Synpunkter på IMY:s rättsliga ställningstagande om brottsuppgifter, IMYRS 2021:1
SOFF understryker vikten av att Integritetsskyddsmyndigheten (MY) ser över de rättsliga förutsättningarna för privata aktörer att behandla och dela information för att kunna snabbt upptäcka och bemöta cyberhot – även när sådan information rör personuppgifter kopplade till dataintrång eller misstanke om dataintrång.
Rättsliga förutsättningar att behandla sådan information är avgörande för att kunna snabbt upptäcka och bemöta cyberhot och är därmed avgörande för Sveriges säkerhet och försvarsförmåga.
SOFF noterar att det i andra europeiska länder finns framgångsrika plattformar för att dela information om cybersäkerhet och cyberhot – inbegripet IP-adresser m.m. – där även privata aktörer deltar i informationsdelningen. Detta bör kunna ses som en indikation på att det finns utrymme i EU:s dataskyddsförordning[1] för privata aktörer att behandla information om cyberhot, inbegripet personuppgifter.
Behov av att dela personuppgifter för ett effektivt cyberförsvar
Informationsdelning avseende cyberhot kan till exempel ske i en s.k. Malware Information Sharing Platform (MISP). I en MISP hanteras bland annat IP-adresser och e-postadresser kopplade till misstänkta cyberhot eller andra skadliga incidenter. Även om dessa uppgifter i regel inte är att betrakta som personuppgifter, kan de i vissa fall, beroende på deras innehåll och karaktär, utgöra personuppgifter (se mer om detta nedan). Vidare kan ytterligare uppgifter om typen av hot och aktivitet registreras; sådana uppgifter kan endast utgöra personuppgifter om de kopplas till annan identifierande information.
Risken för att personuppgifter behandlas vid hotdelning om cyberangrepp
I en MISP är det visserligen osannolikt att informationen som delas utgör personuppgifter. IP-adresser är till exempel ofta är dynamiska och ”maskade”, vilket gör det svårt att spåra dem till en specifik användare på ett sådant sätt som krävs för att IP-adressen ska betraktas som en personuppgift. E-postadresser kan utgöra personuppgifter om de innehåller en persons namn eller annan identifierande information, vilket sannolikt endast kommer att förekomma i ytterst få fall i samband med rapportering i en MISP eller annan informationsdelning avseende cyberhot. Det måste antas att en stor majoritet av de som avsiktligen förbereder eller genomför ett cyberangrepp gör sitt yttersta för att dölja sin identitet, exempelvis genom att obehörigen nyttja en annan IP-adress och använda en för ändamålet särskilt framtagen e-postadress som inte går att härleda till en fysiskt identifierbar person.
Även om uppgifterna i en MISP nästan uteslutande därför kan väntas bestå av uppgifter där det föreligger en obefintlig eller försumbar risk för identifiering, går det sammantaget inte att utesluta all förekomst av personuppgifter i en MISP.
Rättsliga förutsättningar att dela personuppgifter för att identifiera och möta cyberangrepp idag
Föreningens uppfattning är att det idag råder otydliga, och möjligen obefintliga, rättsliga förutsättningar för att dela nödvändig hotinformation om cyberangrepp, mellan företag samt mellan företag och myndigheter, när informationen är eller innefattar personuppgifter.
Artikel 10 i dataskyddsförordningen (EU) 2016/679 rör behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. IMY har i sitt rättsliga ställningstagande IMYRS 2021:1 angett att artikel 10 inkluderar ”misstanke om brott”. Detta skulle till exempel kunna vara en IP-adress eller e-postadress som går att hänföra till en individ som är misstänkt att genomföra en DDoS-attack. Denna tolkning av artikel 10 begränsar möjligheten att dela information om cyberhot, exempelvis IP-adresser vid pågående cyberangrepp, i de fall dessa kan betraktas som personuppgifter och därmed omfattas av dataskyddsreglering vid misstänkt dataintrång.
Konsekvenser av IMY:s rättsliga ställningstagande
Som konstaterats ovan är effektiva möjligheter att dela information om misstänkta och pågående cyberangrepp en förutsättning för att snabbt upptäcka och bemöta cyberhot, vilket är avgörande för Sveriges säkerhet och försvarsförmåga.
Som också noterats bedöms risken för att personuppgifter behandlas inom ramen för cybersäkerhets- och cyberförsvarsarbetet förvisso vara liten – eftersom hotaktörer vanligen undviker att använda e-postadresser, IP-adresser m.m. som går att knyta till individen som begår angreppet – men det kan inte uteslutas att privata aktörer kommer att hantera personuppgifter som en del i det avgörande arbetet att identifiera och möta cyberhot.
Föreningen respekterar att det kan finnas fall då det finns skäl att införa särskilt skydd för personuppgifter som rör misstanke om brott, men anser att tolkningen i detta fall får alltför långtgående olämpliga konsekvenser med uppenbar fara för Sveriges säkerhet.
IMY:s inställning jämte andra EU-länders inställning
SOFF noterar att IMY:s tolkning av artikel 10 GDPR är mer extensiv än IMY:s motsvarigheter i andra EU-länder. Till exempel finns flera exempel på andra länder i Europa där staten tillsammans med privata aktörer driver en så kallad ”Malware Information Sharing Platform” (MISP), vilket är en teknisk plattform för att dela hotinformation.
Hemställan
Föreningen är av skäl som angetts ovan kritiskt inställd till den extensiva tolkning som IMY, genom sitt rättsliga ställningstagande, gjort av artikel 10, givet de långtgående oönskade konsekvenserna som det får för Sveriges samlade säkerhet och försvarsförmåga.
SOFF understryker vikten av att IMY justerar sitt rättsliga ställningstagande så att det tydliggörs att privata aktörer inte hindras att behandla – inbegripet dela – personuppgifter på det sätt som krävs för att effektivt upptäcka och bemöta cyberhot.
SOFF står till förfogande för vidare dialog i frågan.
Yttrandet har beretts av föreningens medlemsgrupp för Cyberförsvar.
[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).