Utkastet bærer den formelle tittelen Draft Convention on Cyber-crime. Ved siden av de 41 medlemslandene i Europarådet, er også rådets observatørland, det vil si blant andre USA og Japan, med på arbeidet med utkastet. Utkastet er offentlig tilgjengelig på nettstedet Council of Europe: Treaty Office. Den ferdige traktaten skal være klar innen nyttår.
Fra personvern- og IT-hold er det rettet kritikk mot flere formuleringer som man mener er så ensidige at de virker mot sin egentlige hensikt.
Fra IT-hold er det uttrykt frykt for at artikkel 6 med tittel "illegal devices" i praksis forbyr verktøy - også dataprogrammer - som brukes til å teste systemer for sikkerhetshull.
Professor Dag Wiese Schartum ved Institutt for Rettsinformatikk, som digitoday.no gjør kjent med de aktuelle formuleringene, mener at frykten er begrunnet.
Samtidig viser han til to formuleringer i det nyeste utkastet som indikerer en vilje til å imøtekomme kritikken.
- I selve teksten tas forbeholdet at verktøyene må brukes "without right" for at virksomheten skal være kriminell. I en fotnote til artikkel 2 forklares det at "without right" gjelder atferd som det ikke er hjemmel for.
Atferd som ikke er "without right" - altså "with right" - er følgelig forsvarlig og tillatt, og skal dermed beskyttes.
Schartum peker også på at fotnoten til artikkel 6 viser til innvendinger fra bransjen om at hackerverktøy brukes vel så mye til legitim testing som til innbruddsforsøk. Fotnoten presiserer at legitim bruk skal falle inn under begrepet "with right", og at dette må presiseres i teksten.
- Jeg vil oppfordre bransjen til å levere konstruktiv kritikk på dette punktet, blant annet ved å peke på nye og hensiktsmessige sikringsmetoder der legitim bruk av hackerverktøy spiller en viktig rolle. Innen IT-sikkerhet må man gjerne hjelpe myndighetene til å se hva som foregår.
Andre formuleringer som kritiseres, gjelder personvernspørsmål. Utkastet legger opp til at rettsinstanser skal kunne pålegge Internett-tilbydere å overvåke kunder i sanntid. Det åpner også for at tilbyderne gjøres ansvarlig for ulovlig materiell som på et eller annet vis er innom deres systemer. Man er også skeptisk til en passus om at brukere kan pålegges å oppgi passord og krypteringsnøkler i kriminalsaker.
Ifølge Wall Street Journal har amerikanske deltakere i forhandlingene om utkastet presisert at den endelige traktaten vil klargjøre at tilbydere ikke kan gjøres ansvarlig for ulovlig materiale som passeres gjennom deres systemer.
