Godkännande av rambeslut om angrepp mot informationssystem
Betänkande 2004/05:JUU4
Justitieutskottets betänkande2004/05:JUU4
Godkännande av rambeslut om angrepp mot informationssystem
Sammanfattning I detta betänkande behandlar utskottet regeringens proposition 2003/04:164 Sveriges antagande av rambeslut om angrepp mot informationssystem jämte två följdmotioner. I propositionen föreslår regeringen att riksdagen skall godkänna det inom Europeiska unionen upprättade utkastet till rambeslut om angrepp mot informationssystem. Med angrepp mot informationssystem avses t.ex. spridande av datavirus. Rambeslutet innehåller bestämmelser bl.a. om vilka handlingar som skall vara straffbelagda som angrepp mot informationssystem och om att dessa skall vara belagda med effektiva, proportionella och avskräckande påföljder. Utskottet föreslår att riksdagen bifaller regeringens förslag och avslår motionerna. I ärendet finns två reservationer (v, mp respektive m, c).
Utskottets förslag till riksdagsbeslut 1. Godkännande av rambeslut om angrepp mot informationssystem Riksdagen godkänner det inom Europeiska unionen upprättade utkastet till rambeslut om angrepp mot informationssystem. Därmed bifaller riksdagen proposition 2003/04:164 och avslår motion 2003/04:Ju31. Reservation 1 (v, mp) 2. Följdlagstiftning i propositioner om godkännande av rambeslut Riksdagen avslår motion 2003/04:Ju32. Reservation 2 (m, c) Stockholm den 30 september 2004 På justitieutskottets vägnar Johan Pehrson Följande ledamöter har deltagit i beslutet: Johan Pehrson (fp), Susanne Eberstein (s), Rolf Olsson (v), Margareta Sandgren (s), Beatrice Ask (m)1Deltar ej under punkt 1, Lennart Nilsson (s), Helena Frisk (s), Peter Althin (kd), Elisebeht Markström (s), Jeppe Johnsson (m)2Deltar ej under punkt 1, Yilmaz Kerimo (s), Torkild Strandberg (fp), Johan Linander (c), Göran Norlander (s), Cecilia Magnusson (m)3Deltar ej under punkt 1, Joe Frans (s) och Leif Björnlod (mp).
Redogörelse för ärendet Ärendet och dess beredning Den 19 april 2002 presenterade Europeiska kommissionen ett förslag till rambeslut om angrepp mot informationssystem (EGT C 203 E, 27.8.2002, s. 109). En faktapromemoria om förslaget upprättades inom Regeringskansliet och överlämnades till riksdagen (2001/02:FPM110). Europaparlamentet yttrade sig över förslaget den 22 oktober 2002 (A5-0328/2002, EUT C 300 E, 11.12.2003, s. 16). Vid ministerrådet för rättsliga och inrikes frågor den 27 och 28 februari 2003 träffades en politisk överenskommelse om innehållet i rambeslutet. Vid Europeiska rådets möte den 25 och 26 mars 2004 antogs, mot bakgrund av terroristattackerna i Madrid den 11 samma månad, en deklaration om bekämpande av terrorism. I deklarationen slogs fast att ett antal rambeslut beträffande vilka det förelåg politiska överenskommelser, däribland rambeslutet om angrepp mot informationssystem, skulle antas i juni 2004. För att rådet skall kunna anta rambeslutet måste det först godtas av de nationella parlamenten i de medlemsstater där det krävs parlamentsgodkännande och sedan måste parlamentsreservationerna hävas. Antagandet kräver enhällighet. Under förhandlingsarbetet har företrädare för Justitiedepartementet lämnat information i justitieutskottet och i EU-nämnden. Ett remissförfarande av traditionellt slag har inte tillämpats vid beredningen av ärendet. I stället har Svea hovrätt, Justitiekanslern (JK), Riksåklagaren, Rikspolisstyrelsen, Säkerhetspolisen, Post- och telestyrelsen, Krisberedskapsmyndigheten, Försvarsmakten, Försvarets radioanstalt, Uppsala universitet och Sveriges advokatsamfund under hand beretts tillfälle att lämna synpunkter på ett utkast till propositionen (Ju2004/4752/L5). Enligt uppgift från Justitiedepartementet har företrädare för bl.a. Rikskriminalpolisen och Riksåklagaren också under förhandlingsarbetet informerats och fått tillfälle att lämna synpunkter (Ju2003/1606/L5). Utkastet till rambeslut i senaste svensk version är fogat till detta betänkande som bilaga 2. I bilaga 3 finns ett utkast till uttalande av kommissionen som skall tas till rådets protokoll i samband med att rambeslutet antas. Propositionens huvudsakliga innehåll I propositionen föreslås att riksdagen godkänner det inom Europeiska unionen upprättade utkastet till rambeslut om angrepp mot informationssystem. Rambeslutet innehåller bestämmelser om vilka handlingar som skall vara straffbelagda som angrepp mot informationssystem och vilka straffrättsliga påföljder dessa brott skall kunna leda till. Bestämmelserna avser att träffa t.ex. spridande av datavirus. Dessutom finns bestämmelser om bl. a. ansvar och påföljder för juridiska personer, domsrätt och utbyte av uppgifter. I propositionen redovisar regeringen en bedömning av de lagändringar som rambeslutet föranleder i svensk rätt. Några förslag till ändrad lagstiftning lämnas dock inte. Regeringen avser att återkomma till riksdagen med sådana förslag i ett senare sammanhang.
Utskottets överväganden Godkännande av rambeslut om angrepp mot informationssystem Utskottets förslag i korthet Utskottet föreslår att riksdagen godkänner utkastet till rambeslut om angrepp mot informationssystem och avstyrker ett motionsyrkande om avslag på propositionen. Vidare avstyrker utskottet ett yrkande om att propositioner om godkännande av rambeslut i allmänhet också bör innehålla förslag till svensk följdlagstiftning. Jämför reservation 1 (v, mp) och 2 (m, c). Rambeslutet om angrepp mot informationssystem Rambeslutet syftar till att tillnärma medlemsstaternas straffrättsliga lagstiftning när det gäller angrepp mot informationssystem och därigenom förbättra samarbetet mellan rättsliga och andra myndigheter. Med angrepp mot informationssystem åsyftas bl.a. spridande av datavirus och s.k. tillgänglighetsattacker, i vilka t.ex. stora mängder e-post skickas i syfte att störa eller blockera driften av ett informationssystem. Enligt rambeslutet skall varje medlemsstat vidta de åtgärder som är nödvändiga för att straffbelägga handlande som utgör olagligt intrång i informationssystem (artikel 2), olaglig systemstörning (artikel 3) eller olaglig datastörning (artikel 4). Även anstiftan, medhjälp och försök till dessa brott skall i princip vara straffbart (artikel 5). Vidare föreskrivs att brotten i artiklarna 2-5 skall vara belagda med effektiva, proportionella och avskräckande straffrättsliga påföljder (artikel 6). Rambeslutet innehåller också bestämmelser bl.a. om försvårande omständigheter, juridiska personers ansvar, domsrätt och utbyte av uppgifter mellan medlemsstaterna. Rambeslutet är bindande för medlemsstaterna när det gäller de resultat som skall uppnås men överlåter åt de nationella myndigheterna att bestämma form och tillvägagångssätt. Regeringen anför i propositionen att svensk lagstiftning till övervägande del torde motsvara de åtaganden som följer av rambeslutet. När det gäller att avbryta eller allvarligt hindra ett informationssystems drift och att hindra flödet av datorbehandlingsbara uppgifter eller göra sådana uppgifter oåtkomliga torde emellertid krävas lagändringar. Några förslag till lagändringar lämnas dock inte, utan regeringen avser att återkomma till riksdagen i ett senare sammanhang. Motionerna I motion Ju31 (v) yrkas avslag på propositionen. Motionärerna anför bl. a. att propositioner om antagande av rambeslut dels skall innehålla förslag till svensk följdlagstiftning, dels skall föregås av ett remissförfarande av traditionellt slag. I motion Ju32 (m) begärs ett tillkännagivande om att propositioner om antagande av rambeslut bör innehålla förslag till svensk följdlagstiftning. Följdlagstiftning i propositioner om godkännande av rambeslut Möjligheterna att använda sig av rambeslut infördes genom Amsterdamfördraget, som trädde i kraft den 1 maj 1999. Införandet av rambeslut var ett led i strävandena att göra bl.a. det straffrättsliga samarbetet inom EU snabbare och mer effektivt. Det fanns en utbredd uppfattning bland medlemsstaterna att samarbetet på detta område inte fungerade tillräckligt bra. En orsak ansågs vara den mellanstatliga karaktären av samarbetet som bl.a. innebar att överenskommelser inom EU på det straffrättsliga området, i likhet med andra internationella överenskommelser, krävde efterföljande ratifikation av medlemsstaterna (se prop. 1997/98:58 s. 107 f.). Formellt förändrades inte samarbetets karaktär genom möjligheterna till rambeslut. Det straffrättsliga samarbetet skulle även fortsättningsvis vara mellanstatligt. Till skillnad från tidigare folkrättsligt bindande konventioner på området blir emellertid ett rambeslut bindande för medlemsstaterna så snart det har antagits av regeringarnas företrädare i ministerrådet. Ett rambeslut kräver således ingen efterföljande ratifikation. Medlemsstaterna är skyldiga att se till att beslutet genomförs i enlighet med sina respektive konstitutionella bestämmelser. Det överlåts åt de nationella myndigheterna att bestämma form och tillvägagångssätt för hur rambeslutet skall genomföras (a. prop. s. 118). Enligt 10 kap. 2 § regeringsformen måste regeringen inför ett rambeslut inhämta riksdagens godkännande i de fall då beslutet förutsätter att lag ändras eller upphävs eller att ny lag stiftas eller om beslutet i övrigt gäller ett ämne i vilket riksdagen skall besluta. Vidare skall regeringen även i annat fall inhämta riksdagens godkännande om beslutet är av större vikt. En lämplig tidpunkt för riksdagens godkännande är då förhandlingsläget inom EU-samarbetet är sådant att den aktuella överenskommelsen i princip är färdig (se bet. 2001/02:KU18 s. 28). Det har visat sig att de tidsramar som gäller för antagandet av ett rambeslut i regel innebär att följdlagstiftning inte hinner tas fram samt att ett traditionellt remissförfarande i vissa fall inte hinner genomföras, innan regeringen för riksdagens godkännande lägger fram ett utkast till rambeslut. Riksdagen har under senare år vid ett flertal tillfällen godkänt utkast till rambeslut utan att följdlagstiftningen samtidigt har presenterats. När detta skedde första gången under riksmötet 1999/2000 gjorde justitieutskottet ett principiellt uttalande som gick ut på att utskottet inte kunde se något avgörande skäl mot att godta ett rambeslut vid ett tillfälle och fatta beslut om lagstiftningen vid ett senare tillfälle (bet. 1999/2000:JuU20 s. 5 f.). Att avvakta med lagstiftningen borde enligt utskottet emellertid inte ske annat än när det var påkallat av de tidsramar som gällde för EU:s antagande av rambeslutet. Den i praxis godtagna ordningen att riksdagen kan godkänna ett rambeslut som ännu inte föreligger i slutligt skick har kommit till klart uttryck genom en ändring i 10 kap. 2 § regeringsformen, som trädde i kraft den 1 januari 2003. Inte heller i detta sammanhang uttalades något krav på att ett godkännande av ett utkast till rambeslut förutsätter att förslag på följdlagstiftning samtidigt läggs fram (bet. 2001/02:KU18 s. 26 f.). Konstitutionsutskottet aviserade att det - inom ramen för sin allmänna granskning av regeringsärendenas handläggning enligt 12 kap. 1 § regeringsformen - skulle granska regeringens hantering när det gäller inhämtande av riksdagens godkännande enligt 10 kap. 2 § regeringsformen inför regeringens deltagande i rambeslut på andra och tredje pelarens område inom EU (a. bet. s. 29). En sådan granskning genomfördes under riksmötet 2002/03. Konstitutionsutskottet uttalade då att traditionellt remissförfarande skall tillämpas vid beredningen av en proposition om godkännande av rambeslut i samma utsträckning som vid lagstiftningsärenden (bet. 2002/03:KU10 s. 64). Konstitutionsutskottet insåg att de tidsramar som gäller för antagandet av en överenskommelse i ministerrådet kan medföra svårigheter för regeringen att tillämpa ett traditionellt remissförfarande. Emellertid ville konstitutionsutskottet understryka att underhandskontakter med myndigheter kan ersätta remissbehandling av traditionellt slag endast då detta är oundgängligen påkallat av de tidsramar som gäller för EU:s antagande av en överenskommelse eller andra undantagssituationer. I sammanhanget bör tilläggas att justitieutskottet redan före konstitutionsutskottets granskning, inom ramen för sitt uppföljningsarbete, hade gjort en motsvarande granskning på utskottets område. Granskningen omfattade alla rambeslut och beslut om tillträde till olika internationella konventioner under perioden 1995/96-2001/02. Utskottet kunde efter en jämförelse med senare lagstiftningsärenden konstatera att regeringen i propositioner om godkännande av rambeslut i allt väsentligt gjort en korrekt bedömning av lagstiftningsbehovet. När det gäller remissförfarandet kan nämnas att i propositionen Demokrati för det nya seklet (prop. 2001/02:80 s. 114) aviserades en kartläggning av hur det svenska remissförfarandet i dag används avseende frågor med EU-anknytning. En sådan kartläggning kommer enligt uppgift från Justitiedepartementet att inledas under år 2004. Vidare kan nämnas att konstitutionsutskottet planerar att studera tillämpningen av det svenska remissförfarandet under beslutsprocessen på EU-nivå när beslut om EG-direktiv fattas samt vid implementeringen av dessa genom svensk följdlagstiftning. Utskottets ställningstagande Utskottet tar först upp frågor som rör beredningen av propositioner om godkännande av rambeslut i allmänhet. Därefter behandlar utskottet frågan om godkännande av rambeslutet om angrepp mot informationssystem. Utskottet delar motionärernas uppfattning att riksdagen skulle få ett bättre underlag för sitt ställningstagande om ärenden om godkännande av rambeslut kunde beredas på samma sätt som andra internationella överenskommelser, dvs. med ett traditionellt utredningsförfarande och med framtagande av förslag till svensk följdlagstiftning. Det har emellertid visat sig att det sällan finns tid till ett sådant förfarande inom de tidsramar som gäller för EU:s antagande av rambeslut. Att avvakta med godkännande av rambeslutet till dess att ett tillfredsställande beredningsunderlag hämtats in såvitt avser följdlagstiftning skulle ofta innebära betydande förseningar av antagande av rambeslutet. Då antagandet kräver enhällighet skulle förseningen drabba samtliga övriga medlemsstater. Ett sådant förfarande skulle motverka syftet med institutet rambeslut, och i viss mån innebära en återgång till den ordning som gällde tidigare, före Amsterdamfördraget. En anledning till att möjligheterna till rambeslut infördes var just ett missnöje med denna ordning. Sammanfattningsvis konstaterar utskottet således att en avvägning i regel måste göras mellan intresset av att anta rambeslutet inom de tidsramar som ställts upp av EU och intresset av att en proposition om godkännande av rambeslut innehåller förslag till följdlagstiftning. Utskottet anser därvid att Sverige, mot bakgrund av vad som anförts ovan, inte bör fördröja antagandet av rambeslut annat än om det finns mycket starka skäl. Även om det inte är möjligt att ta fram förslag till följdlagstiftning är det emellertid viktigt att regeringen ser till att beredningsunderlaget i ärenden om godkännande av rambeslut med hänsyn till omständigheterna är så bra som möjligt. Det kan därvid finnas anledning att se över om beredningen av ärenden om rambeslut, inom tidsramen för EU:s antagande av rambeslut, kan förbättras, t.ex. genom ökade möjligheter och bättre rutiner för att inhämta synpunkter redan i samband med förhandlingarna om ett rambeslut. Utskottet välkomnar därför den aviserade granskningen av hur det svenska remissförfarandet i dag används avseende frågor med EU-anknytning. Även inom riksdagen pågår arbete med liknande frågor. Utskottet övergår därefter till den nu aktuella propositionen om godkännande av rambeslut om angrepp mot informationssystem. Utskottet konstaterar att dagens samhälle, där informationsteknik genomsyrar i stort sett alla sektorer, är sårbart för olika former av angrepp som riktar sig mot informationssystem. Dessa angrepp kan bl.a. orsaka betydande kostnader och få allvarliga konsekvenser för förtroendet för ny teknik och elektroniska tjänster. Det rör sig om en brottstyp som är oberoende av nationsgränser. För att bättre kunna bekämpa denna typ av brottslighet är det därför viktigt med internationellt samarbete. Genom att på EU-nivå utforma gemensamma beskrivningar av vilka handlingar som skall utgöra straffbara angrepp mot informationssystem och vilka påföljder dessa brott skall leda till skapas ett gemensamt rättsområde som underlättar det rättsliga och polisiära samarbetet för att förebygga och bekämpa sådan brottslighet. Dessutom anser utskottet att de förändringar av svensk lag som rambeslutet bedöms föranleda avser förfaranden som även från svensk utgångspunkt måste anses straffvärda. Regeringen anför i propositionen (s. 29) att utvidgningen av det kriminaliserade området kräver ytterligare analys, bl.a. vad gäller utformningen av det straffbara området i förhållande till handlingar som utgör opinionsyttringar eller liknande. Att avvakta med godkännande till dess att ett tillfredsställande beredningsunderlag har hämtats in såvitt avser de lagändringar som krävs skulle innebära en betydande försening av antagandet av rambeslutet. Med tanke på den betydelse som rambeslutet kan förväntas få som verktyg mot den s.k. IT-brottsligheten och inte minst i kampen mot terrorism vore detta mycket olyckligt. Sverige bör sålunda inte fördröja antagandet av rambeslutet. Utskottet anser att riksdagen bör godkänna det utkast till rambeslut som utarbetats inom EU. Motionerna Ju31 och Ju32 bör avslås av riksdagen.
Reservationer Utskottets förslag till riksdagsbeslut och ställningstaganden har föranlett följande reservationer. I rubriken anges vilken punkt i utskottets förslag till riksdagsbeslut som behandlas i avsnittet. 1. Godkännande av rambeslut om angrepp mot informationssystem, punkt 1 (v, mp) av Rolf Olsson (v) och Leif Björnlod (mp). Förslag till riksdagsbeslut Vi anser att förslaget till riksdagsbeslut under punkt 1 borde ha följande lydelse: Riksdagen bifaller motion 2003/04:Ju31 och avslår proposition 2003/04:164. Ställningstagande Att bekämpa brottsligheten inom informationsteknikområdet är viktigt, liksom att inse sårbarheten i våra informationssystem, och vi välkomnar en förbättrad lagstiftning på detta område. Det är emellertid viktigt, inte minst för att värna rättssäkerheten, att en ny lagstiftning inte hastas fram. I detta ärende anser vi att regeringen har gått för snabbt fram. Trots bedömningen att lagändringar krävs med anledning av rambeslutet har regeringen valt att inte samtidigt med rambeslutet lägga fram förslag till följdlagstiftning. Sådana kommer att läggas fram i ett senare sammanhang. Vidare har regeringen vid beredningen av ärendet valt att inte tillämpa ett traditionellt remissförfarande utan i stället hört vissa myndigheter och andra under hand. Enligt vår mening är detta inte en acceptabel lagstiftningsteknik. Vi är medvetna om att de tidsramar som gäller för EU:s antagande av rambeslut försvårar ett traditionellt remissförfarande samt att följdlagstiftning läggs fram i samband med godkännande av rambeslut. För att riksdagen skall ges möjlighet att på ett tillfredsställande sätt ta ställning till konsekvenserna av rambeslutet är emellertid ett sådant förfarande nödvändigt. Mot bakgrund av det sagda föreslår vi att propositionen avslås. 2. Följdlagstiftning i propositioner om godkännande av rambeslut, punkt 2 (m, c) av Beatrice Ask (m), Jeppe Johnsson (m), Johan Linander (c) och Cecilia Magnusson (m). Förslag till riksdagsbeslut Vi anser att förslaget till riksdagsbeslut under punkt 2 borde ha följande lydelse: Riksdagen tillkännager för regeringen som sin mening vad som anförs i reservationen om följdlagstiftning i propositioner om godkännande av rambeslut. Därmed bifaller riksdagen motion 2003/04:Ju32. Ställningstagande Vi välkomnar en likartad europeisk lagstiftning när det gäller angrepp mot informationssystem. Detta gör vi inte bara ur ett brottsbekämpande perspektiv utan även ur demokratisk synpunkt. Regeringen har emellertid återigen valt att inte samtidigt med rambeslutet lägga fram ett förslag till den lagstiftning som krävs med anledning av beslutet. Enligt vår mening är detta inte en acceptabel lagstiftningsteknik. Det bör vara ett krav att den lagstiftning som bedöms bli aktuell presenteras i sin helhet. Annars blir det inte möjligt att göra en bedömning av rambeslutet och vilka konsekvenser det kommer att få för den svenska lagstiftningen. Enligt vår erfarenhet är det först i samband med att det handgripliga och konkreta förslaget granskas inom ramen för den parlamentariska processen som eventuella brister eller problemområden upptäcks. Därför är det mycket viktigt att riksdagen ges möjlighet att ta ställning till konsekvenserna av rambeslutet på nationell nivå samtidigt som man antar rambeslutet. Vi är medvetna om att de tidsramar som gäller för EU:s antagande av rambeslut försvårar ett traditionellt remissförfarande samt att följdlagstiftning läggs fram i samband med godkännande av rambeslut. För att riksdagen skall ges möjlighet att ta ställning till konsekvenserna av rambeslutet på nationell nivå samtidigt som man godkänner rambeslutet är emellertid ett sådant förfarande nödvändigt. Regeringen bör därför åläggas att i fortsättningen presentera förslag till följdlagstiftning i propositioner om godkännande av rambeslut.
Bilaga 1 Förteckning över behandlade förslag Propositionen Proposition 2003/04:164 Sveriges antagande av rambeslut om angrepp mot informationssystem: Riksdagen godkänner det inom Europeiska unionen upprättade utkastet till rambeslut om angrepp mot informationssystem. Följdmotioner 2003/04:Ju31 av Rolf Olsson m.fl. (v): Riksdagen avslår proposition 2003/04:164, Sveriges antagande av rambeslut om angrepp mot informationssystem, i sin helhet. 2003/04:Ju32 av Beatrice Ask m.fl. (m): Riksdagen tillkännager för regeringen som sin mening vad i motionen anförs om att propositioner om EU:s rambeslut inom det rättsliga området även bör innehålla förslag om svensk följdlagstiftning.
Bilaga 2 Rambeslut om angrepp mot informationssystem Bilaga 3 Uttalande från kommissionen