Säpos krav: Direkttillgång till pukkoder

Som Ny Teknik avslöjade den 6 november sitter Säpo och operatörerna i samtal om att införa gränssnittet ITS27, som ger brottsutredande myndigheter direktkontakt med trafikdatabaser hos operatörerna.

När en polis begär ut information om hur, var och när en brottsmisstänkt person ringt, mejlat, surfat eller messat från operatörerna ska svaren automatiskt flöda tillbaka till polisen från databaserna. Systemet uppmärksammas även av andra medier i dag.

Ny Teknik kan i dag också avslöja att gränssnittet ITS27 medger att polisen kan hämta ut fler uppgifter från operatörerna - än bara de trafikdata som operatörna är skyldiga att spara, enligt lag.

Det visar vår genomgång av de sökfält som gränssnittets specifikation eller tillämpningsanvisning består av.

Exempelvis finns det sökfält för att begära ut mobilanvändares pukkoder, det vill säga den personliga upplåsningskoden.

Via koden kan polisen öppna vanliga mobiler och läsa meddelanden, kalendernoteringar, se bilder och ta del av personlig information. Men när det gäller smarta mobiler används pukkoden enbart för att låsa upp simkortet så att mobilen går att ringa med.

Detta får Tele 2 att reagera. Bolaget tycker inte att koden är en abonnemangsuppgift, som man är skyldig att lämna ut.

– Tele 2 kan naturligtvis lämna ut pukkod till brottsbekämpande myndigheter, men enbart om det begärs ut med stöd av ett formellt beslut om husrannsakan, säger Stefan Backman, chefsjurist på Tele 2.

Men Kurt Alavaara, kriminalkommissarie på Säpo, som jobbar med anpassningen till ITS27-standarden, håller inte med:

– Vi anser att pukkoden är att betrakta som uppgift om abonnemang. Det finns inget uttryckligt krav att uppgiften ska sparas för brottsbekämpningsändamål men har operatören uppgiften ska den, enligt Säkerhetspolisens uppfattning, lämnas ut, uppger han.

Samtidigt kan koderna bara hämtas ut av polisen om operatörerna lagt över pukkoderna i trafikdatabaserna, som polisen får tillgång till.

Staffan Lindmark, jurist vid Post- och telestyrelsen, PTS, säger att myndigheten 2006 slog fast att pukkoden inte är en abonnemangsuppgift, enligt lagen om elektronisk kommunikation. Den omfattas inte ens av tystnadsplikt.

– Det är frivilligt för operatörerna att lämna ut pukkoden enligt lagen om elektronisk kommunikation, säger Staffan Lindmark.

Men Säpos åsikt är att operatörerna - utöver trafikdata - också måste lämna ut andra uppgifter som de har eller bevarar. Man hänvisar till regler i rättegångsbalken och i den så kallade inhämtningslagen.

Det finns också sökfält i ITS27 för hur abonnenter betalat sin trafikräkning, vilket exempelvis avslöjar detaljer om kundernas kontonummer och kortnummer.

– Att en viss uppgift omfattas av en teknisk specifikation är inte detsamma som att det alltid är okej att lämna ut uppgiften, säger Staffan Lindmark, och manar operatörerna till försiktighet.

Säpo driver nu på ordentligt för att operatörerna ska använda ITS27, som bygger på en europeisk standard. Kurt Alavaara beräknar att gränssnittet ska vara i gång under första kvartalet 2014.

Enligt Mikael Ek, vd på Svenska Stadsnätsföreningen, upphandlade man i våras ett ramavtal med bolaget Maintrac, som använder en ITS27-lösning för stadsnätsföretagen.

Ett 50-tal av cirka 150 stadsnätsföretag har hittills anslutit sig. Deras trafikuppgifter kommer att läggas över i en databas hos Maintrac som får direktkoppling till Säpo och Rikskrim, uppger han. Tills vidare granskas överlämningen av Maintracs personal.