Dataintrång att olovligen installera datorprogram?

En analys av rättsfallet RH 2015:15

 

 


Av advokaten ERIK WOODCOCK

Frågan om det är dataintrång att olovligen installera datorprogram har blivit föremål för prövning i ett mål i Svea hovrätt i januari 2015 (RH 2015:15). Domen i sagda mål har föranlett ett yttrande av Åklagarmyndigheten och förorsakat diskussion i såväl sociala medier som ITbranschen. Syftet med denna artikel är dels att belysa domen ifråga och de frågeställningar som avhandlas i den, dels mer allmänt belysa de objektiva rekvisiten i dataintrångsbestämmelsen och förhoppningsvis därmed lämna ett bidrag till den rättsliga diskussionen kring dataintrångsbrottet.

 


1 Inledning
Efter Svea hovrätts dom den 12 januari 2015 har jag i olika sammanhang mötts av påståendet att det inte är dataintrång och därmed inte heller straffbart att olovligen installera datorprogram.1 Särskilt har frågan kommit upp i diskussioner om vad som gäller i förhållande till arbetsgivares datorer i situationen där arbetsgivaren tydligt och klart angivit att det inte är tillåtet för arbetstagare att installera datorprogram på arbetsgivarens dator.

 

2 Bakgrund
Frågeställningen om det är dataintrång att olovligen installera ett datorprogram i en dator är redan genom utformningen av frågan begränsad till brottet dataintrång, det vill säga 4 kap. 9 c § brottsbalken.2 Ramen för denna artikel får därför bli 4 kap. 9 c § 1:a stycket 1:a meningen brottsbalken, som lyder: ”Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller

 

1 Svea hovrätts dom den 12 januari 2015 i mål B 11884-13 (RH 2015:15). 2 Bestämmelsen om dataintrång infördes i brottsbalken (4 kap. 9 c §) 1998 i samband med att den tidigare datalagen (1973:289) ersattes med personuppgiftslagen (1998:204) (prop. 1997/98:44). Datalagens bestämmelse om dataintrång (21 §) överfördes då till brottsbalken utan ändring i sak. Bestämmelsen om dataintrång ändrades genom en lagändring 2007 som i huvudsak syftade till att genomföra ett EU-rambeslut (rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem) (prop. 2006/07:66, nedan propositionen 2006/07). Bestämmelsen om dataintrång fick sin nuvarande utformning genom en lagändring 2014 genom vilket brottet grovt dataintrång infördes (prop. 2013/14:92).

SvJT 2015 Dataintrång att olovligen installera… 863 olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång [...].
    Ett förfarande är olovligt om det sker utan tillstånd av den som har rätt att förfoga över uppgiften som är avsedd för automatiserad behandling och saknar stöd i gällande rätt.3 Det råder ingen tvekan om att överträdelse av explicita regler i lag, föreskrifter eller interna riktlinjer, såsom en arbetsgivares interna riktlinjer, omfattas av olovlighetsrekvisitet. Därutöver omfattas även överträdelser av underförstådda, indirekta, instruktioner, åtminstone så länge ägarens avsikt med hur uppgiften får disponeras kommit till uttryck på ett sådant sätt att det är möjligt för en utomstående att uppfatta instruktionen.
    Att datorprogram omfattas av begreppet ”uppgift som är avsedd för automatiserad behandling” framgår av förarbeten till datorintrångsbestämmelsen och har bekräftats av Högsta domstolen i NJA 2014 s. 221.4 Lokutionen ifråga ersatte genom ändring år 2007 det tidigare begreppet ”upptagning för automatisk databehandling”. 2007 års ändring kan för aktuell diskussion ses som en språklig redigering.5 I sammanhanget kan dock vara värt att notera att det för tillämpningen av begreppet är utan betydelse var uppgifterna finns i ett datorsystem.6 Det är utöver olovlighetsrekvisitet framför allt rekvisiten ”bereder sig tillgång till”, ”ändrar” och ”i register för in” som förtjänar att bli föremål för närmare analys i förhållande till aktiviteten att olovligen installera datorprogram. I denna artikel kommer tre alternativa tolkningar i förhållande till aktiviteten att olovligen installera datorprogram att behandlas (alternativ A till C).
    Enligt ett alternativ så kan en dator i sig ses som varande ett register. I så fall skulle förutsättningen för tillämpning av dataintrångbestämmelsen vara uppfylld om någon olovligen i sådant register, dvs. i datorn, för in en uppgift som är avsedd för automatiserad behandling, i här aktuell situation i form av ett datorprogram. Ett härtill närliggande synsätt är att på datorn befintliga datorprogram utgör register, t.ex. på datorn befintligt operativsystem, eller datorn i vart fall innehåller sådana, och att det vid installation av datorprogram därför sker en införing i sådant register (kallas ”alternativ A” nedan).
    Ett annat synsätt är att installation av ett datorprogram på en dator inte i sig nödvändigtvis betyder införing i ett register men att det vid installation de facto sker en ändring i en uppgift som är avsedd för automatiserad behandling på datorn, t.ex. i operativsystemet, och om detta sker olovligen så är förutsättningarna uppfyllda för dataintrång (kallas ”alternativ B” nedan). Det rör sig då om en ändring av parametrar eller kod som utgör del av på datorn befintligt operativsystem eller annat

 

3 NJA 2014 s. 221. 4 Prop. 2006/07:66 s. 17 samt s. 37 f. 5 Jfr prop. 2006/07:66 s. 17, s. 40 och 49. 6 Se bl.a. prop. 2013/14:92 s. 8.

864 Erik Woodcock SvJT 2015 datorprogram, som i sig är en uppgift som är avsedd för automatiserad behandling. Att visa att det vid installation av ett datorprogram på en dator sker någon förändring av på datorn befintliga datorprogram blir då en förutsättning för en tillämpning av dataintrångsbestämmelsen.
    Om alternativen A eller B verkligen behöver analyseras närmare för tillämpning av dataintrångsbestämmelsen kan dock ifrågasättas. Det faktum att någon installerar ett datorprogram på en dator skulle utifrån dataintrångsbestämmelsens lydelse i sig kunna vara att bereda sig tillgång till uppgift som är avsedd för automatiserad behandling (kallas ”alternativ C” nedan). Det är i så fall till datorns operativsystem och på datorn redan installerade datorprogram med dess innehåll som en olovlig tillgång ”bereds” redan genom installationshandlingen.

 

3 Svea hovrätts dom
NN åtalades för dataintrång för att denne uppsåtligen olovligen installerat datorprogrammet Google Talk på en arbetsdator som tillhört hans arbetsgivare.

 

K har den 15 oktober 2009 på okänd plats uppsåtligen olovligen installerat datorprogrammet Google Talk på en arbetsdator som tillhört målsäganden […] Härigenom har K olovligen i register fört in uppgift avsedd för automatiserad behandling.

 

Google Talk är ett s.k. direktmeddelandeprogram utvecklat av Google och används med ett Gmail-konto, dvs. det låter personer som loggat in skicka meddelanden till varandra i realtid över internet. Tekniken är nära besläktad med chatt. Denna typ av program har över tid fått allt större spridning och anses av många vara ett verktyg som kan förväntas på en dator.
    Tingsrätten konstaterade att NN uppgett att han var medveten om att anställda var förbjudna att installera programvara och att eventualiteten att någon annan än NN själv utfört installationen var så liten att den eventualiteten kunde lämnas därhän. I anledning av invändning från försvaret att 4 kap. 9 c § brottsbalken avsåg personregister ansåg tingsrätten att sådant register som anges i bestämmelsen inte enbart avser personregister. Tingsrätten fann således NN ansvarig för dataintrång i enlighet med åtalet.
    I Svea hovrätts dom den 12 januari 2015 ogillades åtalet för dataintrång.
    I hovrätten hade NN erkänt att han installerade dataprogrammet Google Talk på en dator tillhörande målsäganden. Det var i målet ostridigt att det hos arbetsgivaren fanns interna riktlinjer som förbjöd de anställda att installera program på sina arbetsdatorer. Hovrätten konstaterade också att installationen av Google Talk därmed skedde olovligen.

SvJT 2015 Dataintrång att olovligen installera… 865 NN bestred att hans agerande var straffbart. Dels invände han att programmet inte hade införts i ett register i den mening som avses i 4 kap. 9 c § brottsbalken, dels bestred han att han haft uppsåt att föra in programmet i ett register.
    Enligt hovrätten berodde bedömningen av om installationen av Google Talk var brottslig på om förfarandet innebar att en uppgift hade förts in i ett register eller inte.7 Utformningen av gärningsbeskrivningen har förstås medfört att domstolens bedömning kommit att avse om det i register förts in en uppgift som är avsedd för automatiserad behandling eller inte, dvs. prövningen har kommit att avse alternativ A enligt i föregående avsnitt angivna alternativ.
    Hovrätten tog med uttrycklig hänvisning till prop. 2006/07:66 s. 18 fasta på ett uttalande däri att lagstiftaren genom införandet av registerbegreppet avsett att begränsa det straffbelagda området (se angående uttalandet närmare nedan). Hovrätten anför därefter i domskälen:

 

Enligt vad som framkommit i utredningen påverkas en dators fil- och registersystem så snart ett program installeras på datorn. Detta gäller oavsett vilket operativsystem som är installerat på datorn. Om begreppet ”register” ges en vid tolkning skulle följaktligen alla programinstallationer som sker olovligen vara kriminaliserade. Ändamålet med straffbestämmelsen är emellertid att skydda datalagrat material. NN:s åtgärd att enbart installera ett dataprogram som endast påverkar sådana system i datorn som är betingade av dess funktion bör således falla utanför vad som utgör ett ”införande av uppgift i register” i den aktuella straffbestämmelsens mening.

 

Hovrätten förkastar följaktligen att det är dataintrång att föra in uppgift i register i bemärkelsen att datorn i sig skulle kunna ses som ett register liksom att enbart påverkan på datorn befintliga datorprogram skulle vara införing i register. Det senare i vart fall så länge som det endast påverkar ”sådana system i datorn” som är betingade av dess funktion. Avgörande för hovrättens ställningstagande att ogilla åtalet framstår vara dels registerbegreppet, dels ändamålet med straffbestämmelsen, att skydda datalagrat material.

 

4 Närmare om registerbegreppet
I det betänkande som låg till grund för propositionen om datalagen (SOU 1972:47) fanns inte i utredningens förslag till dataintrångsbestämmelse rekvisitet om införande i register. Denna del av bestämmelsen tillkom efter påpekande av Justitiekanslern under remissbehandlingen. Justitiekanslern ansåg att tolkningen av betänkandets förslag kunde bli föremål för tvekan med hänsyn till att ingenting sades om ”obehöriga införingar i datasystem” (prop. 1973:33 s. 68). Rekvisitet om införande tillkom således efter Justitiekanslerns påpe-

 

7 Hovrättens dom s. 6.

866 Erik Woodcock SvJT 2015 kande om obehöriga införingar i datasystem, men någon närmare diskussion härom förs inte i propositionen. Allmänt anförs av departementschefen att han liksom utredningen anser att det behövs straffbestämmelser som helt allmänt skyddar datalagrat material mot obehöriga åtgärder oavsett om åtgärderna medför ett otillbörligt integritetsintrång eller ej.
    Att någon närmare diskussion om kriminaliseringens innebörd i denna del inte fördes i propositionen 1973:33 påtalas i propositionen 2006/07, men då med hänvisning till ”obehöriga införingar”.8 Någon närmare analys görs dock inte heller i propositionen 2006/07 och inte heller med avseende på att tillägget tillkommit efter tvekan i förhållande till obehöriga införingar i datasystem.
    I det relevanta avsnittet i propositionen 2006/07 konstateras helt kort:

 

[i]nföringar av upptagningar i register är alltså straffbelagda. Registerbegreppet medför en begränsning av det straffbara området så till vida att endast sådana införingar som sker i uppgifter strukturerade på visst sätt omfattas. Således omfattar tillämpningsområdet för dataintrångsbestämmelsen i denna del inte alla slag av införingar av upptagningar. Andra införingar kan dock vara straffbara genom att de träffas av de delar av bestämmelsen som straffbelägger ändring eller utplånande av samt intrång i upptagningar.

 

Det kunde i sammanhanget varit på sin plats att åtminstone reflektera över definitionen av register i datalagen som angav att personregister var ”register, förteckning eller andra anteckningar som föres med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Med andra ord, personregister omfattar allt som finns på en dator som innehåller personuppgifter.
    Uttalandet i propositionen 2006/07 att registerbegreppet medför en begränsning av det straffbara området till att endast sådana införingar omfattas som sker i ”uppgifter strukturerade på visst sätt” ger knappast någon vägledning. Det särskilt då det inte närmare redogörs för på vilket sätt de ska vara strukturerade. Att uppgifter i en dator är strukturerade ”på visst sätt” är närmast en truism.
    Vad gäller registerbegreppet menar jag att det sammantaget saknas belägg för att begreppet ”register” ska tolkas på annat sätt än utifrån dess allmänna språkliga betydelse, möjligtvis då begränsat till vid tidpunkten för dataintrångsbestämmelsens tillkomst och i så fall utifrån den definition som angavs i datalagen. En sådan ansats upprätthåller också den för straffrätten så viktiga principen att straffstadgandets ordalydelse bildar en gräns som inte får överskridas. Hovrätten har dock, faktiskt språkbruk till trots, inte tillmätt detta någon avgörande betydelse och då särskilt att ordet ”register” kommit att användas som

 

8 Prop. 2006/07:66 s. 18.

SvJT 2015 Dataintrång att olovligen installera… 867 beteckning på sådana filer i vilket ändringar typiskt sker i samband med installation av nya datorprogram på en dator. Inte heller uppehåller sig hovrätten i domskälen vid att det redan vid bestämmelsens tillkomst framhölls att det var fråga om ett skydd för alla slags dataregister, även sådana som inte innehöll personinformation.
    Att kvalificera datorintrångsbrottet genom att undanta ”ett dataprogram som endast påverkar sådana system i datorn som är betingade av dess funktion” är intetsägande. De allra flesta program om inte alla påverkar system i datorn just betingat utifrån programmets funktion. Motsatsen är inte heller särskilt lättillämpad, dvs. att bestämmelsen ska tillämpas på andra införingar än de där dataprogram endast påverkar sådana system i datorn som är betingade av dess funktion.

 

5 Närmare om ändamålet ”att skydda datalagrat material”
Som anförts ovan har hovrätten utöver registerbegreppet fäst vikt vid ändamålet med straffbestämmelsen, som uppges vara att skydda datalagrat material.
    På vilket sätt ändamålet att skydda datalagrat material talar för en snävare tolkning redogörs inte närmare av hovrätten. Jag menar att ändamålet att skydda datalagrat material inte nödvändigtvis talar mot en vidare tolkning av registerbegreppet, utan snarare tvärtom. Utifrån ett informationssäkerhetsperspektiv, dvs. perspektivet att åstadkomma skydd för datalagrat material, är kontroll över system såsom en dator, i bemärkelsen kontroll över vilka datorprogram som finns installerade, en betydelsefull komponent för att skydda just datalagrat material. De risker förenade med olovliga installationer av datorprogram är ur ett informationssäkerhetsperspektiv typiskt minst lika stora, om inte större, än en enskild olaga slagning i ett personregister.
    Det faktum att ändamålet med straffbestämmelsen är att skydda datalagrat material talar inte mot en slutsats att alla programinstallationer som sker olovligen ska vara kriminaliserade, tvärtom kan det mot bakgrund av riskerna med olovliga installationer av datorprogram likaväl ses som ändamålsenligt att alla programinstallationer som sker olovligen ska vara kriminaliserade. Hovrättens resonemang kan, menar jag, därför ifrågasättas också på sådan principiell grund.

 

6 Åklagarmyndighetens yttrande
Allmänt om yttrandet
Som nämnts inledningsvis föranledde Svea hovrätts dom ett yttrande av Åklagarmyndigheten.9 Enligt yttrandet är frågan som är aktuell i målet huruvida en dator är att se som ett register i lagens mening. Slutsatsen i yttrandet är att införandet av programmet skulle ha be-

 

9 Åklagarmyndigheten, Utvecklingscentrum Stockholm. Fråga om eventuellt överklagande av Svea hovrätts dom den 12 januari 2015 i mål B 11884-13 (dataintrång). 2015-01-22, dnr ÅM 2015/03/06 (”Åklagarmyndighetens yttrande”).

868 Erik Woodcock SvJT 2015 dömts som dataintrång och att rättens tillämpning av registerbegreppet är felaktig.10 Åklagarmyndigheten anför att det av prop. 1973:33 (s. 106) framgår att förfarandet att olovligen föra in en ny upptagning i ett datasystem är kriminaliserat redan genom införandet av dataintrångsbestämmelsen. Vad som åsyftas är departementschefens uttalade att även det fallet att ”någon olovligen för in en ny upptagning i ett datasystem” bör läggas till fallen att någon olovligen bereder sig tillgång till upptagning för ADB eller olovligen ändrar eller utplånar sådan upptagning.11 Vad gäller uttalandet i propositionen 2006/07, som anger att registerbegreppet medför en begränsning av det straffbara området, konstateras bara att ytterligare uttalande i lagens förarbeten om registerbegreppet inte kunnat utrönas. Det konstateras i yttrandet att regeringen i propositionen 2006/07 gjort bedömningen att svensk rätt genom dataintrångsbestämmelsen uppfyller det krav som följer av EU-rambeslut om vad som ska vara straffbelagt som olagligt intrång i informationssystem.12 Se härom närmare nedan.
    Åklagarmyndigheten uppehåller sig i yttrandet i att, utifrån en språklig analys av uttrycket ”olovligen bereder sig tillgång”, det i lagrummet inte angivits någon begränsning med avseende på syftet för åtgärden, utan att vad som beläggs med straff är själva intrånget att olovligen bereda sig tillgång. På detta tema anförs också att olovligen föra in kan sägas ligga nära att olovligen bereda sig tillgång. Det är således enligt Åklagarmyndighetens yttrande själva intrånget, eller införandet, som kriminaliserats. Åklagarmyndigheten gör uppenbarligen en sak av att den aktuella domen avser ett relativt harmlöst datorprogram jämfört med andra fall då programmen haft en mer skadegörande avsikt, såsom t.ex. datorprogram i form av en så kallad trojan eller mask.
    Åklagarmyndigheten konstaterar i yttrandet att domen kan komma att medföra att åklagare behöver föra bevisning om vilken effekt införandet av ett program fått eller skulle komma att få.13 Avslutningsvis konstaterar Åklagarmyndigheten att mot bakgrund av att praxis rörande frågan synes vara tämligen fast så förefaller, enligt Åklagarmyndighetens mening, Svea hovrätts dom av den 12 januari 2015 vara ett undantag och att det därför för närvarande inte skulle finnas ett stort behov av vägledning, varför också inte ett överklagade till Högsta domstolen rekommenderades.

 

 

10 Åklagarmyndighetens yttrande s. 7. 11 Prop. 1973:33 s. 106. 12 Det rambeslut som åsyftas är Rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem. 13 Åklagarmyndighetens yttrande s. 7.

SvJT 2015 Dataintrång att olovligen installera… 869 Relevant praxis?
Som också konstateras i Åklagarmyndighetens yttrande har Dataintrångsbestämmelsen relativt nyligen varit föremål för Högsta domstolens prövning i NJA 2014 s. 221. Gärningen som var föremål för prövning var dock vitt skild ifrån handlingen att olovligen installera ett datorprogram. Högsta domstolen fann att det var dataintrång när en polis olovligen genom frågor använt polisens IT-system för att inhämta uppgifter om vad som fanns antecknat om honom själv i olika register, dvs. att denne därigenom olovligen berett sig tillgång till uppgifter avsedda för automatiserad behandling. Av intresse också i förhållande till aktuell frågeställning kan, utöver att Högsta domstolen inte helt oväntat konstaterade att ett förfarande är olovligt om det sker utan tillstånd av den som har rätt att förfoga över uppgiften, vara att det inte krävs att intrånget sker i ett visst syfte. Det är således själva intrånget som straffbeläggs.14 I Åklagarmyndighetens yttrande anges att det finns praxis avseende olovliga införingar i datorer som talar för Åklagarmyndighetens uppfattning och i yttrandet redogörs också för några hovrättsavgöranden. Vad jag kan utläsa i yttrandet är det dock inte i något avgörande närmare klarlagt att hovrätt avgjort ett mål enbart på att en införing skett i ett register, dvs. att alternativ A ovan tillämpats. En dom från Hovrätten för Nedre Norrland från år 2010 rörande ett datorprogram i form av en s.k. mask avhandlas i Åklagarmyndighetens yttrande.15 Den tilltalade hade enligt gärningsbeskrivningen skickat ”en ’massposterande mask’ och därigenom olovligen ändrat i ett mycket stort antal upptagningar för automatisk databehandling samt olovligen i ett mycket stort antal register fört in sådana upptagningar”. Det var enligt hovrätten visat att masken var programmerad så; att den sökte igenom mottagande datorers e-postadresslistor, att den skickade sig själv vidare till andra datorer, att den ändrade inställningar i datorerna och att den stängde antivirusprogram. Hovrätten konstaterar i sin dom att masken ändrat i ett stort antal upptagningar för automatisk databehandling och lett till att oönskade upptagningar för automatisk databehandling förts in i ett mycket stort antal register. Vid en samlad bedömning fann hovrätten det ställt bortom rimligt tvivel att NN hade uppsåt till effekten av sitt handlande, dvs. intrånget i andra datorer”, och dömde för dataintrång.
    Någon ansats till en fullständig genomgång av hovrättsdomar eller tingsrättsdomar har inte gjorts för att författa denna artikel men jag har inte funnit att det i något avgörande är närmare klarlagt att domstol enbart avgjort frågan utifrån att en införing skett i ett register, dvs. att alternativ A tillämpats. Tvärtom tycks det vara andra ytterligare tillkommande moment som funnits avgörande för dataintrångsbe-

 

14 Högsta domstolen hänvisar till prop. 2006/07:66 s. 17 och 23. 15 Hovrätten för Nedre Norrlands dom den 27 januari 2010 mål nr B 1258-07.

870 Erik Woodcock SvJT 2015 stämmelsens tillämpning. Det är inte minst därför som domen från Svea hovrätt som föranlett denna artikel är så intressant.
    Från tingsrätt har jag funnit en dom som i vissa delar kan sägas motsvara en olovlig installation av datorprogram. I aktuellt mål dömdes de som monterat skimmingutrustning på en betalautomat och därigenom använt den utrustningen till att olovligen bereda sig tillgång till andra personers kontokortsuppgifter och PIN-koder för dataintrång. Tingsrätten tog fasta på att datainformation hade överförts från betalkort till registreraren. Tingsrätten fann att de åtalade därigenom olovligen berett sig tillgång till andra personers kontokortsuppgifter och PIN-koder. I domen anges inte att de tilltalade faktiskt tog del av uppgifterna på annat sätt än att datainformation överförts från betalkort till registreraren. Det kan således konstateras att tingsrätten ansåg att det genom installation av utrustning och överföring av uppgifter till den utrustningen så hade de tilltalade olovligen berett sig tillgång till en uppgift som var avsedd för automatiserad behandling. Varför det skulle göras åtskillnad mellan skimmingutrustning och ett datorprogram kan ifrågasättas, särskilt om lagstiftaren så långt som möjligt önskar hålla sig teknikneutral.
    Tingsrättens dom kan möjligen anses intressant för att belysa om det vid olovlig installation av datorprogram också bör visas att det programmet hämtar eller på annat sätt tar del av uppgifter på datorn och det således är det som föranleder fullbordat brott snarare än själva installationen i sig.
    I Åklagarmyndighetens rapport konstateras att enligt uppgift från viss namngiven kammaråklagare finns det ett antal tingsrättsdomar på området där det i samtliga fall bedömts utgöra dataintrång att införa ett program i en dator, men att det då har varit fråga om program av skadlig art.16 Någon närmare referens till domar lämnas dock tyvärr inte.

 

Om EU:s direktiv om angrepp mot informationssystem
Med anledning av EU:s direktiv om angrepp mot informationssystem (fortsättningsvis direktivet) har Sverige vissa skyldigheter avseende straffrättslig lagstiftning vad gäller angrepp mot informationssystem.17 Direktivet innehåller krav på materiella straffrättsliga bestämmelser som till stor del överensstämmer med de som finns i av EU tidigare antaget rambeslut och Europarådets konvention om IT-relaterad brottslighet (Convention on Cybercrime, ETS No.185).
    Direktivet tar sin utgångspunkt i begreppet informationssystem, varmed avses ”en apparat eller en grupp av sammankopplade apparater eller apparater som hör samman med varandra, av vilka en eller flera genom ett program automatiskt behandlar datorbehandlings-

 

16 Åklagarmyndighetens yttrande s. 5. 17 Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF.

SvJT 2015 Dataintrång att olovligen installera… 871 bara uppgifter, samt datorbehandlingsbara uppgifter som lagras, behandlas, hämtas eller överförs med hjälp av en apparat eller en grupp av apparater för att de ska kunna drivas, användas, skyddas och underhållas”.
    Vad gäller olovlig installation av datorprogram är det närmast artikel 3 rörande olagligt intrång i informationssystem som aktualiseras. Enligt denna artikel ska medlemsstaterna vidta de åtgärder som är nödvändiga för att se till att uppsåtligt otillåtet intrång i ett informationssystem som helhet eller en del av ett sådant system straffbeläggs när det begås genom intrång i en säkerhetsåtgärd och det åtminstone i fall som inte är ringa. Direktivet medför således krav på lagstiftning i förhållande till aktiviteter som begås genom intrång i en säkerhetsåtgärd (engelska: ”where committed by infringing a security measure”). Något generellt krav att kriminalisera olovliga installationer av datorprogram kan därmed knappast direkt utläsas i direktivet.
    Till uppfyllande av direktivet infördes brottet grovt dataintrång men i övrigt konstaterades i aktuell proposition att Sverige genom befintlig lagstiftning uppfyller kraven enligt direktivet.18 Att använda direktivet eller lagstiftarens uttalanden i anledning av implementeringen av direktivet som underlag för ett ställningstagande till frågan om olovlig installation, såsom närmare uttryckt enligt alternativen A till C ovan låter sig således svårligen göras. Ett undantag är möjligtvis situationen då installation görs efter kringgående eller annat intrång i en säkerhetsåtgärd, då det otvetydigt av lagstiftaren avsetts omfattas av dataintrångsbestämmelsen. I det fallet kan dock närmast ligga till hands att konstatera att brottet fullbordats vid kringgåendet av säkerhetsåtgärden och således att alternativ C är för handen därigenom.
    Det kan här vara på sin plats att lyfta fram att vad gäller straffstadganden så kan, i ljuset av legalitetsgrundsatsens betydelse inom straffrätten, utrymmet att använda tolkningsmetoder som direktivkonform tolkning vid tillämpning i ett enskilt fall antas vara mycket begränsad.

 

7 Diskussion och slutsatser
Att en dator, såsom åklagaren påstått, skulle vara ett register kan ifrågasättas på rent språklig grund. Ordet register är språkligt nära förknippat med data och strukturer av data och det är således närmast en viss samling data som utgör ett register.19 Att språkligt sammankoppla datormaskinen i sig till begreppet register får enligt undertecknad, i vart fall i ett straffrättsligt sammanhang, anses vara mycket tveksamt. Detta inte minst mot bakgrund av att enligt legalitetsgrundsatsen så ska en straffrättslig bestämmelses ordalydelse bilda en gräns

 

18 Prop. 2013/14:92 (Skärpt straff för dataintrång) s. 12. 19 Jfr prop. 1973:33 s. 105 där just resonemang av departementschefen tar sin utgångspunkt i dataregister.

872 Erik Woodcock SvJT 2015 som inte får överskridas, t.ex. i syfte att realisera lagens ändamål.20 Det kan således argumenteras för att det är att gå över gränsen för stadgandets ordalydelse om begreppet ”register” anses omfatta en dator i sig. En följd av ett sådant ställningstagande är dock att det i så fall heller inte spelar någon roll vad som angivits i lagens förarbeten om datasystem.
    Det närliggande synsättet att på datorn redan installerade datorprogram är register, eller i vart fall innehåller register, och att det vid en ny installation sker en införing i sådant register har, som framgått ovan, underkänts av hovrätten.
    En personlig reflektion är att hovrättens resonemang snarast har sin utgångspunkt i att rätten inte ser det som en rimlig lösning att alla programinstallationer som sker olovligen ska vara kriminaliserade, något jag i sig dessutom menar kan ifrågasättas. Att gå lika långt som Åklagarmyndigheten och påstå att hovrätten gjort en felbedömning anser jag mig dock inte ha fog för, framför allt utifrån principen om att straffbestämmelser ska tolkas till den tilltalades fördel vid språkliga oklarheter. Denna princip menar jag kan antas ha haft stor betydelse för hovrättens domslut, även om det inte närmare berörs. För att göra gällande att en felbedömning gjorts menar jag att också denna princip och utgångspunkt skulle behövas analyseras på djupet, något jag inte anser mig haft möjlighet att fördjupa mig i tillräckligt för att kunna närmare diskutera i denna artikel.
    Sammanfattningsvis kan det mot bakgrund av Svea hovrätts dom konstateras att alternativ A är föremål för osäkerhet och att i vart fall hovrätten inte funnit att olovliga installationer av datorprogram i sig ryms inom det straffbara därigenom. Vad som kvarstår då är om alternativ B eller alternativ C utgör en straffbelagd handling.
    Att ett datorprogram utgör, eller i vart fall består av, uppgift som är avsedd för automatiserad behandling har redan konstaterats rymmas inom ordalydelsen härför. Enligt alternativ B krävs att det kan visas att det sker en olovlig ändring i ”en uppgift som är avsedd för automatiserad behandlingför att dataintrång ska vara för handen. Även om det är svårt att uttala sig vad som faktiskt händer i varje enskilt fall då ett datorprogram installeras på en dator gäller i det stora flertalet fall att det sker en ändring i på datorn redan befintliga datorprogram då ett annat datorprogram installeras, något som också konstaterats av Svea hovrätt. Rent språkligt uppfylls följaktligen de rekvisit som anges i dataintrångsbestämmelsen då ett datorprogram på datorn olovligen ändras, dvs. en uppgift som är avsedd för automatiserad behandling ändras. Om detta då också anges i gärningsbeskrivningen finns knappast skäl för en annan slutsats än att dataintrång är för handen. Med andra ord, alternativ B är en grund på vilket det kan sägas att det kriminaliserats att ”någon olovligen för in en ny upptagning i ett data-

 

20 Leijonhufvud, Madeleine & Wennberg, Suzanne (2009), Straffansvar. 8:e [omarb.] uppl. Stockholm: Norstedts juridik s. 22.

SvJT 2015 Dataintrång att olovligen installera… 873 system”. Något som enligt förarbetena också var avsett med bestämmelsen.
    Alternativ C förutsätter enbart att någon olovligen bereder sig tillgång till uppgift som är avsedd för automatiserad behandling. Ryms då språkligt i uttrycket ”att olovligen bereda sig tillgång till uppgift som är avsedd för automatiserad behandling” att olovligen installera ett datorprogram? Svaret beror närmast på hur vi väljer att uppfatta ”olovligen bereda sig tillgång till”. Det är svårt att se att det skulle vara möjligt att installera ett datorprogram utan att därigenom också bereda sig tillgång till på datorn redan befintligt datorprogram, dvs. uppgift som är avsedd för automatiserad behandling. Endast om bestämmelsen tolkas så snävt att det krävs att en person faktiskt tar del av en uppgift, i bemärkelsen faktiskt därigenom tar del av viss uppgift som den annars inte har lov att ta del av, skulle det möjligtvis kunna sägas falla utanför att bereda sig tillgång till uppgifter när ett datorprogram installeras.21 En så inskränkt tolkning är dock knappast riktig i vart fall inte om det inte skulle gå att bereda sig tillgång till uppgifter utan att faktiskt läsa dem. I sammanhanget kan det noteras att det i så fall skulle vara nödvändigt att vid mål om olagliga slagningar i register föra bevisning om vad den tilltalade faktiskt läst eller på annat sätt tagit del av. Det språkliga innehållet i ”olovligen bereda sig tillgång till” inrymmer således enligt min bedömning väl handlingen att olovligen installera ett datorprogram. Till skillnad från situationen mellan lovliga och olovliga sökningar föreligger dessutom en tydlig och för individen påtaglig skillnad i handlingen att installera ett datorprogram på datorn och att använda sig av datorn på annat sätt.
    Är det då dataintrång att olovligen installera ett datorprogram i en dator? Som framfört i denna artikel gör i vart fall jag bedömningen att handlingen språkligt ryms inom vad som angivits vara förbjudna handlingar under 4 kap. 9 c § brottsbalken, nämligen i vart fall, såsom ovan beskrivits som alternativ B, att det sker en olovlig ändring i ”en uppgift som är avsedd för automatiserad behandling” och alternativ C, att den som olovligen installerar ett datorprogram därigenom olovligen bereder sig tillgång till uppgift som är avsedd för automatiserad behandling. Jag menar att Svea hovrätt mot bakgrund av de något summariska uttalandena i förarbetena kunnat göra en mer utförlig analys utifrån stadgandets ordalydelse och departementschefens uttalanden vid tillkomsten av aktuell bestämmelse. Min förhoppning är, i avsaknad av prejudikat från Högsta domstolen, att aktuellt avgörande inte kommer att tillerkännas alltför stort värde i ett försök att skapa enhetlig rättstillämpning. Jag konstaterar att det finns goda skäl för att anta att lagstiftaren avsett att alternativ A skulle vara straffbelagt i sig och att det också finns förklarliga skäl till varför åklagaren utformade gärningsbeskrivningen som han gjorde.

 

21 Jfr vad som ovan redogjorts för angående installation av skimmingutrustning.

874 Erik Woodcock SvJT 2015 Det är möjligt att min bedömning alltför mycket är påverkad av att jag inte nödvändigtvis ser det som främmande att alla programinstallationer som sker olovligen skulle vara kriminaliserade. Det har ju uppenbarligen inte heller setts som främmande att alla sökningar som sker olovligen ska vara kriminaliserade. Om, som diskuterats ovan, ändamålet med dataintrångsbestämmelsen är att skydda ”datalagrat material”, är det i vart fall min uppfattning att en regel som kriminaliserar alla olovliga installationer av datorprogram kan ses som ett viktigt, för att inte säga avgörande, instrument för att uppnå det ändamålet. För den som arbetar med informationssäkerhet är jag övertygad om att just olovliga installationer av datorprogram i sig betraktas som ett väsentligt hot mot datalagrat material.
    Inte bara för att främja en förutsebarhet i straffrätten utan också ett samhälle där lag anpassas till och för ett samhälle där IT är en viktig del bör ett förtydligande av en så grundläggande fråga som om det är kriminaliserat eller inte att olovligen installera datorprogram prioriteras. Personligen beklagar jag att frågan inte fick bli föremål för Högsta domstolens prövning i aktuellt mål. Att det inte enkelt kan förklaras hur rättssystemet förhåller sig till olovliga installationer av datorprogram, något som tydligt framgår av Svea hovrätts dom av den 12 januari 2015, är förstås direkt besvärande.