Jag har tidigare hävdat att Researchgruppen är en kriminell enhet. Detta har bestridits av Researchgruppen, uppskattats av Sverigedemokrater men min drivande tes är - så klart - att Sverigedemokraterna har väldigt lite att glädjas åt, då det inte är de som har begåtts en oförrätt av Researchgruppen utan Disqus, ett företag till vilka enskilda medlemmar i Sverigedemokraterna har varit kunder. Sverigedemokraterna är de facto inte alls offer för någonting alls, i lagens mening, utom yttrandefrihet, och den utövades inte av Researchgruppen utan av Expressen.

Sammanfattning: Sverigedemokraterna har utsatts för Expressens utövande av grundläggande demokratiska rättigheter. Detta får man förvänta sig i ett demokratiskt samhälle och bör man inte beklaga över. Disqus är eventuellt offer för grov brottslighet, eller i alla fall brottslighet. Researchgruppen är förövare med avseende på Disqus, i den mån Disqus har utsatts för brottslighet.

Jag skrev i valkampanjen om detta i Kvällsposten. Jag har också skrivit om det förra vintern, och hävdat att i stort sett alla IT-brottslagar är ett sätt att skydda ekonomiska aktörer mot enskilda individer - det vill säga en sorts statlig subvention för de starka, på de svagas bekostnad. Bloggaren CTail gav flera intressanta förtydliganden av begreppen uppsåt och handlingarnas effekt. Han sammanfattar så här:

Dataintrång? Självklart inte! utbrister datanörden. Man tog ju bara öppet tillgängliga data och matchade ihop dem, utan att tränga in någonstans. Men så behöver det inte se ut med juristens glasögon. Hashvärdena var de facto ett slags lösenord för kommunikation mellan Disqus och profilbildstjänsten Gravatar. Dessa lösenord knäckte Researchgruppen, och intervenerade alltså mellan de två tjänsterna för att uppsåtligen skaffa sig tillgång till information som systemet sammantaget var byggt för att undanhålla. Det är inte självklart att detta juridiskt skulle kunna betraktas som dataintrång, men motsatsen är inte heller självklar. Föreställ er till exempel att punkten man angripit inte tillhört en webbdiskussionstjänst, utan en myndighet, en bank, eller ett multinationellt företag. Vad hade hänt då? (Ta nu bara inte detta som att jag säger att Researchgruppen gjorde fel! Det är en annan diskussion.)

Vän av ordning, och som följer internationell IT-rättsutveckling, kommer vara medveten om att situationen CTail sammanfattar i slutet av sitt blogginlägg faktiskt uppstått och prövats i en amerikansk domstol. Den amerikanske säkerhetsexperten weev tog del av AT&T:s öppet tillgängliga uppgifter om iPad-användares e-postkonton. AT&T hade skapar webblänkar till var och en av användarens privata uppgifter som gick att komma åt genom att besöka länken. Weev dömdes till 41 månader i fängelse för att ha tagit del av de öppet tillgängliga uppgifterna (webblänkarna var i och för sig krångliga, men vi har alla erfarenhet av att ha besökt en lång webbadress, t ex när vi använder internetbank eller betalmedel på nätet). 12 månader senare bestämde en annan amerikansk domstol vid överklagan att weev skulle frisläppas.

Jag vill understryka att det är AT&T som är det presumtiva offret för weevs handlingar. Weev satt inte i fängelse i över ett år för att han varit dum mot iPad-användare, han satt i fängelse för att han varit dum mot AT&T. AT&T har kanske, eller kanske inte, förbättrat rutinerna kring hur de behandlar iPad-användare efter weevs handlingar - juridiskt har de inga skyldigheter att göra det, eller att uppmärksamma iPad-användare på att weev finns och har gjort det här och att det går att undvika. iPad-användarna, i egenskap av AT&T:s kunder, är rättslösa om inte AT&T:s juristavdelning klantat sig vid formuleringen av standardavtalet.

En seger för rimligheten, tyckte många, att AT&T inte blir brottsoffer bara för att deras rutiner hånar konsumenternas intressen, tyckte många. I följande CNBC-inslag, minut 03:53, får man dock en annan bild. Weev har inte frikänts för att AT&T inte var ett offer för användningen av öppet tillgängliga data, utan för att rättegången skett i fel delstat. Det gör att vi fortfarande, i USA, inte på tydlig grund kan säga att varken weev eller Researchgruppen inte är farliga brottslingar som uppsåtligt skadar väna och spröda aktörer som Disqus och AT&T.

Andra jämförbara rättsfall på området finns däremot i Baltikum. Min tidigare kollega Krišjānis KARIŅŠ berättade för mig om ett fall där en lettisk eller etnisk IT-tekniker berett sig tillgång till information om andra medborgares interaktioner med myndigheter och privata aktörer genom att besöka webblänkar till deras e-legitimationsgränssnitt. Jag har inte lyckats spåra nyhetsrapportering om detta på engelska, och kan inte själv söka lokalpressen på grund av bristande språkkunskaper. Jag får därför i det följande be läsaren utgå ifrån att min kollega inte ljög för mig.

I Estland och Lettland har man nämligen e-legitimationer för i stort sett allt, och varje medborgare kan logga in på en hemsida där de kan se vad de använt e-legitimationen till. Informationen för varje e-legitimation ligger också öppet tillgänglig på en webblänk som är ganska lång och krånglig, men som går att komma åt utan att logga in. Denna tekniker hade besökt länkarna i tur och ordning, och för e-legitimationer som inte var henoms egen, och därefter ställts inför rätta. Den etniska eller lettiska domstolen tyckte inte att man kunde prata om ett dataintrång eller hackingbrott om länkarna ändå varit öppet tillgängliga. Detta är ett enligt mig helt rimligt förhållningssätt, men det har kritiserats eftersom det ju var människor som blev kränkta. Jag vill fortfarande också understryka att medborgarna bara skyddas i den utsträckning de är en manifestation av staten, som är det juridiskt definierade offret. Varje enskild medborgare som lidit av att staten inte orkade kravspecificera en autenticeringsmekanism har inga rättigheter mot staten.

I fallet med Researchgruppen är alltså frågan hur en svensk domstol skulle förhålla sig till att Disqus driver process med dem. Kommer de luta åt det baltiska hållet, eller åt det första amerikanska avgörandet?

Det enda sättet att veta är domstolsprövning, men då under risk att den svenska domstolen, precis som den amerikanska överinstansen, fegar ur och otydligt avfärdar fallet på någon annan grund än sakfrågan som sådan. En sådan domstolsprövning kan initieras av Disqus, men jag frågar mig också om t ex Avpixlat kan dra Researchgruppen inför rätta.

Dataintrång faller under allmänt åtal. Polisen har en skyldighet att utreda oavsett vem som anmäler. Däremot kommer polisen inte orka bry sig om det innebär merarbete, och det är egentligen bara intellektuellt tillfredsställande att tvinga en domstol ta ställning till ovanstående spörsmål.

I direktiv 2013/140/EU definieras informationssystem så här: "en apparat eller en grupp av sammankopplade apparater eller apparater som hör samman med varandra, av vilka en eller flera genom ett program automatiskt behandlar datorbehandlingsbara uppgifter, samt datorbehandlingsbara uppgifter som lagras, behandlas, hämtas eller överförs med hjälp av en apparat eller en grupp av apparater för att de ska kunna drivas, användas, skyddas och underhållas,"

Förutsättningen för att Avpixlat ska kunna driva ett sånt här mål är alltså att någon av den öppna data som Researchgruppen använt kan anses ha fallit under ett sådant informationssystem under Avpixlats kontroll som anges ovan. Den svenska implementationen verkar vara Brottsbalken 4 kap, §8-9c:

8 § Den som olovligen bereder sig tillgång till ett meddelande, som ett post- eller telebefordringsföretag förmedlar som postförsändelse eller i ett elektroniskt kommunikationsnät, döms för brytande av post- eller telehemlighet till böter eller fängelse i högst två år. Lag (2012:280).

9 § Den som, utan att fall är för handen som i 8 § sägs, olovligen bryter brev eller telegram eller eljest bereder sig tillgång till något som förvaras förseglat eller under lås eller eljest tillslutet, dömes för
intrång i förvar till böter eller fängelse i högst två år.

9 a § [orelevant]

9 b § [orelevant]

9 c § Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Lag (2014:302).

Frågan för Avpixlat är alltså: har meddelandet eller uppgiften till vilken till olovliga tillgången beretts befunnit sig under deras kontroll på något sätt? Om ja, borde Avpixlat kunna driva ett så kallat testfall i egenskap av offer för Resarchgruppen. Avpixlat borde behöva vara ansvariga eller involverade i den automatiserade behandling eller själva disponera över det elektroniska kommunikationsnätet. Till skillnad från både estniska staten och AT&T har Avpixlat färre resurser. Brottsoffrets relativt mindre bemedlande talar alltså emot - ju svagare offret är, desto mindre risk att förövaren utsätts för prövning (bara detta borde i sig se som rättsvidrigt med IT-brottslagstiftningen).

Jag besitter inte personligen tillräcklig teknisk fantasi eller kännedom för att bedöma om Avpixlat kan tänkas ha haft sådant ansvar eller involvering. Jag kan också konstatera att man nog ändå behöver hitta dels en villig åklagare, och en skicklig jurist. Eftersom åklagarmyndigheten torde ha mindre incitament att skydda svaga brottsoffer än starka brottsoffer talar det emot att ovanstående övning får sin lösning. Det är oerhört synd, och någonting de som är ansvariga för rättsstaten och dess formation borde bekymra sig över.