En kommentar till ePhone-domen

december 21, 2012

Högsta domstolen har nu kommit med ett utslag i ePhone-målet (pdf). Målet handlar om huruvida ett antal ljudboksförlag har rätt att från ePhone få ut abonnentuppgifter för den som drivit en lösenordsskyddad FTP-server med ett antal ljudböcker.

Till att börja med slår HD fast att datalagringsdirektivet och motsvarande svensk lag inte utgör ett hinder för utlämning av uppgifterna. Detta eftersom trafikuppgifterna om vem som haft den här IP-adressen vid det aktuella tillfället inte lagrats i enlighet med datalagringsdirektivet utan istället enligt den lag som ger en operatör rätt att under en viss tid spara uppgifter som behövs för bland annat fakturering. ePhone hade tidigare försökt hävda att de lagrade uppgifterna i enlighet med datalagringsdirektivet, men eftersom det direktivet inte var implementerat i Sverige vid tillfället bedömde HD det som en efterhandskonstruktion.

Så långt inga överraskningar. Man kan säga att HD slår fast att lagarna inte reglerar en trafikuppgift som sådan utan snarare kombinationen trafikuppgift+syfte. Tänk dig att en internetleverantör har två databaser: A) en med trafikuppgifter vars lagring krävs av datalagringsdirektivet och B) en med trafikuppgifter som lagras för företagets egna behov, t ex. fakturering. Datalagringsdirektivet säger att uppgifter ur databas A endast får lämnas ut till behöriga myndigheter (dvs. inga privata aktörer), men reglerar inte den andra databasen. Ipred-lagen kan såvitt jag förstår (det sägs ingenting om det i domen) inte i dagsläget användas för att begära ut uppgifter ur databas A, men däremot ur databas B.

En och samma uppgift kan alltså omfattas av olika regler beroende på i vilken databas den lagras (”i vilket syfte”) , vilket kan vara litet förvirrande. Förhoppningsvis kommer PTS föreskrift om säkerhetsåtgärder vid lagring av trafikuppgifter enligt datalagringsdirektivet att göra att uppdelningen blir någorlunda tydlig.

Internetleverantörer kan precis som förrut själva råda över hur mycket trafikuppgifter som finns tillgängliga för utlämning enligt Ipred-lagen genom att inte lagra mer än nödvändigt i databas A (vilket lagen ändå egentligen redan kräver).

Den överraskande biten är HD:s bedömning av den lösenordsskyddade FTP-servern. När jag först såg vilket fall ljudboksförlagen valde att driva blev jag faktiskt förbluffad. Istället för att välja ett tydligt fall valde de en lösenordsskyddad FTP-server och mycket riktigt ansåg hovrätten att det inte tillräckligt tydligt gick att visa att det handlade om överföring till allmänheten. HD gör en helt annan bedömning grundad på dessa tre argument:

  • På FTP-servern fanns ett stor antal ljudböcker. Därför är det troligt att de varit tillgängliga för ett stort antal personer.
  • Ett flertal av de 27 böcker (vilka i sin tur endast utgjorde någon procent av samtliga böcker på servern) som var aktuella i målet är bästsäljare. Detta talar mot att  kretsen med tillgång varit individuellt bestämd och begränsad.
  • Förekomsten av bland annat release-gruppsnamn i filnamnen och .nfo-filer antyder att verken varit piratkopierade. Detta talar för att syftet med servern har varit att tillgängliggöra upphovsrättsligt skyddat material.

Det enda argument som går att förstå är det tredje, men också där är det otydligt vad som menas med ”tillgängliggöra” eftersom det är skillnad mellan att dela i en sluten grupp och att tillgängliggöra för allmänheten. Litet elakt skulle man kunna omformulera argumenten så här:

  • Eftersom det var många filer måste ett stort antal personer haft tillgång till dem.
  • Mainstream-karaktären hos ett flertal av en i sin tur helt obetydlig (och godtyckligt vald) del av samtliga filer talar för att många personer haft tillgång till den förstnämda lilla gruppen filer.
  • Eftersom filnamnen antyder att filerna piratkopierats talar det för att motivet med servern varit att tillgängliggöra (för allmänheten eller en begränsad grupp?) upphovsrättsligt skyddat material.

HD väljer också att citera den skrivning i förarbetena till Ipred-lagen som lyfter fram att i princip all otillåten utdelning på internet utgör kommersiell skala / viss omfattning och därför gör det möjligt att tillämpa Ipred-lagen, dvs. all fildelning på internet oavsett hur många filer som delas omfattas av Ipred-lagen. Jag tycker att det är rimligt att tolka den meningen som rörande tillgängliggörande för allmänheten. Därför blir jag bedrövad när HD inte förtydliggar det i följande skrivelse: ”Intrånget har avsett tillgängliggörande genom fildelning via internet och har därmed typiskt sett inneburit stor skada för Ljudboksförlagen”.

Tillgängliggörande genom fildelning via internet är inte detsamma som olovligt tillgängliggörande för allmänheten. Om Lovisa mejlar Anna en fil så kan det vara det förstnämnda utan att vara det sistnämnda. Jag tycker att domen kunde ha varit mycket tydligare på den punkten.

ePhone, eller snarare dess konkursbo, dömdes att betala motpartens rättegångskostnader på 828 923 kr.

Andra om fallet: Computer Sweden, Studio Ett, Aftonbladet, GP, Sydsvenskan, Nyheter24, DN, SvD

6 Responses to “En kommentar till ePhone-domen”

  1. SBJ Says:

    Man får hoppas att vem det nu än är som äger servern att han/hon stämmer bokförlagen för dataintrång. Vilket det ju faktisk är frågan om.

  2. steelneck Says:

    Å inte ett ord om dataintrång.. Servern var ju lösenordsskyddad. En definition av detta är ju om X lyckats lura servern att lämna ut information som dess ägare inte ville. Jag tror inte att de som drev servern ville att X skulle få del av informationen.

    • Tor M Says:

      Enligt vad jag förstår har domstolen att ta hänsyn endast till de argument som lyfts fram av parterna i den här typen av mål. Det är ju där det blir litet konstigt eftersom många ISP:er inte i längden har något intresse av att stå upp för sina kunders integritet. Rent ekonomiskt ligger det endast i deras intresse att inte vara sämre än konkurrenter och att hålla antalet kostsamma ärenden nere.

      Se’n finns det förstås några mer ideologiskt drivna ISP:er som Bahnhof, men tyvärr är det nog en minoritet.

      Ett minimikrav tycker jag vore att utse ett offentligt ombud med viss teknisk kompetens som kunde försvara den vars integritetsskydd rättighetsinnehavare och andra vill bryta igenom. Att tro att domstolarnas tekniska kompetens skulle räcka för att göra de avvägningar som krävs är blåögt i min mening.


Kommentarer inaktiverade.