3 Prosessuelle bestemmelser
3.1 Prinsipper for gjennomføringen
Artikkel 14 og 15 i konvensjonen gir bestemmelser av generell karakter som gjelder gjennomføringen av de øvrige prosessuelle bestemmelsene i artikkel 16 til 21.
Artikkel 14 angir rekkevidden av de prosessuelle bestemmelsene og lyder:
Each Party shall adopt such legislative and other measures as may be necessary to establish the powers and procedures provided for in this section for the purpose of specific criminal investigations or proceedings.
Except as specifically provided otherwise in Article 21, each Party shall apply the powers and procedures referred to in paragraph 1 of this article to:
the criminal offences established in accordance with Articles 2 through 11 of this Convention;
other criminal offences committed by means of a computer system; and
the collection of evidence in electronic form of a criminal offence.
Each Party may reserve the right to apply the measures referred to in Article 20 only to offences or categories of offences specified in the reservation, provided that the range of such offences or categories of offences is not more restricted than the range of offences to which it applies the measures referred to in Article 21. Each Party shall consider restricting such a reservation to enable the broadest application of the measure referred to in Article 20.
Where a Party, due to limitations in its legislation in force at the time of the adoption of the present Convention, is not able to apply the measures referred to in Articles 20 and 21 to communications being transmitted within a computer system of a service provider, which system:
is being operated for the benefit of a closed group of users, and
does not employ public communications networks and is not connected with another computer system, whether public or private,
that Party may reserve the right not to apply these measures to such communications. Each Party shall consider restricting such a reservation to enable the broadest application of the measures referred to in Articles 20 and 21.»
Artikkel 14 nr. 1 forplikter statene til å treffe nødvendige tiltak, rettslige eller andre, for å sikre at konvensjonens prosessuelle bestemmelser blir gjennomført ved etterforskning og forberedelse av straffesaker.
Etter artikkel 14 nr. 2 skal de straffeprosessuelle bestemmelsene få anvendelse i tre relasjoner. For det første skal bestemmelsene gis anvendelse på overtredelser av straffebud som gjennomfører forpliktelsene i artikkel 2 til 11, jf. artikkel 14 nr. 2 bokstav a. For det andre skal bestemmelsene gis anvendelse på straffbare handlinger som blir begått ved hjelp av et datasystem, jf. artikkel 14 nr. 2 bokstav b. For det tredje skal bestemmelsene gis anvendelse på sikring av elektroniske bevis i tilknytning til enhver straffbar handling, jf. artikkel 14 nr. 2 bokstav c.
Fra dette utgangspunktet er det gjort to unntak. Det første unntaket følger av artikkel 14 nr. 2, jf. artikkel 21, og gjelder avlytting av innholdsdata. Artikkel 21 fastslår at statene bare er forpliktet til å gi regler om avlytting av innholdsdata dersom det er tale om alvorlige straffbare handlinger («serious offences»). De straffbare handlingene som kan gi grunnlag for avlytting av innholdsdata skal være eksplisitt nevnt i loven. Statene står imidlertid fritt til å avgjøre hva som skal regnes som alvorlige straffbare handlinger. Begrunnelsen skyldes at mange stater, som følge av personvernhensyn, oppstiller begrensninger i adgangen til å utøve kommunikasjonskontroll.
Det andre unntaket følger av artikkel 14 nr. 3 bokstav a og berører innhenting av trafikkdata i sanntid, jf. artikkel 20. Statene er gitt adgang til å begrense muligheten for innhenting av trafikkdata i sanntid til bare å gjelde særskilt angitte overtredelser, jf. artikkel 42. Bestemmelsen åpner imidlertid bare for reservasjoner som er snevrere enn eventuelle begrensninger i adgangen til å avlytte innholdsdata. Statene oppfordres til å begrense eventuelle reservasjoner for å sikre et videst mulig anvendelsesområde for artikkel 20.
Videre kan de statene som på grunn av sin lovgivning på tiltredelsestidspunktet ikke har anledning til å benytte tvangsmidlene som er beskrevet i artikkel 20 og 21 på lukkede brukergrupper («closed group of users»), reservere seg, jf. artikkel 14 nr. 3 bokstav b. Statene er oppfordret til å begrense bruken av reservasjonsadgangen.
Artikkel 15 fastsetter prinsipper for gjennomføringen av de prosessuelle bestemmelsene og lyder:
Each Party shall ensure that the establishment, implementation and application of the powers and procedures provided for in this Section are subject to conditions and safeguards provided for under its domestic law, which shall provide for the adequate protection of human rights and liberties, including rights arising pursuant to obligations it has undertaken under the 1950 Council of Europe Convention for the Protection of Human Rights and Fundamental Freedoms, the 1966 United Nations International Covenant on Civil and Political Rights, and other applicable international human rights instruments, and which shall incorporate the principle of proportionality.
Such conditions and safeguards shall, as appropriate in view of the nature of the procedure or power concerned, inter alia, include judicial or other independent supervision, grounds justifying application, and limitation of the scope and the duration of such power or procedure.
To the extent that it is consistent with the public interest, in particular the sound administration of justice, each Party shall consider the impact of the powers and procedures in this section upon the rights, responsibilities and legitimate interests of third parties.»
Artikkel 15 nr. 1 forplikter statene til å sørge for at tiltakene som iverksettes for å gjennomføre artikkel 14 til 21, er underlagt nasjonale rettssikkerhetsprinsipper («conditions and safeguards»). Statene skal respektere internasjonale menneskerettsinstrumenter som de er bundet av, som for eksempel Den europeiske menneskerettskonvensjonen (EMK) med tilleggsprotokoller og FN-konvensjonen om sosiale og politiske rettigheter (SP). Statene er videre forpliktet til å gjennomføre forholdsmessighetsprinsippet, jf. artikkel 15 nr. 1.
I henhold til artikkel 15 nr. 2 skal rettssikkerhetsgarantiene blant annet inkludere rettslig eller annen form for uavhengig kontroll. Videre skal bruken av de prosessuelle virkemidlene være betinget av at nærmere bestemte vilkår er oppfylt. Dernest skal det fastsettes rammer for omfang og varighet. Det er opp til statene selv å avgjøre i hvilken utstrekning de ulike virkemidlene skal være underlagt restriksjoner som nevnt, under hensyn til internasjonale forpliktelser og nasjonale prinsipper. Inngripende prosessuelle virkemidler stiller generelt sett større krav til forholdsmessighet enn virkemidler av mindre inngripende karakter. Den forklarende rapporten punkt 147 fremhever reglene om avlytting av innholdsdata, jf. artikkel 21, som et inngripende virkemiddel. Sikringspålegg, jf. artikkel 16 og 17, er derimot et mindre inngripende virkemiddel.
Statene er forpliktet til å vurdere belastningen ved bruk av prosessuelle virkemidler for tredjemenn, inkludert tjenestetilbydere. Videre skal statene vurdere å iverksette mulige tiltak for å avhjelpe eventuelle negative virkninger ved bruk av de prosessuelle virkemidlene for tredjemenn.
3.2 Sikring av lagrede data – artikkel 16 og 17
3.2.1 Folkerettslige forpliktelser
3.2.1.1 Hurtig sikring av lagrede data – artikkel 16
Artikkel 16 omhandler hurtig sikring av lagrede data og lyder:
Each Party shall adopt such legislative and other measures as may be necessary to enable its competent authorities to order or similarly obtain the expeditious preservation of specified computer data, including traffic data, that has been stored by means of a computer system, in particular where there are grounds to believe that the computer data is particularly vulnerable to loss or modification.
Where a Party gives effect to paragraph 1 above by means of an order to a person to preserve specified stored computer data in the person’s possession or control, the Party shall adopt such legislative and other measures as may be necessary to oblige that person to preserve and maintain the integrity of that computer data for a period of time as long as necessary, up to a maximum of ninety days, to enable the competent authorities to seek its disclosure. A Party may provide for such an order to be subsequently renewed.
Each Party shall adopt such legislative and other measures as may be necessary to oblige the custodian or other person who is to preserve the computer data to keep confidential the undertaking of such procedures for the period of time provided for by its domestic law.
The powers and procedures referred to in this article shall be subject to Articles 14 and 15.»
Formålet med bestemmelsen er å forplikte statene til å gi kompetent myndighet adgang til å sikre lagrede data som deretter kan benyttes som bevis i en straffesak. Data som er lagret i et datasystem, må anses som ustabile og skjøre. Viktig bevismateriale vil derfor lett kunne gå tapt.
Et pålegg om sikring (sikringspålegg) er mindre inngripende for den berørte enn alminnelig ransaking og beslag. Politiet får ikke innsyn i dataene og den pålegget retter seg mot beholder rådigheten. Bruk av sikringspålegg vil være et raskere virkemiddel når den som besitter dataene, er en man kan ha tiltro til, for eksempel en tjenestetilbyder.
Statenes plikt til å gi regler om sikring av lagrede data, jf. artikkel 16 og 17, omfatter bare data som allerede er lagret hos besitteren, jf. den forklarende rapporten punkt 153. Statene er heller ikke forpliktet til å pålegge virksomheter å installere tekniske løsninger som muliggjør sikring av data.
Bestemmelsen retter seg utelukkende mot elektronisk lagrede data. Data som er under overføring, uavhengig av om det er tale om innholds- eller trafikkdata, faller utenfor. Regler om innhenting av slike data er gitt i artikkel 20 og 21.
Det følger av artikkel 16 nr. 1 at bestemmelsen også omfatter trafikkdata. Ytterligere regler for trafikkdata er imidlertid gitt i artikkel 17.
Sikring («preservation») innebærer en plikt til å sikre integriteten av dataene. Statene står imidlertid fritt til å velge hvordan dataene skal sikres. Dataene kan «fryses» slik at legitime brukere ikke får tilgang til dem eller det kan tas en sikringskopi av dataene. Legitime brukere kan gis tilgang til dataene eller kopier av dem. Utformingen av sikringspålegget er avgjørende for graden av tilgang.
Begrepet «order or similarly obtain», jf. artikkel 16 nr. 1, innebærer at statene, i stedet for å benytte et rettslig eller administrativt sikringspålegg, kan benytte andre prosessuelle virkemidler som gir samme resultat. Formuleringen retter seg i første rekke mot stater som av ulike grunner ikke har, eller ikke ønsker å ha, prosessuelle regler som muliggjør bruk av sikringspålegg. Disse statene gis derfor muligheten til å benytte eksisterende prinsipper for ransaking, beslag og utleveringspålegg. Likevel henstilles statene til å vurdere å gi regler om sikringspålegg fordi det normalt vil muliggjøre en raskere gjennomføring av de nødvendige sikringsforanstaltningene.
Et sikringspålegg kan gjelde alle typer lagrede data, herunder data som omhandler forretningsforhold eller sensitive personopplysninger, jf. den forklarende rapporten punkt 161.
Et sikringspålegg skal både kunne omfatte data som er i en persons besittelse og som er underlagt vedkommendes kontroll, jf. artikkel 16 nr. 2. Kontrollalternativet er praktisk hvis dataene ikke er i en persons besittelse, men lagret et annet sted hvor de like fullt er underlagt vedkommendes kontroll, jf. den forklarende rapporten punkt 162.
Sikringspålegget må være spesifisert. Det innebærer at kompetent myndighet ikke kan sikre lagrede data ved å utferdige et blanco-pålegg som gjelder alle data i innehaverens besittelse.
Statene står fritt til å vurdere hvilken myndighet som skal gis kompetanse til å utferdige sikringspålegg, jf. den forklarende rapporten punkt 138.
Et sikringspålegg gir ikke kompetent myndighet innsyn i de lagrede dataene. Spørsmålet om hvorvidt innsyn skal gis, reguleres av nasjonale regler om ransaking, beslag og utleveringspålegg, jf. den forklarende rapporten punkt 163.
Et sikringspålegg skal ikke gjelde for et lengre tidsrom enn nødvendig. Det avgjørende vil være hvor lang tid kompetent myndighet behøver for å skaffe tillatelse til eventuell ransaking, beslag og utleveringspålegg. Sikringspålegg kan ikke gjelde for mer enn 90 dager av gangen, jf. artikkel 16 nr. 2. Det skal oppgis i sikringspålegget hvilket tidsrom det gjelder. Statene er gitt adgang til å åpne for at sikringspålegg kan fornyes ved utløpet av maksimumsperioden. Fornyelse av sikringspålegget vil være underlagt begrensningene som følger av forholdsmessighetsprinsippet, jf. artikkel 15 nr. 1.
Besluttes sikringspålegg etter anmodning fra fremmed stat, følger det av artikkel 29 nr. 7 at varigheten av et slikt pålegg skal være minst 60 dager. Minimumstidsrommet er satt for å gi den andre staten tid og anledning til å iverksette nødvendige prosedyrer for å skaffe seg tilgang til materialet. Slike prosedyrer kan eksempelvis være begjæring om bistand til ransaking, beslag og utleveringspålegg, jf. den forklarende rapporten punkt 162.
Etter artikkel 16 nr. 3 er statene forpliktet til å fastsette bestemmelser som sikrer at iverksettelsen av et sikringspålegg holdes konfidensielt. Taushetsplikten påhviler den som kontrollerer de lagrede dataene og den som iverksetter sikringen. Plikten til å bevare taushet om sikringspålegget skal være tidsbegrenset, og tidsbegrensningen må fremgå av loven. Taushetsplikten er for det første ment å ivareta hensynet til etterforskningen. Det kan være av avgjørende betydning at mistenkte ikke får kjennskap til at etterforskning pågår før de nødvendige bevisene er sikret. For det andre ivaretar taushetsplikten personvernhensyn. Data som blir sikret kan vise seg å inneholde sensitive opplysninger av ulik karakter som de berørte har krav på fortrolighet om.
3.2.1.2 Hurtig sikring og delvis avdekking av lagrede trafikkdata – artikkel 17
Artikkel 17 omhandler hurtig sikring og delvis avdekking av lagrede trafikkdata og lyder:
Each Party shall adopt, in respect of traffic data that is to be preserved under Article 16, such legislative and other measures as may be necessary to:
ensure that such expeditious preservation of traffic data is available regardless of whether one or more service providers were involved in the transmission of that communication; and
ensure the expeditious disclosure to the Party’s competent authority, or a person designated by that authority, of a sufficient amount of traffic data to enable the Party to identify the service providers and the path through which the communication was transmitted.
The powers and procedures referred to in this article shall be subject to Articles 14 and 15.»
Artikkel 17 fastsetter ytterligere regler om sikringspålegg som gjelder trafikkdata. Årsaken er de spesielle trekkene ved trafikkdata som skiller disse fra andre lagrede data. Begrepet «trafikkdata» er definert i artikkel 1 bokstav d, se punkt 1.4.
Tilgang til trafikkdata er et viktig, og i mange tilfeller helt avgjørende, redskap for å avdekke kilden til eller målet for datakriminalitet. I motsetning til innholdsdata er trafikkdata ofte lagret i et begrenset tidsrom. Årsaken kan være pålagte begrensninger i nasjonal personvernlovgivning eller alminnelig forretningspraksis. Fordi lagringstiden ofte er kort, er det viktig å ha effektive sikringsforanstaltninger som er egnet til å sikre disse dataenes integritet, jf. den forklarende rapporten punkt 166.
Artikkel 17 nr. 1 bokstav a forplikter statene til, i tilfeller hvor flere tjenestetilbydere har vært involvert i en kommunikasjonsoverføring, å ha bestemmelser som muliggjør sikring av alle relevante trafikkdata. Hver enkelt av de involverte tjenestetilbydere kan besitte trafikkdata relatert til den enkelte overføring. Det er heller ikke uvanlig at trafikkdata tilknyttet en bestemt overføring blir delt mellom ulike tjenestetilbydere på grunn av sikkerhets-, forretnings- eller tekniske hensyn. For å være i stand til å spore opprinnelsen eller destinasjonen til en bestemt overføring, er man derfor ofte avhengig av å få tilgang til trafikkdata hos samtlige involverte tjenestetilbydere.
Det er opp til statene å finne en hensiktsmessig fremgangsmåte for sikringspålegg når trafikkdata er lokalisert hos flere tjenestetilbydere. Den forklarende rapporten punkt 168 angir ulike måter dette kan løses på. En mulighet kan være å pålegge kompetent myndighet å utferdige separate sikringspålegg for hver enkelt tjenestetilbyder. En annen, og foretrukket metode, er å utferdige ett enkelt sikringspålegg som gjelder alle tjenestetilbydere som det viser seg at har hatt befatning med den aktuelle overføringen. Alternativt kan tjenestetilbydere som er gitt sikringspålegg, pålegges å underrette andre tjenestetilbydere som overføringen kan spores tilbake til.
Et sikringspålegg innebærer som nevnt ikke at utferdigende myndighet får tilgang til de lagrede dataene. Kompetent myndighet vil på tidspunktet for utferdigelsen av et sikringspålegg som gjelder trafikkdata, mangle oversikt over eventuelle andre tjenestetilbydere som har vært involvert i overføringen. Siden trafikkdata ofte blir lagret i korte tidsrom, kan det føre til at viktige data går tapt. Artikkel 17 bokstav b åpner derfor for at kompetent myndighet umiddelbart skal gis tilgang til trafikkdata i den grad det er nødvendig for å avklare hvorvidt andre tjenestetilbydere har vært involvert. Den kompetente myndighet bør spesifisere hvilke trafikkdata man ønsker tilgang til.
3.2.2 Gjeldende rett
I norsk rett finnes det ingen direkte parallell til artikkel 16 og 17 nr. 1 bokstav a. Riktignok kan påtalemyndigheten etter straffeprosessloven § 216 treffe visse tiltak for å sikre bevis, men denne bestemmelsen er ikke alene tilstrekkelig til å oppfylle konvensjonens forpliktelser. Siden det uansett bør gis en ny lovbestemmelse om sikringspålegg, jf. punkt 3.2.3.1, går utvalget ikke nærmere inn på rekkevidden av straffeprosessloven § 216.
Når det derimot gjelder artikkel 17 nr. 1 bokstav b om utlevering av trafikkdata, antar utvalget at konvensjonsforpliktelsen oppfylles av straffeprosessloven § 210 om utleveringspålegg. Etter denne bestemmelsen kan retten, og i hastetilfeller også påtalemyndigheten, kreve å få utlevert «[t]ing som antas å ha betydning som bevis». Det er sikker rett at utleveringsplikten også omfatter elektronisk lagrede opplysninger, herunder trafikkdata, jf. Rt. 1992 s. 904.
Utleveringspålegg kan bare gis personer som har vitneplikt, jf. straffeprosessloven § 210. I henhold til § 118 kan retten ikke ta imot forklaring som et vitne ikke kan gi uten å krenke lovbestemt taushetsplikt. Ekomloven § 2-9 første ledd fastsetter taushetsplikt for «innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon, herunder opplysninger om tekniske innretninger og fremgangsmåter», og omfatter dermed både trafikkdata og andre former for data. Taushetsplikten er likevel ikke til hinder for at det gis opplysninger til påtalemyndigheten eller politiet om avtalebasert hemmelig telefonnummer eller andre abonnementsopplysninger, samt elektronisk kommunikasjonsadresse, jf. § 2-9 tredje ledd.
Bevisforbudet etter straffeprosessloven § 118 gjelder imidlertid ikke ubetinget. Etter bestemmelsens første ledd første punktum kan departementet samtykke i at vitnet gis anledning til å forklare seg uten hinder av taushetsplikten. Samtykke kan bare nektes dersom forklaringen vil kunne utsette staten eller allmenne interesser for skade eller virke urimelig overfor den som har krav på hemmelighold, jf. annet punktum. Samferdselsdepartementet har i vedtak 23. juni 1995 nr. 39 delegert samtykkekompetansen til Post- og teletilsynet. En tilbyder har dermed plikt til å utlevere elektronisk lagrede data etter § 210 i den utstrekning Post- og teletilsynet samtykker.
På visse vilkår kan retten bestemme at underretning om utleveringspålegg kan utsettes, jf. straffeprosessloven § 210a.
3.2.3 Utvalgets vurderinger
3.2.3.1 Behov for lovendringer?
Straffeprosessloven § 216 oppfyller som nevnt ikke fullt ut forpliktelsene i artikkel 16 og 17 nr. 1 bokstav a. Det er derfor uten videre klart at konvensjonens bestemmelser om midlertidig sikring av data gjør det nødvendig med lovendringer.
Derimot kan man spørre om det er nødvendig å endre straffeprosessloven § 210 for å oppfylle forpliktelsen i artikkel 17 nr. 1 bokstav b om utlevering av trafikkdata. Adgangen til å gi utleveringspålegg overfor tjenestetilbydere er betinget av at Post- og teletilsynet gir fritak fra taushetsplikten etter ekomloven § 2-9 første ledd, jf. punkt 3.2.2. Skal denne ordningen videreføres, vil tilsynet i tilfelle måtte gi fritak i alle de saker som faller innenfor artikkel 17 nr. 1 bokstav b. Etter utvalgets syn er det i utgangspunktet lite å vinne på en slik ordning. Utvalget foreslår derfor at det bør gis en egen bestemmelse om utlevering av trafikkdata som er sikret gjennom et sikringspålegg, jf. nedenfor. I spørsmålet om utformingen av en ny bestemmelse om sikringspålegg har utvalget delt seg i et flertall og et mindretall.
3.2.3.2 Nærmere om utformingen av bestemmelsen
Det første spørsmålet som oppstår ved utformingen av en bestemmelse om sikringspålegg, er hvilke former for databestemmelsen skal omfatte. Etter konvensjonen artikkel 16 nr. 1 skal et sikringspålegg kunne omfatte «specified computer data, including traffic data, that has been stored by means of a computer system». Uttrykket «computer data» favner vidt, og omfatter som tidligere nevnt alle former for data, herunder e-post og andre former for innholdsdata, jf. artikkel 1 bokstav b og punkt 1.4 ovenfor. Utvalget legger til grunn at den norske gjennomføringsbestemmelsen må gis en tilsvarende vid utforming.
Spørsmålet om hvilke vilkår et sikringspålegg bør gjøres betinget av, er overlatt til konvensjonsstatene å avgjøre, jf. artikkel 16 nr. 4. Det vil derfor neppe være i strid med konvensjonen å kreve at det må foreligge «skjellig grunn» til mistanke om nærmere angitte straffbare handlinger, slik straffeprosessloven krever for bruk av tvangsmidler. Et slikt krav vil i tilfelle innbære at «det må være mer sannsynlig at siktede har begått den straffbare handling saken gjelder enn at han ikke har det», jf. Rt. 1993 s. 1302. Utvalget har imidlertid kommet til at terskelen for bruk av sikringspålegg bør ligge noe lavere. Hensynet til en effektiv kriminalitetsbekjempelse taler for at politiet på et relativt tidlig stadium av etterforskningen bør kunne utferdige et sikringspålegg for å sikre bevis til bruk i straffesaken. Hensynet til den mistenktes personvern trekker isolert sett i motsatt retning, jf. neste avsnitt. Etter utvalgets oppfatning vil et sikringspålegg gjennomgående utgjøre et mindre inngrep overfor den mistenkte enn både beslag etter straffeprosessloven § 203 og utleveringspålegg etter staffeprosessloven § 210, siden politiet ikke vil få tilgang til de dataene pålegget gjelder. Etter utvalgets syn bør det derfor i utgangspunktet være tilstrekkelig at det foreligger en begrunnet mistanke om at det er begått en straffbar handling. Dette kravet vil være oppfylt dersom det foreligger visse objektive holdepunkter for at den mistenkte har begått den handlingen saken gjelder. En helt løs mistanke vil derimot ikke være tilstrekkelig.
Et særlig spørsmål er om adgangen til å utferdige sikringspålegg bør variere etter hvilke data pålegget retter seg mot. For den mistenkte vil nok sikring av privat e-post eller andre opplysninger av utpreget personlig karakter, lett fremstå som mer inngripende enn for eksempel sikring av visse former for trafikkdata. Selv om de dataene som lagres ikke skal tilflyte politiet, vil også selve lagringen utgjøre et visst inngrep i personvernet til den som rammes. Et sikringspålegg innebærer at det innhentes og lagres opplysninger om den sikringen retter seg mot, uten at vedkommende har gitt sitt samtykke til lagringen og uten at han er varslet om eller gjort kjent med pålegget. Når opplysningene først er sikret, vil de senere kunne beslaglegges i medhold av straffeprosessloven § 203 eller for øvrig brukes og misbrukes til forskjellige formål, uten at den opplysningene knytter seg til, vil kunne forhindre det. Faren for misbruk er formodentlig nokså beskjeden når sikringspålegget retter seg mot en av store, profesjonelle aktørene i markedet, men vil nok kunne være større når pålegget retter seg mot mindre seriøse tjenestetilbydere eller mot privatpersoner. Hvor stort personverninngrep det her er tale om, vil imidlertid variere etter hvilke opplysninger sikringen gjelder, hvem som har eller gis tilgang til opplysningene og hvor lenge opplysningene skal lagres. Ved vurderingen av om pålegg om sikring skal utferdiges, mener utvalgets flertall,alle medlemmene unntatt Sunde, at politiet blant annet skal ta i betraktning om tjenestetilbyderens rutiner er tilstrekkelig betryggende.
Utvalgets mindretall,Sunde, er uenig i at det skal stilles krav om at politiet skal vurdere kvaliteten på tilbydernes rutiner for sikring av data når sikringspålegg begjæres. Politiet har ikke innsyn i tilbydernes rutiner og kan ikke gjøre denne vurderingen. Spørsmålet om krav til rutiner og kontroll hører inn under Samferdselsdepartementets ansvarsområde og skal følges opp av Post- og teletilsynet, eventuelt også av Datatilsynet og Nasjonal Sikkerhetsmyndighet. Dersom det hefter betenkeligheter ved visse tilbyderes rutiner, er dette dermed noe som de nevnte instanser skal ta fatt i.
Utvalgets flertall har etter dette kommet til at det bør trekkes et skille mellom trafikkdata og andre former for data. Selv om også trafikkdata kan gi opplysninger om forhold av privat karakter, vil nok et sikringspålegg som retter seg mot ulike former for innholdsdata, normalt utgjøre et større inngrep i den mistenktes personvern. Især gjelder dette om pålegget retter seg mot innholdet av en e-post, vedlegg til en e-post eller andre private forsendelser. Sikring av e-post hos en tjenestetilbyder kan langt på vei sammenliknes med det å åpne og ta kopi av brev på et postkontor. I straffeprosessloven §§ 211 og 212 er det gitt særlige regler om beslag av postsendinger som besittes av en postoperatør, og bygger på det syn at posthemmeligheten fortjener et særlig vern, jf. også Den europeiske menneskerettskonvensjon artikkel 8 nr. 1 som er inkorporert i norsk rett ved lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven) § 2. Flertallet antar derfor at adgangen til å sikre innholdsdata bør være noe snevrere enn adgangen til å sikre trafikkdata. Etter flertallets syn bør derfor sikring av andre data enn trafikkdata bare kunne skje ved mistanke om en straffbar handling med en høyere strafferamme enn fengsel i 6 måneder. Flertallet foreslår å gjøre unntak fra strafferammekravet ved mistanke om overtredelse av straffeloven § 390 a. Strafferammen i § 390 a er bøter eller fengsel inntil 6 måneder. Kravet til høyere strafferamme enn fengsel i 6 måneder er derfor ikke oppfylt. Flertallet mener at det likevel bør være adgang til å utferdige sikringspålegg ved mistanke om overtredelse av denne bestemmelsen. Sikringspålegg vil etter flertallets oppfatning være praktisk fordi overtredelser av § 3 90 a ofte skjer ved hjelp av et datasystem, for eksempel ved bruk av e-post.
Etter artikkel 16 nr. 2 skal et sikringspålegg innebære en plikt til å «maintain the integrity of that computer data for a period of time». Konvensjonen angir ikke på hvilken måte sikringen skal skje, såfremt dataene beskyttes mot «anything that would cause its current quality or condition to change or deterioate» for å unngå utilsiktet «modification, deteriotation or deletion», jf. den forklarende rapporten punkt 159. Sikring kan skje ved at det tas kopi av de dataene saken gjelder, eller ved at dataene gjøres utilgjengelige for andre enn den pålegget retter seg mot. Hvilken form for sikring som er mest hensiktsmessig, vil bero på omstendighetene og den tekniske utviklingen. Hensynet til teknologinøytralitet taler for at heller ikke den norske gjennomføringsbestemmelsen angir noe bestemt om hvordan dataene skal sikres. Den pålegget retter seg mot vil dermed selv kunne velge hvordan sikringen skal gjennomføres innenfor de muligheter som finnes, såfremt dataenes integritet, tilgjengelighet og autensitet blir ivaretatt.
Utvalgets mindretaller uenig i det generelle vilkåret om 6 måneders strafferamme for bruk av sikringspålegg. Flertallets begrunnelse refererer seg til hensynet til posthemmeligheten. Vilkåret burde derfor vært begrenset til å gjelde sikringspålegg i e-post, og ikke gjelde data generelt. Reglene om sikringspålegg bør uansett ses i sammenheng med reglene om beslag og utleveringspålegg. En begrensning til e-post slik dette medlemmet foreslår, vil gi god sammenheng til beslagsregelen i straffeprosessloven § 211, som setter som vilkår for beslag i post (og e-post) at mistanken gjelder et straffbart forhold som etter loven kan medføre straff av fengsel i mer enn 6 måneder. For innholdsdata av annen art som for eksempel news-meldinger, web-sider, ulovlig pornografi, opphavsrettslig beskyttet materiale, word-filer osv., gjelder det en generell beslagsadgang, jf. straffeprosessloven § 203. Harmonihensyn tilsier at det ikke bør gjelde strengere vilkår for bruk av sikringspålegg enn for beslag, siden sikringspålegg er et mindre inngripende tiltak enn beslag. Dette medlemmet kan heller ikke se at det er foreligger reelle grunner som i seg selv skulle begrunne et slikt strafferammevilkår i regelen om sikringspålegg. Dette medlemmet foreslår derfor at ny § 215 a første ledd i straffeprosessloven bør lyde:
Påtalemyndigheten kan gi pålegg om sikring av elektronisk lagrede data som antas å ha betydning som bevis. Sikringspålegg i e-post kan likevel bare tas ved mistanke om en straffbar handling som etter loven kan medføre en høyere straff enn fengsel i 6 måneder eller som rammes av straffeloven § 390 a.
Videre har mindretallet en kommentarer av prinsipiell art. Dette medlemmet mener at flertallets vurderinger i for stor grad er knyttet opp til en forutsetning om at etterforskingen gjelder en bestemt mistenkt, mens reglene om sikringspålegg antakelig vil ha sin største betydning i saker med ukjent gjerningsperson, dvs. at man har holdepunkter for at en straffbar handling er begått, men man vet ikke av hvem. Dette er den typiske situasjon ved etterforsking av datainnbrudd, spredning og nedlasting av bilder av seksuelle overgrep mot barn via internett, sjikane og rasistiske ytringer ved bruk av elektroniske kommunikasjonstjenester, ulovlig distribusjon av opphavsrettslig beskyttet materiale mv. Flertallets merknader om underretning, spesifikasjon av mistanke og av data som skal kreves sikret, må leses med forbehold om at man ikke har tenkt på denne situasjonen.
Det neste spørsmålet som må avklares, er hvem som bør ha kompetanse til å beslutte sikring av lagrede data. Ved denne vurderingen er det naturlig å legge vekt på hvor inngripende tiltaket virker overfor den som rammes. Et sikringspålegg vil som nevnt være mindre inngripende enn både beslag etter § 203, utleveringspålegg etter § 210 og kommunikasjonskontroll etter §§ 216 a og 216 b, siden pålegget ikke innebærer noen løpende innhenting av opplysninger fremover i tid, og siden politiet ikke vil få tilgang til de dataene som omfattes av pålegget. Det er derfor neppe grunn til å kreve at beslutningen skal treffes av en domstol. Derimot vil det å legge kompetansen på politinivå være å gå for langt i motsatt retning, selv i hastetilfellene. Et sikringspålegg kan etter omstendighetene utgjøre et vesentlig inngrep i personvernet til den som opplysningene gjelder, samtidig som selve sikringen kan være både arbeids- og kostnadskrevende. Beslutningskompetansen bør derfor legges til påtalemyndigheten.
Et spørsmål for seg er om den som opplysningene knytter seg til, forutsatt at dette er en bestemt person, skal gis underretningom beslutningen, og når slik underretning i tilfelle skal gis. Dette spørsmålet har for øvrig nær tilknytning til spørsmålet om vedkommende bør kunne anvende rettsmidler mot sikringspålegget.
Ved bruk av tvangsmidler overfor en siktet i en straffesak er hovedregelen etter straffeprosessloven at vedkommende har krav på underretning før det aktuelle tiltaket settes i verk. Ved ransaking fremgår dette av straffeprosessloven § 200 første ledd, som også får anvendelse ved beslag, jf. straffeprosessloven § 205 første ledd siste punktum. Reglene om utleveringspålegg etter straffeprosessloven § 210 inneholder ikke noen tilsvarende henvisning, men et slikt pålegg vil naturlig nok ikke kunne gjennomføres uten at den det retter seg mot, blir gjort kjent med innholdet. Bakgrunnen for at den siktede har krav på underretning, er først og fremst hensynet til kontradiksjon. I vårt rettssystem regnes det som en sentral rettssikkerhetsgaranti at den siktede skal gjøres kjent med de anklager som rettes mot ham, og gis anledning til å ta til gjenmæle mot dem. For å sikre at påtalemyndigheten ikke anvender tvangsmidler i større utstrekning enn det loven åpner for, er det behov for regler om underretning, og for at underretning gis før det aktuelle tvangsmidlet iverksettes.
I enkelte tilfeller må imidlertid hensynet til den enkelte vike for hensynet til samfunnets kollektive interesse i å bekjempe kriminalitet. Etter straffeprosessloven §§ 200a om ransaking, 202e om båndlegging, 208a om beslag og 210a om utleveringspålegg kan retten ved kjennelse beslutte at underretning kan utsettes i inntil 8 uker om gangen, dersom det er strengt nødvendig av hensyn til etterforskningen. Gjelder det ransaking, er det et tilleggsvilkår at saken gjelder en handling eller forsøk på en handling som etter loven kan medføre straff av fengsel i 10 år eller mer, eller en av de andre alvorlige forbrytelsene loven nevner særskilt. Underretning kan bare unnlates helt i saker om overtredelse av straffeloven kapittel 8 og 9.
Etter utvalgets syn bør den som rammes av det opplysningene knytter seg til, underrettes om at det er utferdiget et sikringspålegg. Som tidligere nevnt, vil et sikringspålegg innebære at det innhentes og lagres opplysninger om den sikringen retter seg mot, uten at vedkommende har gitt sitt samtykke til lagringen. Mener den mistenkte at vilkårene for bruk av sikringspålegg ikke er oppfylt, taler rettssikkerhetshensyn for at han bør gis anledning til å ta til gjenmæle. De særlige hensyn som har begrunnet unntaket for saker om rikets sikkerhet, har ikke samme gjennomslagskraft når det gjelder mindre alvorlige former for kriminalitet.
Det er imidlertid ikke uten videre klart om underretning bør gis samtidig, slik utgangspunktet er ved beslag og ransaking mv., eller først på et senere tidspunkt, for eksempel når sikringsperioden utløper eller når straffesaken mot den mistenke er endelig avgjort. Hensynet til etterforskningen taler for at den mistenkte ikke bør ha krav på underretning allerede før sikringspålegget settes i verk. Den mistenkte bør heller ikke ha krav på underretning før eventuelle frister for utsatt underretning etter straffeprosessloven §§ 200a, 202e, 208a eller 210a har utløpt. I motsatt fall ville den mistenkte bli oppmerksom på at det pågår en etterforskning mot ham. Derimot kan det ikke være grunn til å vente helt til saken er endelig avgjort.
Etter utvalgets syn bør en mistenkt ha krav på underretning fra det tidspunkt han får status som siktet i saken, jf. straffeprosessloven § 82. Han vil dermed ha krav på underretning senest på det tidspunkt når påtalemyndigheten har erklært ham for siktet, når forfølging mot ham er innledet ved retten eller når det er besluttet eller foretatt pågripelse, ransaking, beslag eller lignende forholdsregler rettet mot ham. Er det besluttet utsatt underretning om et tvangsmiddel, inntrer stillingen som siktet først når underretning gis, jf. straffeprosessloven § 82 tredje ledd. I så fall skal den siktede samtidig gis underretning om sikringspålegget.
Det siste spørsmålet som må nevnes i denne forbindelse, er om en beslutning om bruk av sikringspålegg bør kunne gjøres til gjenstand for rettslig prøving. Etter utvalgets skjønn kan det ikke være tvilsomt at slike regler bør gis. For å sikre at påtalemyndigheten ikke anvender sikringspålegg i større utstrekning enn det loven åpner for, bør den opplysningene knytter seg til kunne be om en rettslig overprøving av påtalemyndighetens beslutning på samme måte som når det gjelder beslutninger om ransaking og beslag mv. Lovteknisk kan dette gjøres gjennom henvisning til straffeprosessloven § 208.
De dataene som er sikret gjennom et sikringspålegg, skal ikke tilflyte politiet. Slike data kan i utgangspunktet bare kreves utlevert innenfor rammen av straffeprosessloven § 210. Hensynet til etterforskningen taler imidlertid for at politiet straks bør få tilgang til de opplysninger som er nødvendige for å avdekke hvor de aktuelle dataene kom fra, og hvor de i tilfelle ble sendt til, jf. artikkel 17 nr. 1 bokstav b. En slik bestemmelse vil kunne bidra til å avdekke eventuelle bakmenn eller andre medvirkere. Utvalgets flertall har derfor fremmet forslag om en utvidet utleveringsplikt for slike opplysninger, jf. forslaget til ny § 215 a fjerde ledd.
Utvalgets mindretallmener at utleveringsplikten mht. trafikkdata, jf. utkastet til ny straffeprosessloven § 215 a siste ledd, bør skjerpes slik at tilbydere plikter å etterkomme utleveringspålegget «straks». Dette er i bedre samsvar med konvensjonens krav om «expeditious disclosure», jf. artikkel 17 nr. 1 bokstav b, og støtter også formålet med regelen, nemlig å tilrettelegge for det tempo i etterforskningen som er nødvendig for å spore opp gjerningspersoner via elektroniske data – før dataene forsvinner. Dette medlemmet mener derfor at siste ledd bør lyde:
Den pålegget retter seg mot, skal etter begjæring straks utlevere de trafikkdata som er nødvendige for å spore hvor dataene som omfattes av sikringspålegget kom fra og hvor de eventuelt ble sendt til.
3.3 Utleveringspålegg – artikkel 18
3.3.1 Folkerettslige forpliktelser
Artikkel 18 omhandler utleveringspålegg («production order») og lyder:
Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to order:
a person in its territory to submit specified computer data in that person’s possession or control, which is stored in a computer system or a computer-data storage medium; and
a service provider offering its services in the territory of the Party to submit subscriber information relating to such services in that service provider’s possession or control.
The powers and procedures referred to in this article shall be subject to Articles 14 and 15.
For the purpose of this article, the term «subscriber information» means any information contained in the form of computer data or any other form that is held by a service provider, relating to subscribers of its services other than traffic or content data and by which can be established:
the type of communication service used, the technical provisions taken thereto and the period of service;
the subscriber’s identity, postal or geographic address, telephone and other access number, billing and payment information, available on the basis of the service agreement or arrangement;
any other information on the site of the installation of communication equipment, available on the basis of the service agreement or arrangement.»
Bestemmelsen pålegger statene å gi kompetent myndighet adgang til å utstede pålegg om utlevering av lagrede data og abonnementsinformasjon. Gjennomgående vil bruk av utleveringspålegg være et mindre inngripende virkemiddel enn for eksempel ransaking og beslag. Alminnelige forholdsmessighetsbetraktninger tilsier derfor bruk av utleveringspålegg dersom det er egnet for formålet.
Etter artikkel 18 nr. 1 skal regler om utleveringspålegg omfatte både elektronisk lagrede data i en persons besittelse eller kontroll, jf. bokstav a, og abonnementsdata hos en tjenestetilbyder uten hensyn til om disse er lagret elektronisk eller på andre måter, jf. bokstav b. Bestemmelsene gjelder bare data som rent faktisk eksisterer på tidspunktet for utferdigelsen av utleveringspålegget, og bare for personer som befinner seg innenfor den enkelte stats territorium.
Artikkel 18 gjelder bare spesifiserte lagrede data som en person besitter eller kontrollerer. En person anses for å besitte lagrede data dersom de fysisk sett er i den berørte personens besittelse. Kontrollerte data omfatter lagrede data som er fritt tilgjengelige for den berørte personen, uten at dataene fysisk er lagret hos vedkommende. Et typisk eksempel er data som er lagret på et annet geografisk sted enn der den personen pålegget er rettet mot befinner seg. Så lenge tilgangen kan skje faktisk og rettslig, vil kontrollalternativet normalt være oppfylt. Imidlertid innebærer ikke nødvendigvis det at en person har rett å få tilgang til en annens datasystem at dataene er underlagt førstnevntes kontroll. Det er uten betydning om lagringsmediet befinner seg i inn- eller utland.
Etter artikkel 18 nr. 1 bokstav b skal en tjenestetilbyder som tilbyr sine tjenester innenfor den enkelte stats territorium, kunne pålegges å utlevere abonnementsopplysninger underlagt dennes besittelse eller kontroll. Bestemmelsen gjelder bare abonnementsopplysninger som er relatert til den innenlandske virksomheten, jf. «related to such services».
Det følger av den forklarende rapporten punkt 175 at statene kan gi regler om taushetsplikt for dem utleveringspålegget rettes mot. Særlig praktisk vil det være i tilfeller hvor utleveringspålegget benyttes tidlig i etterforskningsfasen og før eventuelle andre tvangsmidler benyttes.
Begrepet «abonnementsopplysninger» («subscriber information») som er benyttet i artikkel 18 nr. 1 bokstav b, er definert i artikkel 18 nr. 3. Det er uten betydning om disse opplysningene er lagret elektronisk eller ikke. Begrepet omfatter all informasjon en tjenestetilbyder har som er knyttet til bruken eller brukere av sine tjenester, unntatt innholds- og trafikkdata, jf. den forklarende rapporten punkt 177 til 180. Bestemmelsen oppstiller ingen plikt for tjenestetilbydere til å registrere og oppbevare abonnementsopplysninger, jf. den forklarende rapporten punkt 181.
3.3.2 Gjeldende rett
I henhold til straffeprosessloven § 210 kan retten, eventuelt påtalemyndigheten, pålegge besitteren å utlevere ting som antas å ha betydning som bevis såfremt han plikter å vitne i saken. Begrepet «ting» omfatter også opplysninger som lagres på data, herunder bankutskrifter, registerte samtaler hos telefonoperatører osv., jf. Rt. 1992 s. 904 hvor Høyesterett uttaler:
«Bestemmelsene i straffeprosesslovens kap 16 om beslag og utleveringspålegg av ting som antas å ha betydning som bevis er av generell karakter. Beslagsadgangen og utleveringsplikten omfatter ikke bare legemlige gjenstander, men også opplysninger lagret på data og som i tilfellet må gjøres tilgjengelig ved utskrifter, som for eksempel opplysninger om bankkonti. Begrensinger i lovens alminnelige adgang til beslag og krav om utlevering, ut over det som er fastsatt i straffeprosessloven, krever særskilt hjemmel».
Utleveringspålegg som virker fremover i tid reguleres av § 210b for så vidt gjelder ting, mens § 216b annet ledd bokstav c gjelder innhenting av fremtidige kommunikasjonsdata.
Formuleringen «antas å ha betydning som bevis» innebærer at en rimelig mulighet er tilstrekkelig, jf. Bjerke/Keiserud, Straffeprosessloven - Kommentarutgave, 3. utg. s. 725. Utleveringspålegget må spesifiseres slik at det er mulig for mottaker å vite hva han skal fremlegge, jf. Rt. 1997 s. 266 og Rt. 1999 s. 1944.
Det er bare personer med vitneplikt som har plikt til å etterkomme et utleveringspålegg. Hvis en person ikke har vitneplikt, må reglene om ransaking og beslag benyttes.
Bestemmelses annet ledd gir påtalemyndigheten adgang til å beslutte utleveringspålegg dersom det ved opphold er fare for at etterforskningen vil lide. Beslutningen skal i så fall snarest mulig oversendes retten til godkjennelse.
3.3.3 Utvalgets vurderinger
Det er ikke tvilsomt at begrepet «ting» også omfatter lagrede data. Derimot er det mulig at formuleringen «possesssion or control» i artikkel 18 nr. 1 rekker lengre enn begrepet «besittelse» i § 210.
Data som er lagret fysisk hos den pålegget rettes mot, er utvilsomt i vedkommendes besittelse i lovens forstand. Derimot kan det stilles spørsmål ved om det samme gjelder når dataene er lagret andre steder. Etter utvalgets oppfatning må det sondres mellom to ulike situasjoner. Den første situasjonen gjelder tilfeller hvor dataene befinner seg på et eksternt lagringsmedium uten noen form for nettverksforbindelse. I så fall er ikke dataene underlagt vedkommendes kontroll i konvensjonens forstand. Den andre situasjonen gjelder tilfeller hvor dataene befinner seg på et eksternt lagringsmedium med nettverksforbindelse. Etter utvalgets oppfatning må spørsmålet om det i slike tilfeller foreligger «besittelse» bero på råderetten til den pålegget retter seg mot, og ikke den fysiske plasseringen av lagringsmediet. Eierforholdet til lagringsmediet kan heller ikke være avgjørende. Man kan ikke omgå kravet til besittelse ved å lagre dataene hos en ekstern tjenestetilbyder, for eksempel på et såkalt Web-hotell. I slike tilfeller vil råderetten og tilgangen til dataene normalt være den samme som ved lagring på eget lagringsmedium. Utvalget er derfor av den oppfatning at formuleringen «possession or control» i forhold til lagrede data ikke rekker videre enn det som følger av begrepet «besittelse» i § 210.
Etter utvalgets oppfatning oppfyller straffeprosessloven § 210 forpliktelsene i artikkel 18. Det er derfor ikke behov for endringer i norsk rett.
3.4 Ransaking og beslag – artikkel 19
3.4.1 Folkerettslige forpliktelser
Artikkel 19 omhandler ransaking og beslag og lyder:
Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to search or similarly access:
a computer system or part of it and computer data stored therein; and
a computer-data storage medium in which computer data may be stored in its territory.
Each Party shall adopt such legislative and other measures as may be necessary to ensure that where its authorities search or similarly access a specific computer system or part of it, pursuant to paragraph 1.a, and have grounds to believe that the data sought is stored in another computer system or part of it in its territory, and such data is lawfully accessible from or available to the initial system, the authorities shall be able to expeditiously extend the search or similar accessing to the other system.
Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to seize or similarly secure computer data accessed according to paragraphs 1 or 2. These measures shall include the power to:
seize or similarly secure a computer system or part of it or a computer-data storage medium;
make and retain a copy of those computer data;
maintain the integrity of the relevant stored computer data;
render inaccessible or remove those computer data in the accessed computer system.
Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to order any person who has knowledge about the functioning of the computer system or measures applied to protect the computer data therein to provide, as is reasonable, the necessary information, to enable the undertaking of the measures referred to in paragraphs 1 and 2.
The powers and procedures referred to in this article shall be subject to Articles 14 and 15.»
Artikkel 19 nr. 1 og 2 gjelder ransaking, mens nr. 3 omhandler beslag. Formålet med bestemmelsen er å sørge for at nasjonale regler om ransaking og beslag blir tilpasset den teknologiske utviklingen. Gjeldende bestemmelser er i mange stater primært utarbeidet med fysiske objekter for øye. Ransaking med tanke på beslag av lagrede data forutsetter i slike tilfeller at man tar kontroll over selve lagringsmediet. Siktemålet med artikkel 19 er å sørge for at tilsvarende tvangsmidler kan benyttes overfor dataene i seg selv.
Etter artikkel 19 nr. 1 er statene forpliktet til å ha bestemmelser som gir kompetent myndighet adgang til å ransake både datasystemer og frittstående lagringsmedier, for eksempel CD-ROM og disketter.
Ettersom forpliktelsene i medhold av artikkel 19 bare gjelder lagrede data, oppstår det et spørsmål om uåpnet e-post som ligger mellomlagret hos en tjenestetilbyder, skal anses som lagrede data eller data under kommunikasjon. Spørsmålet har betydning for hvilke regelsett som kommer til anvendelse, idet tilgang til data under overføring reguleres av artikkel 20 og 21, og ikke av artikkel 19. Statene står imidlertid fritt til å velge den løsning som er best i samsvar med nasjonale prinsipper.
Artikkel 19 nr. 2 forplikter statene å ha bestemmelser som muliggjør umiddelbar utvidelse av ransakingen fra et datasystem eller en del av et datasystem til et datasystem eller en del av et datasystem som ikke er omfattet av ransakingsbeslutningen. Forpliktelsen omfatter tilfeller der det for det første er fyllestgjørende grunn til å anta at det andre systemet inneholder de ettersøkte dataene. Videre må datasystemene være tilknyttet hverandre. For det tredje må dataene i det eksternt plasserte systemet lovlig kunne innhentes fra det primære ransakingsobjektet. For det fjerde må det eksterne datasystemet befinne seg innen riket. Fremgangsmåten for en utvidet nettverksbasert ransaking er ikke gitt i konvensjonen, og er dermed opp til de enkelte statene selv å regulere.
I henhold til artikkel 19 nr. 3 er statene forpliktet til å ha bestemmelser som sikrer at data som er avdekket gjennom ransaking etter artikkel 19 nr. 1 og 2, kan beslaglegges. Siden lagrede data ikke kan eksistere uavhengig av et lagringsmedium, kan det tradisjonelle begrepet «beslag» virke noe upresist. Gjennomføringen av et beslag skjer indirekte ved at man tar med selve lagringsmediet, eller ved at dataene bli kopiert over på et eksternt lagringsmedium. Konvensjonen benytter derfor formuleringen «seize or similarily secure» som en fellesbetegnelse på mulige fremgangsmåter. Foruten beslag av selve lagringsmediet og kopiering av dataene, omfattes også tiltak som sikrer ivaretagelse av dataenes integritet og tiltak som muliggjør konfiskering eller utilgjengeliggjøring av dataene, jf. artikkel 19 nr. 3 bokstav a til d og den forklarende rapporten punkt 198 og 199.
Statene er etter artikkel 19 nr. 4 forpliktet til å sikre kompetent myndighet adgang til å pålegge systemadministrator eller andre å gi opplysninger som kan lette gjennomføringen av ransakingen. Opplysningsplikten rekker imidlertid ikke lenger enn det som er rimelig («reasonable»). Spørsmålet om hva som er rimelig, beror på en helhetsvurdering. Et relevant moment kan for eksempel være om datasystemet inneholder informasjon som faller inn under unntak fra vitneplikten i henhold til nasjonal rett, jf. den forklarende rapporten punkt 202.
Statene står fritt til å avgjøre om, og eventuelt i hvilken grad, den som blir utsatt for nettverksbasert ransaking og beslag, skal ha krav på underretning, jf. den forklarende rapporten punkt 204.
3.4.2 Gjeldende rett
Adgangen til ransaking fremgår av straffeprosessloven kapittel 15. Det skilles mellom husransaking og personransaking. Bare førstnevnte skal behandles her. Hovedregelen er gitt i straffeprosessloven § 192. Etter bestemmelsens første ledd kan det foretas ransaking av mistenktes bolig, rom eller oppbevaringssted dersom det foreligger skjellig grunn til mistanke om en handling som kan medføre frihetsstraff, og formålet med ransakingen er å søke etter bevis eller ting som kan beslaglegges. Videre er adgangen til å ransake hos tredjepersoner regulert i § 192 annet ledd. Det er ikke tvilsomt at ransakingsadgangen i § 192 omfatter datamaskiner og datalagringsmedier.
Kompetansen til å beslutte ransaking er i utgangspunktet tillagt retten, jf. § 197 første ledd. Påtalemyndigheten kan imidlertid selv beslutte ransaking dersom det er fare ved opphold, jf. § 197 annet ledd. Politiets begrensede adgang til å beslutte ransaking følger av § 198.
Adgangen til å ta beslag fremgår av straffeprosessloven kapittel 16. Hovedregelen fremkommer av § 203 hvor det heter at «ting som antas å ha betydning som bevis kan beslaglegges». I Rt. 1992 s. 904 berører Høyesteretts kjæremålsutvalg spørsmålet om hvorvidt data kan regnes som «ting» i straffeprosesslovens forstand:
«Beslagsadgangen og utleveringsplikten omfatter ikke bare legemlige gjenstander, men også opplysninger som lagres på data og som i tilfelle må gjøres tilgjengelig ved utskrifter, som f eks opplysninger om bankkonti.»
Når det gjelder vilkårene for beslag følger det av bestemmelsen at alle ting som «antas å ha betydning som bevis», kan beslaglegges. «Antas» innebærer at rimelig mulighet er nok, jf. Bjerke/Keiserud, Straffeprosessloven - Kommentarutgave,3. utgave s. 711.
Kompetansen til å beslutte beslag er lagt til påtalemyndigheten, jf. § 205 første punktum. Finner påtalemyndigheten at «særlige grunner foreligger», kan den bringe spørsmålet inn for retten. Politiets adgang til å ta beslag er regulert i § 206.
3.4.3 Utvalgets vurderinger
Som nevnt under punkt 3.3.2, er det ikke tvilsomt at straffeprosessloven kapittel 15 gir hjemmel til ransaking av datasystemer og datalagringsmedier. Vurderingstemaet for utvalget er dermed ikke hvorvidt man etter norsk rett har adgang til slik ransaking, men om dagens bestemmelser fullt ut dekker de folkerettslige forpliktelsene som følger av artikkel 19.
3.4.3.1 Ransaking
Konvensjonens bestemmelser om ransaking skaper stort sett ingen problemer i forhold til norsk rett. Et spørsmål som imidlertid må avklares, er om gjeldende rett tilfredsstiller konvensjonens krav om hurtig utvidelse av ransakingen til et datasystem eller en del av et datasystem som ikke er omfattet av ransakingsbeslutningen, jf. artikkel 19 nr. 2. Hvilke datasystemer som lovlig kan ransakes, beror i utgangspunktet på utformingen av den beslutningen som gir grunnlag for ransakingen. Spørsmålet om hurtig utvidelse av ransakingen fra ett datasystem til et annet, uavhengig av om den er ment å gjøres via nettet eller ikke, oppstår derfor først i de tilfellene hvor den opprinnelige ransakingsbeslutningen ikke rekker langt nok. Utvalget legger til grunn at konvensjonens krav om hurtig utvidelse («expeditiously extention») innebærer at tidsløpet som går fra behovet om utvidelse oppstår til ransakingen kan settes i verk, må være kort. Innhenting av en ny ransakingsbeslutning fra retten, jf. straffeprosessloven § 197 første ledd, vil etter utvalgets oppfatning lett kunne ta for lang tid. Utvalget legger imidlertid til grunn at påtalemyndighetens hastekompetanse i straffeprosessloven § 197 annet ledd vil dekke konvensjonens krav, også fordi beslutningen kan gis muntlig, jf. straffeprosessloven § 197 tredje ledd.
Ransaking av e-post som er mellomlagret hos en tjenestetilbyder i påvente av mottakerens nedlasting, er etter utvalgets oppfatning omfattet av reglene om ransaking hos tredjemann i § 192 annet ledd.
Det er etter utvalgets oppfatning ikke behov for lovendringer for å kunne ratifisere konvensjonens bestemmelser om ransaking i artikkel 18 nr. 1 og nr. 2.
3.4.3.2 Særlig om plikten til å gi opplysninger i forbindelse med ransaking
I henhold til artikkel 19 nr. 4 er statene forpliktet til å gi kompetent myndighet adgang til å pålegge en systemadministrator eller andre med kjennskap til et bestemt datasystem, å bistå under ransakingen ved å gi opplysninger. Det finnes ingen slik generell hjemmel i norsk rett. Straffeprosessloven § 216a fjerde ledd annet punktum gir riktignok politiet hjemmel til å pålegge en eier eller tilbyder av nett eller tjeneste å yte den bistanden som er nødvendig for gjennomføring av kommunikasjonsavlytting. Bestemmelsen er gitt tilsvarende anvendelse i forhold til innhenting av trafikkdata i sanntid, jf. straffeprosessloven § 216b tredje ledd. Bestemmelsens anvendelsesområde er imidlertid svært begrenset, og kan ikke tolkes slik at den gir politiet tilsvarende hjemmel i forbindelse med ransaking. Det er tale om inngrep i borgernes rettssfære som av hensyn til legalitetsprinsippet krever hjemmel i lov. Etter utvalgets oppfatning er det derfor påkrevd med lovendring.
Vernet mot selvinkriminering
Pålegg om å gi opplysninger i forbindelse med en ransaking kan tenkes å komme i konflikt med vernet mot selvinkriminering som Den europeiske menneskerettsdomstol (EMD) har innfortolket i EMK artikkel 6. Et tilsvarende forbud finnes i blant annet i SP artikkel 14 nr. 3 g.
Individet er vernet mot selvinkriminering i forbindelse med behandling av en straffsiktelse i rettsapparatet, det vil si et hvert forhold som anses for å være en straffsiktelse i henhold til EMK artikkel 6. Begrepet «straffsiktelse» i artikkel 6 er autonomt. Det er derfor ikke uten videre avgjørende om en person regnes som siktet etter nasjonal rett. I henhold til praksis fra EMD foreligger det i alle tilfeller en siktelse hvis vedkommende er siktet i henhold til nasjonal rett. Videre vurderer EMD om anklagens art eller arten og alvorligheten av den straffen som vil kunne idømmes, tilsier at det dreier seg om en straffsiktelse.
Et pålegg om å bidra med de opplysningene som er nødvendige for å gjennomføre ransaking av et datasystem, innebærer ikke en straffsiktelse i seg selv. Vedkommende vil ikke få stilling som siktet etter norsk rett, jf. straffeprosessloven § 82. En opplysningsplikt i forbindelse med ransaking har lite til felles med virkemidler som pågripelse, ransaking eller beslag.
Utvalget kjenner ikke til praksis fra EMD som gjelder pålegg om å gi opplysninger under en politietterforskning. Derimot mener utvalget at praksis fra EMD som gjelder kontrollstadiet i forvaltningssaker kan tjene som illustrasjon. Begge tilfellene gjelder en straffesanksjonert opplysningsplikt som pålegges en person som på det tidspunktet ikke er siktet i EMKs forstand. Videre er det i begge typene saker en mulighet for at den personen som pålegges opplysningsplikt, vil bli siktet senere i prosessen. Praksis som gjelder hvorvidt en person kan pålegges opplysningsplikt på kontrollstadiet i en forvaltningssak, kan derfor ha overføringsverdi.
EMD har i nyere praksis kommet til at vernet mot selvinkriminering på visse vilkår kan bli utløst allerede på kontrollstadiet, i forbindelse med ileggelse av bøter for overtredelse av en opplysningsplikt, jf. J. B.-saken. 1 I saken ble J. B. en rekke ganger pålagt å utlevere dokumenter til skattemyndighetene. Klageren ble ilagt fire bøter på grunn av overtredelse av påleggene, men var ikke siktet i henhold til nasjonal rett. EMD kom likevel til at det forelå en straffsiktelse, og at J. B.'s rett til frihet fra selvinkriminering var krenket. Man kan neppe trekke den slutning fra dommen at det gjelder et generelt forbud mot straffesanksjonert opplysningsplikt. Retten synes å legge vekt på at myndighetene tok sikte på en mulig sanksjonssak da de påla J. B. å utlevere dokumenter, og at informasjonen som ble krevd utlevert, ville være relevant for denne saken:
«The Court observes that, in the present case, the proceedings served the various purposes of establishing the taxes due by the applicant and, if the conditions therefor were met, of imposing on him a supplementary tax and a fine for tax evasion. Nevertheless, the proceedings were not expressly classified as constituting either supplementary-tax proceedings or tax-evasion proceedings.
The Court furthermore considers, and this was not in dispute between the parties, that from the beginning and throughout the proceedings the tax authorities could have imposed a fine on the applicant on account of the criminal offence of tax evasion. According to the settlement reached on 28 November 1996, the applicant did indeed incur such a fine amounting to CHF 21,625.95. The penalty was not, however, intended as pecuniary compensation; rather, it was essentially punitive and deterrent in nature. Moreover, the amount of the fine incurred was not inconsiderable. Finally, there can be no doubt that the fine was ‘penal’ in character (see the A.P., M.P. and T.P. v. Switzerland cited above).
In the Court's opinion, whatever other purposes served by the proceedings, by allowing the imposition of such a fine on the applicant, the proceedings amounted in the light of the Court's case-law to the determination of a criminal charge.
As a result, the Court finds that Article 6 is applicable under its criminal head.» 2
Dermed vil neppe en opplysningsplikt pålagt en person som politiet ikke har til hensikt å strafforfølge, utløse vernet mot selvinkrimiering. Det følger også av begrunnelsen for selvinkrimineringsvernet slik EMD formulerte det i for eksempel Saunders-saken:
«Their rationale lies, inter alia, in the protection of the accused against improper compulsion by the authorities thereby contributing to the avoidance of miscarriages of justice and to the fulfilment of the aims of Article 6 ... The right not to incriminate oneself, in particular, presupposes that the prosecution in a criminal case seek to prove their case against the accused without resort to evidence obtained through methods of coercion or oppression in defiance of the will of the accused.» 3
Vernet mot selvinkriminering vil komme inn i de tilfellene der den opplysningsplikten er rettet mot, regnes som straffsiktet av andre årsaker. Utvalget har utformet forslaget til bestemmelse om opplysningsplikt slik at plikten bare kan pålegges den som plikter å vitne i saken. I henhold til straffeprosessloven § 123 kan et vitne nekte å svare på spørsmål som vil kunne utsette vitnet eller nærstående for straff eller tap av borgerlig aktelse. En siktet vil derfor ikke kunne pålegges plikt til å hjelpe politiet med å fremskaffe opplysninger som kan brukes mot ham i en senere straffesak. Utvalget forutsetter at denne begrensningen i bestemmelsens anvendelsesområde vil hindre krenkelser av vernet mot selvinkriminering. Videre vil politiet uansett ikke kunne pålegge opplysningsplikt i strid med vernet mot selvinkriminering, jf. straffeprosessloven § 4 og menneskerettsloven §§ 2 og 3.
Nærmere om utformingen av bestemmelsen
Ved utformingen av en lovbestemmelse om opplysningsplikt for systemadministratorer og andre med kjennskap til et bestemt datasystem, må flere spørsmål avklares. Det gjelder omfanget av opplysningsplikten, hvem opplysningsplikten kan påhvile, hvem som skal ha kompetanse til å pålegge en opplysningsplikt og hvilke sanksjoner som skal gjelde dersom opplysningsplikten ikke overholdes.
Etter utvalgets oppfatning bør ikke opplysningsplikten gis et større omfangenn det artikkel 19 nr. 4 forplikter oss til. En opplysningsplikt under ransaking av et datasystem innebærer et brudd med den alminnelige retten til å nekte å forklare seg overfor politiet, jf. straffeprosessloven § 230. Derfor bør opplysningsplikten begrenses til det som er nødvendig for å gi tilgang til det aktuelle datasystemet. Med tilgang til et datasystem menes tilgang til dataene som er lagret i systemet. Slik tilgang kan for eksempel kreve at politiet gis opplysninger om eventuelle tilgangskoder.
Det bør derimot ikke kunne kreves annen og mer omfattende bistand av den personen som opplysningsplikten pålegges. Etter lovutkastet kan for eksempel ikke politiet kreve at vedkommende skal finner frem til konkrete opplysninger som politiet søker.
En person kan bare pålegges av gi «nødvendige» opplysninger. Avgjørende er dermed hvilke opplysninger som er påkrevd for at politiet skal få tilgang til datasystemet. Begrensningen innebærer for eksempel at det ikke kan gis pålegg om å gi opplysninger som ikke berører det datasystemet som er omfattet av ransakingsbeslutningen.
Videre begrenses adgangen til å pålegge opplysningsplikt av det alminnelige forholdsmessighetsprinsippet i straffeprosessloven § 170a. For å konkretisere forholdsmessighetsvurderingen kan det være illustrerende å legge til grunn en tredelt vurdering, slik det ofte gjøres i europeisk rett: 4 For det første må man vurdere hvorvidt tiltaket er egnet for å nå målet. Videre må alternative, mindre inngripende virkemidler vurderes. For det tredje må man spørre seg om tiltaket står i et rimelig forhold til viktigheten av det man ønsker å oppnå.
Det tredje punktet innebærer en interesseavveining av flere ulike hensyn, herunder hensynet til den opplysningsplikten rettes mot, hensynet til etterforskningen og hensynet til dem opplysningene knytter seg til (proporsjonalitet i snever forstand). I denne helhetsvurderingen kan man for eksempel legge vekt på hvor inngripende opplysningsplikten vil være for den personen som plikten pålegges. Et annet relevant moment vil være om datasystemet inneholder sensitive opplysninger eller opplysninger som besitteren ikke plikter å forklare seg om, jf. den forklarende rapporten punkt 202.
Når det gjelder spørsmålet om hvem som kan pålegges å gi opplysninger, følger det av konvensjonen at plikten i utgangspunktet skal kunne pålegges enhver person («any person»). En begrensning følger av vernet mot selvinkriminering som redegjort for ovenfor. Plikten til å gi opplysninger kan ikke gjelde personer som er fritatt fra plikten til å vitne, jf. straffeprosessloven § 123. Politiet kan følgelig ikke pålegge en mistenkt å bistå med å fremskaffe bevis som kan bli benyttet mot ham i en senere straffesak. Det samme gjelder personer som kan nekte å forklare seg, jf. straffeprosessloven § 122 første og annet ledd. Personer som kan fritas fra vitneplikten, jf. straffeprosessloven §§ 121, 122 tredje ledd og 123 første ledd annet punktum og annet ledd, er i utgangspunktet forpliktet til å etterkomme et pålegg om å gi opplysninger så lenge det ikke er gitt fritak. Påberoper en person en vitnefritaksbestemmelse som grunnlag for ikke å etterkomme et pålegg, vil politiet være forpliktet til å ta hensyn til det inntil en eventuell rettslig avklaring foreligger. Er det av ulike årsaker ikke tid til å innhente rettens beslutning, må politiet frafalle pålegget eller eventuelt rette det mot en annen.
Konvensjonen stiller statene fritt i spørsmålet om hvem som skal gis kompetanse til å pålegge opplysningsplikten, jf. «competent authority». Valget står derfor mellom domstolene, påtalemyndigheten og politiet. Ved valget mellom disse alternativene må man foreta en avveining av de kryssende interessene som gjør seg gjeldende. På den ene siden vil et pålegg om å gi opplysninger innebære et brudd med den alminnelige retten til å nekte å forklare seg overfor politiet, jf. straffeprosessloven § 230. Dette grunnleggende straffeprosessuelle prinsippet kan tale for ikke å legge kompetansen til politiet, men til domstolene eller eventuelt påtalemyndigheten. Praktiske hensyn taler på den andre siden imot en slik løsning. Behovet for bistand vil etter all sannsynlighet oppstå på selve ransakingsstedet. Retten vil i liten grad ha anledning til å forutse et slikt behov i forkant, og langt mindre ha forutsetning for å vurdere hvem et slikt pålegg eventuelt skal kunne rettes mot. Tidstapet som følge av at et pålegg om å gi opplysninger måtte besluttes av retten, ville også kunne skade etterforskningen.
Utvalget har funnet det hensiktsmessig å legge kompetansen til politiet. Ved vurderingen har utvalget særlig lagt vekt på at dersom en plikt til å gi opplysinger av den karakter det her er tale om skal være effektiv, må pålegget kunne gis når behovet oppstår. Dernest følger det av straffeprosessloven § 216a fjerde ledd at kompetansen til å utløse bistandsplikt i forbindelse med kommunikasjonsavlytting er lagt til politiet. I og med at det i slike tilfeller er tale om å yte bistand som rekker lenger enn det å gi opplysninger, vil det etter utvalgets oppfatning gi dårlig sammenheng i regelverket å legge kompetansen til å pålegge opplysningsplikt til et høyere organ.
Etter utvalgets oppfatning bør unnlatelse av å etterkomme et pålegg straffesanksjoneres. Effektivitetsbetraktninger tilsier at unnlatelse bør sanksjoneres. Personer som gis pålegg om å bidra med opplysninger vil kunne komme i en lojalitetskonflikt der hensynet til arbeidsgiver står mot forpliktelsen til å gi informasjon til politiet. For å sikre at pålegg overholdes, antar utvalget at det vil være nødvendig å innføre en straffetrussel. Videre tilsier hensynet til sammenheng i regelverket at unnlatelse av å etterkomme et pålegg bør straffesanksjoneres. Unnlatelse av å etterkomme et utleveringspålegg, jf. straffeprosessloven § 210, straffes med bøter, jf. domstolsloven § 206.
3.4.3.3 Beslag
Når det gjelder beslag, følger det av redegjørelsen for gjeldende rett i kapittel 18.2 at data som sådan kan beslaglegges. Beslag kan for eksempel tas i form av dokumentutskrifter eller ved kopiering til et eksternt lagringsmedium. Iverksettelsen av skritt for å sikre dataenes integritet, jf. artikkel 19 nr. 3 bokstav c, vil være en naturlig del av denne prosessen, og krever etter utvalgets syn ingen særskilt hjemmel. Det samme gjelder konvensjonens krav om at de beslaglagte dataene må kunne gjøres utilgjengelige eller fjernes fra det aktuelle datasystemet, jf. artikkel 19 nr. 3 bokstav d. Ved beslag av fysiske objekter vil beslagsgjenstanden normalt bli fjernet fra innehaverens rådighet. Selv om kopiering eller utskrift til papir vil innebære at dataene blir værende i systemet, antar utvalget at det ikke er noe i veien for at dataene fjernes eller gjøres utilgjengelige for den berørte. Det alminnelige forholdsmessighetsprinsippet, jf. straffeprosessloven § 170a, kan begrense adgangen til å fjerne eller gjøre data utilgjengelige.
Det er etter utvalgets oppfatning ikke behov for lovendringer for å kunne ratifisere konvensjonens bestemmelser om beslag i artikkel 18 nr. 3.
3.5 Innhenting av trafikkdata – artikkel 20
3.5.1 Folkerettslige forpliktelser
Artikkel 20 gjelder innhenting av trafikkdata i sanntid og lyder:
Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to:
collect or record through the application of technical means on the territory of that Party, and
compel a service provider, within its existing technical capability:
to collect or record through the application of technical means on the territory of that Party; or
to co-operate and assist the competent authorities in the collection or recording of,
traffic data, in real-time, associated with specified communications in its territory transmitted by means of a computer system.
Where a Party, due to the established principles of its domestic legal system, cannot adopt the measures referred to in paragraph 1.a, it may instead adopt legislative and other measures as may be necessary to ensure the real-time collection or recording of traffic data associated with specified communications transmitted in its territory, through the application of technical means on that territory.
Each Party shall adopt such legislative and other measures as may be necessary to oblige a service provider to keep confidential the fact of the execution of any power provided for in this article and any information relating to it.
The powers and procedures referred to in this article shall be subject to Articles 14 and 15.»
Bestemmelsen pålegger statene å sørge for regler som gir kompetent myndighet adgang til å innhente trafikkdata i sanntid («real-time»). Med sanntid mener utvalget signaloverføring som er slik at det ikke er tid til å manipulere dataene.
Forpliktelsen i artikkel 20 gjelder innhenting av trafikkdata for konkrete kommunikasjonsoverføringer («specified communications»). Kravet til spesifisering innebærer at statene ikke er forpliktet til å åpne for innhenting av trafikkdata ut ifra rene etterretningsformål. Begrepet «communications» er benyttet fordi det kan være nødvendig å innhente trafikkdata fra flere kommunikasjonsmidler for å avdekke kilden eller destinasjonen til en eller flere konkrete kommunikasjonsoverføringer.
Det følger av artikkel 20 nr. 1 bokstav a at statene er forpliktet til å gi kompetent myndighet adgang til å innhente trafikkdata. Videre er statene også forpliktet til å åpne for at trafikkdata kan innhentes med bistand fra tjenestetilbyder, jf. artikkel 20 bokstav b. Bokstav b fastsetter to alternative måter å gjennomføre innhentingen med bistand fra tjenestetilbyder på. Etter det første alternativet kan statene gi kompetent myndighet adgang til å pålegge tjenestetilbydere å innhente trafikkdataene, jf. underpunkt i. I henhold til det andre alternativet kan statene gi kompetent myndighet adgang til å pålegge tjenestetilbyderen å yte den nødvendig bistand i forbindelse med innhentingen av trafikkdataene, jf. underpunkt ii. Bistandsplikten er begrenset til det som er tekniske mulig ut ifra tjenestetilbyderens forutsetninger og utstyr («within its technical existing capability»). Det oppstilles med andre ord ingen plikt til ytterligere investeringer.
Bestemmelsen gjelder bare kommunikasjonsoverføringer som finner sted på den enkelte stats territorium. En kommunikasjonsoverføring anses å finne sted innen territoriet dersom en av de involvert i kommunikasjonen, eller utstyret som kommunikasjonen er rutet via, befinner seg der. Det er uten betydning om virksomheten er administrert fra utlandet, jf. den forklarende rapporten punkt 222.
Stater som på grunn av begrensninger i intern rett ikke har anledning til å gjennomføre tiltak som beskrevet i artikkel 20 nr. 1 bokstav a, kan benytte en alternativ fremgangsmåte, jf. artikkel 20 nr. 2. I stedet for at kompetent myndighet utfører kontrollen med eget utstyr, kan disse statene gi regler som gir kompetent myndighet adgang til å pålegge tjenestetilbyder å stille utstyr til disposisjon for de som skal gjennomføre kontrollen.
Etter artikkel 20 nr. 3 er statene forpliktet til å ha regler som åpner for at tjenestetilbydere kan pålegges taushetsplikt om iverksatt innhenting av trafikkdata og om opplysninger knyttet til innhentingen.
3.5.2 Gjeldende rett
Adgangen til innhenting av trafikkdata i sanntid er regulert i straffeprosessloven § 216b annet ledd bokstav c, som er plassert i straffeprosessloven kapittel 16a om kommunikasjonskontroll. Paragrafen gir også hjemmel til å innstille eller avbryte kommunikasjon og til å stenge et kommunikasjonsanlegg, jf. § 216b annet ledd bokstavene a og b. Bestemmelsens virkeområde må avgrenses mot avlytting av innholdet av en kommunikasjonsoverføring, jf. § 216a.
I henhold til § 216b annet ledd har politiet anledning til å innhente opplysninger om hvilke kommunikasjonsanlegg som i et bestemt tidsrom settes i forbindelse med telefoner, datamaskiner eller andre kommunikasjonsanlegg, og andre data knyttet til kommunikasjonen. Begrepet «andre kommunikasjonsanlegg» tolkes vidt, slik at valget av kommunikasjonsform er uten betydning, jf. Bjerke/Keiserud, Straffeprosessloven - Kommentarutgave, 3. utg. s. 745. Det følger av ordlyden at identifikasjon av hvilke anlegg som har kommunisert med hverandre i et bestemt tidsrom, er omfattet. Det samme gjelder fremtidig kommunikasjon.
De materielle vilkårene for å beslutte kommunikasjonskontroll er for det første at det må foreligge «skjellig grunn til mistanke», jf. første ledd. Mistanken må dernest gjelde en handling som kan medføre fengsel i minst 5 år, jf. første ledd bokstav a, eller rammes av en av de uttrykkelig nevnte straffebestemmelsene i første ledd bokstav b. Av særlig interesse her er straffeloven § 145 annet ledd (datainnbrudd) og § 204 første ledd bokstav d (barnepornografi).
I tillegg til vilkårene som følger av § 216b, må også de alminnelige vilkårene i 216c være oppfylt. I henhold til § 216c kan kommunikasjonskontroll bare tillates dersom den vil være av vesentlig betydning for å oppklare saken, og oppklaring ellers i vesentlig grad vil bli vanskeliggjort. Følgelig kan kommunikasjonskontroll bare benyttes dersom de tradisjonelle etterforskningsmetodene antas å komme til kort, jf. Ot.prp. nr. 10 (1976-77) s. 6. I begrepet «antas» ligger det et krav om noe mer enn en ren formodning, men ikke så mye som sannsynlighetsovervekt, jf. Bjerke/Keiserud, Straffeprosessloven - Kommentarutgave, 3. utg. s. 748. Videre kan ikke innhentingen av trafikkdata være et uforholdsmessig inngrep, jf. § 170a.
Kompetansen til å beslutte kommunikasjonskontroll er som hovedregel tillagt retten, jf. straffeprosessloven § 216b første ledd. Påtalemyndigheten er imidlertid gitt kompetanse dersom det er stor fare for at etterforskningen vil lide, jf. § 216d. I følge Bjerke/Keiserud, Straffeprosessloven - Kommentarutgave, 3. utg. s. 750, bør det antakelig kreves sannsynlighetsovervekt for at det er stor fare og at det er viktig for etterforskningen.
Henvisningen til straffeprosessloven § 216a fjerde ledd i § 216b tredje ledd, innebærer at politiet kan pålegge en tjenestetilbyder å bistå i forbindelse med gjennomføringen av kommunikasjonskontrollen.
Det følger av § 216i at alle som har kjennskap til at det er eller vil bli gjennomført kommunikasjonskontroll, har plikt til å bevare taushet om dette. Det samme gjelder de opplysingene som fremkommer ved kontrollen. Brudd på taushetsplikten er straffbar i medhold av straffeloven § 121.
3.5.3 Utvalgets vurderinger
Som redegjørelsen for gjeldende rett viser, er ikke norsk rett i samsvar med forpliktelsene i konvensjonen når det gjelder det saklige anvendelsesområdet for kommunikasjonskontroll. Konvensjonen krever i utgangspunktet at statene skal tillate kommunikasjonskontroll i forbindelse med samtlige straffebud fastsatt i samsvar med artikkel 2 til 11, jf. artikkel 14 nr. 2 bokstav a. De norske bestemmelsene som samsvarer med artikkel 6, 7 og 10, oppfyller ikke kravet til 5 års strafferamme i straffeloven § 216b første ledd bokstav a. De er heller ikke uttrykkelig nevnt i § 216b første ledd bokstav b. Spørsmålet blir derfor om man bør inkludere de aktuelle straffebestemmelsene i opplistingen i § 216b første ledd bokstav b eller benytte reservasjonsadgangen som statene er gitt i artikkel 14 nr. 3 bokstav a.
Etter utvalgets oppfatning bør Norge benytte reservasjonsadgangen på dette punktet. Det skyldes at avveiningen av hvilke straffbare handlinger som skal kunne kvalifisere for bruk av kommunikasjonskontroll, er basert på en grundig vurdering av de kryssende hensyn som gjør seg gjeldende. Utvalget finner derfor ikke grunn til å foreslå endringer i bestemmelsen i denne omgang, men vil kunne komme tilbake til spørsmålet som ledd i fase to av sitt arbeid.
Reservasjonsadgangen i artikkel 14 nr. 3 bokstav a er undergitt et vilkår. Begrensninger i anvendelsesområdet for innhenting av trafikkdata kan ikke være mer vidtrekkende enn ved avlytting av innholdsdata. Det vil si at det minst må være anledning til å innhente trafikkdata i forbindelse med overtredelser av straffebud som anses som «serious offences» etter artikkel 21. Ettersom straffeprosessloven § 216b har et videre anvendelsesområde enn § 216a, er vilkåret oppfylt. Norge står derfor fritt til å benytte reservasjonsadgangen i artikkel 14 nr. 3 bokstav a.
Et annet spørsmål som må vurderes, er hvilken rolle tjenestetilbydere skal spille ved innhenting av trafikkdata, jf. artikkel 20 nr. 1 bokstav b. Som beskrevet under punkt 3.5.1, står valget mellom å gi regler som åpner for at tjenestetilbyderne selv kan gjennomføre kontrollen etter pålegg fra kompetent myndighet, og å gi regler som gir kompetent myndighet hjemmel til å pålegge en tjenestetilbyder å samarbeide i forbindelse med kontrollen. Politiet har anledning til å pålegge en tjenestetilbyder å yte nødvendig teknisk bistand, jf. straffeprosessloven § 216b tredje ledd, jf. § 216a fjerde ledd. Videre er tilbydere av elektronisk kommunikasjonsnett som anvendes til offentlig elektronisk kommunikasjonstjeneste og tilbyder av slik tjeneste forpliktet til å tilrettelegge nett og tjeneste slik at lovbestemt tilgang til informasjon om sluttbruker og elektronisk kommunikasjon sikres, jf. lov om elektronisk kommunikasjon § 2-8 første ledd. Det er derfor etter utvalgets oppfatning klart at norsk rett dekker konvensjonens krav på dette punktet. En ordning der tjenestetilbyderne gjennomfører selve innhentingen, jf. artikkel 20 nr. 1 bokstav b underpunkt i, er etter utvalgets oppfatning verken nødvendig eller ønskelig.
3.6 Avlytting av innholdsdata – artikkel 21
3.6.1 Folkerettslige forpliktelser
Artikkel 21 omhandler avlytting av innholdsdata og lyder:
Each Party shall adopt such legislative and other measures as may be necessary, in relation to a range of serious offences to be determined by domestic law, to empower its competent authorities to:
collect or record through the application of technical means on the territory of that Party, and
compel a service provider, within its existing technical capability:
to collect or record through the application of technical means on the territory of that Party, or
to co-operate and assist the competent authorities in the collection or recording of,
content data, in real-time, of specified communications in its territory transmitted by means of a computer system.
Where a Party, due to the established principles of its domestic legal system, cannot adopt the measures referred to in paragraph 1.a, it may instead adopt legislative and other measures as may be necessary to ensure the real-time collection or recording of content data on specified communications in its territory through the application of technical means on that territory.
Each Party shall adopt such legislative and other measures as may be necessary to oblige a service provider to keep confidential the fact of the execution of any power provided for in this article and any information relating to it.
The powers and procedures referred to in this article shall be subject to Articles 14 and 15.»
Artikkel 21 pålegger statene å sørge for regler som gir kompetent myndighet adgang til å avlytte innholdsdata («content data»). Begrepet «content data» er ikke definert i konvensjonen. Det følger imidlertid av den forklarende rapporten punkt 229 at begrepet er negativt avgrenset til å omfatte alle data som ikke er trafikkdata. Begrepet «trafikkdata» er definert i artikkel 1 bokstav d.
Avlytting av innholdsdata representerer et mer inngripende virkemiddel enn innhenting av trafikkdata. I konvensjonen kommer forskjellen klart til uttrykk ved at bruken av dette virkemidlet kan forbeholdes etterforskning av alvorlige straffbare handlinger («serious offences»). Statene står imidlertid fritt til å avgjøre hva som skal regnes som en alvorlig straffbar handling. Virkemidlets inngripende karakter gjør det naturlig at bruken underlegges strengere vilkår enn det som er vanlig for andre tvangsmidler, herunder innhenting av trafikkdata, jf. den forklarende rapporten punkt 215 og 231.
Artikkel 21 er med noen få unntak utformet på samme måte som artikkel 20. Redegjørelsen for de folkerettslige forpliktelsene er derfor begrenset til det som særpreger avlytting av innholdsdata sammenliknet med innhenting av trafikkdata.
3.6.2 Gjeldende rett
Adgangen til å avlytte datakommunikasjon er regulert i straffeprosessloven § 216a som er plassert i straffeprosessloven kapittel 16a om kommunikasjonskontroll. Paragraf 216a gir politiet hjemmel til å avlytte samtaler og annen form for kommunikasjon til og fra kommunikasjonsanlegg. Det er uten betydning om kommunikasjonen skjer via telefon, datamaskin eller andre kommunikasjonsanlegg, jf. tredje ledd. Avlyttingsadgangen gjelder imidlertid bare anlegg som den mistenkte «besitter eller antas å ville bruke». Det innebærer at det bare er avlytting av anlegg den mistenkte antas å ville benytte selv,som er omfattet. Avlytting av anlegg den mistenkte antas å ville kontakte, men som han ikke har tilgang til, faller utenfor bestemmelsens anvendelsesområde. I følge departementet ville en slik adgang være for inngripende, jf. Ot.prp. nr. 64 (1998-99) s. 157. Bruken av begrepet «kommunikasjon» innebærer at det kun er signalstrømmen mellom avsender og mottaker som kan avlyttes. Avlytting av data som ikke kommuniseres, for eksempel fjernavlesning av et skjermbilde og avlytting av signalstrømmen mellom en datamaskin og en skriver, faller utenfor bestemmelsens anvendelsesområde, jf. Ot.prp. nr. 64 (1998-99) s. 156.
Vilkårene for bruk og kompetansereglene er stort sett de samme som for innhenting av trafikkdata, jf. § 216b. Det vises derfor til redegjørelsen under punkt 3.5.2. En vesentlig forskjell ligger imidlertid i kravet til strafferamme. Det følger av § 216a første ledd bokstav a at det må foreligge skjellig grunn til mistanke om en handling som etter loven kan medføre straff av fengsel i 10 år eller mer. Kravet om 10 års strafferamme er ikke absolutt idet første ledd bokstav b gjør unntak for enkelte overtredelser. Oppregningen skiller seg fra § 216b første ledd ved at henvisningene til straffeloven §§ 204 første ledd bokstav d, 145 annet ledd og 390a er tatt ut, og eksportkontrolloven § 5 er tatt inn i stedet. Adgangen til å gjennomføre avlytting av innholdsdata er klart snevrere enn adgangen til å innhente trafikkdata. Det skyldes at avlytting av innholdsdata er et langt mer inngripende virkemiddel.
3.6.3 Utvalgets vurderinger
Ettersom konvensjonen overlater vurderingen av hvilke straffebud som skal anses som «serious offences» til statene, skaper ikke dette problemer for gjennomføringen av forpliktelsene.
Når det gjelder spørsmålet om hvorvidt tjenestetilbydere skal gis adgang til å gjennomføre selve kommunikasjonsavlyttingen etter pålegg fra kompetent myndighet, jf. artikkel 21 nr. 1 bokstav b underpunkt i, vises det til drøftelsen under punkt 3.5.3. I dag kan politiet pålegge tjenestetilbydere å bistå med den tekniske gjennomføringen av kontrollen. Derimot foretar politiet selve avlyttingen. Utvalget mener at denne løsningen er hensiktsmessig og at det verken er nødvendig eller ønskelig at tjenestetilbydernes rolle skal endres.
For øvrig er det utvalgets oppfatning at norsk rett fullt ut dekker konvensjonens forpliktelser. Det er derfor ikke behov for å endre norsk rett på dette punktet
3.7 Jurisdiksjon – artikkel 22
3.7.1 Folkerettslige forpliktelser
Artikkel 22 gjelder jurisdiksjon og lyder:
Each Party shall adopt such legislative and other measures as may be necessary to establish jurisdiction over any offence established in accordance with Articles 2 through 11 of this Convention, when the offence is committed:
in its territory; or
on board a ship flying the flag of that Party; or
on board an aircraft registered under the laws of that Party; or
by one of its nationals, if the offence is punishable under criminal law where it was committed or it f the offence is committed outside the territorial jurisdiction of any State.
Each Party may reserve the right not to apply or to apply only in specific cases or conditions the jurisdiction rules laid down in paragraphs 1.b through 1.d of this article or any part thereof.
Each Party shall adopt such measures as may be necessary to establish jurisdiction over the offences referred to in Article 24, paragraph 1, of this Convention, in cases where an alleged offender is present in its territory and it does not extradite him or her to another Party, solely on the basis of his or her nationality, after a request for extradition.
This Convention does not exclude any criminal jurisdiction exercised by a Party in accordance with its domestic law.
When more than one Party claims jurisdiction over an alleged offence established in accordance with this Convention, the Parties involved shall, where appropriate, consult with a view to determining the most appropriate jurisdiction for prosecution.»
Bestemmelsen oppstiller krav til det stedlige virkeområdet til straffebud som er nevnt i artikkel 2 til 11 i konvensjonen.
Artikkel 22 nr. 1 bokstav a forplikter statene til å gjennomføre territorialprinsippet. Dette innebærer at statene må kunne strafforfølge handlinger som er begått i eget territorium. En handling anses å være begått i en stats territorium når gjerningspersonen og objektet for den straffbare handlingen (datasystemet) befinner seg der. Det samme gjelder når hele eller deler av det datasystemet som berøres av den straffbare handling, er plassert i territoriet, selv om gjerningspersonen ikke er det, jf. den forklarende rapporten punkt 233.
Det følger av artikkel 22 nr. 1 bokstav b at statene også skal kunne strafforfølge handlinger som begås på skip som seiler under statens flagg. Det samme gjelder handlinger som begås på luftfartøy som er registrert i henhold til statens lover, jf. artikkel 22 nr. 1 bokstav c.
Etter artikkel 22 nr. 1 bokstav d skal statene også kunne strafforfølge handlinger begått i utlandet av egne statsborgere forutsatt at handlingen også var straffbar i det landet den ble begått, eller at handlingen ikke ble begått innenfor territoriet til en stat.
I artikkel 22 nr. 2 er statene gitt adgang til å reservere seg mot å gjennomføre artikkel 22 nr. 1 bokstav b til d.
I henhold til artikkel 22 nr. 3 er statene forpliktet til å gjennomføre prinsippet «extradite or prosecute». Prinsippet innebærer at dersom en stat nekter å utlevere egen borger etter å ha mottatt begjæring om det i henhold til artikkel 24 nr. 1, plikter staten selv å strafforfølge vedkommende dersom handlingen er straffbar etter nasjonal rett.
Bestemmelsene i artikkel 22 er ikke til hinder for at statene etablerer en mer vidtrekkende jurisdiksjon enn det som følger av konvensjonen, jf. artikkel 22 nr. 4.
Etter artikkel 22 nr. 5 skal statene, dersom det er hensiktsmessig, konsultere hverandre når en straffbar handling får virkning i flere stater.
Dersom en handling etter omstendighetene dekkes av flere staters jurisdiksjon, skal statene så langt det er hensiktsmessig konsultere hverandre om hvor handlingen skal strafforfølges.
3.7.2 Gjeldende rett
Det følger av straffeloven § 12 første ledd nr. 1 at norsk straffelov får anvendelse på handlinger som er foretatt i riket. Når det gjelder forståelsen av begrepet «i riket» vises det til Ruud/Ulfstein, Innføring i folkerett, 2. utg. kapittel 7. Straffeloven er gitt anvendelse på norske skip og luftfartøy som befinner seg utenfor territorialgrensene, jf. § 12 første ledd nr. 1 bokstav d og e.
Det følger av straffeloven § 12 første ledd nr. 3 at norske statsborgere i visse tilfeller kan strafforfølges i Norge for handlinger de har begått i utlandet. Med «utlandet» menes alle områder som etter § 12 første ledd nr. 1 og 2 ikke regnes som «riket». Blant annet kan norske borgere strafforfølges når handlingen er straffbar etter det lands lov hvor handlingen er foretatt, jf. § 12 første ledd nr. 3 bokstav c.
3.7.3 Utvalgets vurderinger
Det følger av redegjørelsen for gjeldende rett at straffeloven § 12 første ledd nr. 1 dekker konvensjonens forpliktelser for så vidt gjelder handlinger begått på norsk territorium, samt handlinger som er begått om bord på et norsk skip eller luftfartøy, jf. artikkel 22 nr. 1 bokstav a til c.
Når det gjelder spørsmålet om hvorvidt norsk rett oppfyller konvensjonens krav om adgang til å strafforfølge egne borgere for handlinger som er begått utenfor territoriet, er det behov for å nyansere. Det følger av straffeloven § 12 første ledd nr. 3 bokstav c at straffeloven kommer til anvendelse på handlinger som også er straffbare i det landet der handlingen ble foretatt. I disse tilfellene dekker norsk rett konvensjons krav.
Et spørsmål er imidlertid om norske borgere, i henhold til norsk rett, kan strafforfølges for handlinger begått i områder som ikke er underlagt noen stats territorialhøyhet, jf. artikkel 22 nr. 1 bokstav d. Er handlingen begått om bord på norskregistrerte skips- og luftfartøyer, følger det av § 12 nr. 2 at handlingen kan strafforfølges etter norsk rett. Er handlingen begått om bord på utenlandsregistrerte fartøy som befinner seg i områder som nevnt, vil norske myndigheters adgang til å strafforfølge handlingen bero på om handlingen omfattes av oppregningen i § 12 nr. 3 bokstav a. I og med at de norske bestemmelser som samsvarer med konvensjonen artikkel 2, 3, 6 og 10 ikke er nevnt, kan slike handlinger i utgangspunktet ikke strafforfølges i Norge. Det er mulig at straffeloven § 12 annet ledd kan komme til anvendelse i slike tilfeller dersom virkningen av en handling er inntrådt eller tilsiktet fremkalt i Norge. Rekkevidden av denne bestemmelsen er imidlertid etter utvalgets oppfatning usikker, se for eksempel RG 2001 s. 219. Denne usikkerheten, kombinert med hensynet til å sikre en lojal etterlevelse av konvensjonens forpliktelser, taler for at Norge bør vurdere en lovendring. Alternativt kan Norge benytte reservasjonsadgangen som er gitt i artikkel 22 nr. 2.
Utvalget er av den oppfatning at Norge bør endre straffeloven § 12 nr. 3 for å sikre at overtredelse av bestemmelsene kan straffes i Norge uavhengig av om forbrytelsen er begått i Norge eller i utlandet. Derimot går ikke utvalget inn for at en handling begått i utlandet av en utlending skal kunne straffes i Norge.
Bakgrunnen for forslaget er at datakriminalitet ofte har et internasjonalt preg. Handlingen kan være begått på tvers av landegrenser eller i samvirke mellom personer i flere land til samme tid. Undertiden kan det også være vanskelig å fastslå i hvilket land den straffbare handlingen er begått. Fordi norske statsborgere ikke kan utleveres til land utenfor Norden, jf. utleveringsloven § 2, er det dessuten viktig å sikre at nordmenn som begår slike forbrytelser i utlandet, kan pådømmes i Norge.
Når det gjelder den gjensidige konsultasjonen, skal statene praktisere den dersom det etter forholdene fremstår som hensiktsmessig, jf. artikkel 22 nr. 5. Utvalget legger til grunn at norsk rett er dekket for så vidt gjelder de statene som har ratifisert Europarådets konvensjon om gjensidig hjelp i straffesaker 20. april 1959. I forhold til stater som ikke har tiltrådt denne konvensjonen, kunne det tenkes at konsultasjonsadgangen ville blitt begrenset av den taushetsplikten som påhviler politi og påtalemyndighet i kraft av straffeprosessloven § 61a. Utvalget legger imidlertid til grunn at unntaket fra taushetsplikten i straffeprosessloven § 61c nr. 5 vil kunne avhjelpe dette. Bestemmelsen åpner for at utenlandske rettshåndhevende myndigheter kan gjøres kjent med taushetsbelagte opplysninger.