I söndags kväll hittade jag en denial statement generator för företag som enkelt vill kunna förneka sitt deltagande i PRISM-programmet hos amerikanska säkerhetstjänsten. Flera svenska medier har rapporterat att IT-företag följer lagen. Mark Klamberg och Allan Widman har frågat sig om det verkligen förhåller sig så, men i alla fall Klamberg har landat i slutsatsen att PRISM följer amerikansk lag. Eftersom amerikansk lag inte gäller i Sverige lär det vara en förhållandevis ytlig fråga att ställa sig i Sverige, men det är också konstigt att vi fäster vikt vid just företagens efterföljande av lagen. Normalt sett tycker vi att det är bra att aktörer i samhället följer lagen, frågan är bara vilken lag de ska följa. En som skyddar oss svenska medborgares privatliv, eller en lag som utformats för att skydda amerikaners privatliv?

Den här diskussionen känns igen från Telia-diskussionerna i Sverige. Vi accepterar å ena sidan inte att Telia hjälper till att övervaka människor i Uzbekistan, men å andra sidan har varken SVT eller någon annan heller försökt utreda om det kan vara så att lagen är fel. Istället ägnade man sig för lite mindre än en månad sedan ytterligare tid åt att granska Telias slutanvändaravtal, som Telia förstår menar följer lagen. Om vi tycker att det är oacceptabelt att Telia agerar som de gör i Uzbekistan, så är det förmodligen lagen det är fel på, inte Telia, eftersom Telia följer lagen vilket är precis vad de måste göra. Den som ansvarar för telekommunikationslagstiftning i Sverige är Annie Lööf, så det är henne man borde fråga varför Telia får göra så här.

Företag är förpliktigade i lag, med hot om straff om de misslyckas följa instruktionerna, att ta sina aktieägares och borgenärers intressen i beaktande när de agerar på marknaden. Man får förutsätta att deras avtal är tillräckligt väl överensstämmande med gällande rätt för att de inte ska drabbas av extra kostnader för att avtalet är olagligt. Det finns goda anledningar att reglera företag på det sättet, och att bara i annan lagstiftning än just bolagslagstiftning skapa andra tvingande åtgärder på företag. Vi har däremot, och det finns, gott om utrymme att anta att denna andra lagstiftning är fel - den är ju demokratiskt överenskommen och kan omförhandlas mellan folkvalda representanter och regeringar så att den gör det dyrt företag att göra sånt som vi upplever vara moraliskt fel.

Även transnationella, amerikanska IT-företag har en massa skyldigheter att ta aktieägares och borgenärers intressen i beaktande när de bedriver sina aktiviteter. De har däremot inga särskilda förpliktelser alls att upprätthålla mänskliga rättigheter. Harvardprofessorn John Ruggie har skrivit mer utförligt om transnationella företag och mänskliga rättigheter och det är viktigt att komma ihåg att de inte är juridiskt bundna att upprätthålla mänskliga rättigheter, samt att det finns flera problem med att lämna över statliga privilegier till företag i internationell rätt. I den mån vi tycker att amerikanska företag ska upprätthålla vår rätt till privatliv behöver vi alltså juridiskt binda dem att göra det via lagstiftning, till exempel genom att skapa en stark dataskyddsförordning som skyddar privatpersoner mot integritetsintrång i EU. Teliafallet är grötigare: separation av deras certifieringstjänster och kommunikationstjänster skulle kunna vara önskvärt (decentralisering), och det går att reglera. Men där behöver man också ställa sig frågan om det är rimligt och rätt att bedriva rättighetskolonisalism genom att kräva att Telia ger personer utanför europeiskt territorium samma rättigheter som människor inom europeiskt territorium emot det utländska territoriets vilja (jag skulle förvisso kunna tänka mig att svara ja på den frågan).

I fallet med de amerikanska IT-företagen är det uppenbart att det är svårt för dem att gå emot den makt som har militär kontroll över det territorium där de har sitt huvudkvarter. Det är över huvud taget svårt att gå emot en makthavare som har militär eller polisiär kontroll över ett territorium där man är verksam. Den finess som dataskyddsförordningen skulle kunna föra med sig är dock stränga böter för företag om det uppdagas att företag som är verksamma i Europa lagt sig för påtryckningar från andra säkerhetstjänster. Företaget får göra en riskkalkyl: vill jag hellre opponera mig mot det tredje landets säkerhetstjänster och riskera att de använder sitt våldsmonopol mot mig men undvika risken att Europa bötfäller mig hårt, eller tar jag hellre risken att bli bötfälld och därigenom lida stora förluster? Olyckligtvis verkar dessa aspekter vara ifrågasatta både i parlamentet och av t ex svenska regeringen.

Här borde man naturligtvis som journalist inte vilja fråga Google om de följer lagen för det får vi förutsätta att de gör. Istället frågar man Beatrice Ask om vad hon tycker lagen borde vara - vilken lag är det Google ska följa och hur ska vi se till att de följer den?