NOU 2003: 27

Lovtiltak mot datakriminalitet— Delutredning I om Europarådets konvensjon om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi

Til innholdsfortegnelse

1 Sammendrag, bakgrunn, begrepsbruk mv.

1.1 Sammendrag

Delutredning I inneholder forslag til nødvendige lovtiltak for gjennomføring av Europarådets konvensjon om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi 8. november 2001 (heretter konvensjonen) i norsk rett. Lovforslagene omfatter utkast til enkelte endringer i straffeloven og straffeprosessloven. Før øvrig oppfyller norsk rett i alt vesentlig forpliktelsene i konvensjonen.

Konvensjonen er delt inn i fire kapitler. Kapittel 1 gjelder begrepsbruken. Videre regulerer kapittel 2 tiltak som skal iverksettes på nasjonalt nivå, mens kapittel 3 omhandler internasjonalt samarbeid. Konvensjonens avsluttende bestemmelser er samlet i kapittel fire.

I utredningen kapittel 1 gjøres det rede for utvalgets sammensetning og mandat. Videre beskriver utvalget kort den historiske utviklingen av det internasjonale samarbeidet innenfor området datakriminalitet. Deretter gjør utvalget rede for begrepene som er benyttet i konvensjonen og definert i artikkel 1.

I utredningen kapittel 2 behandler utvalget de straffebestemmelsene som er beskrevet i konvensjonen artikkel 2 til 13. Punkt 2.10 om vern av opphavsrett er etter anmodning fra utvalget utarbeidet av professor Jon Bing, Universitetet i Oslo.

Artikkel 2 gjelder datainnbrudd. Utvalget har vurdert straffeloven § 145 annet ledd og kommet frem til at denne bestemmelsen er i samsvar med forpliktelsene i artikkel 2. Det forutsettes imidlertid at Norge avgir en erklæring i henhold til artikkel 40. Videre anbefaler utvalget at strafferammen endres.

Utvalget har kommet frem til at det ikke er nødvendig med lovendringer for å gjennomføre konvensjonens bestemmelser om kriminalisering av dataavlytting i artikkel 3, dataskadeverk i artikkel 4, systemskadeverk i artikkel 5, elektronisk dokumentfalsk i artikkel 7, databedrageri i artikkel 8, vern av opphavsrett og nærstående rettigheter i artikkel 10, medvirkning og forsøk i artikkel 11, foretaksstraff i artikkel 12 og sanksjoner i artikkel 13.

Artikkel 6 gjelder ulike former for ulovlig befatning med tilgangsdata. Etter utvalgets syn rammes ikke handlingen som beskrevet i artikkel 6, av gjeldende straffelovgivning. Utvalget foreslår derfor en ny straffebestemmelse som kriminaliserer spredning av tilgangsdata som ny § 145 b i straffeloven.

Artikkel 9 omhandler barnepornografi. Utvalget har kommet frem til at straffeloven § 204 første ledd bokstav d dekker de handlingene som er beskrevet i artikkel 9. Det forutsettes imidlertid at Norge benytter reservasjonsadgangen i artikkel 9 nr. 4 for så vidt gjelder artikkel 9 nr. 1 bokstav d. Likefullt mener utvalget at enhver befatning med barnepornografi som utgangspunkt bør rammes av straffeloven. Utvalget kommer tilbake til denne problemstilling i delutredning II.

Konvensjonen artikkel 14 til 22 fastsetter straffeprosessuelle forpliktelser. Disse er behandlet i utredningen kapittel 3.

Utvalget antar at det ikke er nødvendig med lovendringer for å gjennomføre de generelle bestemmelsene i artikkel 14 og 15.

I henhold til artikkel 16 er statene forpliktet til å gi kompetent myndighet adgang til å sikre lagrede data som deretter kan benyttes som bevis i en straffesak. Utvalgets flertall,alle medlemmene unntatt Sunde, foreslår en ny bestemmelse i straffeprosessloven for å gjennomføre artikkel 16. Forslaget til ny § 215 a gir påtalemyndigheten adgang til å pålegge en person å sikre elektronisk lagrede data som antas å ha betydning som bevis. Videre regulerer bestemmelsen utlevering av trafikkdata som er sikret gjennom et sikringspålegg. En utvidet utleveringsplikt er etter flertallets oppfatning nødvendig for å gjennomføre artikkel 17. Mindretallet, Sunde, foreslår en noe annerledes utformet bestemmelse om sikringspålegg.

Artikkel 18 pålegger statene å gi kompetent myndighet adgang til å utstede pålegg om utlevering av lagrede data og abonnementsinformasjon. Etter utvalgets oppfatning oppfyller straffeloven § 210 forpliktelsene i artikkel 18. Det er derfor ikke nødvendig med endringer i norsk rett.

Utvalget anser det nødvendig med en lovendring for å gjennomføre artikkel 19 nr. 4. Statene er etter denne bestemmelsen forpliktet til å sikre kompetent myndighet adgang til å pålegge systemadministrator eller andre personer med kjennskap til hvordan et datasystem fungerer plikt til å gi opplysninger som kan lette gjennomføringen av ransaking. Utvalget foreslår derfor en ny § 199 a i straffeprosessloven om opplysningsplikt ved ransaking av et datasystem.

Artikkel 20 gjelder innhenting av trafikkdata i sanntid. Norge oppfyller ikke kravet i bestemmelsen til å åpne for innhenting av trafikkdata i sanntid ved etterforskning av forbrytelsene som er nevnt i artikkel 2 til 11, jf. artikkel 14 nr. 2 bokstav a. Etter utvalgets oppfatning bør Norge benytte reservasjonsadgangen på dette punktet. Det samme gjelder artikkel 21 som regulerer avlytting av innholdsdata.

Artikkel 22 oppstiller krav til det stedlige virkeområdet til straffebud som er fastsatt i samsvar med artikkel 2 til 11 i konvensjonen. Utvalget er av den oppfatning at Norge bør endre straffeloven § 12 for å sikre at den som handler i strid med bestemmelsene i konvensjonen, skal kunne straffes i Norge, uavhengig av om forbrytelsen er begått i Norge eller i utlandet.

Artikkel 23 til 35 fastsetter hvilke regler som skal gjelde for det internasjonale samarbeidet. Disse bestemmelsene er behandlet i utredningen kapittel 4. Etter utvalgets oppfatning nødvendiggjør ikke bestemmelsene lovendringer, men Norge bør benytte seg av reservasjonsadgangen i artikkel 29 nr. 4. Konvensjonen åpner for at statene kan forbeholde seg retten til ikke å etterkomme en anmodning om sikring av lagrede data dersom forfølgningen gjelder andre forhold enn dem som er nevnt i artikkel 2 til 11, og det samtidig er grunn til å tro at vilkåret om dobbel straffbarhet ikke er oppfylt.

1.2 Oppnevning og mandat

Datakrimutvalget ble nedsatt av Regjeringen ved kgl. res. 11. januar 2002. Utvalget ble gitt slik sammensetning:

  • Sorenskriver Stein Schjølberg, leder

  • Seniorrådgiver Christina Christensen

  • Rådgiver Beate S. Dagslet

  • Rådgiver, nå kst. tingrettsdommer Marius Stub

  • Førstestatsadvokat Inger Marie Sunde

  • Teknologidirektør Berit Svendsen

  • Forbrukerombud Bjørn Erik Thon

  • Advokat Benedict de Vibe

Varamedlemmer, ikke oppnevnt i statsråd:

  • Ass. sikkerhetsdirektør Anders Venemyr

  • Kst. statsadvokat Erik Moestue

  • Seksjonssjef Bente Øverli

Anders Venemyr har møtt som stedfortreder for Berit Svendsen siden oktober 2002, Bente Øverli har møtt som stedfortreder for Bjørn Erik Thon siden desember 2002 og Erik Moestue møtte som stedfortreder for Inger Marie Sunde våren 2003.

Frem til august 2003 var politifullmektig Ole Jacob Garder sekretær for utvalget. Fra august 2003 overtok førstekonsulent Helene Wegner.

Utvalget avholdt sitt første møtet 28. februar 2002. Til sammen har utvalget avholdt 25 møter.

Nedenfor følger utdrag av utvalgets mandat:

«Straffelovrådet utredet i 1985 ulike rettslige spørsmål knyttet til datakriminalitet. Siden den gang har det skjedd mye på dette området, ikke minst gjennom fremveksten av Internett. Etter Justisdepartementets syn er det derfor grunn til på ny å foreta en samlet gjennomgåelse av de strafferettslige og straffeprosessuelle spørsmål som IKT-kriminalitet reiser, og foreslår at det oppnevnes et utvalg som skal utrede dette nærmere. Skal samfunnet kunne møte de utfordringer dagens og morgendagens kriminalitetsbilde stiller oss overfor, må lovverket være tilpasset den nye tids krav, innenfor de rammer hensynet til den enkeltes personvern og rettssikkerhet setter.

2. Europarådskonvensjonen om IKT-kriminalitet.

Europarådet vedtok 8. november 2001 en konvensjon om IKT-kriminalitet (Convention on Cybercrime). Konvensjonen ble undertegnet av Norge 23. november 2001, og til sammen har 31 stater undertegnet. Konvensjonen er foreløpig ikke ratifisert av noen av konvensjonsstatene, og har derfor ennå ikke trådt i kraft.

Gjennom å slutte seg til konvensjonen, forplikter konvenssjonstatene seg til å kriminalisere nærmere bestemte handlinger. Dette gjelder bl.a. datainnbrudd, databedrageri og ulike former for befatning med barnepornografi. Videre forplikter partene seg til å innføre visse tvangsmidler til bruk under politiets etterforsking både av saker om IKT-kriminalitet og av andre straffesaker. Det følger bl.a. av konvensjonen at politiet på nærmere grunnlag skal kunne pålegge enhver å sikre data som er lagret. Politiet skal i tillegg kunne beslaglegge og ransake datamaskiner. For det tredje gir konvensjonen bestemmelser om det gjensidige samarbeidet mellom konvensjonsstatene. Konvensjonen bygger på det utgangspunkt at statene er forpliktet til raskt å yte hverandre bistand under etterforskingen av saker om IKT-kriminalitet. For å muliggjøre dette, er statene forpliktet til å opprette et kontaktpunkt som skal være bemannet 24 timer i døgnet syv dager i uken (24/7-network).

For at Norge skal kunne ratifisere konvensjonen, er det nødvendig med visse lovendringer. Blant annet er det nødvendig å gi regler om midlertidig sikring av data. Utvalget skal utrede hvilke endringer som må til for å gjennomføre konvensjonen i norsk rett, og foreslå bestemmelser som tilfredsstiller konvensjonens krav.

På de punktene hvor konvensjonen åpner for at statene kan reservere seg, jf. artikkel 42, skal utvalget i tillegg vurdere om denne adgangen bør benyttes. På de punktene hvor statene er gitt en viss valgfrihet med hensyn til gjennomføringen av konvensjonsforpliktelsene, jf. artikkel 40, skal utvalget på samme måte vurdere hvordan denne valgfriheten bør benyttes.

3. Andre lovgivningsspørsmål

I tillegg til de spørsmål som er nevnt under pkt. 2, skal utvalget vurdere om det er behov for andre endringer i straffeloven eller i straffeprosessloven. Utvalget kan foreslå endringer i eksisterende bestemmelser, eller helt nye regler, i den utstrekning det er behov for det. Utvalget bør undersøke om det foreligger internasjonale instrumenter eller initiativ som kan ha betydning for spørsmålene som utvalgsarbeidet reiser.

Utvalget bør iallfall vurdere:

  • om straffelovens stedlige virkeområde er hensiktsmessig avgrenset når det gjelder ulovlig materiale på nettet, jf. RG 2001 s. 219,

  • straffelovens regler om datainnbrudd og skadeverk,

  • om det er behov for lovendringer for å styrke det strafferettslige vernet mot terrorangrep mot datainstallasjoner eller for å kunne bruke IKT for mer effektivt i etterforskingen av saker om terrorisme, enten terrormålet er et dataanlegg eller andre interesser,

  • om politiet har tilstrekkelig adgang til å kreve at ulovlig materiale fjernes fra nettet, og

  • om det bør innføres en loggføringsplikt når det gjelder trafikkdata.

4. Forholdet til personvern- og rettssikkerhetshensyn mv.

Utvalget må i tillegg til hensynet til samfunnsbeskyttelse vurdere rettssikkerhetsmessige aspekter og hensynet til personvern og ytringsfrihet. Ved drøftelsen av enkeltspørsmål skal utvalget gjøre rede for hvordan disse hensynene berøres og for hvordan disse hensynene bør veies mot hverandre.

Utvalget skal vurdere de økonomiske og administrative konsekvensene av sine forslag, og minst ett forslag skal baseres på uendret ressursbruk, jf. utredningsinstruksen pkt. 3.1.

Utvalget skal utarbeide forslag til lovtekst. Lovforslaget skal være i samsvar med Norges internasjonale forpliktelser, og utarbeides i tråd med Justisdepartementets veiledning Lovteknikk og lovforberedelse (2000).

5. Sammensetning og frister

[...]

Utvalget skal avslutte sitt arbeid innen 31. desember 2003. Hvis ikke annet senere avtales med Justisdepartementet, bes utvalget om å fremme en delinnstilling innen 31. desember 2002 med forslag til gjennomføring av Europarådskonvensjonen i norsk rett, slik at regjeringen hurtigst mulig kan fremme forslag om lovendringer og ratifisere konvensjonen.»

1.3 Internasjonal utvikling

Den første internasjonale organisasjonen som tok initiativ til retningslinjer for harmonisering av straffebestemmelser om datakriminalitet, var OECD. I 1986 vedtok OECD å anbefale medlemslandene å vurdere behovet for straffebestemmelser etter en liste av handlinger som skulle fungere som en fellesnevner. Anbefalingene var basert på en rapport fra en ekspertkomité, se Computer-related Criminality: Analysis of Legal Policy in the OECD-Area.

Europarådet vedtok i 1989 rekommandasjon R(89)9 om datarelatert kriminalitet som anbefaler harmonisering av straffebestemmelser. Europarådets anbefalinger bygger hovedsakelig på arbeidet i OECD.

Videre vedtok Europarådet i 1995 anbefalinger om straffeprosessuelle problemer i tilknytning til informasjonsteknologi i rekommandasjon R(95) 13. Anbefalingene omhandlet blant annet ransaking og beslag, teknisk overvåkning, elektroniske bevis, bruk av kryptering og internasjonalt samarbeid.

FN organiserte sin første internasjonale konferanse som også omfattet datakriminalitet, i Havana, Cuba, i 1990. En resolusjon ble deretter vedtatt i desember 1990 av FNs generalforsamling. På en konferanse i Wien i april 2000 ble særlig straffeprosessuelle spørsmål drøftet.

G-8 landene etablerte i 1997 «Subgroup of High-Tech Crime» og vedtok samme år ti prinsipper i kampen mot datakriminalitet. Det ble blant annet organisert et 24/7-nettverk som nå inkluderer minst 30 land. Etter 11. september 2001 har tiltakene vært fokusert på å forebygge terrorhandlinger.

Den Europeiske Union (EU) har deltatt i konvensjonsarbeidet i Europarådet og har også selv gjennomført harmoniseringstiltak. Kommisjonen fremla 19. april 2002 forslag om harmonisering av straffebestemmelser i et forslag til rådsrammebeslutning om angrep på informasjonssystemer. 1

Et internasjonalt konvensjonsforslag er også utarbeidet ved Stanford University, USA. 2

Europarådets konvensjon om IKT-kriminalitet 8. november 2001 vedlegges denne utredning. Konvensjonen, med den forklarende rapporten, er også publisert på Internett 3.

En tilleggsprotokoll til konvensjonen ble åpnet for undertegnelse 28. januar 2003. Protokollen gjelder kriminalisering av rasistiske og fremmedfiendtlige handlinger begått i et datasystem. Utvalget legger til grunn at en vurdering av tilleggsprotokollen om rasisme og fremmedhat ligger utenfor utvalgets mandat.

1.4 Begrepsbruk

I konvensjonen artikkel 1 er enkelte sentrale begreper definert. Disse definisjonene skal legges til grunn ved fastsettelsen av forpliktelsene i de øvrige bestemmelsene i konvensjonen.

Datasystem

I artikkel 1 bokstav a er «computer system» definert som:

«any device or group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data».

Konvensjonen bruker «computer system» for å betegne en innretning som består av maskinvare og/eller programvare, beregnet på eller brukt til automatisk behandling av digitale data.

Konvensjonens bruk av begrepet «any device» tyder på at konvensjonen tar høyde for de siste årenes tekniske utvikling som har resultert i en konvergens mellom det vi tradisjonelt kjenner som områdene for tele, IT og media. I henhold til konvensjonen antas det ikke å være avgjørende hvilken type innretning som behandler dataene. Utvalget legger derfor til grunn at begrepet «computer system» er ment å være teknologinøytralt. Dette medfører at det ikke er avgjørende for resultatet om innretningen er (en del av) et tradisjonelt datasystem eller en annen innretning som har tilsvarende funksjoner. Innretningen kan være frittstående eller knyttet sammen i nettverk. Det elektroniske kommunikasjonsnettet som binder innretningene sammen kan være jordbasert eller radiobasert. Teknologivalget vil ikke være avgjørende for hvorvidt innretningen er å betrakte som et «computer system».

En slik forståelse er i tilfelle i tråd med forståelsen nasjonalt innenfor området for elektronisk kommunikasjon slik den fremstilles i Ot.prp. nr. 58 (2002-2003) Om lov om elektronisk kommunikasjon. Utvalget finner det hensiktsmessig å legge til grunn en teknologinøytral forståelse av begrepet «computer system» og bruker i det følgende det norske begrepet «datasystem».

Data

«Computer data» er definert i artikkel 1 bokstav b som:

«any representation of facts, information or concepts in a form suitable for processing in a computer system, including a program suitable to cause a computer system to perform a function».

Konvensjonens definisjon av «computer data» bygger på ISO-definisjonen av data. Konvensjonen bruker begrepet «computer data» for å klargjøre at alle data som behandles elektronisk eller i annen direkte prosesserbar form er omfattet.

ISO-definisjonen av data ligger også til grunn for den norske forståelsen av begrepet «data». Data i denne sammenhengen forstås vanligvis som en elektronisk representasjon av informasjon.

Utvalget legger i det følgende en vid forståelse av begrepet data til grunn, der det avgjørende er om informasjonen er egnet til elektronisk behandling. Teknologivalget innenfor området elektronisk kommunikasjon vil dermed ikke være avgjørende for om noe faller inn under betegnelsen «data».

Tjenestetilbyder

Begrepet «service provider» er definert i artikkel 11 bokstav c som:

  1. any public or private entity that provides to users of its service the ability to communicate by means of a computer system, and

  2. any other entity that processes or stores computer data on behalf of such communication service or user of such service».

Konvensjonen legger til grunn at begrepet «service provider» omfatter både private og offentlige tjenestetilbydere, uavhengig av om tilbudet retter seg mot allmennheten eller mot en lukket brukergruppe. I henhold til konvensjonens bruk av begrepet «tjenestetilbyder» er det heller ikke avgjørende om tilbyderens tjeneste er gratis eller ytes mot vederlag. Begrepet «tjenestetilbyder» inkluderer tilknyttede enheter og andre som lagrer eller på annen måte behandler data på vegne av tjenestetilbyder. Rene innholdsleverandører omfattes ikke av begrepet, forutsatt at leverandøren ikke også tilbyr elektroniske kommunikasjonstjenester eller andre relevante tjenester.

Begrepsbruken i konvensjonen skiller seg dermed fra bruken av begrepet «tilbyder» i lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven). Tilbyder defineres i ekomloven § 1-5 nr. 14 som «enhver fysisk eller juridisk person som tilbyr andre tilgang til elektronisk kommunikasjonsnett eller -tjeneste». Felles for tilbyderne etter denne loven er at de alle i en eller annen form tilbyr slik tilgang til eksterne fysiske eller juridiske personer. Dersom en virksomhet utelukkende leverer slik tilgang innad i egen virksomhet, er som hovedregel ikke virksomheten å anse som en tilbyder i lovens forstand.

Konvensjonen skiller seg også fra en lignende definisjon i Ot.prp. nr. 31 (2002-2003) om lov om visse sider av elektronisk handel og andre informasjonssamfunnstjenester (ehandelsloven). Her defineres begrepet «tjenesteyter» som en fysisk eller juridisk person som tilbyr informasjonssamfunnstjenester. En informasjonssamfunnstjeneste er i henhold til Ot.prp. nr. 31 (2002-2003) enhver tjeneste som vanligvis ytes mot vederlag og som formidles elektronisk, over avstand og etter individuell anmodning fra en tjenestemottaker, samt enhver tjeneste som består i å gi tilgang til, eller overføre informasjon over, et elektronisk kommunikasjonsnett, eller i å være nettvert for data som leveres av tjenestemottakeren. Taletelefoni og telefaks- og telekstjenester faller utenfor loven. Forståelsen av begrepet «tjenesteyter» kommenteres ikke nærmere i merknadene til lovforslaget. Vederlagskravet står imidlertid tilsynelatende nokså sterkt i denne definisjonen.

Utvalget finner at begrepet tjenestetilbyder i konvensjonen ikke fullt ut er identisk med begrepet «tilbyder» i Ot.prp. nr. 58 (2002-2003). Det er i tillegg usikkert om begrepet tjenesteyter dekker begrepet tjenestetilbyder i konvensjonen.

Utvalget legger i det følgende en forståelse av begrepet tjenestetilbyder til grunn som omfatter alle private og offentlige tjenestetilbydere, uavhengig av om tilbudet er rettet mot allmennheten eller mot lukkede brukergrupper, og uavhengig av om det ytes vederlag for tjenesten.

Trafikkdata

I artikkel 1 bokstav d er begrepet «traffic data» definert som:

«any computer data relating to a communication by means of a computer system, generated by a computer system that formed a part in the chain of communication, indicating the communication’s origin, destination, route, time, date, size, duration, or type of underlying service».

Trafikkdata er en kategori av data hvor det er spesielle lovreguleringsbehov. I konvensjonens forstand er trafikkdata en kategori av data som oppstår i kommunikasjonskjeden for å kunne rute kommunikasjonen fra kommunikasjonens start til slutt. Trafikkdata er definert i merknadene til Ot.prp. nr. 58 (2002-2003) om lov om elektronisk kommunikasjon. I henhold til denne definisjonen er trafikkdata data som er nødvendig for overføring av kommunikasjon i et elektronisk kommunikasjonsnett eller for fakturering av slik overføring. Med trafikkdata menes for eksempel data som angir kommunikasjonens opphavssted, bestemmelsessted, rute, klokkeslett, dato, omfang, varighet og underliggende tjenester. Med behandling menes enhver bruk av trafikkdata, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.

Utvalget legger til grunn at konvensjonens definisjon av trafikkdata i hovedsak er i samsvar med den norske definisjonen i merknadene til ekomloven, jf. Ot.prp. nr. 58 (2002-2003). Det er derfor neppe behov for eller hensiktsmessig å fravike definisjonen av trafikkdata slik den brukes i konvensjonen.

Generelt

Den øvrig begrepsbruken i innstillingen er i overensstemmelse med språkbruken ellers i lovgivningen. I denne begrepsbruken er det ikke tatt høyde for den tekniske utviklingen som har ført til sammensmelting av tele, IT og media (konvergens). Utvalget vil komme tilbake med eventuelle forslag til oppdatering av begrepsbruken i straffelovgivningen, blant annet på bakgrunn av den tekniske utviklingen, i delutredning II.

Fotnoter

1.

Se http://europa.eu.int/information_society/topics/telecoms/internet/crime/index_en.htm.

2.

Se http://cisac.stanford.edu.

3.

Se http://conventions.coe.int.

Til forsiden