Skrivelse om tillgängliggörande av kontrollerad teknik eller programvara
SOFF vill med denna skrivelse hemställa att begreppet ”… görs tillgänglig i elektronisk form” i PDA regelverket, samt motsvarande begrepp i krigsmaterielregelverket, tolkas auktoritativt på så sätt att krypterade filer endast anses tillgängliggjorda när de låsts upp och mottagaren därmed kan läsa, tillgodogöra sig eller använda innehållet i den krypterade filen. Detta för att möjliggöra att företag i Sverige ska ha möjlighet att kunna hantera framtida krav på IT-miljön inom befintliga regelverk.
SOFF vill även erinra om 11:e punkten i preambeln till EU:s PDA regelverk från år 2021 som anger att medlemsstaterna, i syfte att begränsa den administrativa bördan för både exportörer och behöriga myndigheter, bör harmonisera tolkningarna av bestämmelserna för vissa elektroniska överföringar, t ex vid användning av molntjänster. Någon sådan gemensam tolkning har ännu inte tillkännagetts.
Produkter med dubbla användningsområden och begreppet ’tillgängliggöra’
Enligt definitionen av export i artikel 2 punkt 2 i PDA förordningen anges att en export är enligt a) en export enligt unionens tullkodex eller enligt d) vid elektronisk överföring av programvara eller teknik. Elektronisk överföring innefattar även när ”programvaran och tekniken görs tillgänglig i elektronisk form” till juridiska eller fysiska personer utanför gemenskapen.
När det gäller punkt d) i artikel 2.2 så kan man tolka denna på två olika sätt.
1. man kan möjligtvis se det som en export att tekniken eller programvaran är tillgänglig för mottagaren när denne har åtkomst till, exempelvis, en krypterad fil i en miljö i Sverige eller om denna har fått en krypterad fil skickad till sig. Det vill säga, fastän mottagaren inte har någon möjlighet att kunna tillgodogöra sig innehållet i filen.
2. man kan alternativt se det som att det inte är en export att överföra eller göra en krypterad fil tillgänglig för någon utanför unionen så länge den kontrollerade tekniken eller programvaran enbart förekommer i krypterad form eller bakom en inloggningsskyddad brandvägg och mottagaren inte kan läsa eller tillgodogöra sig innehållet i filen. Denna tolkning skulle innebära att tillhandahållande av kryptonyckeln eller inloggningsuppgifter utgör själva tillgängliggörandet.
SOFF förstår det som att den rådande synen är att artikel 2.2 ska läsas som att punkt a) ska tillämpas när krypterad fil skickas över unionsgräns och att punkt d) ska tillämpas när en utländsk part kan se en krypterad fil som finns i Sverige oavsett om denne har möjlighet att tillgodogöra sig innehållet.
SOFF vill hävda att punkt a) inte ska tillämpas på elektronisk överföring utanför unionens tullområde utan att punkt d) reglerar både elektronisk överföring ut från unionens tullområde och när kontrollerad teknik eller programvara, som finns i Sverige, görs tillgänglig för någon utanför unionens tullområde.
Syftet med lagstiftningen är bokstavligen att kontrollera att teknik och programvara inte hamnar i orätta händer. SOFF hävdar att kryptering eller liknande åtkomstbegränsning av filer eller miljöer hindrar tillgängliggörande av den faktiska programvaran och tekniken fram tills när mottagaren också getts nyckeln och kan låsa upp filen eller inloggningsuppgifter för att logga in i IT miljön. Det är inte förrän efter mottagaren låst upp filen eller loggat in som denne har möjlighet att faktiskt läsa och tillgodogöra sig, eller för den delen använda, innehållet i den krypterade filen. Innan dess saknar en krypterad fil något värde och bör inte anses som exporterad eftersom tekniken eller programvaran faktiskt inte är tillgänglig för mottagaren i klartext oavsett om filen skickats till mottagaren eller denne har åtkomst till en krypterad fil lagrad i Sverige.
Krigsmateriel och begreppet ’tillgängliggöra’
Utförsel av programvara regleras också i lagen om krigsmateriel. För att säkerställa att lagen och PDA-förordningen tillämpas på ett konsekvent och rättssäkert sätt bör något sägas även om hur tillgängliggörande av programvara bör förstås i relation till lagen om krigsmateriel.
Enligt § 6 i lagen om krigsmateriel så är det förbjudet att utan tillstånd föra ut krigsmateriel ur landet. Därmed likställs elektronisk överföring vilket också kräver tillstånd. I förarbetena likställer sedan utredaren tillgängliggörande av programvara med utförsel (prop 1991/92:174 s 72). Därefter infördes tekniskt bistånd i bestämmelsen 2012. SOFF förstår det som att dagens tolkning av lagstiftningen är att krypterad teknik är exporterad när den förs ut eller när en krypterad fil är tillgänglig för någon i utlandet.
SOFF vill därför även i detta fall påpeka att begreppet ”görs tillgänglig” bör avse när mottagaren kan läsa och tillgodogöra sig den faktiska informationen i klartext eller i de fall när denne kan installera en programvara. Det faktum att mottagaren har fått eller har åtkomst till en obrukbar, krypterad fil eller inloggningssida utan inloggningsuppgifter bör inte ses som en export om man ser till syftet med lagstiftningen. Tillgängliggörandet kommer sedan i form av att mottagaren ges en kryptonyckel eller inloggningsuppgifter som låser upp filen eller möjliggör inloggning i IT miljön vilket är vad som ger denne faktisk åtkomst så att denne kan tillgodogöra sig tekniken eller programvaran i klartext.
Likheter med annan lagstiftning
När det gäller offentlighets och sekretesslagen (OSL) använder man begreppet att information är ”röjd”. I många fall räknar dock inte svenska myndigheterna krypterad information som kommit obehörig person till del som röjd eftersom själva informationen faktiskt inte är tillgängliggjord. Det vore därför bra om Sverige i detta avseende kan ha ett ensat synsätt gällande ”tillgängliggöra” och ”röjd” i regelverken och specifikt att Sverige bör anamma OSL:s synsätt även på krypterad exportkontrollerad teknik och programvara. När det gäller synen på om information ska anses röjd om den förekommer i en krypterad fil skrev regeringen nyligen (prop 2022/23:97 s 7):
”En uppgift som omfattas av sekretess och som görs tillgänglig för en tjänsteleverantör eller en samordnande myndighet betraktas som utlämnad eller röjd i offentlighets- och sekretesslagens mening. Ett sådant röjande är bara tillåtet om sekretess inte hindrar att uppgiften lämnas ut. En annan sak är om uppgiften är krypterad på ett sådant sätt att mottagaren saknar teknisk kapacitet att forcera krypteringen. När en uppgift skyddas av en kryptografisk funktion som hindrar mottagaren att ta del av uppgiftens informationsbärande innehåll, bör den inte betraktas som röjd enligt offentlighets- och sekretesslagen.”
Myndigheten kan, om det finns ett faktiskt behov, i tillståndsvillkor för exempelvis tillverknings- eller tillhandahållandetillstånd ange en tillfredsställande kryptografisk skyddsnivå eller andra liknande åtkomstbegränsningar som de anser behövs. Likaså har myndigheten möjlighet att i tillståndsvillkor ange om det är några länder där krypterad eller åtkomstbegränsade filer inte får förvaras. Exempelvis länder som är föremål för vapenembargo eller alternativt att man anger att krypterade filer får förvaras eller behandlas i de etablerade samarbetsländerna.
Framtiden
Vad gäller utveckling av nya stödsystem eller miljöer som företagen nyttjar så blir det allt vanligare att stödsystemsutvecklarnas affärsmodell innebär att de enbart driftar systemen i molntjänster i sina egna miljöer och att företag som behöver nyttja dessa inte längre ges möjlighet att ladda hem och installera stödsystemen i sina egna miljöer (”on premise” lösning). SOFF ser en trend att molntjänster i många fall för många applikationer kommer vara enda möjligheten framgent. Det kan därför fort bli ohållbart om företagen måste söka tillstånd för varje systemstöd som driftas i IT moln och för varje datamängd som ska förvaras eller behandlas i ett moln fastän molnägaren inte har åtkomst till tekniken eller programvaran. Att med alltför hårda tolkningar och krävande administration förhindra försvarsföretagen att nyttja de bästa lösningarna för utveckling och produktion, av krigsmateriel som försvarsmakten behöver, blir över tid ett hinder för en snabb och effektiv utveckling av både svensk, men även allierades, försvarsförmåga.
Sammanfattning
Sammanfattningsvis hävdar SOFF att en tolkning där en krypterad fil som innehåller teknik eller programvara ska anses vara ”tillgänglig” när utländsk part fått filen till sig eller har åtkomst till filen blir alltför extensiv. Syftet med både PDA- och krigsmaterielregelverket är att säkerställa att svensk kontrollerad teknik eller programvara inte kommer oönskade aktörer till del för oönskade syften. Kryptografi och liknande åtkomstbegränsningar förhindrar detta. Programvara eller teknik som är krypterad eller finns i en åtkomstbegränsad IT miljö bör därför inte kunna ses som tillgängliggjord så länge inte mottagande part också får kryptonyckeln eller inloggningsuppgifter så den kan tillgodogöra sig informationen i klartext.
SOFF vill således hemställa om en auktoritativ uttolkning av begreppet ”… görs tillgänglig i elektronisk form” i PDA regelverket, samt motsvarande begrepp i krigsmaterielregelverket, och att det ska tolkas så att när en exportkontrollerad uppgift eller mjukvara skyddas av en kryptografisk funktion, eller liknande åtkomstbegränsning, som hindrar mottagaren att ta del av det informationsbärande innehållet, bör dessa inte betraktas som exporterade enligt något av de ovan angivna regelverken.