Under föregående veckor har filmbolagen Svensk Film och Nordisk Film tillsammans med Rättighetsalliansen trappat upp sina ambitioner med att stänga ned fildelningssajten The Pirate Bay, och i processen de teknikföretag som ger besökare åtkomst till webbplatsen. Alliansen gick bet i första försöket med internetleverantören Obenetworks, och riktade förra veckan istället uppmärksamheten på VPN-leverantören OVPN.

Läs också: Filmbolagen riktar yrkande mot OVPN

I ovan nämnda fall identifierades OVPN som leverantör av den IP-adress som använts för att ge besökare tillgång till The Pirate Bay. Rättighetsalliansen lämnade därför in ett yttrande till Patent- och marknadsdomstolen där de dels sökte en skyddsåtgärd som kräver vitesbelopp om OVPN raderar efterfrågad data, och dels en begäran om informationsutlämning av data relaterad till den identifierade IP-adressen.

DavidWibergh_profilbild_1080p.jpg

David Wibergh, grundare av OVPN.

I samband med SweClockers nyhet om fallet uppstod ett flertal frågor, bland annat gällande vad som egentligen definierar en internetleverantör, vilka uppgifter OVPN faktiskt sparar och kan dela ut, samt teorier om det faktiska syftet med Rättighetsalliansens yttrande. SweClockers har intervjuat OVPN:s grundare David Wibergh för att få företagets syn på dessa frågor.

SweClockers: OVPN faller inte under lagen om elektronisk kommunikation (LEK) då ni inte är en internetleverantör. Kan du förklara vad det är som gör att LEK inte appliceras på er, men appliceras på en internetleverantör?
David Wibergh: Enkelt förklarat appliceras inte LEK på OVPN då vi inte tillhandahåller någon internetuppkoppling eller internetleverans. I juridiska termer innebär det att vi inte är en elektronisk kommunikationstjänst i kommersiell skala, vilket är en rekvisit för att omfattas av LEK.

Tillhandahållandet av VPN-tjänster utgör inte en sådan anmälningspliktig verksamhet som avses i 2 kapitlet 1 § lagen (2003:389) om elektronisk kommunikation (”LEK”) och därmed omfattas inte heller tillhandahållande av sådana tjänster av lagringsskyldigheten i 6 kapitel 16 a § LEK.

Av förarbetena (Prop. 2018/19:86 sid. 44.) till den gällande lydelsen av lagrummet framgår att bland annat VPN-tjänster inte omfattas då ”det konstateras att förslaget inte innebär att sådana uppgifter ska lagras eftersom sådana tjänster aktiveras först efter internetåtkomsten”.

SweClockers: Våra medlemmar ställer en principiell fråga på ovan ämne. Är det så att ett företag som innehar AS-nummer gör sig skyldig till att lämna ut data vid begäran om anställda ägnar sig åt olaglig aktivitet med företagets IP-nummer?
David Wibergh: Såvitt jag vet har detta inte prövats i svensk domstol, men vi argumenterar starkt för att så inte är fallet. Att ha ett AS-nummer eller att vara en LIR är inte samma sak som att vara en internetoperatör (det vill säga en elektronisk kommunikationstjänst). Vem som helst, även privatpersoner, kan ansöka hos RIPE för att bli en LIR (Local Internet Registry, reds. anmärkning).

Om det var en gällande definition skulle Skolverket, Specsavers och Svenska Spel också vara internetleverantörer, och jag tror vi alla kan hålla med om att så inte är fallet.

SweClockers: Enligt lagen är det den som begått gärningen som kan straffas, men att någon som anses vara medskyldig också kan straffas om det bedöms att denne inte gjort tillräckligt för att förhindra brott. Skulle en VPN-leverantör som tillhandahåller IP-adress som del av tjänsten kunna anses medskyldig till brott, eller är VPN-leverantörens enda sårbarhet brott mot internetleverantörens regler?
David Wibergh: Såvitt jag vet har inte detta prövats heller. Vart skulle gränsen för medskyldighet dras då? Är tillverkaren av datorn som personen använder också medskyldig?

SweClockers: Vilken typ av data kan lämnas ut om det skulle bli så att OVPN tvingas lämna uppgifter om en IP-adress eller kund? IP-adress, tidstämpel för när denna använts, kontaktuppgifter kopplad till IP-adress, och så vidare? Är ni skyldiga att lagra data på någon nivå, även om ni inte omfattas av LEK?
David Wibergh: Vid en situation då vi faktiskt kunde identifiera kunder baserat på IP-adresser (vilket vi inte kan), så kan vi lämna ut information som kunden har tillhandahållit till oss samt hur kunden har betalat.

Det som då kan lämnas ut har vi specificerat i vår Sekretesspolicy, i avsnittet Användarinformation.

SweClockers: Om svaret på ovanstående är att ingen data kan lämnas ut blir den naturliga följdfrågan: om Obenetwork inte kan krävas på data, och den inte heller kan begäras från er då ni inte är internetleverantör, vem kan egentligen begäras på informationen?
David Wibergh: I mitt tycke, ingen. Obenetwork är skyldig att datalagra för att veta vem en viss IP-adress tillhör. De vet att IP-adressen tillhör OVPN så de har såvitt jag vet uppfyllt kraven. OVPN har inga datalagringskrav och därav behöver inte vi lagra någon information om våra kunder.

SweClockers: Våra medlemmar lyfte frågan om att filmbolagens yttrande primärt har syftet att skapa en vägledande dom med målet att innefatta VPN-tjänster i LEK framöver. Hur ser du på den teorin?
David Wibergh: Det är en oroande teori och vi arbetar även utefter den uppfattningen. Därav bestrider vi samtliga yrkanden, även fast vi inte har någon information att tillhandahålla, för att upprätthålla nuvarande lagstiftning. Det är av stor vikt, inte bara för oss utan för samtliga VPN-tjänster som finns i Sverige. Vi välkomnar om andra VPN-tjänster vill samarbeta med oss i denna process, då det även i slutändan kommer påverka dem.

SweClockers: Kan skadeståndskraven krävas in om ni inte kan producera de uppgifter som efterfrågas?
David Wibergh: Det är utöver min juridiska kunskap. Men isåfall är det en kostnad vi tar för att upprätthålla våra kunders integritet.

SweClockers: Vad blir nästa steg i processen? Det handlar som vi förstår det om ett beslut om säkerhetsåtgärd, och sedan informationsföreläggande?
David Wibergh: Korrekt. Vi skickade in vårt svar i onsdags (1 juli). Rättighetsalliansen besvarade det i måndags (6 juli) och vi behöver skicka in vårt svar på onsdag (8 juli). Därefter tar Patent- och marknadsdomstolen ett beslut i frågan om säkerhetsåtgärd.

Därefter bör processen kring informationsföreläggandet gå långsammare. Min gissning är att även där bli det några vändningar där respektive part får yttra sig innan ett beslut tas.

SweClockers: Avslutningsvis vill vi säkerställa att vår uppfattning om vad säkerhetsåtgärden innebär är korrekt. Som vi förstår det handlar det om att Rättighetsalliansen och filmbolagen vill säkerställa att ni inte ska hinna radera uppgifter som del av er datalagringspolicy innan informationsutlämningen träder i kraft. Stämmer det?
David Wibergh: Säkerhetsföreläggandet handlar om att Rättighetsalliansen vill att OVPN ska betala 100 000 kronor om vi tar bort några uppgifter relaterat till kontot de vill få ut information från. Vi argumenterar att ett säkerhetsföreläggande är irrelevant då vi inte vet vilket konto det rör sig om då vi inte har några uppgifter.

Jag citerar vår advokat från vårt senaste yttrande:

Den grundläggande och helt avgörande invändningen mot den begärda säkerhetsåtgärden (och informationsföreläggande) är alltjämt att OVPN inte förfogar över den aktuella informationen. Denna omständighet förändras inte av Sökandenas (felaktiga) argumentation om ”internetoperatör” m.m. OVPN saknar helt enkelt förmåga att efterkomma ett eventuellt beslut om säkerhetsåtgärd.

SweClockers tackar David Wibergh från OVPN för att han tog sig tid att svara på våra frågor.

David Wibergh välkomnar alltså andra VPN-leverantörer att samarbeta med företaget i ärendet. Vet du hur din leverantör hanterar uppgiftslagring om användare och om de påverkas av detta?