IT-utvecklingen och det nationella handlingsutrymmet från ett lagstiftarperspektiv
Av departementsrådet HENRIK JERMSTEN
Jag tänkte inte så mycket kommentera Peter Seipels intressanta och skarpsinniga analys utan snarare komplettera med några reflexioner över frågan om IT-utvecklingen och det nationella handlingsutrymmet från ett lagstiftarperspektiv.
Jag tänker ta upp två konkreta exempel på hur IT-relaterade frågor har kommit att hanteras av lagstiftaren på nationell respektive EUnivå och sedan försöka ge min syn på den fråga som ställs i underrubriken för ämnet — är informationsteknikens globala karaktär ett argument för en internationell reglering? Det första exemplet är den svenska lagen om ansvar för elektroniska anslagstavlor — den s.k. BBS-lagen — och dess förenlighet med det kommande EG-direktivet om elektronisk handel. Den andra frågan gäller det s.k. dataskyddsdirektivet och de förhandlingar som pågår mellan EU och USA i syfte att även i framtiden tillåta överföring av personuppgifter mellan USA och Europa.
Lagen (1998:112) om ansvar för elektroniska anslagstavlor tar sikte på olika tjänster för elektronisk förmedling av meddelanden. Lagen träffar alla typer av tjänster som tillåter att enskilda lägger in information. Lagen innebär att tillhandahållaren av en tjänst måste hålla en viss uppsikt över vilken sorts information användarna lägger in. Om det förekommer meddelanden som är straffbara att sprida, t.ex. barnpornografiska bilder, är tillhandahållaren av tjänsten skyldig att ta bort meddelandet eller på annat sätt förhindra vidare spridning. Syftet med lagen är att komma åt sådant material där det är svårt att spåra de användare som ursprungligen avsänt straffbara meddelanden men också att bygga upp ett rättsmedvetande för hanteringen av denna sorts tjänster. Lagen påverkar inte ansvaret för den som skickar in meddelandet — den som gör sig skyldigt till t.ex. spridningsbrott skall naturligtvis dömas för det i vanlig ordning — utan lägger en sorts subsidiärt medverkansansvar på förmedlaren. Ett sätt att uppfylla sitt ansvar enligt lagen är att inrätta klagomurar dit allmänheten kan anmäla påträffade oegentligheter som tillhandahållaren av tjänsten sedan kan ta bort.
Den här lagen har sin upprinnelse i direktiven till en utredning — IT-utredningen — som regeringen beslutade våren 1994. Det låter inte som det är så länge sedan men alla kan erinra sig hur begränsad Internetanvändningen var för sex år sedan jämfört med idag. I direk-
tiven (dir. 1994:42) betonades att regleringar på IT-området naturligtvis har internationella aspekter men att detta inte skulle hindra nationella regleringar. IT-utredningens förslag till lag om elektroniska förmedlingstjänster presenterades i betänkandet Elektronisk dokumenthantering (SOU 1996:40). I propositionen Ansvar för elektroniska anslagstavlor (prop. 1997/98:15 s. 8–9) säger regeringen att det är angeläget med ett ökat internationellt samarbete på området men att det emellertid kan dröja innan ett sådant samarbete ger resultat. Att problemet är internationellt är enligt regeringen inte ett skäl mot att Sverige inför en reglering för att förhindra att svenskt territorium används för oönskad spridning av straffvärda meddelanden.
Lagen om ansvar för elektroniska anslagstavlor trädde i kraft den 1 maj 1998, alltså för drygt ett och ett halvt år sedan. Lagen har såvitt jag vet aldrig tillämpats av domstol. Däremot har lagen haft effekt på så sätt att i vart fall de stora operatörerna infört klagomurar. Lagen får alltså sägas ha fungerat. Tanken var att lägga ett extra ansvar på dem som verkligen kunde åstadkomma en förbättring, nämligen förmedlarna, och de har också grovt sett anpassat sig till detta.
Såvitt jag känner till är denna reglering unik och lagen om ansvar för elektroniska anslagstavlor har uppmärksammats internationellt. Under arbetet inom EU med det kommande direktivet om elektronisk handel har det visat sig att det råder delade meningar om det svenska systemets förtjänster. Det har sagts vara tveksamt om lagen fullt ut går att förena med direktivet eftersom detta — såvitt jag förstår i strid med grundläggande svenska straffrättsliga principer — i frihandelns intresse bl.a. bygger på idén att förmedlare skall fredas mot ingripanden med anledning av innehållet i meddelanden och att någon generell övervakning inte skall vara tillåten. Vi får väl se hur det kommer att gå. Sverige arbetar för att få behålla lagen om ansvar för elektroniska anslagstavlor. Efter vad jag har förstått är det också kommissionens inställning att det kommande direktivet går att förena med lagen.
Men man kan förstås ändå inte utesluta att en kommande harmonisering innebär att Sverige tvingas ge upp lagen. Det vore naturligtvis högst beklagligt. Utöver de straffrättsliga aspekterna vore det — och det är väl det som är det väsentliga i det här sammanhanget — rent principiellt motbjudande att tvingas riva upp en så pass färsk, fungerande reglering. Det skulle också innebära ett slöseri med resurser, både vad avser lagstiftningsarbetet och de aktörer som har tvingats införa nya rutiner eller andra anpassningsåtgärder med anledning av regleringen.
Mitt andra exempel handlar om Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter — det s.k. dataskyddsdirektivet — som i Sverige är genomfört genom personuppgiftslagen (1988:204).
EG-direktivets syfte är att skapa en gemensam, hög nivå på integritetsskyddet för att på så sätt möjliggöra ett fritt flöde av personuppgifter medlemsstaterna emellan. Medlemsstaterna får inom direktivets ram närmare precisera villkoren för när behandling av personuppgifter får förekomma men dessa preciseringar får inte hindra det fria flödet av personuppgifter inom unionen.
Direktivet är tillämpligt på all automatiserad behandling av personuppgifter. Manuell behandling omfattas också i viss mån. Enligt direktivet får personuppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Vidare ställer direktivet upp detaljerade krav på samtycke, informationsplikt, anmälningsplikt osv. Överföring av personuppgifter till tredje land får i princip endast ske om det mottagande landet har en adekvat skyddsnivå.
Enligt direktivet skall medlemsstaterna och kommissionen informera varandra när de anser att ett tredje land inte erbjuder adekvat skyddsnivå. Om kommissionen kommer fram till att ett visst tredje land inte erbjuder en adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de åtgärder som krävs för att hindra överföring av personuppgifter till det landet. Kommissionen kan också komma fram till att ett tredje land, genom sin interna lagstiftning eller på grund av internationella konventioner, har en adekvat skyddsnivå. Medlemsstaterna skall då vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.
Hittills har kommissionen inte meddelat några beslut avseende tredje länder men det pågår diskussioner om godkännande av vissa stater, bl.a. USA. Det är naturligtvis av handelspolitiska skäl mycket angeläget att flödet av personuppgifter över Atlanten inte stoppas och frågan om godkännande av USA som ett land med adekvat skyddsnivå är högt prioriterad.
USA har emellertid inte och lär inte heller komma att införa någon generell dataskyddslagstiftning av europeiskt snitt. Det finns alltså inga sådana regler som kommissionen vid en prövning skulle kunna bedöma som adekvata vad avser skyddsnivå. För att gå EU till mötes har man därför från amerikansk sida istället lanserat konceptet Safe Harbor, som bygger på självreglering. Amerikanska företag och organisationer som tar emot personuppgifter från EU får frivilligt ansluta sig till Safe Harbor-systemet. Om de gör det skapas en presumtion för att skyddsnivån är adekvat. Safe Harbor innebär att organisationerna skall tillkännage att de följer ett antal dataskyddsprinciper i enlighet med vissa ganska detaljerade riktlinjer och att de är underkastade tillsyn genom ett antal fristående branschorgan.
Förhandlingarna mellan USA och medlemsstaterna om Safe Harbor har nu pågått en längre tid. Från europeiskt håll kan man inte gärna godkänna ett regelsystem som innebär ett sämre skydd än det
som finns i medlemsstaterna och från amerikansk sida kan man inte acceptera att pådyvlas EU:s dataskyddslagstiftning.
Även om förhandlingarna drar ut på tiden är jag övertygad om att man till slut kommer att träffa en för båda parter tillfredsställande överenskommelse. Vad som inträffar då är att kommissionen — och därigenom medlemsstaterna — kommer att förklara ett självregleringssystem som likvärdigt med lagreglering när det gäller skyddsnivån. Den nivå för skyddet av personuppgifter som Safe Harbor ger kan sedan antas bli vägledande för andra länder som inte vill införa lagregler om dataskydd men ändå kunna ta emot personuppgifter från EU. Det här är intressant av många anledningar men min poäng här i dag är att man här kanske har ett exempel på att lagreglering i vissa länder kan tvinga andra länder att införa självregleringssystem på motsvarande område.
Avslutningsvis vill jag framhålla följande. Lagen om ansvar för elektroniska anslagstavlor blir inte meningslös bara för att den är begränsad till svenskt territorium. Att den nationelle lagstiftaren tar en viss risk genom att inte avvakta internationella lösningar på ett visst område får man räkna med. Vilka konsekvenser en avvikande reglering får beror naturligtvis på omständigheterna men generellt tror jag inte att man skall dra sig för nationella lösningar. Lite tillspetsat kan man kanske säga att detsamma gäller på EU-nivå. Bakom dataskyddsdirektivet ligger ju strävan att stärka integritetsskyddet för EU-medborgarna. Som informationstekniken ser ut i dag borde då detta skydd för att vara optimalt gälla i hela världen. Men för att uppnå det krävs det internationella konventioner. Sådana brukar ta mycket lång tid att få fram och riskerar att bli urvattnade. Genom lagstiftningen på EU-nivå kommer vi i vart fall — förhoppningsvis — att få en viss internationell harmonisering. Detta då direktivets konstruktion är sådan att det kan tvinga fram en godtagbar nivå för dataskyddet i sådana länder där det har kommersiell betydelse att kunna ta emot personuppgifter från EU.
Förvisso är informationsteknikens globala karaktär ett argument för internationella regleringar men med lagstiftarens perspektiv är det väsentliga trots allt att ta vara på de möjligheter som står till buds.