Av Jacob Palme, e-post: jpalme@dsv.su.se, vid forskninsgruppen CMC (Datorförmedlad kommunikation) vid Institutionen för Data- och Systemvetenskap vid Stockholms Universitet och KTH.
|
Datum: 97-07-16 14:16 |
Justitiedepartementet |
Utredningens förslag är synnerligen vittomfattande. Det är tveksamt om utredningen själv är medveten om hur vittomfattande dess förslag är.
Utredningen föreslår i den nya lagens paragraf 3 och 5 att praktiskt taget all hantering av personuppgifter med hjälp av dator omfattas av lagen. Visserligen står det i lagförslaget paragraf 5 inte orden "med hjälp av dator" utan ordet "automatisk", men definitionen av vad som menas med automatisk i avsnitt 12.2.12 visar att man menar "med hjälp av dator". Nu är det så att datorer kan användas för nästan all mänsklig verksamhet. Troligen är utredningens ledamöter inte medvetna om att alla telefonsamtal numera överförs med hjälp av datorer, därmed omfattar lagen allt lämnande av personuppgifter i telefon. De flesta TV-apparater innehåller datorer, därmed blir allt visande av personer på TV omfattat av lagen. Fax-apparater använder datorer för att komprimera och koda dokumentet, därmed blir alla personuppgifter i brev som sänds med fax omfattat av lagen.
Utredningen skulle kanske om jag kom med ovanstående exempel säga "men det menade vi inte". Men var drar då utredningen gränsen. Det är mycket möjligt att elektronisk post snart kommer att bli lika mycket använt som fax och vanlig post. Personuppgifter i elektronisk post kan i de flesta e-postsystem behandlas genom att man sorterar e-posten i olika mappar, söker igenom e-post på innehåll, t.ex. efter ett brev innehållande en viss personuppgift. Elektronisk post omfattas därmed utan någon tvekan av utredningens förslag.
En växande del av mänsklig information publiceras numera på Internet, det kan mycket väl bli så att om några år blir publicering på Internet lika omfattande och viktig för samhället som publicering i andra former. Och uppgifter som publiceras på Internet sorteras av datorerna på olika sätt med s.k. hyperlänkar, detta måste uppenbarligen vara sådan automatisk hantering som utredningen avser.
Exemplen ovan: Telefon, fax, TV, e-post, publicering på Internet är inte bara synnerligen vanliga mänskliga verksamheter, utan också verksamheter som det är mycket känsligt att reglera i lag.
Den tekniska utvecklingen inom datorområdet är för närvarande synnerligen snabb. Nya metoder och tekniker introduceras i snabb takt. Detta innebär att en så vittomfattande lag som detta förslag riskerar att komma att tillämpas på områden, som man inte alls tänkte på när lagen skrevs. Detta är farligt. Den gamla datalagen användes av datainspektionen 1978 och 1979 för att förbjuda politiska och religiösa diskussioner med hjälp av datorer. Nya sådana orimliga konsekvenser kan uppstå med den nya lagen. Har man t.ex. tänkt igenom lagens betydelse för system för s.k. kollaborativ filtrering. Dessa system kan väntas få stor omfattning i framtiden, och min forskninsgrupp har just fått ett EU-anslag för att forska inom detta område. System för kollaborativ filtrering kan medföra mycket stora och väsentliga förbättringar i Internet - om de inte förbjuds av en trångsynt personregisterlagstiftning. Se vidare Internet-dokumenten på URL: http://dsv.su.se/jpalme/w4g/rating-choices.html och http://www.firefly.net/products/CollaborativeFiltering.html.
Den svenska grundlagen säger (mina kursiveringar):
2 kap. Grundläggande fri- och rättigheter
1 SS Varje medborgare är gentemot det allmänna tillförsäkrad
1. yttrandefrihet: frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor,
2. informationsfrihet: frihet att inhämta och mottaga upplysningar samt att i övrigt taga del av andras yttranden,
3. mötesfrihet: frihet att anordna och bevista sammankomst för upplysning, meningsyttring eller annat liknande syfte eller för framförande av konstnärligt verk,
4. demonstrationsfrihet: frihet att anordna och deltaga i demonstration på allmän plats,
5. föreningsfrihet: frihet att sammansluta sig med andra för allmänna eller enskilda syften
Att man tagit med dessa paragrafer i grundlagen beror på att man anser att det är synnerligen viktigt att medborgarna skall kunna meddela sig med varandra. Myndigheter skall inte kunna ingripa och begränsa dessa rättigheter utan starka skäl. Observera att detta inte bara handlar om journalisters och författares rätt. Yttrandefriheten i Sverige är inte något som bara ges till journalister och författare (vilket utredningen förefaller tro att döma av vad den skriver i sitt kapitel om yttrandefrihet), utan det är en frihet som gäller alla medborgare. Att meddela sig med varandra är en grundläggande mänsklig verksamhet, som de flesta människor ägnar flera timmar om dagen åt. Och en växande del av detta kommer i framtiden att utföras med hjälp av datorer, även om man inte kommer att tänka så mycket på att datorer är inblandade.
När man skall lagstifta om känsliga saker, där det finns risk att lagen kan komma att kränka så grundläggande mänskliga verksamheter som rätten att meddela sig med varandra, så är det en viktig princip att man bör utforma lagen snävt. Man skall klart och väldefinerat ange vad lagen avser, och bara ta med sådant som man begriper och där man förstår att lagreglering behövs. Ett bra exempel på en sådan lag är sekretesslagen: Den anger klart och snävt vad som skall vara hemligt, och lagen gäller bara för just det som räknas upp i lagen.
Utredningen väljer i stället vaga och vittomfattande definitioner som leder till att nästan all mänsklig verksamhet kommer att omfattas av den nya lagen.
Det är farligt att lagstifta om det man inte begriper, och utredningen har uppenbarligen inte försökt sätta sig in i alla de mänskliga aktiviteter, som den nya lagen kommer att bli styrande för.
Det verkliga syftet med datalagen är egentligen att reglera vissa speciella mänskliga verksamheter som man funnit behov av att reglera. Det är då bättre att i lagen specifikt och väldefinierat räkna upp precis de mänskliga verksamheter som lagen avser. Visserligen innebär detta att man ibland blir tvungen att ändra lagen genom tillägg, precis som sekretesslagen då och då behöver få nya tillägg. Men den nackdelen är mycket mindre än nackdelen med en generell och vittomfattande lag som skrivs så att den omfattar mängder av mänskliga aktiviteter som lagen inte är avsedd att reglera.
Några exempel på aktiviteter som lagförslaget omfattar och troligen förbjuder, men som det troligen inte är lagens syfte att reglera på detta sätt:
* Skriva ett e-postbrev till sin dotter och berätta att pappa blivit sjuk.
* Citera i ett e-post-brev något som en namngiven politiker sa i TV.
* Diskutera i ett dokument på Internet att Marilyn Monroe tog livet av sig.
* Räkna upp, i ett dokument på Internet, de riksdagsmän som röstade för eller mot någon viss motion.
* Berätta i ett förtroligt e-postbrev att man utsatts för sexuella trakasserier.
Exemplen ovan omfattar dels s.k. känsliga uppgifter (sjukdom, politik, sexliv) dels hanteras uppgifterna i samtliga fall utan samtycke. I själva verket hade det räckt med att samtycke saknas för att aktiviteterna skulle bli förbjudna enligt lagförslaget. Måste man alltid begära samtycke av en person innan man nämner denna person i ett e-postbrev?
Paragraf 34 i lagförslaget gör det förbjudet att nämna uppgifter om personer i e-post-brev till mottagare i andra länder, utom i vissa fall till länder som skrivit på Europarådets konvention.
Kan man lösa problemen genom att lägga till en paragraf att lagen inte gäller för e-post? Nej, en sådan lösning fungerar inte. Man kan mycket väl använda e-post för register man vill reglera med lagen. Likaså kan givetvis dokument som publiceras på Internet utgöra utdrag ur register som man vill reglera. Dessutom vet vi inte vilka nya användningar av datorer som kommer att bli vanliga snart. Mina exempel är från e-post och publicering på Internet, därför att det är välkända aktiviteter idag. Men givetvis måste människor ha rätt att utveckla och pröva nya metoder att meddela sig med varandra, även om dessa inte är så vanliga i dag. Metoden att räkna upp undantag för vissa medier är just fel metod att lagstifta: Lagen bör i första hand ange väl och exakt vad lagen gäller, att ge vaga och allmänna definitioner och avgränsa dem genom undantag är ingen bra lösning.
Det nu föreslagna lagförslaget bör helt utgå. Det bör ersättas med ett lagförslag som räknar upp vissa väldefinierade och välavgränsade aktiviteter som lagen avser att reglerna. Exempel på sådana aktiviteter som kan räknas upp i lagen är:
* Kundregister och register över handelsaktiviteter (köp, sälj, o.s.v.).
* Register som automatiskt och utan att personen är medveten om det registrerar en persons beteende.
* Register som underlag för utsändning av reklam.
Det är bra att utredningen definierar register som strukturerad samling av uppgifter om flera personer. Men varför försvinner den inskränkningen så fort datorer blir inblandade. Är det inte tid, nu när datorer används för nästan allting, att ta bort speciella regler av normal mänsklig verksamhet bara för att en dator är inblandad? Speciallagar för datorer bör bara gälla när det verkligen är väl definierade aktiviteter som verkligen får annorlunda karaktär genom datorerna.
Det finns redan en mängd lagar som reglerar hantering av personuppgifter i vanlig mänsklig verksamhet, t.ex. lagar om förtal.
Alternativ: Mitt förslag ovan är att skriva en helt ny datalag baserat på helt andra principer: Specificera tydligt vad lagen omfattar istället för allmänna vittomfattande formuleringar. Om regeringen trots mina invändningar väljer att göra utredningens förslag till lagförslag, föreslår jag som alternativ att första stycket i paragraf 5 stryks. Med en sådan strykning blir lagförslaget mindre allmänt och vittomfattande. Begränsningen till strukturerade register är i god överenstämmelse med datalagens egentliga syfte.
Om denna alternativa lösning väljs, är det viktigt att klargöra i lagen att den bara gäller de personuppgifter, som används för att strukturera registret. Exempel: Ett register över e-post-brev är strukturerat i avseende på avsändare och mottagare av breven, men i allmänhet inte strukturerat med avseende på brevens innehåll. Lagen skall då inte kunna användas för att inskränka medborgarnas rätt att ta med personuppgifter i innehållet i e-post-brev.
Anmärkning: EU kräver inte att varje lands lag är identiskt likadan. Ett lagförslag utformat på det sätt jag föreslår ovan skulle mycket väl vara acceptabelt för EU, eftersom det har samma syfte som EU-direktivet, även om det formuleras på ett bättre och mer precist sätt.
Jacob Palme
Adjungerad professor i Data- och Systemvetenskap vid Stockholms
Universitet