Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Hemlig dataavläsning utifrån ett informationssäkerhetsperspektiv

Lundström, Maria LU (2021) JURM02 20212
Department of Law
Faculty of Law
Abstract
On 1 April 2020, the Swedish Act (2020:62) Regarding Secret Reading of Data was established in Sweden. Somewhat simplified the law can be said to create new opportunities for enforcement authorities to secretly get access to information in different types of technical equipment. This is done by using a variation of technical methods. Secret data reading, hereinafter referred to as HDA, can be used in preliminary investigations, in intelligence activities and in special control in respect of aliens. The law is limited to five years, and during this time the law will be evaluated in order not to make it permanent without a solid basis.

Although HDA aims to create improved opportunities for law enforcement, the law can also be considered... (More)
On 1 April 2020, the Swedish Act (2020:62) Regarding Secret Reading of Data was established in Sweden. Somewhat simplified the law can be said to create new opportunities for enforcement authorities to secretly get access to information in different types of technical equipment. This is done by using a variation of technical methods. Secret data reading, hereinafter referred to as HDA, can be used in preliminary investigations, in intelligence activities and in special control in respect of aliens. The law is limited to five years, and during this time the law will be evaluated in order not to make it permanent without a solid basis.

Although HDA aims to create improved opportunities for law enforcement, the law can also be considered controversial. Aspects like how the law relates to risks in terms of information security and the protection of personal integrity are frequently discussed in the public debate, as well as the fact that the law has been used in a much greater extent than the legislator anticipated in advance. One interesting aspect of HDA that is not as often mentioned in the public debate, but also involves information security risks, is the question of whether enforcement authorities should be allowed to develop or purchase tools that use vulnerabilities in technical equipment to gather information, and what this would require in terms of ability to protect information.

The main purpose of this essay is therefore to analyze whether the law regarding HDA can be considered legally secure, proportionate and compatible with the enforcement authorities’ responsibility to contribute to society's information security ability. The question of HDA and information security risks is evaluated both in relation to the person who is subject of the monitoring and at a societal level.

The conclusion of this essay is that the answer to the question mentioned above can be yes, given that the procedural safeguards formulated in the law are maintained in practice, and that the authorities develop and maintain a high level of information security capacity over time. In this way the delicate information obtained thru HDA will be handled securely, in accordance with legal requirements. In addition, a high level of information security is crucial to justify a system in which enforcement authorities develop or purchase tools that exploit technical vulnerabilities, instead of reporting these vulnerabilities so that they can be removed and, in that way, contribute to safe and secure digitization. Information security also contributes to maintain the protection of personal integrity. In order to examine and develop the information security capability at the authorities, ongoing assessment and prioritization of the issue are crucial ingredients. (Less)
Abstract (Swedish)
Den 1 april 2020 trädde lag (2020:62) om hemlig dataavläsning i kraft. Något förenklat kan sägas att lagen skapar nya möjligheter för brottsbekämpande myndigheter att med tekniska hjälpmedel i hemlighet bereda sig tillgång till information som finns i teknisk utrustning. Hemlig dataavläsning, framöver benämnt HDA, kan användas vid förundersökning, i underrättelseverksamhet samt vid så kallad särskild utlänningskontroll. Lagen är tidsbegränsad och gäller i fem år. Under denna tid kommer lagen att utvärderas, i syfte att inte göra den permanent utan ett fullgott underlag.

Trots att HDA syftar till att skapa förbättrade möjligheter till brottsbekämpning har det knappast undgått någon att lagen kan anses kontroversiell. Frågor likt hur den... (More)
Den 1 april 2020 trädde lag (2020:62) om hemlig dataavläsning i kraft. Något förenklat kan sägas att lagen skapar nya möjligheter för brottsbekämpande myndigheter att med tekniska hjälpmedel i hemlighet bereda sig tillgång till information som finns i teknisk utrustning. Hemlig dataavläsning, framöver benämnt HDA, kan användas vid förundersökning, i underrättelseverksamhet samt vid så kallad särskild utlänningskontroll. Lagen är tidsbegränsad och gäller i fem år. Under denna tid kommer lagen att utvärderas, i syfte att inte göra den permanent utan ett fullgott underlag.

Trots att HDA syftar till att skapa förbättrade möjligheter till brottsbekämpning har det knappast undgått någon att lagen kan anses kontroversiell. Frågor likt hur den nya lagen förhåller sig till risker vad gäller informationssäkerhet och skyddet för den personliga integriteten är återkommande i debatten, likväl som det faktum att lagen används i betydligt högre utsträckning än vad lagstiftaren förutsåg innan det att lagen trädde i kraft. En aspekt av HDA som inte omnämns lika ofta i den allmänna debatten men som likväl kan kopplas till informationssäkerhetsrisker är frågan huruvida statliga myndigheter bör tillåtas att utveckla eller köpa verktyg som nyttjar sårbarheter i teknisk utrustning för att genomföra informationsinhämtning, och vad detta i så fall ställer för krav på myndigheternas förmåga att skydda information.

Det huvudsakliga syftet med denna uppsats är således att bedöma om lagen om HDA kan anses rättssäker, proportionerlig samt förenlig med statliga myndigheters ansvar att bidra till samhällets informationssäkerhetsförmåga. Frågan om HDA i förhållande till informationssäkerhet bedöms både i förhållande till den enskilde individ som är föremål för det hemliga tvångsmedlet samt på en samhällsnivå.

I uppsatsen görs bedömningen att svaret på den övergripande frågeställningen kan vara ja, förutsatt att de rättssäkerhetsgarantier som formulerats i text även efterlevs i praktiken samt att berörda myndigheter utvecklar och bibehåller en hög informationssäkerhetssäkerhetsförmåga över tid. På så sätt kan den känsliga information som inhämtats via tvångsmedlet hanteras på ett säkert sätt, i enlighet med gällande lagkrav. Därtill är en hög informationssäkerhetsförmåga avgörande för att motivera en ordning där brottsbekämpande myndigheter utvecklar eller köper in verktyg som utnyttjar tekniska sårbarheter, istället för att rapportera dessa sårbarheter så de kan täppas igen och på så sätt bidra till en trygg och säker digitalisering. Informationssäkerhetsförmågan skapar också förutsättningar att upprätthålla skyddet för den personliga integriteten i tillräcklig grad. För att följa upp och utveckla informationssäkerhetsförmågan är oberoende granskning, kontinuerlig tillsyn och en tydlig prioritering av frågan avgörande. (Less)
Please use this url to cite or link to this publication:
author
Lundström, Maria LU
supervisor
organization
alternative title
Secret Data Reading and Information Security
course
JURM02 20212
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
straffrätt, IT-rätt, hemlig dataavläsning
language
Swedish
id
9069495
date added to LUP
2022-01-22 17:25:34
date last changed
2022-01-22 17:25:34
@misc{9069495,
  abstract     = {{On 1 April 2020, the Swedish Act (2020:62) Regarding Secret Reading of Data was established in Sweden. Somewhat simplified the law can be said to create new opportunities for enforcement authorities to secretly get access to information in different types of technical equipment. This is done by using a variation of technical methods. Secret data reading, hereinafter referred to as HDA, can be used in preliminary investigations, in intelligence activities and in special control in respect of aliens. The law is limited to five years, and during this time the law will be evaluated in order not to make it permanent without a solid basis.

Although HDA aims to create improved opportunities for law enforcement, the law can also be considered controversial. Aspects like how the law relates to risks in terms of information security and the protection of personal integrity are frequently discussed in the public debate, as well as the fact that the law has been used in a much greater extent than the legislator anticipated in advance. One interesting aspect of HDA that is not as often mentioned in the public debate, but also involves information security risks, is the question of whether enforcement authorities should be allowed to develop or purchase tools that use vulnerabilities in technical equipment to gather information, and what this would require in terms of ability to protect information.

The main purpose of this essay is therefore to analyze whether the law regarding HDA can be considered legally secure, proportionate and compatible with the enforcement authorities’ responsibility to contribute to society's information security ability. The question of HDA and information security risks is evaluated both in relation to the person who is subject of the monitoring and at a societal level.

The conclusion of this essay is that the answer to the question mentioned above can be yes, given that the procedural safeguards formulated in the law are maintained in practice, and that the authorities develop and maintain a high level of information security capacity over time. In this way the delicate information obtained thru HDA will be handled securely, in accordance with legal requirements. In addition, a high level of information security is crucial to justify a system in which enforcement authorities develop or purchase tools that exploit technical vulnerabilities, instead of reporting these vulnerabilities so that they can be removed and, in that way, contribute to safe and secure digitization. Information security also contributes to maintain the protection of personal integrity. In order to examine and develop the information security capability at the authorities, ongoing assessment and prioritization of the issue are crucial ingredients.}},
  author       = {{Lundström, Maria}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{Hemlig dataavläsning utifrån ett informationssäkerhetsperspektiv}},
  year         = {{2021}},
}