NOU 2003: 27

Lovtiltak mot datakriminalitet— Delutredning I om Europarådets konvensjon om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi

Til innholdsfortegnelse

6 Merknader til de enkelte bestemmelsene

6.1 Til endringene i straffeloven

Til § 12

Datakrimutvalget foreslår at § 145 annet ledd og ny § 145 b tas med i oppregningen i § 12 første ledd nr. 3 bokstav a. I tillegg foreslår utvalget å ta inn en henvisning til § 54 i lov om vern av åndsverk i ny bokstav i.

Endringene fører til at overtredelse av bestemmelsene i konvensjonen artikkel 2, 3, 6 og 10 begått i utlandet av en norsk statsborger eller noen i Norge hjemmehørende person kan strafforfølges i Norge. Begrunnelsen for endringen er at datakriminalitet ofte har et internasjonalt preg. Handlingen kan være begått på tvers av landegrenser eller i samvirke mellom flere personer.

Til § 145

Utvalget foreslår at strafferammen for brevbrudd og datainnbrudd heves til bøter eller fengsel inntil 6 måneder eller begge deler. Om bakgrunnen for forslaget vises det til punkt 2.2.

Endringen i strafferammen har blant annet den prosessuelle virkningen at personer som mistenkes for overtredelse av bestemmelsen, vil kunne pågripes fordi strafferammekravet i straffeprosessloven dermed er oppfylt. Videre vil påtalemyndigheten kunne gi pålegg om sikring av elektronisk lagrede data som antas å ha betydning som bevis, jf. utvalgets forslag til ny § 215 a i straffeprosessloven.

Til ny § 145 b

Bestemmelsen retter seg mot det å gjøre passord og andre data som kan gi tilgang til et datasystem, tilgjengelig for andre, jf. første ledd.

Gjenstanden for den straffbare handlingen er «passord og andre data». Uttrykket er funksjonelt avgrenset, og omfatter alle data som kan gi tilgang til fysiske eller logiske nivåer i et datasystem. Det er uten betydning om tilgangsdataene er bærere av tall, symboler eller bokstaver, om disse i kombinasjon er meningsbærende, og om dataene er kryptert. Bestemmelsen er ikke begrenset til å gjelde data brukeren selv taster inn i datasystemet, men omfatter også data som genereres maskinelt ved bruk av for eksempel irisavlesning, avlesning av fingeravtrykk eller stemmeregistrering.

Uttrykket «gjør tilgjengelig» omfatter både det å overlate tilgangsdata til en annen (for eksempel via e-post), og det å gjøre slike data tilgjengelig for en større eller ubestemt krets av personer (for eksempel på Internett). Spredningen kan skje direkte, ved at selve passordet sendes til en annen, eller indirekte, ved at man sprer URL-adresser eller lenker til nettsteder hvor passordet finnes eller som angir på hvilket nettsted opplysningen ligger tilgjengelig. Det er uten betydning hvor mange ledd man i tilfelle må igjennom. Spredningen kan for øvrig skje mot eller uten vederlag. Loven omfatter også det å gjøre tilgangsdata kjent for andre på en mer indirekte måte, for eksempel ved å legge ut passord på en hjemmeside.

Loven krever at spredningen må være «uberettiget». Den som har tilstrekkelig hjemmel for å spre en tilgangskode, for eksempel i lov, avtale eller annet rettsgrunnlag, rammes dermed ikke av bestemmelsen.

Skyldkravet er forsett, jf. straffeloven § 40.

Bestemmelsens annet ledd skjerper strafferammen for grov spredning av tilgangsdata til fengsel inntil 2 år. Ved avgjørelsen av om spredningen er grov, nevner lovutkastet tre forhold det særlig skal legges vekt på ved vurderingen. For det første vil det være av betydning om dataene kan gi tilgang til sensitive opplysninger, for eksempel opplysninger av betydning for rikets sikkerhet, enkelte bedriftsinterne opplysninger og visse personopplysninger. Slike opplysninger har et særskilt krav på vern, og vil derfor ofte være undergitt lovbestemt eller instruksfastsatt taushetsplikt. I denne sammenhengen vil det imidlertid være tilstrekkelig at opplysningen etter sin art har en sensitiv karakter. For det annet skal det legges vekt på om spredningen er omfattende, siden dette vil øke risikoen for at noen skaffer seg uberettiget tilgang. For det tredje vil det ha betydning om handlingen skaper fare for betydelig skade. Både økonomiske og ikke-økonomiske skadevirkninger vil her måtte tas i betraktning.

Oppregningen i annet ledd er ikke uttømmende. Også andre momenter vil derfor etter omstendighetene kunne få betydning, for eksempel om spredningen er skjedd mot vederlag eller som ledd i organisert kriminalitet.

Medvirkning er straffbart, jf. tredje ledd. Den som for eksempel stiller datautstyr til disposisjon for en annen og som samtidig regner det for sikkert eller overveiende sannsynlig at utstyret skal brukes til spredning av tilgangskoder, vil dermed kunne straffes dersom straffbarhetsvilkårene for øvrig er oppfylt.

Det fremgår av fjerde ledd at offentlig påtale ikke finner sted uten fornærmedes begjæring, med mindre allmenne hensyn krever påtale. Bakgrunnen for dette er at det i mindre alvorlige saker kan være naturlig at påtalespørsmålet ligger i den fornærmedes hånd, med mindre allmenne hensyn gjør det nødvendig å forfølge saken. Både prosessøkonomiske hensyn og hensynet til den fornærmede selv, som av private eller forretningsmessige grunner ikke nødvendigvis ønsker offentlighet om saken, taler for en slik løsning.

6.2 Til endringene i straffeprosessloven

Til § 199 a

Bestemmelsen gir politiet adgang til å pålegge personer med vitneplikt å bistå med opplysninger i forbindelse med ransakingen av et datasystem. I disse ransakingssituasjonene er det et spesielt stort behov for bistand for at politiet skal kunne gjennomføre ransakingen. Bestemmelsen er teknologinøytral. Om begrepet «datasystem», se punkt 1.4.

Det følger at første leddat opplysningsplikten bare gjelder personer med vitneplikt. Hovedregelen om vitneplikt følger av straffeprosessloven § 108 og unntakene av §§ 117 flg. Hensynet til vernet mot selvinkriminering tilsier at en mistenkt ikke kan pålegges å gi opplysninger som kan utsette vedkommende for straffansvar, jf. § 123. Videre begrenses opplysningsplikten av vernet mot selvinkriminering slik det er fastlagt i EMK, jf. straffeprosessloven § 4 og menneskerettsloven § 2.

Etter ordlyden kan enhver person med vitneplikt pålegges å gi opplysninger. Ved ransaking av datasystemer til virksomheter med eget IT-personale, vil det være naturlig å rette pålegget mot disse personene. Personkretsen er imidlertid ikke begrenset til bestemte profesjonsgrupper. Behovet for bistand i form av opplysninger kan også tenkes å oppstå på steder som ikke har eget IT-personale, eller hvor slikt personale ikke er tilgjengelig.

Omfanget av opplysningsplikten er begrenset til det som er nødvendig for å gi tilgang til datasystemet. Med tilgang til datasystemet menes også tilgang til data som er lagret i systemet. Slik tilgang kan for eksempel kreve at politiet gis opplysninger om tilgangskoder.

En person kan bare pålegges av gi «nødvendige» opplysninger. Avgjørende er dermed hvilke opplysninger som er påkrevd for at politiet skal få tilgang til datasystemet. Begrensningen innebærer for eksempel at det ikke kan gis pålegg om å gi opplysninger som ikke berører det datasystemet som er omfattet av ransakingsbeslutningen.

Videre begrenses adgangen til å pålegge opplysningsplikt av det alminnelige forholdsmessighetsprinsippet i straffeprosessloven § 170a. Om forholdsmessighetsvurderingen, se punkt 3.4.3.3. Opplysningsplikt kan bare pålegges dersom det er tilstrekkelig grunn til det. Bruk av opplysningsplikt kan som utgangspunkt bare sies å være velbegrunnet dersom plikten er egnet til å gi den ønskede virkningen, det vil si lette gjennomføringen av ransakingen, og det ikke finnes mindre inngripende, alternative virkemidler som er like egnede. Dernest må forholdsmessigheten av bruk av opplysningsplikt vurderes. Forholdsmessighetsvurderingen innebærer en interesseavveining av flere ulike hensyn, som for eksempel hensynet til den opplysningsplikten rettes mot, hensynet til etterforskningen og hensynet til besitteren av opplysningene eller den opplysningene gjelder.

Henvisningen til domstolsloven § 206 i annet ledd innebærer at unnlatelse av å etterkomme et pålegg om å gi opplysninger kan straffes med rettergangsbot.

Til ny § 215 a

Bestemmelsen gjelder midlertidig sikring av elektronisk lagrede data som ledd i etterforskningen av straffesaker. Om bakgrunnen for bestemmelsen, se punkt 3.2.

Det fremgår av første ledd at påtalemyndigheten på nærmere vilkår kan gi pålegg om sikring av elektronisk lagrede data som antas å ha betydning som bevis. Med «sikring» menes ethvert tiltak som ivaretar de aktuelle dataenes integritet, tilgjengelighet og autensitet. Sikring kan skje ved at det tas kopi av de dataene saken gjelder, eller ved at dataene gjøres utilgjengelige for andre enn den pålegget retter seg mot. Det vil kunne variere hvilken form for sikring som er mest hensiktsmessig i det enkelte tilfellet.

Et sikringspålegg kan omfatte alle former for elektroniske «data», uten hensyn til om dataene er bærere av tall, symboler eller bokstaver, om disse i kombinasjon er meningsbærende og om dataene er kryptert. Bestemmelsen omfatter dermed både trafikkdata og andre former for data, herunder e-post og filer med lyd, bilder eller tekst. Det er imidlertid et vilkår at de aktuelle dataene foreligger i elektronisk lagret form på det tidspunktet sikringspålegget utferdiges. Et sikringspålegg kan dermed ikke gis virkning fremover i tid, i motsetning til en beslutning om kommunikasjonskontroll etter straffeprosessloven §§ 216 a og 216 b.

Bestemmelsen gir ikke uten videre hjemmel til å sikre alle elektronisk lagrede data som tilhører den mistenkte. Det er et vilkår at dataene «antas å ha betydning som bevis» i straffesaken mot vedkommende. Dette vilkåret skal tolkes på samme måte som det tilsvarende vilkåret i straffeprosessloven § 203 om beslag. Rettspraksis og andre rettskildefaktorer i tilknytning til § 203 vil dermed være av betydning ved tolkningen av utkastet til ny § 215 a.

De materielle vilkårene for å beslutte sikring varierer etter hvilke data sikringspålegget retter seg mot: Terskelen er lavest når det gjelder sikring av trafikkdata. Vilkåret er her at det at foreligger «mistanke» om en straffbar handling. Dette kravet vil være oppfylt dersom det foreligger visse objektive holdepunkter for at den mistenkte har begått den handlingen saken gjelder. En helt løs mistanke vil derimot ikke være tilstrekkelig. Utkastet til ny § 215 a krever derimot ikke at det foreligger skjellig grunn til mistanke. Terskelen er av personvernhensyn noe høyere når det gjelder sikring av andre former for data. I slike tilfeller er det et vilkår for sikring at mistanken gjelder en straffbar handling som etter loven kan medføre en høyere straff enn fengsel i 6 måneder, jf. første ledd. Det er gjort unntak fra strafferammekravet for straffeloven § 390 a. Ved vurderingen av om strafferammekravet er oppfylt, kommer forhøyelse av maksimumsstraffen ved gjentakelse eller sammenstøt av forbrytelser ikke i betraktning.

Det fremgår av annet ledd at en mistenkt skal gis underretning om beslutningen straks har får status som siktet i saken, jf. straffeprosessloven § 82. Han vil dermed ha krav på underretning senest på det tidspunkt når påtalemyndigheten har erklært ham for siktet, når forfølging mot ham er innledet ved retten eller når det er besluttet eller foretatt pågripelse, ransaking, beslag eller lignende forholdsregler rettet mot ham. Er det besluttet utsatt underretning om et tvangsmiddel, inntrer stillingen som siktet først når underretning gis, jf. straffeprosessloven § 82 tredje ledd. I så fall skal den siktede samtidig gis underretning om sikringspålegget.

Et sikringspålegg gjelder for et bestemt tidsrom, som ikke må være lengre enn nødvendig, jf. tredje ledd. Sikringsperioden kan høyst utgjøre 90 dager om gangen. Dersom beslutningen treffes etter begjæring fra fremmed stat, skal sikringsperioden være minst 60 dager, jf. artikkel 29 nr. 7.

Det følger av henvisningen til straffeprosessloven § 197 tredje ledd at sikringspålegget så vidt mulig skal være skriftlig og opplyse om hva saken gjelder, formålet med sikringen og hva den skal omfatte. En muntlig beslutning skal snarest mulig nedtegnes. Enhver som rammes av sikringspålegget kan straks eller senere kreve brakt inn for retten spørsmålet om det skal opprettholdes, jf. henvisningen til § 208 første og tredje ledd. Praktisk sett vil det først bli spørsmål om rettslig overprøving etter at den mistenkte har fått status som siktet, jf. ovenfor.

Etter fjerde leddskal den sikringspålegget retter seg mot, etter begjæring utlevere opplysninger som er nødvendige for å avdekke hvor de aktuelle dataene kom fra, og hvor de i tilfelle ble sendt til. Slik utlevering krever ikke at det foreligger skjellig grunn til mistanke. På dette punktet rekker lovutkastet lengre enn straffeprosessloven § 210. Utleveringsplikten omfatter imidlertid ikke andre data enn trafikkdata, og heller ikke alle de trafikkdataene som tjenestetilbydere har sikret. Politiet har bare krav på å få de dataene som kan bidra til å spore en bestemt kommunikasjonsoverføring.

Til forsiden