomma och bör kunna beaktas. Som utredningen har pekat på finns ett starkt intresse av att skydda säkerheten i systemen och allmänhetens tillit till dem. Därför bör till exempel allvarliga skadeverkningar som ett rubbat förtroende har fört med sig kunna beaktas. Även annan allvarlig skada än ekonomisk som drabbar enskilda till följd av dataintrånget bör kunna beaktas. Det kan handla om skada till följd av ett intrång som innebär åtkomst till synnerligen känsliga personuppgifter som kan komma att missbrukas med allvarliga konsekvenser för den enskilde. Som exempel kan nämnas uppgifter som kan röja identiteten avseende en person som har fingerade personuppgifter eller adressuppgifter för personer som medgetts kvarskrivning.
En annan omständighet som särskilt bör beaktas är gärningens omfattning. Typiskt sett är det försvårande att ett dataintrång avsett ett stort antal uppgifter. Detta bör därför utgöra en särskild omständighet som ska beaktas vid bedömande av om brottet är grovt. Under denna omständighet hör att en betydande mängd uppgifter har manipulerats på något av de sätt som nämns i bestämmelsens första stycke eller att någon har berett sig tillgång till en stor mängd uppgifter. Ett annat exempel är omfattande tillgänglighetsattacker eller andra storskaliga attacker som inneburit betydande ingrepp i viktiga kommunikationer genom att gärningsmannen har allvarligt stört eller hindrat att ett stort antal uppgifter kan användas på avsett sätt. Som Lunds universitets internetinstitut har framhållit bör enbart det förhållandet att gärningen avsett ett stort antal uppgifter dock inte alltid medföra att gärningen bedöms som grovt dataintrång. Omständigheterna vid t.ex. en tillgänglighetsattack kan vara sådana att den endast fått begränsade konsekvenser.
Slutligen bör även den omständigheten att en gärning varit av särskilt farlig art särskilt anges i lagtexten. Den sista omständigheten är avsedd att träffa bl.a. sådana fall där själva förfarandet i sig eller det mål som gärningen riktat sig mot är att se som en försvårande omständighet. Så kan vara fallet om tillvägagångsättet varit förslaget och gjort
brottsligheten svårupptäckt. Den omständighet som Juliagruppen har pekat på, dvs. att en gärning begås med raffinerade och särskilt avancerade metoder, kan alltså falla in under särskilt farlig art. Det bör även beaktas om brottet begåtts mot ett kritiskt infrastruktursystem som upprätthåller viktiga samhällsfunktioner, t.ex. inom hälso- och sjukvård eller allmänna kommunikationsmedel. Även bankers informations- och betalningssystem tillhör särskilt skyddsvärda mål.
Utredningen har som ytterligare en särskild omständighet föreslagit att gärningen kunnat orsaka allvarlig skada. Enligt regeringens mening kan ett handlande som kunnat orsaka allvarlig skada i vissa fall vara att anse som av särskilt farlig art, t.ex. på grund av det tillvägagångssätt som gärningsmannen använt sig av eller det mål som gärningen riktat sig mot. Att gärningsmannens syfte sträckt sig längre än till den effekt som gärningen fått är dessutom en omständighet som ska beaktas i skärpande riktning vid straffvärdesbedömningen enligt 29 kap. 2 § 1 brottsbalken.
Under vissa omständigheter kan gärningar som träffas av dataintrångsbrottet även omfattas av straffansvaret i bestämmelserna om t.ex. sabotage eller skadegörelse. Regeringen anser dock inte att det finns tillräckliga skäl för att, såsom Uppsala universitet efterfrågat, ange en prioritetsordning mellan brotten. Utgångspunkten är att sedvanliga konkurrensregler ska tillämpas. Det innebär normalt att när det är fråga om konkurrens mellan dataintrångsbrottet och ett annat brott med samma skyddsintresse ska domstolen döma enbart för det brott med den strängare straffskalan. För övriga konkurrenssituationer som kan förekomma får domstolen göra en prövning i varje enskilt fall enligt gällande konkurrensprinciper.
Eftersom de objektiva rekvisiten för dataintrång i bestämmelsens första stycke inte är föremål för överväganden i detta lagstiftningsarbete finns inte anledning att här göra några uttalanden om hur t.ex. rekvisitet ”olovligen” ska förstås såsom Försvarsmakten har förespråkat.
När det gäller Sveriges Advokatsamfunds och Juliagruppens förslag att komplettera dataintrångsbestämmelsen med en bestämmelse om datastörning konstaterar regeringen att en sådan ändring kräver överväganden och en omarbetning av dataintrångsbestämmelsen som inte låter sig göras inom ramen för detta lagstiftningsarbete. Inte heller frågorna om bruk av verktyg för datorintrång och möjligheterna till ersättning av allmänna medel för anlitandet av tekniskt sakkunnig kan behandlas i detta sammanhang.
Konsekvenser av förslaget
Den föreslagna straffskalan för grovt dataintrång får vissa konsekvenser bl.a. för möjligheten att använda straffprocessuella tvångsmedel. Bland annat medför den möjlighet att besluta om hemlig avlyssning av elektronisk kommunikation och hemlig kameraövervakning under förutsättning att domstolen gör bedömningen att brottets straffvärde är högre än två år.
Förslaget påverkar också preskriptionstidens längd. För grovt dataintrång kommer preskriptionstiden att bli tio år.
Regeringen bedömer liksom utredningen att dessa konsekvenser är rimliga.
Prop. 2013/14:92
17
Prop. 2013/14:92
18
Försök och förberedelse till grovt dataintrång
Försök och förberedelse till dataintrång som om det fullbordats inte skulle ha ansetts som ringa är straffbart enligt 4 kap. 10 § brottsbalken. Eftersom en särskild straffskala med en egen brottsrubricering införs för grovt brott bör 10 § kompletteras så att det uttryckligen framgår att straffansvaret för försök och förberedelse gäller även grovt dataintrång.
Dataintrångsbestämmelsens förhållande till brytande av post- eller telehemlighet och intrång i förvar
Bestämmelsen om dataintrång är uttryckligen subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar.
När bestämmelsen om dataintrång fanns i datalagen var den subsidiär i förhållande till brottsbalken och straffbestämmelserna i lagen (1990:409) om skydd för företagshemligheter. När dataintrångsbestämmelsen överfördes till brottsbalken slopades subsidiaritetsklausulen i förhållande till lagen om skydd mot företagshemligheter. Samtidigt klargjordes förhållandet till bestämmelserna om straff för brytande av post- eller telehemlighet och intrång i förvar uttryckligen i bestämmelsen.
Den ändring som regeringen nu föreslår innebär att dataintrångsbestämmelsen kompletteras med en särskild straffskala och brottsrubricering för grovt brott. Motsvarande straffskala och gradindelning finns inte för brytande av post- eller telehemlighet eller intrång i förvar. Mot den bakgrunden är det inte lämpligt att behålla subsidiariteten i förhållande till de straffbestämmelserna. Inte heller i övrigt finns det skäl för att behålla den nuvarande ordningen.
Regeringen delar därför utredningens bedömning att dataintrångsbestämmelsen inte längre bör vara subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar. Förhållandet mellan bestämmelsen om dataintrång och bestämmelserna om brytande av post- eller telehemlighet och om intrång i förvar får i fortsättningen i stället avgöras enligt sedvanliga principer för bedömningen av konkurrens mellan överlappande straffstadganden i brottsbalken.
Slutsatser
Sammanfattningsvis föreslår regeringen följande. Straffbestämmelsen om dataintrång kompletteras med en särskild straffskala och egen rubricering för grovt brott, grovt dataintrång. Straffet ska vara fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Det ska vidare särskilt anges att försök och förberedelse till grovt dataintrång är straffbart. Bestämmelsen om dataintrång ska inte längre vara subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar.
8 | Straffskalan för brytande av post- eller | Prop. 2013/14:92 |
telehemlighet |
Regeringens bedömning: Det finns inget behov av att ändra straffskalan för brytande av post- eller telehemlighet.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Det stora flertalet av remissinstanserna har inte
yttrat sig särskilt i frågan. Myndigheten för samhällsskydd och beredskap har delat utredningens bedömning. Sveriges Advokatsamfund och IT & Telekomföretagen har emellertid uppfattningen att straffskalan för brytande av post- eller telehemlighet bör ändras på samma sätt som föreslås beträffande dataintrång. Samfundet har dessutom framfört att även straffbestämmelserna om intrång i förvar och olovlig avlyssning bör kompletteras med ett grovt brott.
Skälen för regeringens bedömning: Enligt 4 kap. 8 § brottsbalken döms den som olovligen bereder sig tillgång till ett meddelande, som ett post- eller telebefordringsföretag förmedlar som postförsändelse eller i telemeddelande för brytande av post- eller telehemlighet till böter eller fängelse i högst två år. Bestämmelsen skyddar såväl meddelanden i traditionell form som elektroniska meddelanden. Den brottsliga gärningen består i att bereda sig tillgång till meddelandet. För ansvar förutsätts uppsåt och att handlingen vidtas olovligen. Straffskalan har varit oförändrad sedan brottsbalkens tillkomst.
Av den officiella kriminalstatistiken framgår att antalet lagföringar för brottet har varit ytterst få. Totalt har det rört sig om ett
Regeringen delar utredningens bedömning att det är svårt att se att det förfarande som bestämmelsen straffbelägger skulle kunna orsaka motsvarande skada och få så vittgående konsekvenser som vissa av de förfaranden som dataintrångsbestämmelsen straffbelägger. I de fall ett intrång i ett elektroniskt meddelande under befordran utgör ett led i ett storskaligt angrepp torde angreppet regelmässigt också träffas av straffansvaret i bestämmelserna om dataintrång, sabotage, skadegörelse eller terroristbrott. Det finns heller inget krav i direktivet som innebär att straffskalan för brytande av post- eller telehemlighet måste ändras.
I likhet med utredningen gör regeringen därför bedömningen att den nuvarande straffskalan är väl avvägd. En oförändrad straffskala för brytande av post- eller telehemlighet innebär vidare att straffskalan även fortsättningsvis kommer att vara densamma som för straffbestämmelserna om intrång i förvar och olovlig avlyssning. Det finns inom ramen för detta lagstiftningsarbete inte förutsättningar att göra en sådan översyn av straffskalorna för intrång i förvar och olovlig avlyssning som Sveriges Advokatsamfund efterfrågar.
Sammanfattningsvis anser regeringen att det för närvarande inte finns något behov av att ändra straffskalan för brytande av post- eller
telehemlighet.
19
Prop. 2013/14:92 9 | Ikraftträdande- och |
övergångsbestämmelser |
Regeringens förslag: Lagändringarna ska träda i kraft den 1 juli 2014.
Regeringens bedömning: Några särskilda övergångsbestämmelser behövs inte.
Utredningens förslag och bedömning: Utredningen har föreslagit att lagändringarna ska träda i kraft den 1 januari 2015. Utredningen har bedömt att lagändringarna inte kräver några särskilda övergångsbestämmelser.
Remissinstanserna: Ingen av remissinstanserna har yttrat sig särskilt i frågan.
Skälen för regeringens förslag och bedömning: Lagändringarna bör träda i kraft så snart som möjligt. Regeringen föreslår att detta sker den 1 juli 2014. Det krävs inga särskilda övergångsbestämmelser.
10 Ekonomiska konsekvenser
Regeringens bedömning: De föreslagna ändringarna leder inte till annat än begränsade kostnadsökningar. Dessa kan finansieras inom ramen för befintliga anslag.
Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt yttrat sig i
frågan.
Skälen för regeringens bedömning: De föreslagna lagändringarna innebär bl.a. att dataintrångsbrottet kompletteras med en särskild straffskala och egen rubricering för grovt brott, grovt dataintrång. Straffet ska vara fängelse i lägst sex månader och högst sex år. Ändringen kan antas resultera i att påföljden för allvarliga dataintrång i fler fall än i dag kommer att bestämmas till fängelse, vilket kan medföra en viss ökning av Kriminalvårdens kostnader. Det kan heller inte uteslutas att begränsade merkostnader kan uppkomma för Polisen, åklagare och domstolarna till följd av att möjligheten att använda vissa tvångsmedel ökar genom förslaget och att en längre preskriptionstid kommer att gälla för grovt dataintrång i förhållande till dataintrång. Regeringen gör bedömningen att eventuella merkostnader kan finansieras inom myndigheternas befintliga anslag.
20
11 Författningskommentar
Förslaget till lag om ändring i brottsbalken
4 kap.
9 c § Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
Ändringen av paragrafen, som föreskriver straffansvar för dataintrång, har behandlats i avsnitt 7.
Ändringen i första stycket innebär att bestämmelsen inte längre är subsidiär i förhållande till straffbestämmelserna i 4 kap. 8 och 9 §§ brottsbalken om brytande av post- eller telehemlighet och intrång i förvar.
I andra stycket, som är nytt, införs en särskild straffskala och rubricering för grovt dataintrång. Straffskalan är fängelse i lägst sex månader och högst sex år. Ändringen syftar till att det vid allvarliga fall av dataintrång ska vara möjligt att döma ut ett straff som står i proportion till brottets allvar.
Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Omständigheten ska vara täckt av den tilltalades uppsåt.
Med allvarlig skada avses främst betydande ekonomiska skador. Vid sidan av de rent ekonomiska effekterna kan det emellertid även finnas andra skador som särskilt bör beaktas. Allvarliga skadeverkningar som ett rubbat förtroende har fört med sig för en verksamhet kan beaktas som en allvarlig skada i bestämmelsens mening. Även annan allvarlig skada än ekonomisk som drabbar enskilda till följd av dataintrånget bör kunna beaktas. Det kan handla om skada till följd av ett intrång som innebär åtkomst till synnerligen känsliga personuppgifter som kan komma att missbrukas med allvarliga konsekvenser för den enskilde. Som exempel kan nämnas uppgifter som kan röja identiteten avseende en person som har fingerade personuppgifter eller adressuppgifter för personer som medgetts kvarskrivning.
Med att gärningen avsett ett stort antal uppgifter avses bl.a. omfattande spridning av datavirus eller andra sabotageprogram. Även fall där ett stort antal uppgifter har raderats eller ändrats eller om någon har berett sig tillgång till en stor mängd uppgifter kan medföra att brottet bedöms som grovt. Ett annat exempel är omfattande tillgänglighetsattacker eller andra storskaliga attacker som inneburit betydande ingrepp i viktiga kommunikationer genom att gärningsmannen allvarligt har stört eller hindrat att ett stort antal uppgifter kan användas på avsett sätt. Enbart det
Prop. 2013/14:92
21
Prop. 2013/14:92
22
förhållande att gärningen avsett ett stort antal uppgifter bör dock inte alltid medföra att gärningen bedöms som grovt dataintrång. Omständigheterna vid t.ex. en tillgänglighetsattack kan vara sådana att den endast fått begränsade konsekvenser.
Med att gärningen annars varit av särskilt farlig art avses bl.a. fall där själva förfarandet i sig eller det mål som gärningen riktat sig mot är att se som en försvårande omständighet. Så kan vara fallet om tillvägagångsättet varit förslaget och gjort brottsligheten svårupptäckt. Också när gärningar begås med raffinerade metoder såsom t.ex. användningen av botnät, det vill säga övertagande och fjärrstyrning av ett stort antal datorer genom att infektera dem via sabotageprogram genom riktade angrepp, kan det vara fråga om särskilt farlig art. Det bör även beaktas om brottet begåtts mot ett kritiskt infrastruktursystem som upprätthåller viktiga samhällsfunktioner, t.ex. inom hälso- och sjukvård eller allmänna kommunikationsmedel. Även bankers informations- och betalningssystem tillhör särskilt skyddsvärda mål.
Uppräkningen är inte uttömmande utan även andra försvårande omständigheter ska beaktas. Domstolen ska göra en helhetsbedömning av samtliga omständigheter i det enskilda fallet.
Förhållandet mellan dataintrång och övriga brott får avgöras enligt sedvanliga konkurrensregler. Det innebär normalt att när det är fråga om konkurrens mellan dataintrångsbrottet och ett annat brott med samma skyddsintresse, så ska domstolen enbart döma för det brott som har den strängare straffskalan. För övriga konkurrenssituationer som kan förekomma får domstolen göra en prövning i varje enskilt fall enligt gällande konkurrensprinciper.
10 § För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja ett sådant brott döms det till ansvar enligt 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller grovt dataintrång.
Paragrafen har ändrats på så sätt att grovt dataintrång har lagts till i sista meningen. Ändringen innebär att det uttryckligen framgår att försök och förberedelse till grovt dataintrång är straffbart. Ändringen har behandlats i avsnitt 7. Paragrafen har också ändrats språkligt.
Prop. 2013/14:92
Bilaga 1
L 218/8 | SV | Europeiska unionens officiella tidning | 14.8.2013 | ||
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 2013/40/EU av den 12 augusti 2013
om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktions sätt, särskilt artikel 83.1,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de natio nella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommit téns yttrande (1),
i enlighet med det ordinarie lagstiftningsförfarandet (2), och
av följande skäl:
(1)Målen för detta direktiv är att tillnärma medlemsstaternas straffrättsliga lagstiftning vad gäller angrepp mot infor mationssystem, genom att fastställa minimiregler om fastställande av brottsrekvisit och påföljder, och att för bättra samarbetet mellan behöriga myndigheter, inbegri pet polismyndigheter och andra specialiserade brotts bekämpande organ i medlemsstaterna samt behöriga spe cialiserade unionsbyråer och
(2)Informationssystem är av central betydelse för det poli tiska, sociala och ekonomiska samspelet i unionen. Sam hället är i högsta grad och i växande utsträckning bero ende av sådana system. Att dessa system fungerar smidigt och säkert i unionen är en förutsättning för utvecklingen av den inre marknaden och för en konkurrenskraftig och innovativ ekonomi. Säkerställande av en lämplig skydds nivå för informationssystem bör ingå i ett effektivt över gripande ramverk med förebyggande åtgärder, tillsam mans med straffrättsliga åtgärder mot
(3)Angrepp mot informationssystem, särskilt angrepp som är kopplade till organiserad brottslighet, är ett växande problem både inom unionen och på global nivå, och oron ökar för terroristattacker eller politiskt motiverade angrepp mot de informationssystem som ingår i med lemsstaternas och unionens kritiska infrastruktur. Detta
(1) EUT C 218, 23.7.2011, s. 130.
(2) Europaparlamentets ståndpunkt av den 4 juli 2013 (ännu ej offent liggjord i EUT) och rådets beslut av den 22 juli 2013.
utgör ett hot mot arbetet för att skapa ett säkrare infor mationssamhälle och ett område med frihet, säkerhet och rättvisa och kräver därför åtgärder på unionsnivå och bättre samarbete och samordning på internationell nivå.
(4)Inom unionen finns det en rad kritiska infrastrukturer för vilka driftstörningar, eller vars förstörelse, skulle kunna få betydande gränsöverskridande konsekvenser. Det har vi sat sig att behovet av att förbättra förmågan att skydda kritisk infrastruktur i unionen innebär att åtgärderna mot angrepp mot informationssystem bör kompletteras med stränga straffrättsliga påföljder som återspeglar angrep pens svårhetsgrad. Med kritisk infrastruktur kan avses anläggningar, system eller delar av dessa belägna i med lemsstaterna som är nödvändiga för att upprätthålla cen trala samhällsfunktioner, hälsa, säkerhet, trygghet och människors ekonomiska eller sociala välfärd, såsom kraft verk, transportnät eller myndighetsnätverk, och där stör ningar i driften eller förstörelse av dessa skulle få bety dande konsekvenser i en medlemsstat till följd av att man inte lyckas upprätthålla dessa funktioner.
(5)Det finns tecken på en utveckling mot allt farligare och återkommande storskaliga angrepp mot informations system som ofta är av vital betydelse för medlemsstater eller särskilda funktioner i den offentliga eller privata
sektorn. Denna tendens är förenad med utvecklingen av alltmer sofistikerade metoder, såsom skapande och an vändning av s.k. botnät, som omfattar flera skeden i en brottslig gärning, där varje skede i sig kan utgöra ett allvarligt hot mot allmänna intressen. Detta direktiv syftar bland annat till att införa straffrättsliga påföljder för ska pandet av botnät, det vill säga övertagande och fjärrs tyrning av ett stort antal datorer genom att infektera dem via sabotageprogram genom riktade
(6)Storskaliga
punkt eller andra uppgifter. Särskild uppmärksamhet bör ägnas åt att öka medvetenheten hos innovativa små och medelstora företag om vilka hot sådana angrepp utgör och deras sårbarhet för angrepp av detta slag, med tanke på att de i allt större utsträckning är beroende av att informationssystem fungerar korrekt och är tillgäng liga, och de ofta begränsade resurser de har för infor mationssäkerhet.
23
Prop. 2013/14:92
Bilaga 1
14.8.2013 | SV | Europeiska unionens officiella tidning | L 218/9 | ||
(7)Gemensamma definitioner på detta område är viktiga för att säkerställa att detta direktiv tillämpas enhetligt i med lemsstaterna.
(8)Det finns ett behov av att fastställa en gemensam inställ ning i fråga om brottsrekvisit, genom att gemensamt kriminalisera olagligt intrång i informationssystem, olag lig systemstörning, olaglig datastörning och olaglig av lyssning.
(9)Avlyssning omfattar, men är inte nödvändigtvis begrän sad till, avlyssning, kontroll eller övervakning av kom munikationsinnehåll och anskaffande av uppgifter, an tingen direkt genom åtkomst till och användning av in formationssystem eller indirekt med tekniska hjälpmedel, genom användning av olika typer av elektroniska avlyss ningsanordningar eller avlyssning med tekniska hjälpme del.
(10)Medlemsstaterna bör fastställa påföljder för angrepp mot informationssystem. De påföljder som fastställs bör vara effektiva, proportionella och avskräckande och bör in begripa fängelsestraff och/eller böter.
(11)I detta direktiv föreskrivs straffrättsliga påföljder åtmin stone i fall som inte är ringa. Medlemsstaterna får fast ställa vad som utgör ett ringa fall enligt deras nationella rätt och praxis. Ett fall kan anses vara ringa till exempel när den skada och/eller risk som gärningen medför för offentliga eller privata intressen, såsom ett datasystems eller datorbehandlingsbara uppgifters integritet eller en persons integritet, rättigheter och andra intressen, är obe tydlig eller av sådan art att åläggande av straffrättsliga påföljder inom den lagstadgade gränsen eller åläggande av straffrättsligt ansvar inte är nödvändigt.
(12)Identifiering och rapportering av hot och risker från itangrepp och svagheter i informationssystem bör ingå i ett effektivt förebyggande av och effektiva åtgärder mot
(13)Det är lämpligt att föreskriva strängare påföljder när ett angrepp mot ett informationssystem görs inom ramen för en sådan kriminell organisation som avses i rådets rambeslut 2008/841/RIF av den 24 oktober 2008 om kampen mot organiserad brottslighet (1), när
(1) EUT L 300, 11.11.2008, s. 42.
också lämpligt att föreskriva strängare påföljder när ett sådant angrepp riktas mot kritisk infrastruktur i med lemsstaterna eller unionen.
(14)Införandet av effektiva åtgärder mot identitetsstöld och andra identitetsrelaterade brott utgör en annan viktig del i en samlad ansats mot
(15)Enligt rådets slutsatser av den
(16)Med hänsyn till de olika metoder som kan användas för att angripa informationssystem och till den snabba ut vecklingen av hård- och programvara, hänvisar detta di rektiv till verktyg som kan användas för att begå brott som anges i detta direktiv. Verktyg i denna mening är exempelvis sabotageprogram, inklusive sådana som kan skapa botnät, som används för
(17)Detta direktiv ålägger inte straffrättsligt ansvar när de
objektiva kriterier för brott som anges i detta direktiv är uppfyllda men då gärningarna begås utan brottsligt uppsåt, till exempel när en person inte visste att det rörde sig om obehörig åtkomst eller vid föreskrivna test eller skydd av informationssystem, till exempel när en person har fått i uppdrag av ett företag eller en leverantör att testa styrkan hos dess säkerhetssystem. Avtalsenliga skyl digheter eller överenskommelser om att begränsa åt komst till informationssystem genom en användarpolicy eller användarvillkor samt arbetsmarknadstvister om åt komst till och användning av arbetsgivarens infor mationssystem för privata ändamål, bör inte föranleda straffrättsligt ansvar enligt detta direktiv, om åtkomsten under dessa omständigheter skulle bedömas vara otillåten och således utgöra den enda grunden för lagföring. Detta direktiv påverkar inte den rätt till åtkomst till infor mation som följer av nationell rätt och unionsrätt, men får samtidigt inte fungera som undantag för att motivera olaglig och godtycklig åtkomst till information.
24
Prop. 2013/14:92
Bilaga 1
L 218/10 | SV | Europeiska unionens officiella tidning | 14.8.2013 | ||
(18)
(19)Medlemsstaternas nationella rätt bör innehålla regler om försvårande omständigheter i enlighet med de tillämpliga regler om försvårande omständigheter som fastställts ge nom deras rättsystem. De bör se till att rätten vid på följdsbestämningen har möjlighet ta hänsyn till dessa försvårande omständigheter. Det är upp till rätten att bedöma dessa omständigheter, tillsammans med övriga faktiska sakomständigheter i det enskilda fallet.
(20)Detta direktiv reglerar inte villkoren för utövandet av behörighet när det gäller de brott som avses i direktivet, exempelvis att det ska föreligga en anmälan från offret på den plats där brottet begicks, en formell underrättelse från den stat där brottet begicks, eller att åtal inte väckts mot gärningsmannen på den plats där gärningen har begåtts.
(21)Stater och offentliga organ är, inom ramen för detta direktiv, skyldiga att till fullo garantera respekten för de mänskliga rättigheterna och grundläggande friheterna, i enlighet med gällande internationella förpliktelser.
(22)Genom detta direktiv stärks betydelsen av nätverk, såsom G8 eller Europarådets nätverk av kontaktpunkter, som är tillgängliga dygnet runt alla dagar i veckan. Sådana kon taktpunkter bör kunna ge konkret stöd och till exempel underlätta utbyte av tillgänglig relevant information och tillhandahålla teknisk rådgivning eller rättslig information i utredningar eller rättegångar rörande brott med anknyt ning till informationssystem och data som rör den begä rande medlemsstaten. För att säkerställa att nätverken fungerar smidigt bör varje kontaktpunkt kunna kom municera med kontaktpunkter i andra medlemsstater omgående, bland annat med hjälp av utbildad och utrus tad personal. Med hänsyn till hur snabbt storskaliga itangrepp kan genomföras, bör medlemsstaterna ha kapa citet att snabbt besvara brådskande förfrågningar från detta nät av kontaktpunkter. I sådana fall kan det vara lämpligt att förfrågan om information åtföljs av en tele fonkontakt, för att se till att den anmodade medlems staten behandlar förfrågan snabbt och ger återkoppling inom åtta timmar.
(23)Samarbete mellan, å ena sidan, de offentliga myndighe terna och, å andra sidan, den privata sektorn och det civila samhället är mycket viktigt för att förebygga och motverka angrepp mot informationssystem. Det är nöd vändigt att främja och förbättra samarbetet mellan tjäns televerantörer, producenter, brottsbekämpande organ och rättsliga myndigheter samtidigt som rättsstatsprincipen
beaktas fullt ut. Samarbetet kan inbegripa t.ex. stöd från tjänsteleverantörernas sida när det gäller att säkra poten tiella bevis, bidra till fastställandet av gärningsmännens identitet och, som en sista utväg, i enlighet med nationell rätt och praxis, helt eller delvis stänga ned informations system eller funktioner som har angripits eller använts för olagliga ändamål. Medlemsstaterna bör också över väga att inrätta nätverk för samarbete och partnerskap med tjänsteleverantörer och producenter för utbyte av uppgifter om de brott som omfattas av detta direktiv.
(24)Det finns behov av att samla in jämförbara uppgifter om de brott som avses i detta direktiv. Relevanta uppgifter bör göras tillgängliga för behöriga specialiserade unions byråer och
(25)Kommissionen bör överlämna en rapport om tillämp ningen av detta direktiv och lägga fram nödvändiga för slag till lagstiftning som skulle kunna leda till att dess tillämpningsområde utvidgas med hänsyn till utveck lingen på området för
(26)För att man effektivt ska kunna bekämpa
(1) EUT L 121, 15.5.2009, s. 37.
25
Prop. 2013/14:92
Bilaga 1
14.8.2013 | SV | Europeiska unionens officiella tidning | L 218/11 | ||
dataskydd. Lämpliga skyddsnivåer bör tillhandahållas mot hot och svagheter som på ett rimligt sätt kan identifieras i enlighet med den senaste utvecklingen inom den speci fika sektorn och de konkreta situationerna för databe handlingen. De kostnader och bördor som ett sådant skydd medför bör stå i proportion till den sannolika skadan av ett
(27)Stora luckor och skillnader i medlemsstaternas lagstift ning och straffrättsliga förfaranden när det gäller angrepp mot informationssystem kan försvåra kampen mot orga niserad brottslighet och terrorism, och kan komplicera ett effektivt polisiärt och rättsligt samarbete på detta om råde. De moderna informationssystemens nationsöver skridande och gränslösa natur innebär att angrepp mot sådana system ofta har en gränsöverskridande dimension, vilket understryker det akuta behovet av ytterligare insat ser för att tillnärma den straffrättsliga lagstiftningen på detta område. För övrigt bör adekvata åtgärder för ge nomförande och tillämpning av rådets rambeslut 2009/948/RIF av den 30 november 2009 om förebyg gande och lösning av tvister om utövande av jurisdiktion i straffrättsliga förfaranden (1) göra det lättare att sam ordna åtal i fall av angrepp mot informationssystem. Medlemsstaterna bör också i samarbete med unionen verka för bättre internationellt samarbete i fråga om sä kerheten i informationssystem, datornätverk och datorbe handlingsbara uppgifter. Vederbörlig hänsyn till säkerhe ten vid dataöverföring och lagring av uppgifter bör tas med i alla internationella avtal som rör uppgiftsutbyte.
(28)Bättre samarbete mellan behöriga brottsbekämpande or gan och rättsliga myndigheter i hela unionen är nödvän digt för att man ska kunna bekämpa
(29)Detta direktiv respekterar de mänskliga rättigheterna och de grundläggande friheterna och står i överensstämmelse med de principer som erkänns särskilt i Europeiska unio nens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, inklusive
(1) EUT L 328, 15.12.2009, s. 42.
skyddet av personuppgifter, rätten till privatliv, yttrande- och informationsfrihet, rätten till en rättvis rättegång, oskuldspresumtion och rätten till försvar, samt med le galitetsprincipen och principen om proportionalitet mel lan brottet och påföljden. Detta direktiv syftar särskilt till att säkerställa att dessa rättigheter och principer respek teras fullt ut och måste genomföras i enlighet med detta.
(30)Skyddet av personuppgifter är en grundläggande rättighet i enlighet med artikel 16.1 i
(31)I enlighet med artikel 3 i protokollet om Förenade kung arikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unio nens funktionssätt, har dessa medlemsstater meddelat att de önskar delta i antagandet och tillämpningen av detta direktiv.
(32)I enlighet med artiklarna 1 och 2 i protokollet om Dan marks ställning, fogat till fördraget om Europeiska unio nen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.
(33)Eftersom målen för detta direktiv, nämligen att under ställa angrepp mot informationssystem i alla medlems stater effektiva, proportionella och avskräckande straff rättsliga påföljder och att förbättra och uppmuntra sam arbete mellan rättsliga och andra behöriga myndigheter, inte i tillräcklig utsträckning kan uppnås av medlemssta terna, och de därför bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritets principen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.
(34)Syftet med detta direktiv är att ändra och utöka bestäm
melserna i rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informations system (2). Med avseende på de medlemsstater som deltar i antagandet av detta direktiv bör rambeslut 2005/222/RIF för tydlighetens skull ersättas i sin helhet, eftersom de ändringar som görs är många och väsentliga.
(2) EUT L 69, 16.3.2005, s. 67.
26
Prop. 2013/14:92 | |||||||
Bilaga 1 | |||||||
L 218/12 | Europeiska unionens officiella tidning | 14.8.2013 | |||||
SV | |||||||
HÄRIGENOM FÖRESKRIVS FÖLJANDE. | omöjligt att komma åt datorbehandlingsbara uppgifter i ett | ||||||
Artikel 1 | informationssystem, åtminstone i fall som inte är ringa. | ||||||
Syfte
Detta direktiv fastställer minimiregler om fastställande av brotts rekvisit och påföljder inom området angrepp mot informations system. Det syftar också till att främja förebyggande av sådana brott och förbättra samarbetet mellan rättsliga och andra behö riga myndigheter.
Artikel 2
Definitioner
I detta direktiv avses med
a)informationssystem: en apparat eller en grupp av samman kopplade apparater eller apparater som hör samman med varandra, av vilka en eller flera genom ett program auto matiskt behandlar datorbehandlingsbara uppgifter, samt da torbehandlingsbara uppgifter som lagras, behandlas, hämtas eller överförs med hjälp av en apparat eller en grupp av apparater för att de ska kunna drivas, användas, skyddas och underhållas,
b)datorbehandlingsbara uppgifter: framställning av fakta, infor mation eller begrepp i en form som lämpar sig för behand ling i ett informationssystem, inklusive program som lämpar sig för att få ett informationssystem att utföra en viss upp gift,
c)juridisk person: enhet som har status av juridisk person enligt tillämplig rätt, med undantag av stater, eller offentliga organ vid utövandet av de befogenheter som de har i egenskap av statsmakter samt internationella offentliga organisationer,
d)orättmätigt: handlande som avses i detta direktiv, inklusive intrång, störning eller avlyssning, utan tillstånd från ägaren eller annan rättighetshavare till systemet eller del av detta, eller som inte är tillåtet enligt nationell rätt.
Artikel 3
Olagligt intrång i informationssystem
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att orättmätigt intrång som begås uppsåtligen i ett informationssystem som helhet eller en del av ett sådant system straffbeläggs när det begås genom intrång i en säkerhetsåtgärd och åtminstone i fall som inte är ringa.
Artikel 4
Olaglig systemstörning
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att det är straffbart att, uppsåtligen och orättmätigt, allvarligt hindra eller avbryta driften av ett informationssystem genom att mata in, överföra, skada, radera, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbe handlingsbara uppgifter, åtminstone i fall som inte är ringa.
Artikel 5
Olaglig datastörning
Artikel 6
Olaglig avlyssning
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att avlyssning med tekniska hjälpmedel, som sker uppsåtligen och orättmätigt, av
Artikel 7
Verktyg som används för att begå brott
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att det är straffbart att uppsåtligen tillverka, sälja, anskaffa i syfte att använda, importera, distribuera eller på annat sätt tillgängliggöra ett av följande verktyg, om det sker orätt mätigt och med uppsåt att begå något av de brott som avses i artiklarna
a)Ett datorprogram som utformats eller anpassats i första hand för att begå något av de brott som avses i artiklarna
b)Ett datorlösenord, en åtkomstkod eller liknande uppgifter som gör det möjligt att få tillgång till ett informationssystem eller delar av ett sådant system.
Artikel 8
Anstiftan, medhjälp och försök
1.Medlemsstaterna ska se till att anstiftan av och medhjälp till de brott som avses i artiklarna
2.Medlemsstaterna ska se till att försök att begå de brott som avses i artiklarna 4 och 5 straffbeläggs.
Artikel 9
Påföljder
1.Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att de brott som avses i artiklarna
2.Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att de brott som avses i artiklarna
Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att det är straffbart att, uppsåtligen och orättmätigt, radera, skada, försämra, ändra, hindra flödet av eller göra det
3. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att de brott som avses i artiklarna 4 och 5 är belagda med ett maximistraff på minst tre års fängelse när de
27
Prop. 2013/14:92
Bilaga 1
14.8.2013 | SV | Europeiska unionens officiella tidning | L 218/13 | ||
begås uppsåtligen och när ett betydande antal informations system har påverkats genom användning av ett verktyg som avses i artikel 7 och som har utformats eller anpassats i första hand för detta syfte.
4. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att de brott som avses i artiklarna 4 och 5 är belagda med ett maximistraff på minst fem års fängelse när de
a)begås inom ramen för en kriminell organisation enligt defi nitionen i rambeslut 2008/841/RIF, oberoende av den på följdsnivå som föreskrivs däri, eller
b)förorsakar allvarlig skada, eller
c)begås mot ett informationssystem som utgör kritisk infra struktur.
5. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att det i enlighet med nationell rätt kan anses som en försvårande omständighet, när de brott som avses i artiklarna 4 och 5 begås genom missbruk av personuppgifter som rör en annan person än gärningsmannen i syfte att vinna tredje mans förtroende och därigenom medför skada för den som identite ten tillhör, om inte dessa omständigheter redan täcks av ett annat brott som är straffbart enligt nationell rätt.
Artikel 10
Juridiska personers ansvar
1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att juridiska personer kan ställas till ansvar för de brott som avses i artiklarna
a)Behörighet att företräda den juridiska personen.
b)Befogenhet att fatta beslut på den juridiska personens vägnar.
c)Befogenhet att utöva kontroll inom den juridiska personen.
2.Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att juridiska personer kan ställas till ansvar när brister i övervakning eller kontroll som ska utföras av en sådan person som avses i punkt 1 har gjort det möjligt för en person som är underställd den juridiska personen att till förmån för denna juridiska person begå något av de brott som avses i artiklarna
3.Juridiska personers ansvar enligt punkterna 1 och 2 ska inte utesluta lagföring av fysiska personer som begår, anstiftar eller medverkar till något av de brott som avses i artiklarna
Artikel 11
Påföljder för juridiska personer
1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att en juridisk person som har fällts till ansvar enligt artikel 10.1 kan bli föremål för effektiva, proportionella och avskräckande påföljder, som ska innefatta bötesstraff eller
administrativa avgifter och som får inbegripa andra påföljder, som
a)fråntagande av rätt till offentliga förmåner eller stöd,
b)tillfälligt eller permanent näringsförbud,
c)rättslig övervakning,
d)rättsligt beslut om upplösning av verksamheten,
e)tillfällig eller permanent stängning av inrättningar som har använts för att begå brottet.
2. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att en juridisk person som har fällts till ansvar enligt artikel 10.2 kan bli föremål för effektiva, proportionella och avskräckande påföljder eller andra åtgärder.
Artikel 12
Behörighet
1. Medlemsstaterna ska fastställa sin behörighet beträffande de brott som avses i artiklarna
a)helt eller delvis på deras territorium, eller
b)av en medborgare i medlemsstaten, åtminstone i sådana fall där gärningen utgör ett brott på den plats där den begicks.
2. En medlemsstat ska vid fastställandet av sin behörighet enligt punkt 1 a se till att behörigheten innefattar fall där
a)gärningsmannen är fysiskt närvarande på dess territorium när brottet begås, oavsett om brottet riktar sig mot ett infor mationssystem på denna medlemsstats territorium eller inte, eller
b)brottet riktar sig mot ett informationssystem på dess territo rium, oavsett om gärningsmannen är fysiskt närvarande på territoriet när brottet begås eller inte.
3. En medlemsstat ska underrätta kommissionen om den beslutar att fastställa sin behörighet över ett brott som avses i artiklarna
a)gärningsmannen har sin hemvist på denna medlemsstats territorium, eller
b)gärningen har begåtts till förmån för en juridisk person som är etablerad inom denna medlemsstats territorium.
Artikel 13
Informationsutbyte
1. För utbyte av uppgifter om de brott som avses i artiklarna
28
Prop. 2013/14:92
Bilaga 1
L 218/14 | SV | Europeiska unionens officiella tidning | 14.8.2013 | ||
2.Medlemsstaterna ska underrätta kommissionen om sin ut sedda kontaktpunkt som avses i punkt 1. Kommissionen ska vidarebefordra denna information till de andra medlemsstaterna och behöriga specialiserade unionsbyråer och
3.Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att lämpliga rapporteringskanaler är tillgängliga för att underlätta att de brott som avses i artiklarna
Artikel 14
Övervakning och statistik
1.Medlemsstaterna ska se till att det finns ett system för registrering, insamling och tillhandahållande av statistiska upp gifter om de brott som avses i artiklarna
2.De statistiska uppgifter som avses i punkt 1 ska åtmin stone omfatta befintliga uppgifter om antalet sådana brott som avses i artiklarna
3.Medlemsstaterna ska översända de uppgifter som samlas in enligt denna artikel till kommissionen. Kommissionen ska se till att en samlad översikt över dessa statistiska rapporter offent liggörs och översänds till behöriga specialiserade unionsbyråer och
Artikel 15
Ersättande av rambeslut 2005/222/RIF
Rambeslut 2005/222/RIF ersätts härmed med avseende på med lemsstater som deltar i antagandet av detta direktiv, utan att detta påverkar medlemsstaternas skyldigheter vad gäller tidsfris ten för införlivande av rambeslutet med nationell rätt.
Med avseende på de medlemsstater som deltar i antagandet av detta direktiv ska hänvisningar till rambeslut 2005/222/RIF an ses som hänvisningar till detta direktiv.
Artikel 16
Införlivande
1. Medlemsstaterna ska senast den 4 september 2015 sätta i kraft de lagar och andra författningar som är nödvändiga för att följa detta direktiv.
2.Medlemsstaterna ska till kommissionen överlämna texten till de bestämmelser genom vilka skyldigheterna enligt detta direktiv införlivas med deras nationella lagstiftning.
3.När en medlemsstat antar dessa bestämmelser ska de in nehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.
Artikel 17
Rapportering
Kommissionen ska senast den 4 september 2017 överlämna en rapport till Europaparlamentet och rådet med en utvärdering av i vilken utsträckning medlemsstaterna har vidtagit de åtgärder som är nödvändiga för att följa detta direktiv, vid behov åtföljd av lagstiftningsförslag. Kommissionen ska även beakta den tek niska och rättsliga utvecklingen på området för
Artikel 18
Ikraftträdande
Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Artikel 19
Adressater
Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.
Utfärdat i Bryssel den 12 augusti 2013.
På Europaparlamentets vägnar | På rådets vägnar |
M. SCHULZ | L. LINKEVIČIUS |
Ordförande | Ordförande |
29
Prop. 2013/14:92
Bilaga 2
30
Sammanfattning av betänkandet Europarådets konvention om
(SOU 2013:39)
Behovet av lagändringar mot bakgrund av direktivet
Inom EU antogs 2005 ett rambeslut om angrepp mot informationssystem. Europaparlamentets och rådets direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF syftar till att ytterligare närma medlemsstaternas strafflagstiftning till varandra på området för angrepp mot informationssystem och att ändra och utöka bestämmelserna i rambeslutet. Vidare är avsikten att förbättra samarbetet mellan myndigheter och brottsbekämpande organ i medlemsstaterna.
Tyngdpunkten i direktivet utgörs av materiellt straffrättsliga bestämmelser. Bestämmelserna överensstämmer till stor del med de som finns i Europarådets konvention om
Enligt artikel 9.3 och 9.4 ska brotten olaglig systemstörning och olaglig datastörning i vissa fall vara belagda med ett maximistraff på minst tre respektive fem års fängelse. Svensk rätt uppfyller genom främst dataintrångsbestämmelsen direktivets krav på vilka handlingar som ska vara straffbelagda som olaglig systemstörning och olaglig datastörning. Straffskalan för dataintrång är böter eller fängelse i högst två år. Utredningen bedömer därför att straffskalan för dataintrång måste skärpas för att Sverige ska kunna genomföra direktivet. Av artikel 9.2 följer vidare att vissa straffbara befattningar med verktyg ska vara belagda med ett maximistraff på minst två års fängelse. Svensk rätt uppfyller i denna del kravet på straffbarhet genom främst bestämmelserna om förberedelse till brott, bl.a. förberedelse till dataintrång. För förberedelse till dataintrång är det inte möjligt att döma till två års fängelse. Det krävs alltså även av detta skäl en skärpning av straffskalan för dataintrång.
I övrigt anser utredningen att svensk rätt redan uppfyller de krav som ställs i direktivet.
En särskild straffskala för grovt dataintrång
Straffskalan för brytande av post- eller telehemlighet sträcker sig från böter till fängelse två år. Enligt utredningens mening är den nuvarande straffskalan alltjämt väl avvägd. Något skäl att skärpa straffet för brytande av post- eller telehemlighet anser utredningen alltså inte finnas.
Även straffskalan för dataintrång sträcker sig från böter till fängelse två år. Den nuvarande straffskalan för dataintrång ger emellertid enligt utredningens uppfattning inte tillräckligt utrymme för att kunna beakta allvaret i storskaliga angrepp mot informationssystem. Av olika skäl är det inte alltid möjligt att vid sådana angrepp mot informationssystem tillämpa andra straffbestämmelser med högre straffskalor, såsom bestämmelserna om sabotage, grov skadegörelse och terroristbrott. Enligt
utredningens mening finns kriminalpolitiska skäl för att skärpa straffskalan för dataintrång.
Utredningen föreslår därför att det införs en särskild straffskala för grovt dataintrång. Straffskalan ska sträcka sig från fängelse sex månader till fängelse sex år. Vid bedömande av om ett dataintrång är grovt ska särskilt beaktas om gärningen har orsakat eller kunnat orsaka allvarlig skada eller har avsett ett stort antal uppgifter eller om gärningen annars varit av särskilt farlig art.
Bestämmelsen om dataintrång ska inte längre vara subsidiär i förhållande till straffbestämmelserna om brytande av post- eller telehemlighet och om intrång i förvar. Försök och förberedelse till grovt dataintrång ska vara straffbart.
Prop. 2013/14:92
Bilaga 2
31
Prop. 2013/14:92
Bilaga 3
32
Betänkandets lagförslag
Förslag till lag om ändring i brottsbalken
Härigenom föreskrivs att 4 kap. 9 c och 10 §§ brottsbalken ska ha följande lydelse.
Nuvarande lydelse | Föreslagen lydelse |
4 kap.
9 c §4
Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Om brottet är grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska särskilt beaktas om gärningen har orsakat eller kunnat orsaka allvarlig skada eller har avsett ett stort antal uppgifter eller om gärningen annars varit av särskilt farlig art.
10 §5
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa.
4Senaste lydelse 2007:213.
5Senaste lydelse 2004:406.
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller till grovt dataintrång.
Denna lag träder i kraft den 1 januari 2015.
Prop. 2013/14:92
Bilaga 3
33
Prop. 2013/14:92
Bilaga 4
34
Förteckning över remissinstanserna
Efter remiss har yttrande över betänkandet avgetts av Riksdagens ombudsmän, Hovrätten för Västra Sverige, Hovrätten över Skåne och Blekinge, Helsingborgs tingsrätt, Hässleholms tingsrätt, Göteborgs tingsrätt, Gävle tingsrätt, Luleå tingsrätt, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Säkerhetspolisen, Statens kriminaltekniska laboratorium, Säkerhets- och integritetsskyddsnämnden, Brottsförebyggande rådet, Migrationsverket, Datainspektionen, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Totalförsvarets forskningsinstitut, Barnombudsmannen, Länsstyrelsen i Stockholms län, Statskontoret, Tullverket, Skatteverket, Uppsala universitet (Juridiska fakultetsnämnden), Stockholms universitet (Juridiska fakultetsnämnden), Post- och telestyrelsen, Diskrimineringsombudsmannen, Bahnhof AB, ECPAT Sverige, Rättighetsalliansen, IT&Telekomföretagen, Svenska Journalistförbundet, Sveriges advokatsamfund och Juliagruppen.
Yttrande har också inkommit från Lunds universitets internetinstitut och .SE (Stiftelsen för Internetinfrastruktur).
Svenskt Näringsliv har avstått från att yttra sig.
Centrum mot rasism, Stiftelsen Expo, SIG Security, Svenska avdelningen av Internationella juristkommissionen, Civil Rights Defenders, Svenska Tidningsutgivareföreningen, Föreningen Utgivarna, Sveriges Domareförbund, Netnod Internet Exchange i Sverige AB, Tele2 AB och TeliaSonera AB har beretts tillfälle att avge yttrande men har avstått.
Lagrådsremissens lagförslag
Förslag till lag om ändring i brottsbalken
Härigenom föreskrivs6 att 4 kap. 9 c och 10 §§ brottsbalken ska ha följande lydelse.
Nuvarande lydelse | Föreslagen lydelse |
4 kap.
9 c §7
Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.
Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
10 §8
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller
För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms det till ansvar enligt 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, dataintrång som om det
6Jfr Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 14.8.2013, s.
7Senaste lydelse 2007:213.
8Senaste lydelse 2004:406.
Prop. 2013/14:92
Bilaga 5
35
Prop. 2013/14:92 | till dataintrång som om det | fullbordats inte skulle ha varit att | |
Bilaga 5 | fullbordats inte | skulle ha varit att | anse som ringa, eller grovt |
anse som ringa. | dataintrång. |
Denna lag träder i kraft den 1 juli 2014.
36
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde
Närvarande: F.d. justitierådet Leif Thorsson samt justitieråden Gudmund Toijer och Olle Stenman.
Skärpt straff för dataintrång
Enligt en lagrådsremiss den 16 januari 2014 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till
lag om ändring i brottsbalken.
Prop. 2013/14:92
Bilaga 6
Förslaget har inför Lagrådet föredragits av rättssakkunniga Jenny Engvall.
Lagrådet lämnar förslaget utan erinran.
37
Prop. 2013/14:92 Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 13 februari 2014
Närvarande: Statsministern Reinfeldt, ordförande, och statsråden
Björklund, Bildt, Ask, Larsson, Erlandsson, Borg, Ohlsson, Norman,
Attefall, Engström, Kristersson,
Lööf, Enström, Arnholm, Svantesson
Föredragande: statsrådet Ask
Regeringen beslutar proposition 2013/14:92 Skärpt straff för dataintrång
38
Rättsdatablad | Prop. 2013/14:92 | ||
Författningsrubrik | Bestämmelser som | Celexnummer för | |
inför, ändrar, upp- | bakomliggande EU- | ||
häver eller upprepar | regler | ||
ett normgivnings- | |||
bemyndigande | |||
Lag om ändring i | 32013L0040 | ||
brottsbalken |
39