NOU 2007: 2

Lovtiltak mot datakriminalitet— Delutredning II

Til innholdsfortegnelse

9 Spesielle motiver

9.1 Utkastet § 1. Definisjoner

Utkastet § 1 inneholder legaldefinisjoner av de mest sentrale begrepene i lovforslaget. I kapittel 5.2 er det redegjort for de generelle overveielsene knyttet til begrepsbruken.

9.1.1 Utkastet § 1 bokstav a. Datasystem

Utkastet § 1 bokstav a lyder:

«Datasystem: Enhver innretning, bestående av maskinvare og data, som foretar behandling av data ved hjelp av dataprogram.»

«Datasystem» er benyttet i følgende bestemmelser i datakrimkapitlet: § 2 (elektronisk kartlegging), § 3 (ulovlig anbringelse av utstyr m.v.), § 4 (ulovlig tilgang til datasystem), § 8 (uberettiget bruk av datasystem m.v.), § 10 (ulovlig befatning med tilgangsdata), § 12 (selvspredende dataprogram), § 13 (driftshindring) og § 16 (kontomisbruk).

«Datasystem» er et infrastrukturbegrep på linje med «elektronisk kommunikasjonsnett», jf. utkastet § 1 bokstav e. Se kapittel 9.1.5 om dette.

Uttrykket «enhver innretning» favner vidt, men er knyttet til vilkårene om at innretningen må bestå av «maskinvare og data» og at den må kunne foreta «behandling av data ved hjelp av dataprogram».

«Maskinvare» er fysisk utstyr.

«Data» er benyttet to ganger i definisjonen og har likt betydningsinnhold. Begge steder skal begrepet forstås som den informasjon som er omfattet av datadefinisjonen i utkastet § 1 bokstav c første punktum. Dette er elektroniske signaler som kan lagres eller behandles av et datasystem (eller kan overføres i et elektronisk kommunikasjonsnett). Den informasjon som er «data», jf. utkastet § 1 bokstav c annet punktum, er ikke direkte relevant i forhold til definisjonen av «datasystem», siden den må omformes til elektroniske signaler for å kunne behandles i et datasystem. Slik omforming kan for eksempel skje ved bruk av en skanner. En microfichleser er «teknisk utstyr» som nevnt i bokstav c annet punktum, og oppfyller ikke i seg selv vilkårene for å være et «datasystem», jf. bokstav a, se mer om dette nedenfor.

I definisjonen av «datasystem» benyttes «data» som betegnelse både for programutrustning og styringsfiler som sørger for datasystemets funksjonalitet og sikkerhet (aktiv form), og for de data som er gjenstand for lagring eller behandling på datasystemet (passiv form). I uttrykket «maskinvare og data» skal data forstås i denne tosidige betydningen. I den del av definisjonen som gjelder «behandling av data» ved hjelp av dataprogram, har databegrepet passiv betydning, det vil si er gjenstand for automatisk behandling (herunder lagring).

For øvrig er «dataprogram» en underkategori av data, jf. utkastet § 1 bokstav b (se neste kapittel) og omfattes av databegrepet begge steder det er benyttet i utkastet § 1 bokstav a.

Av det foregående følger det at enhver innretning som kan foreta automatisk behandling av data er et «datasystem». Både av uttrykket «enhver innretning» og det at datadefinisjonen er sentral for innholdet i begrepet, følger det at «datasystem» skal forstås uavhengig av hvilket formål det tjener, hvilke tjenester det yter, hvilken samfunns- eller mediesektor det betjener og hvilket innhold det behandler. Eksempler på hva som omfattes er personlige datamaskiner, datamaskiner og servere som tilhører eller står i en bedrift, i den offentlige forvaltning, på internett, mobiltelefon, personlig digital assistent (PDA), rutere, basestasjoner, kringkastingssendere osv.

I kapittel 5.2.2 er det redegjort for at flere datasystemer kan inngå i et nett og som helhet anses som ett større datasystem. Det er også redegjort for at datasystem kan være komponent i et elektronisk kommunikasjonsnett, jf. utkastet § 1 bokstav e, og omfattes av formuleringen «annet koplings- eller dirigeringsutstyr». Likeledes kan et elektronisk kommunikasjonsnett være komponent i et datasystem.

Vilkåret om at innretningen må kunne foreta behandling av data ved hjelp av dataprogram innebærer en avgrensning overfor komponenter og periferienheter som ikke oppfyller dette vilkåret selvstendig sett. En harddisk eller minnepinne som er koblet til en prosessor, er del av et «datasystem», men dersom den er koblet fra og for eksempel ligger løst i en hylle, er den å anse som et lagringsmedium som ikke alene er et «datasystem». Definisjonen inneholder ikke noen formulering som åpner for at del av et datasystem er omfattet selvstendig sett. Det er vanlig at en innretning som utfører automatisk databehandling består av forskjellige komponenter som kan kobles til og fra. Det er altså bare når komponentene er sammenkoblet at de utgjør den innretning som anses som datasystem. Av dette følger også at en innretning oppfyller vilkårene for å være datasystem når det er bygd opp av ulike komponenter som til sammen evner å utføre automatisk databehandling.

Andre eksempler på slike komponenter eller periferienheter er tastatur, mus, cd, dvd og harddisk.

9.1.2 Utkastet § 1 bokstav b. Dataprogram

Utkastet § 1 bokstav b lyder:

«Dataprogram: Data i form av en sekvens instruksjoner som kan utføres i et datasystem, herunder kildekode.»

«Dataprogram» er benyttet i følgende bestemmelser i datakrimkapitlet: § 3 annet ledd (ulovlig anbringelse av utstyr m.v.), § 11 (skadelig dataprogram og utstyr) og § 12 (selvspredende dataprogram). Ifølge gjerningsbeskrivelsen i disse bestemmelsene er dataprogram et verktøy for å begå den ulovlige handling. Men selve definisjonen som sådan er deskriptiv og verken positivt eller negativet ladet.

«Dataprogram» er en underkategori av «data» og befinner seg som sådan på nivå over infrastrukturbegrepene. Se kapittel 5.2.2 om dette.

Definisjonen omfatter alle utviklingsstadier av et dataprogram, fra det skrives i kildekode, til det er kompilert og kan anvendes av en datamaskin (objektkode). Vilkåret er at det foreligger elektronisk, jf. betingelsen om at det må være «data», jf. definisjonen i utkastet § 1 bokstav c. Data er informasjon som er lesbar for en datamaskin. Kildekode som er skrevet på papir faller derfor utenfor definisjonen av dataprogram.

Sentralt i definisjonen er «sekvens instruksjoner som kan utføres i et datasystem». Informasjonen må altså gå ut på å instruere et datasystem, det vil si styre dets funksjoner eller prosesser, men som nevnt er det ikke noe vilkår at programmet er kompilert slik at det uten videre kan anvendes av datamaskinen.

Det vises ellers til bemerkningene om data i neste kapittel.

9.1.3 Utkastet § 1 bokstav c. Data

Utkastet § 1 bokstav c lyder:

«Data: Enhver representasjon av informasjon som lagres eller behandles av et datasystem eller som overføres i et elektronisk kommunikasjonsnett. I tillegg omfattes enhver representasjon av informasjon som ikke er lesbar uten bruk av teknisk utstyr.»

«Data» er benyttet i følgende bestemmelser i datakrimkapitlet, og da som betegnelse på det vernede objekt etter bestemmelsen: § 6 (datatyveri), § 7 (datamodifikasjon), § 9 (etterfølgende befatning med data og databasert informasjon m.v.) og § 10 (ulovlig befatning med tilgangsdata). I tillegg benyttes «data» i § 13 (driftshindring), men her for å betegne verktøyet for overtredelsen.

«Data» er signaler som lagres, behandles eller overføres over en infrastruktur og er følgelig på nivået over infrastrukturen i begrepshierarkiet. Det samme gjelder «dataprogram». Se kapittel 5.2.2 om dette.

«Data» er nøkkelbegrepet som de andre definisjonene bygger på, dog slik at definisjonen av «elektronisk kommunikasjonsnett» anvender formuleringen «elektronisk kommunikasjon» i stedet for «data som overføres», for å oppnå identitet med definisjonen i ekomloven.

Datadefinisjonen består av to punkter. Den viktigste fellesnevneren er at dataene krever teknisk utstyr for å kunne utnyttes. Det tekniske utstyret kan være «datasystem» eller «elektronisk kommunikasjonsnett», jf. første punktum, eller utstyr av annen art, jf. annet punktum, for eksempel en hullkortmaskin eller microfichleser. Etter definisjonen er «data» med andre ord ikke lesbar eller forståelig for et menneske, men for en maskin. Definisjonens annet punktum benytter ordet «lesbar», og av sammenhengen fremgår det at dette ikke innebærer at informasjonen skal være direkte lesbar for et menneske. Her betyr ordet «lesbar» at informasjonen lar seg registrere av dertil egnet teknisk utstyr, jf. eksemplene nevnt ovenfor. Når dataene foreligger i en slik representasjon at de er forståelige for et menneske, anses de som «databasert informasjon», jf. utkastet § 1 bokstav d.

Både første og annet punktum i datadefinisjonen benytter uttrykket «enhver representasjon av informasjon». Meningen er å få frem at hvilket innhold informasjonen har er uten betydning for om det er «data». Datadefinisjonen er utelukkende basert på tekniske kriterier. Dette er i samsvar med datakrimkonvensjonens krav, jf. definisjonen av «computer data» i artikkel 1, se merknadene i kapittel 5.2.1. Vilkårene etter første punktum er at informasjonen er representert i en slik form at den kan lagres eller behandles av et datasystem, eller overføres i et elektronisk kommunikasjonsnett. Første punktum gjelder følgelig elektroniske signaler, siden det bare er slike som kan utnyttes i datainfrastrukturen. Om forståelsen av begrepene «datasystem» og «elektronisk kommunikasjonsnett» vises det til de generelle merknadene i kapittel 5.2.2 og i særmerknadene i kapittel 9.1.1 og 9.1.5.

Annet punktum gjelder informasjon som ikke kan utnyttes av et datasystem eller i et elektronisk kommunikasjonsnett direkte, men som foreligger i en form som forutsetter bruk av teknisk utstyr for å kunne utnyttes, jf. de tidligere kommentarer om dette. Det kan for eksempel være tale om informasjon lagret på hullkort, på glassplate (microfich) og i integrerte kretser.

Det sentrale vilkår er at informasjonen «ikke er lesbar uten bruk av teknisk utstyr». Den vil altså ikke kunne gi mening for et menneske uten teknisk konvertering. Avgrensningen mot første punktum innebærer at den heller ikke kan anvendes direkte i datainfrastrukturen som nevnt, uten slik konvertering.

Annet punktum i definisjonen av data sørger for at maskinlesbar informasjon som ikke er elektroniske signaler, får et rettslig vern mot datakriminalitet. Dette er i samsvar med gjeldende rett, i hvert fall for så vidt gjelder uberettiget adgang til data, jf. straffeloven § 145 annet ledd. Det vises til bemerkningene i kapittel 5.2.2 om dette. De mest praktiske overtredelsesformer av straffebudene i utkastet §§ 6, 7, 9 og 10 hvor databegrepet er benyttet, vil nok være rettet mot data som definert i utkastet § 1 bokstav c første punktum. Men det er for eksempel tenkelig med tyveri av data som nevnt i bokstav c annet punktum, dersom det foretas uberettiget eksemplarfremstilling av en microfich eller av et hullkort. Videre kan man tenke seg datamodifikasjon begått ved å stanse ut uriktige hull i eldre hullkort. Det vises ellers til merknadene til de respektive straffebudene.

Siden innholdet er uten betydning for om en representasjon av informasjon er data, kan det slås fast at data kan inneholde enhver tenkelig type informasjon som tekst, lyd, bilde og dataprogram. Det er uten betydning om innholdet har økonomisk verdi og hvilke interesser eller rettigheter som måtte være knyttet til innholdet. Se merknadene i kapittel 5.2. Sett i forhold til gjeldende bestemmelser dekker databegrepet følgelig «data og programutrustning» i straffeloven §§ 145 annet ledd og 270 første ledd nr. 2, «telefonsamtale» og «opptak» i straffeloven § 145 a, «tilgangsdata» i straffeloven § 145b, «vernede tjenester» i straffeloven § 262 fjerde ledd og digitaliserte vernede verk i åndsverkloven § 1, som har et straffesanksjonert vern mot uberettiget beskyttelsesbrudd, kopiering og tilgjengeliggjøring for allmennheten, jf. § 2, jf. § 53a, jf. § 54 første ledd bokstav b. Denne oppramsingen av bestemmelser er ikke uttømmende, men angir noen praktiske områder for databegrepet, jf. definisjonen i lovforslaget.

Datadefinisjonen i bokstav c første punktum omfatter uttrykkelig data som kan lagres, behandles eller overføres. Om bakgrunnen for å ta med alternativet «behandles» vises det til merknadene i kapittel 5.2.2 i underkapitlet «Data og dataprogram». Ved fortolkningen av de straffebud som benytter ordet «data», må det tas hensyn til at definisjonen omfatter data i ulike tilstander. For eksempel datatyveribestemmelsen i utkastet § 6 rammer dermed kopiering av data som er lagret, og kopiering og tapping av en datastrøm, for eksempel på et datanettverk.

9.1.4 Utkastet § 1 bokstav d. Databasert informasjon

Utkastet § 1 bokstav d lyder:

«Databasert informasjon: Meningsinnholdet i data. »

«Databasert informasjon» er benyttet i følgende bestemmelser i datakrimkapitlet: § 5 (informasjonstyveri), § 9 (etterfølgende befatning med data og databasert informasjon m.v.) og § 10 (ulovlig befatning med tilgangsdata).

«Databasert informasjon» er på øverste nivå i begrepshierarkiet, og det er på dette nivået – eller stadiet i formidlingsprosessen – at et menneske kan gjøre seg kjent med innholdet. Det vises til kapittel 5.2.2 om dette. Vilkåret om at meningsinnholdet må være knyttet til «data» innebærer en viktig avgrensning mot meningsinnhold som formidles av andre informasjonsbærere (medier). Skrift på papir er ikke meningsinnholdet i «data». Dette gjelder selv om det er tale om en utskrift fra en datamaskin. Derimot omfattes innhold som kan leses på en skjerm, eller som kan høres, det vil si audiovisuelle sanseopplevelser formidlet fra data.

Vilkåret om at informasjonen skal kunne gi mening for et menneske ligger i uttrykket «meningsinnholdet». Dette gir anvisning på at det må kunne skje en menneskelig tolkning av informasjonen, men innebærer ikke noe vilkår om at informasjonen er forståelig eller faktisk ble forstått i et konkret tilfelle. Det er tilstrekkelig at den kan oppfattes (høres, ses, eller eventuelt føles, dersom det for eksempel gjelder dataimpulser som formidles til blinde). Det vesentlige er at det avgrenses mot informasjon som bare kan «leses» av en datamaskin eller annet teknisk utstyr, som er «data», jf. utkastet § 1 bokstav c. Et dataprogram i objektkode som bare kan leses av en datamaskin er ikke meningsinnholdet i data. Men kildekoden kan være databasert informasjon, for eksempel dersom den fremvises på dataskjermen slik at et menneske kan lese den.

Eksempler på «databasert informasjon» er innholdet (lyd og bilde) som formidles på skjermen til et fjernsynsapparat, en datamaskin eller en mobiltelefon, eller rent auditivt via lydbånd, cd- og mp3-spiller, i telefonsamtale osv.

Data kan være lagret, under behandling eller overføring, jf. definisjonen i bokstav c. Det samme gjelder følgelig meningsinnholdet i data, jf. bokstav d. Dette har særlig betydning i utkastet § 5 om informasjonstyveri, som dermed for eksempel omfatter både at et menneske uberettiget leser databasert informasjon fra en skjerm, og at et menneske avlytter en telefonsamtale mens den pågår (meningsinnholdet i data under overføring).

9.1.5 Utkastet § 1 bokstav e. Elektronisk kommunikasjonsnett

Utkastet § 1 bokstav d lyder:

«Elektronisk kommunikasjonsnett: System for elektronisk kommunikasjon der radioutstyr, svitsjer, annet koplings- og dirigeringsutstyr, tilhørende utstyr eller funksjoner inngår.»

«Elektronisk kommunikasjonsnett» er benyttet i følgende bestemmelser i datakrimkapitlet: § 2 (elektronisk kartlegging), § 3 (ulovlig anbringelse av utstyr m.v.), § 8 (ulovlig bruk av datasystem m.v.), og § 13 (driftshindring). I §§ 2 og 3 anvendes begrepet for å beskrive den straffbare fremgangsmåten. I de øvrige bestemmelsene angir begrepet det vernede objekt.

Definisjonen er likelydende med ekomlovens definisjon, jf. ekomloven § 1-5 nr. 2, se også bemerkningene i kapittel 5.2.3. Hensynet til begrepsharmonisering med ekomloven har medført at definisjonen inneholder uttrykket «elektronisk kommunikasjon» i stedet for «data som overføres», jf. formuleringen i datadefinisjonen i utkastet § 1 bokstav c. Uttrykkene er imidlertid ment å bety det samme.

I kapittel 5.2.3 er det redegjort for at elektronisk kommunikasjonsnett kan være del av et datasystem og vice versa. Når datasystem inngår i elektronisk kommunikasjonsnett omfattes det av formuleringen «annet koplings- og dirigeringsutstyr», jf. utkastet § 1 bokstav d.

9.2 Utkastet § 2. Elektronisk kartlegging

Utkastet § 2 lyder:

«For elektronisk kartlegging av datasystem straffes den som over et elektronisk kommunikasjonsnett uberettiget registrerer egenskaper på et datasystem for å kartlegge sårbarheter.

Straffen er bøter eller fengsel inntil 6 måneder. For grov overtredelse er straffen bøter eller fengsel inntil 1 år.»

Det vises til merknadene i kapittel 5.4.2.

Straffebudet rammer kartleggingsvirksomhet rettet mot andres datasystem. Straffebudet presiserer ikke uttrykkelig at datasystemet må tilhøre en annen, men vilkåret følger implisitt av at kartlegging av egenskaper på eget system ikke kan tenkes å være en rettsstridig handling.

Kartleggingsvirksomheten må skje via det elektroniske kommunikasjonsnettet, jf. formuleringen «over et elektronisk kommunikasjonsnett». Dette avgrenser straffebudet overfor kartlegging som skjer ved fysisk observasjon av et datasystem, eventuelt ved at det fotograferes eller lignende.

Den kartleggingsvirksomhet som rammes, skjer altså ved hjelp av dertil egnet programvare som utnyttes over det elektroniske kommunikasjonsnettet. Det er et vilkår at kartleggingen har som formål å avdekke sårbarheter på det datasystem som utsettes for kartleggingen. Med «sårbarheter» menes områder på datasystemet som lar seg misbruke for å skaffe ulovlig tilgang til datasystem, jf. utkastet § 4. Denne kunnskap om sårbarheter oppstår som følge av at kartleggingen avdekker at datasystemet er satt opp med programvare eller tjenester med kjente sikkerhetshull. De opplysninger som avdekkes av kartleggingsvirksomheten må altså kombineres med gjerningspersonens egen kunnskap om datasystemers sårbarheter. Slik kunnskap kan gjerningspersonen skaffe seg ved å benytte et kartleggingsverktøy som er programmert for å identifisere slike sårbarheter og varsle ham om det. Deretter er systemet sårbart for inntrengning, jf. utkastet § 4, datamodifikasjon, jf. utkastet § 7, og uberettiget bruk, jf. utkastet § 8.

9.3 Utkastet § 3. Ulovlig anbringelse av utstyr m.v.

Utkastet § 3 lyder:

«For ulovlig anbringelse av utstyr straffes den som uberettiget anbringer utstyr på eller i tilknytning til et datasystem eller elektronisk kommunikasjonsnett, for å

begå informasjons- eller datatyveri, jf. §§ 5 og 6, eller

tilegne seg tilgangsdata som nevnt i § 10.

Det samme gjelder den som installerer dataprogram på et datasystem for å begå handlinger som nevnt.

Straffen er bøter eller fengsel inntil 1 år. For grov overtredelse er straffen fengsel inntil 3 år.»

Det vises til merknadene i kapittel 5.4.3.

Straffebudet rammer anbringelse av «utstyr» (første ledd) eller installering av «dataprogram» (annet ledd) for å tilegne seg informasjon slik som beskrevet i første ledd bokstav a og b.

«Utstyr» i første ledd betyr fysisk utstyr som anbringes på eller i tilknytning til et datasystem eller elektronisk kommunikasjonsnett. Det kreves ikke at utstyret i seg selv kan karakteriseres som ulovlig. Det er bruken, det vil si anbringelsen av utstyret for å oppnå et formål som angitt i bokstav a eller b, som er straffbar. Eksempel på hva som omfattes av første ledd er et videokamera som monteres i nærheten av en minibank for å filme tastetrykk, en «falsk front» eller mekanisk tastetrykksregistrator som monteres på selve minibanken, avlyttingsutstyr som monteres i en telefonsentral (datasystem) eller på det elektroniske kommunikasjonsnettet, og en fysisk tastetrykksregistrator som monteres på tastaturkabelen til et datasystem.

Av formuleringen «på eller i tilknytning til» følger det at det ikke er noen betingelse at utstyret anbringes direkte på det datasystem eller elektroniske kommunikasjonsnett som kan avgi informasjon som nevnt i bokstav a og b. Ofte er det aktuelt å plassere utstyret «på» objektet, som for eksempel den falske fronten eller avlyttingsutstyret, mens et videokamera vil kunne anses plassert «i tilknytning til» objektet. Det er tilstrekkelig for oppfyllelse av tilknytningskriteriet at utstyret er slik plassert at det kan fange opp informasjonen som nevnt.

Etter annet ledd er det straffbart å installere «dataprogram på et datasystem». Dette alternativet dekker det samme tilfellet som nevnt i første ledd når fremgangsmåten baserer seg på bruk av et dataprogram. Et praktisk eksempel er installering av en nettverkssniffer for å avlytte data som overføres på det elektroniske kommunikasjonsnettet. Snifferen er installert på datasystemet som står i nettet, og registrerer den trafikk som passerer, også trafikk som ikke er adressert til en selv og som man følgelig er uberettiget til å registrere. Programmet kan også være satt opp til å fange opp passord som sendes over nettet, og fungerer da som en programvarebasert tastetrykksregistrator, se kapittel 3.4.6.

Hvorvidt datasystemet som dataprogrammet er installert på tilhører en selv eller en annen, er uten betydning for straffbarheten. Det vises til begrunnelsen i de generelle merknadene kapittel 5.4.3. Dersom installering skjer på en annens system vil det være aktuelt å anvende utkastet § 3 i idealkonkurrens med utkastet § 7 (datamodifikasjon).

Straffbar anbringelse eller installering etter første og annet ledd er betinget av at det skjer for å utføre handlinger som beskrevet i første ledd bokstav a eller b.

Alternativet i første ledd bokstav a rammer det «å begå informasjons- eller datatyveri, jf. §§ 5 og 6». Det vises til merknadene til disse bestemmelsene. Eksempelvis vil plassering av avlyttingsutstyr kunne straffes etter utkastet § 3 første ledd bokstav a, jf. utk § 5, dersom det skal lyttes samtidig som utstyret er i bruk, eller, jf. utkastet § 6, dersom avlyttingsutstyret direkte benyttes for tapping av data under overføring som lagres til et lagringsmedium.

Alternativet i første ledd bokstav b gjelder det «å tilegne seg tilgangsdata som nevnt i § 10». Mens utkastet § 10 rammer den konkrete rettsstridige befatning med tilgangskodene, herunder anskaffelse og fremstilling, rammer utkastet § 3 første ledd bokstav b, plassering av utstyr eller dataprogram for å anskaffe eller fremstille tilgangskodene. Anbringelse av et videokamera ved en minibank for å fange opp tastetrykk, og av dataprogram for å registrere passord som sendes over nettet, er praktiske eksempler på hva som omfattes av dette alternativet.

Subjektivt kreves det forsett. Dette gjelder også for alternativene i bokstav a og b, jf. formuleringen «for å». Det er tilstrekkelig å bevise at gjerningspersonen på tidspunktet for anbringelse eller installering, var klar over at utstyret eller dataprogrammet ville skaffe informasjon som nevnt i bokstav a og b, når det ble tatt i bruk eller aktivisert.

9.4 Utkastet § 4. Ulovlig tilgang til datasystem

Utkastet § 4 lyder:

«For ulovlig tilgang straffes den som uberettiget skaffer seg tilgang til hele eller del av et datasystem.

Straffen er bøter eller fengsel inntil 3 år. For grov overtredelse er straffen fengsel inntil 6 år. For liten overtredelse er straffen bøter eller fengsel inntil 6 måneder.»

Det vises til de uførlige merknadene i kapittel 5.6.2.

Nøkkelformuleringen er «hele eller del av et datasystem». Datasystem er definert i utkastet § 1 bokstav a, og er koblet til begrepet «data», jf. utkastet § 1 bokstav c. Av dette følger at det ikke har noen betydning hva slags datasystem det er tale om, dets formål, innehaverens virksomhet eller det innhold det behandler.

Bestemmelsen anvender ikke noe vilkår om beskyttelsesbrudd, se begrunnelsen i kapittel 5.6.2. I praksis vil imidlertid beskyttelsesbrudd (som passordinnbrudd) og fremgangsmåter som har vært likestilt med dette (som sårbarhetsinnbrudd) være en praktisk overtredelsesmåte. Disse fremgangsmåtene er beskrevet i kapittel 3.4.1. Dersom tilgangen skjer ved beskyttelsesbrudd skal det tas i betraktning som en skjerpende omstendighet ved handlingen, jf. utkastet § 18.

Bestemmelsen rammer selve den uberettigete tilgang. En naturlig følge av slik tilgang vil være at data på systemet ulovlig tilegnes, eventuelt at datasystemet tas i ulovlig bruk. Dette er handlinger som i tid kommer etter at tilgang er oppnådd og som straffes av andre bestemmelser i lovforslaget, jf. utkastet §§ 5, 6 og 8. Disse bestemmelsene kan derfor anvendes i realkonkurrens med utkastet § 4. Vilkåret om tilgang innebærer en avgrensning mot elektronisk kartlegging av datasystem. Slik kartlegging gir ikke «tilgang» til datasystemet eller noen del av dette. Kartlegging rammes som en selvstendig straffbar handling, jf. utkastet § 2.

9.5 Utkastet § 5. Informasjonstyveri

Utkastet § 5 lyder:

«For informasjonstyveri straffes den som uberettiget tilegner seg

databasert informasjon, eller

utskrift av databasert informasjon.

Straff etter første ledd bokstav b kommer ikke til anvendelse ved handling som går inn under § 257 (tyveribestemmelsen).

Straffen er bøter eller fengsel inntil 3 år. For grov overtredelse er straffen fengsel inntil 6 år. For liten overtredelse er straffen bøter eller fengsel inntil 6 måneder.»

Det vises til de generelle merknadene i kapittel 5.5.1 og 5.5.2.

Straffebudet gjelder uberettiget tilegnelse av databasert informasjon (første ledd bokstav a) og av utskrift av databasert informasjon (første ledd bokstav b). Bestemmelsen gir et generelt vern mot informasjonstyveri uavhengig av karakteren av innholdet. Supplementet i første ledd bokstav b er nødvendig for å fange opp handlinger som har nær sammenheng med tilegnelse av databasert informasjon. Tilegnelse av databasert informasjon, jf. første ledd bokstav a, innebærer et vilkår om at handlingen skjer direkte overfor det databaserte innholdet, for eksempel ved avlesing av et skjermbilde eller avspilling av et båndopptak. Papirutskrifter omfattes ikke av dette alternativet. Uten supplementet i første ledd bokstav b vil ikke slike papirutskrifter ha noe tilfredsstillende strafferettslig vern mot uberettiget tilegnelse. Det vises til merknadene i kapittel 5.5.2 om dette.

Straffebudet er på samme vis som de øvrige bestemmelser i lovforslaget, innholds- og teknologinøytralt. Det dekker følgelig databasert informasjon av enhver karakter. Vilkåret er at tilegnelsen er rettsstridig. I den grad tilegnelsen gjelder opphavsrettslig vernet materiale må rettsstridsreservasjonen som i dag står i åndsverkloven § 53a tredje ledd annet punktum, iakttas.

Informasjonstilegnelsen kan gjelde data som er lagret, behandles eller som overføres. Dette følger av koblingen mellom definisjonen av «databasert informasjon» i utkastet § 1 bokstav d, jf. definisjonen av «data» i utkastet § 1 bokstav c. Eksempler på databasert informasjon under overføring kan være telefonsamtaler, internettkommunikasjon og datakommunikasjon på et bedriftsnett. Videre kan det omfatte overføring av radio- og kringkastingssignaler og av informasjonssamfunnstjenester, jf. gjeldende bestemmelse i straffeloven § 262 fjerde ledd. Tilegnelseshandlingen vil bestå i å se eller lytte til kommunikasjonsstrømmen, fordi sansebruken er en betingelse for at den kan anses som «meningsinnhold i data». Det samme gjelder overføringen av beskyttede vernede verk, jf. åndsverkloven § 53a første ledd, jf. § 2 siste ledd. En tilegnelse som utelukkende består i å kopiere eller tappe kommunikasjonsstrømmen uten å se eller lytte til denne, er eventuelt et datatyveri som kan rammes av utkastet § 6.

9.6 Utkastet § 6. Datatyveri

Utkastet § 6 lyder:

«For datatyveri straffes den som uberettiget kopierer, overfører eller på annen måte tilegner seg data.

Straffen er bøter eller fengsel inntil 3 år. For grov overtredelse er straffen fengsel inntil 6 år. For liten overtredelse er straffen bøter eller fengsel inntil 6 måneder. »

Det vises til de generelle merknadene i kapittel 5.5.1 og 5.5.2.

Straffebudet er på samme vis som de øvrige bestemmelser i lovforslaget, innholds-, teknologi- og medienøytralt. Data er representasjon av informasjon som kan lagres eller behandles av et datasystem eller overføres i et elektronisk kommunikasjonsnett. I tillegg omfattes annen representasjon av informasjon som krever bruk av teknisk utstyr for å være lesbar, se utkastet § 1 bokstav c. Straffebudet rammer følgelig handlinger hvor tilegnelsen skjer maskinelt. Tilegnelse ved sansebruk rammes av utkastet § 5.

Tilegnelsen kan bestå i å kopiere eller overføre data. I tillegg omfattes andre varianter gjennom sekkealternativet «på annen måte». Dette alternativet er antakelig mest aktuelt når det er tale om å tilegne seg data som nevnt i utkastet § 1 bokstav c annet punktum. Se kapittel 9.1.3 om dette.

Kopiering innebærer å lage et duplikat av dataene. For at det skal anses som en «tilegnelse» må kopien flyttes til et sted utenfor den berettigedes kontroll, for eksempel ved at data kopieres fra en bedriftsserver til cd-rom som lovovertrederen disponerer. Det er ikke noe vilkår at cd-platene faktisk er ført ut av bedriften. Det er tilstrekkelig for fullbyrdet tilegnelse at dataene er overført til cd-platene, når dette må anses som rettsstridig i forhold til den berettigete. Rettsstriden må avgjøres på grunnlag av en totalvurdering av situasjonen og de aktuelle regler og retningslinjer som kan være relevant i en slik situasjon. Se merknadene i kapittel 5.3. Data lar seg imidlertid også kopiere innenfor samme datasystem. Dersom man på denne måte dupliserer eller eventuelt flytter rundt på data på et system, vil de normalt fremdeles være under den berettigetes rådighet. Forutsatt at kravet til rettsstrid er oppfylt er det mest nærliggende å bedømme et slikt tilfelle etter reglene om datamodifikasjon og uberettiget bruk av datasystem, jf. utkastet §§ 7 og 8. Det stilles spørsmål om dataene i dette tilfellet kan anses å være tilegnet slik at forholdet skal subsumeres som datatyveri. Problemstillingen kan sammenlignes med nedre grense for tyveri, se Rt. 1894 side 484.

Alternativet «overfører» tar sikte på at data utføres fra det sted de ordinært behandles eller lagres, ved bruk av en elektronisk kommunikasjonstjeneste. For eksempel kan data tilhørende en bedrift kopieres og overføres til lovovertrederen selv, som vedlegg til en e-post som går til hans private konto.

I alle de nevnte tilfelle taper den berettigete kontrollen med spredningen av dataene, og dette er avgjørende for om det foreligger en fullbyrdet tilegnelse. Det er som nevnt tilstrekkelig at kopieringen eller overføringen skjer til andre lagringsmedier eller kommunikasjonstjenester enn de som ordinært skal anvendes til oppbevaring av dataene. Spesielt med tanke på frittstående lagringsmedier, er det ikke noe vilkår for fullbyrdelse at lagringsmediene med de kopierte dataene rent faktisk er tatt ut av det fysiske området som den berettigete kontrollerer. Dette kan være særlig relevant med tanke på datatyveri i arbeidsforhold.

Tilegnelse kan også skje overfor data som overføres. Kopieringen, som også kalles tapping, skjer da mens kommunikasjonen pågår. Såfremt det bare er tale om kopiering til en lagringsenhet, som til en båndopptaker eller en datamaskin som lagrer større mengder data, eventuelt til cd-er m.v., er handlingen et datatyveri. Dersom lovovertrederen lytter til – eventuelt ser på – signalene samtidig som de kopieres, foreligger i tillegg et informasjonstyveri, jf. § 5. Dette utløser et konkurrensspørsmål mellom utkastet §§ 5 og 6 som må løses etter en totalvurdering av den konkrete situasjon.

9.7 Utkastet § 7. Datamodifikasjon

Utkastet § 7 lyder:

«For datamodifikasjon straffes den som uberettiget endrer, ødelegger, sletter eller skjuler andres data.

Straffen er bøter eller fengsel inntil 3 år. For grov overtredelse er straffen bøter eller fengsel inntil 6 år. For liten overtredelse er straffen bøter eller fengsel inntil 6 måneder.»

Det vises til merknadene i kapittel 5.6.3.

Dette straffebudet gir data et selvstendig vern mot skadevoldende handlinger. Data er definert i utkastet § 1 bokstav c. Skadevoldende handlinger rettet mot det fysiske utstyret (datainfrastrukturen) skal bedømmes etter andre straffebud om fysisk skadeverk.

Straffebudet oppstiller flere likestilte alternative overtredelsesformer, jf. «endrer, ødelegger, sletter eller skjuler andres data». Disse alternativene beskriver integritetskrenkelser overfor data og betegnelsen på handlingene er følgelig «datamodifikasjon» (se merknader om denne terminologien i kapittel 4.6.2). Objektet for integritetskrenkelsen kan være en enkelt datafil, som for eksempel rettsstridig sletting av en annens word-dokument. Men selv om handlingen rent isolert sett rammer en enkelt fil kan den utgjøre en integritetskrenkelse overfor datasystemet som sådan. Dette kan være tilfelle dersom slettingen gjelder en viktig programfil som styrer prosessene på systemet. Følgen av handlingen er at datasystemet er ute av stand til å utføre de prosesser som ville fulgt av programmet.

Straffebudet stiller imidlertid ikke noe krav til følgen av handlingen, men følgen kan få betydning for om handlingen er grov eller liten, jf. utkastet §§ 18 og 19 og for straffutmålingen.

De ovennevnte eksempler gjelder handlinger voldt overfor data organisert i filsystemer, men det er ikke noe vilkår at objektet er en data fil. Enhver krenkelse som nevnt overfor data er omfattet av straffebudet, for eksempel integritetskrenkelser overfor data organisert i en database. Som et eksempel fra rettspraksis kan det vises til Rt. 2004 side 94, hvor domfelte slettet alle data i en kundedatabase.

Alternativet «endrer» er hovedalternativet. I realiteten dekkes de øvrige alternativene langt på vei av «endrer». Når de likevel er inntatt i straffebudet skyldes det pedagogiske og informative grunner. Det blir lettere i praksis å se hvordan bestemmelsen kommer til anvendelse.

Alternativet «endrer» må også avgrenses mot handlinger som rammes av utkastet § 8 om ulovlig bruk av datasystem. Den som benytter en annens datasystem for å skade innholdet gjør seg skyldig i overtredelse både av utkastet §§ 7 og 8. Men enhver bruk av datasystem innebærer at det skrives til systemet, og en slik tilførsel av data innebærer en endring etter ordlyden i utkastet § 7. Likevel skal ikke alle disse tilfellene anses som datamodifikasjon, jf. utkastet § 7, selv om bruken måtte være rettsstridig. Avgjørende er om endringen er rettet mot «andres data». Dette er forskjellig fra «andres datasystem», jf. utkastet § 8. Dersom en annens datasystem for eksempel tas i bruk for å lagre eget materiale (film, musikk, pornografi) er handlingen rettet mot datasystemets kapasitet (lagringsplass) og ikke mot data som ligger der fra før. Slik bruk vil kunne registreres i loggen og for så vidt innebære en endring i denne, men dette er heller ikke en endring etter utkastet § 7. Endringen i loggen er i et slikt tilfelle resultat av en ordinær funksjon på datasystemet. Dette skal altså eventuelt bedømmes etter utkastet § 8, forutsatt at bruken er rettsstridig.

Endring i utkastet § 7 innebærer at det foretas rettsstridige tilføyelser eller slettinger i eksisterende data slik at innholdet ikke lenger er slik som bestemt av den berettigete. Videre omfattes tilføyelser eller slettinger i programoppsettet ved tilførsel eller sletting av programfiler. Endringen i selve filen gjør at innholdet ikke lenger er intakt og dette er avgjørende, jf. utkastet § 7. Hvorvidt innholdet er blitt riktig eller galt (selv om det siste ofte vil være tilfelle) er uten betydning for straffbarheten. Den innholdsmessige siden gjelder kvalitetskriteriet, det vil si en egenskap som ikke omfattes direkte av integritetsvernet. Men integritet er en forutsetning for å kunne stole på at innholdet – og følgelig kvaliteten – er intakt. Det er altså en sammenheng mellom egenskapene.

Eksempler på endringer i data, jf. utkastet § 7, er å tilføye eller slette brukere i passordfilen, å slette innholdet i logger (for eksempel for å redusere muligheten for å bli oppsporet og strafforfulgt), å endre innholdet i en kildekode, og å endre innholdet i et word-dokument eller excel-fil.

Et eksempel på endringer i programoppsettet kan være å tilføye en «bakdør», det vil si åpne en tjeneste som skulle vært stengt slik at man lettere kan skaffe seg tilgang til systemet senere. Man kan også erstatte en programfil med en annen som inneholder avvikende egenskaper. En slik «utskifting» består i realiteten av flere handlinger (kommandoer), hvor det opprinnelige programmet slettes eller på annen måte settes ut av funksjon, og en tilførsel (kopiering) av det nye programmet. Tilfellet rammes således både av alternativet «endrer» og «sletter».

«Ødelegger» har liten selvstendig betydning ved siden av «endrer». Men dersom gjerningspersonen krypterer andres data, slik at de ikke lenger lar seg utnytte av den berettigete, er dette et treffende alternativ.

«Slette» betyr å fjerne data. Et praktisk eksempel er å slette logger for å fjerne spor etter egen straffbar handling. Formålet kan også være å svekke muligheten for å overvåke sikkerheten på datasystemet mer generelt.

Det kreves ikke at slettingen er utført så grundig at dataene ikke lar seg gjenskape. Enhver form for sletting omfattes. Også dette er en handling som grunnleggende sett er en variant av å endre data.

«Skjuler» kan gå ut på å kryptere andres data (som også kan anses som å ødelegge data), eller flytte data fra ett sted til et annet på datasystemet slik at de mister sin funksjon. Et eksempel kan være å flytte en html-fil inneholdende en hjemmeside på internett, slik at innholdet ikke lenger vises på internett. Filen kan likevel ligge intakt på datasystemet, bare slik at innholdet er blitt utilgjengeliggjort for omverdenen. Da er den «skjult», jf. utkastet § 7. Dersom filen flyttes helt vekk fra datasystemet, til et annet datasystem eller datalagringsmedium, anses handlingen som å slette data. I tillegg er det et datatyveri, jf. utkastet § 6.

Som det har fremgått kreves det ikke at skaden er uopprettelig. Iblant vil det være mulig å gjenskape slettede data ved å rekonstruere dem. Det kan også være at de data som har blitt utsatt for krenkelse finnes i form av en sikkerhetskopi som fremdeles er intakt. Like fullt foreligger en fullbyrdet overtredelse av utkastet § 7. Det er i samsvar med gjeldende rett, jf. straffeloven § 291, som også rammer skadeverk av midlertidig karakter. Se Rt. 1966 side 905 og Rt. 1986 side 571.

Rettslig sett kommer utkastet § 7 til anvendelse også på data som er lagret på andre tekniske lagringsmedier, jf. utkastet § 1 bokstav c annet punktum, for eksempel på hullkort, men det antas at slike overtredelser ikke er særlig praktiske. Det vises dog til eksemplet i kapittel 5.6.3.

Rt. 2004 side 1619 (videre kjæremål over lovanvendelsen) omhandler datamodifikasjon utført ved å foreta endring i passordliste og tilføyelse av «bakdør». Endringene hadde ikke betydning for brukerfunksjonaliteten, men hadde sikkerhetsmessige konsekvenser for systemet. Dette ble av Høyesterett bedømt som skadeverk, jf. straffeloven § 291. Utkastet § 7 viderefører denne rettstilstanden, dog slik at det ikke er nødvendig å vurdere konsekvensene for datasystemet. Det er tilstrekkelig å konstatere at integriteten av dataene er blitt krenket. Konsekvensene kan ha betydning for om lovbruddet anses grovt eller lite, jf. utkastet §§ 18 og 19.

9.8 Utkastet § 8. Uberettiget bruk av datasystem

Utkastet § 8 lyder:

«For uberettiget bruk straffes den som uberettiget benytter andres datasystem eller elektroniske kommunikasjonsnett. Bruk av andres tilgangspunkt til internett i usikret trådløst elektronisk kommunikasjonsnett anses ikke som uberettiget.

Straffen er bøter eller fengsel inntil 1 år. For grov overtredelse er straffen bøter eller fengsel inntil 3 år.»

Det vises til merknadene i kapittel 5.6.5.

Straffebudet rammer den som uberettiget benytter andres datasystem eller elektroniske kommunikasjonsnett, det vil si datainfrastrukturen som definert i utkastet § 1 bokstav a og e.

De generelle merknadene til begge punkter i første ledd er utførlige og gir liten foranledning til supplering i de spesielle merknadene. Her skal det bare kort konstateres at med «bruk» menes faktiske handlinger og ikke rettslige disposisjoner. Hvorvidt bruken er rettsstridig og rammes av utkastet § 8, må avgjøres på grunnlag av andre lovregler, de retningslinjer som gjelder for bruken av det aktuelle system, kutyme og en bedømmelse av handlemåten sett i forhold til datasystemets formål m.v.

Bruk som forestås av personer som er uberettiget til å skaffe seg tilgang til datasystemet, jf. utkastet § 4, vil rammes av utkastet § 8, selv om bruken gjelder ordinære funksjoner på systemet. Bruk som foretas av personer som har lovlig tilgang til systemet, må vurderes i lys av øvrige regler og retningslinjer som nevnt.

Utkastet § 8 ville kunne anvendes i visse typer «telleskrittsaker». Det vises til kapittel 5.8.7 om dette.

I første ledd annet punkt presiseres det at bruk av en annens tilgangspunkt til internett i usikret trådløst nettverk, ikke anses å være rettsstridig. Det er gitt en utførlig begrunnelse for dette i de generelle merknadene i kapittel 5.6.5 i underkapitlet «Rettsstridsreservasjonen» underpunkt b, og det henvises dit. Regelen reiser ikke spesielle tolkingsproblemer. Det kan dog presiseres at den ikke gjør tilgang til øvrige deler av en annens usikrede datasystem rettmessig. Dette rammes uansett av utkastet § 4.

9.9 Utkastet § 9. Etterfølgende befatning med ulovlig data og databasert informasjon m.v.

Utkastet § 9 lyder:

«For etterfølgende befatning med data og databasert informasjon straffes den som uberettiget benytter, avhender eller tilgjengeliggjør data eller databasert informasjon som er utbytte av en handling som er straffbar etter dette kapitlet.

Straffen er bøter eller fengsel inntil 3 år. For grov overtredelse er straffen fengsel inntil 6 år. For liten overtredelse er straffen bøter eller fengsel inntil 6 måneder.»

Det vises til merknadene i kapittel 5.5.3.

Straffebudet i utkastet § 9 gjelder etterfølgende befatning med utbytte av straffbar handling og er følgelig beslektet med straffeloven § 317 om heleri, hvitvasking og sikringshandlinger. Utkastet § 9 er en spesialregel som kommer til anvendelse når utbyttet består i «data og databasert informasjon» og stammer fra en handling som er straffbar etter reglene i datakrimkapitlet. Det mest praktiske er at primærforbrytelsen består i overtredelse av reglene om informasjons- og datatyveri, jf. utkastet §§ 5 og 6, men også data og databasert informasjon som for eksempel anskaffes via elektronisk kartlegging, jf. utkastet § 2, kan være utbytte i utkastet § 9 sin forstand.

Etter gjeldende rett omfattes data og databasert informasjon av utbyttebegrepet i straffeloven § 317, men på grunn av den særegne karakteren av slikt utbytte reiser det seg noen egne problemstillinger hvor det kan være tvilsomt om straffeloven § 317 strekker til. Disse problemstillingene er belyst i kapittel 5.5.3. På grunn av den store økonomiske verdien som ligger i slikt utbytte er det behov for eksplisitt straffehjemmel, jf. utkastet § 9, som følgelig er å anse som lex specialis i forhold til straffeloven § 317.

Utkastet § 9 supplerer og presiserer straffeloven § 317 for å skape klar hjemmel for straff for tilfeller som ellers kunne fremstå som tvilsomme. Utkastet § 9 dekker ikke uttrykkelig heleri og hvitvaskingsalternativene i straffeloven § 317 første ledd. Årsaken er at disse reglene ikke ses å reise spesielle spørsmål ved anvendelse på data og databasert informasjon. Ved heleri og hvitvasking er straffeloven § 317 første ledd fortsatt hovedbestemmelsen for data og databasert informasjon.

Tilgangsdata, skadelig dataprogram og selvspredende dataprogram kan også være utbytte av straffbar handling, for eksempel etter fremstillingsalternativet i utkastet §§ 10-12. I utgangspunktet er det meningen at utkastet §§ 10-12 uttømmende regulerer straffbar befatning med slikt utbytte. Alle de nevnte straffebestemmelsene inneholder alternativer i gjerningsbeskrivelsen som omfatter etterfølgende befatning, jf. «anskaffer». Etter de nevnte straffebudene er det (i motsetning til for utkast § 9), ikke noe vilkår at anskaffelsen skjer etter en forutgående primærforbrytelse. Det strafferettslige innslagspunktet settes altså tidligere enn for handlinger som bedømmes etter utkastet § 9. Men området for utkastet § 9 er vidt og det kan derfor oppstå tilfeller hvor straffebudet supplerer utkastet §§ 10-12.

«Data» og «databasert informasjon» i utkastet § 9, er definert i utkastet § 1 bokstav c og d, og det vises til merknadene til disse bestemmelsene.

Utkastet § 9 rammer etterfølgende handlinger enten de er begått av primærforbryteren eller en tredjeperson. I den grad handlingen begås av primærforbryteren, det vil si den som har begått data eller informasjonstyveriet, er straffebudet overlappende med straffeloven § 317 annet ledd. Utkastet § 9 går imidlertid lenger enn til å omfatte sikringshandlinger, idet både endelig realisasjon og endelig utnyttelse av utbyttet for primærforbryterens egen del omfattes. Dette skyldes de særegne hensyn som gjør seg gjeldende for data og databasert informasjon, hvor mulighet for naturalrestitusjon og erstatning kan være begrenset samtidig som den skadelige effekt gjør seg gjeldende for fullt. Det vises til merknadene i kapittel 5.5.3.

De straffbare alternativ etter gjerningsbeskrivelsen er «benytter», «avhender» og «tilgjengeliggjør».

Alternativet «benytter» gjelder det å utnytte utbyttet, for eksempel i sin egen virksomhet. Alternativet omfatter utnyttende handlinger som skjer ikke bare for å skjule utbyttet, men også som en endelig disponering, og også når utnyttelsen skjer av primærforbryteren selv. Det antas at utkastet § 9 her går lenger enn straffeloven § 317 annet ledd.

Alternativet «avhender» omfatter ikke bare sikringshandlinger, men også endelig realisasjon av utbyttet. Også dette alternativet omfatter avhending som begås av primærforbryteren selv, og rekkevidden av utkastet § 9 er dermed også her videre enn straffeloven § 317 annet ledd.

Alternativet «tilgjengeliggjør» omfatter for eksempel at dataene eller den databaserte informasjonen spres via e-post, legges tilgjengelig på en hjemmeside eller sies videre til andre (muntlig overlevering).

9.10 Utkastet § 10. Ulovlig befatning med tilgangsdata

Utkastet § 10 lyder:

«For ulovlig befatning med tilgangsdata straffes den som uberettiget anskaffer, innfører, fremstiller, besitter, markedsfører eller tilgjengeliggjør for andre passord, adgangskode, krypteringsnøkkel eller lignende som kan gi tilgang til data, databasert informasjon eller datasystem.

Straffen er bøter eller fengsel inntil 1 år. For grov overtredelse er straffen fengsel inntil 3 år.»

Det vises til merknadene i kapittel 5.7.4.

Nøkkelbegrepet er «tilgangsdata» som i bestemmelsen er angitt som «passord, adgangskode, krypteringsnøkkel eller lignende». Av «eller lignende» fremgår det at oppregningen ikke er uttømmende. For å omfattes av bestemmelsen er det videre et vilkår at tilgangsdataene kan gi tilgang til «data, databasert informasjon eller datasystem». Der de gir tilgang til andre objekter enn angitt i straffebudet faller de utenfor begrepet «tilgangsdata» i utkastet § 10. Praktiske eksempler på tilgangsdata som ikke omfattes av utkastet § 10 er slike som anvendes i elektroniske låssystemer til bygninger og biler.

Utkastet § 10 gjelder handlinger som kan inngå i forberedelsen til en handling som er straffbar etter utkastet §§ 4-6. Det er imidlertid ikke nødvendig å bevise at handlingen etter utkastet § 10 hadde som konkret formål å begå, forsøke, eller medvirke til å begå, en slik overtredelse. Det er tilstrekkelig å ha hatt en befatning som angitt i straffebudet med en tilgangskode som nevnt.

Overtredelse av utkastet §§ 4-6, når dette skjer ved rettsstridig bruk av tilgangsdata, kalles passordinnbrudd, eventuelt ulovlig dekoding. Eksempler på denne form for overtredelse av de nevnte straffebud er innlogging på et datasystem eller brukerkonto med et stjålet passord (utkastet § 4), uberettiget dekoding av betalingsbelagte tilgangskontrollerte kringkastingssignaler (utkastet § 5), og maskinell dekryptering av en kryptert passordliste som lagres i en fil med dekrypterte data (utkastet § 6).

I vanlig språkbruk omtales tilgangskoden i entall. Her gis den bokstaven A. Når koden A anvendes for å beskytte data, databasert informasjon eller datasystemer foreligger den imidlertid i to korresponderende representasjoner: A1 og A2. Den ene representasjonen (A1) er anvendt på dataene, den databaserte informasjonen eller på datasystemet. Dette er når data og databasert informasjon er kryptert, og datasystemet er tilgangskontrollert. Den andre korresponderende representasjonen av koden (A2) besittes av en ekstern aktør (person eller datasystem) som må avgi A2 for å oppnå tilgang. Når A2 avgis til systemet vil den gjenkjennes og aksepteres av A1. Dette har med autentiseringsrutinen å gjøre, se kapittel 4.6.2. Begge representasjonene av tilgangskoden kan være gjenstand for de befatningsformer som er angitt i utkastet § 10.

Det er uten betydning i forhold til utkastet § 10, om krypteringssystemet er symmetrisk eller asymmetrisk. Ved symmetrisk kryptering er A1 lik A2. Ved asymmetrisk kryptering er A2 definert ut fra A1, men er i formen ulik A1. Når det ovenfor er sagt at A1 og A2 er korresponderende nøkler, gjøres det ikke noen forutsetning om hvilken krypteringsform som er benyttet. Det sentrale er at A1 er implementert på objektet, mens A2 besittes av den som skal avgi tilgangskoden.

Siden tilgangskodene nevnt i utkastet § 10 anvendes på data, databasert informasjon eller datasystemer, vil A1 alltid være representert som «data» fordi den vil ligge implementert i det objekt den beskytter. Slik sett er uttrykket «tilgangsdata» i utkastet § 10 dekkende. Det er imidlertid ikke noe rettslig vilkår at den korresponderende koden A2 foreligger i form av «data». A2 kan være et passord som en person husker, eller som er skrevet ned på en papirlapp eller som er formidlet muntlig. A2 kan også foreligge som «databasert informasjon» og «data». Lister som verserer på internett med oppdaterte kodenøkler til bruk for piratdekoding av fjernsynssendinger, kan leses og utnyttes av mennesker og er dermed kodenøkler representert som databasert informasjon. Det samme gjelder passordfiler med et innhold som bare kan leses og utnyttes av datamaskiner, for eksempel til å foreta et maskinelt passordinnbrudd i et annet datasystem over internett.

Utover at A1 må være databasert stilles det ikke noe krav til tilgangskodens form. Enhver form for tegnstreng eller digitalisert kjennemerke, som for eksempel et fingeravtrykk, er omfattet.

De straffbare befatningsformer er «anskaffer», «innfører», «fremstiller», «besitter», «markedsfører» eller «tilgjengeliggjør». Disse alternativene dekker alle straffbare befatningsformer som følger av straffeloven § 145 b, straffeloven § 262 første ledd og åndsverkloven § 53a annet ledd og § 53c. Etter straffeloven § 262 første ledd og åndsverkloven § 53a annet ledd kan det ha betydning for straffbarheten om handlingen skjer i vinnings hensikt. Etter lovforslaget er vinningsmomentet en skjerpende omstendighet ved handlingen, jf. utkastet § 18, men ikke en betingelse for straff, jf. utkastet § 10. Det vises ellers til de generelle merknadene om regelharmonisering, se kapittel 5.1.2 med videre henvisninger.

«Anskaffer» betyr å motta noe som følge av at man har utvist en viss aktivitet. Alternativet rammer ikke den som passivt og mer tilfeldig mottar en kode (A2) som man er uberettiget til. Det kreves ikke at man er aktiv hver gang det er aktuelt å motta en kode. Det er for eksempel tilstrekkelig å ha satt seg på en varslingsliste per e-post eller sms hvor man fortløpende mottar nye koder når de gamle skiftes ut av rettighetshaverne. Dette dekkes av anskaffelsesalternativet. Det kreves heller ikke at mottakeren har tatt initiativet til å motta koden. En som på forespørsel aksepterer et tilbud om å motta en slik kode anses å ha anskaffet den i lovens forstand. Ytterligere kan anskaffelse skje ved å videofilme inntasting av passord, eller ved å anvende en tastetrykksavleser. Plasseringen av det utstyr som er nødvendig for å foreta filmingen eller registreringen av tastetrykkene er straffbar etter utkastet § 3, mens igangsetting av filming eller av tastetrykksregistratoren (dersom denne betjenes på distanse) rammes av utkastet § 10. Hvis man ikke lykkes i å tolke tastetrykkene foreligger det forsøk på anskaffelse av tilgangskoder.

«Innfører»: Dette alternativet dekker den tilsvarende formulering i gjeldende bestemmelser i straffeloven § 262 første ledd bokstav a, og åndsverkloven § 53a annet ledd bokstav b, og er nødvendig først og fremst for å sørge for at de folkerettslige forpliktelser etter de nevnte bestemmelsene er oppfylt. Alternativet rammer den som anskaffer tilgangsdata over landegrensene. Som oftest vil nok handlingen kunne henføres under anskaffelsesalternativet, for eksempel ved formidling av koder på internett hvor det neppe er nærliggende å tenke at det foreligger innførsel selv om man mottar eller henter dataene fra et utenlandsk nettsted. For et tilfelle fra rettspraksis kan det vises til Rt. 1995 side 1872 (pinkodekjennelsen), hvor domfelte hadde mottatt en pinkode fra en israeler via en elektronisk oppslagstavle, det vil si en tidlig internettjeneste. Men dersom man mottar et brev fra utlandet inneholdende slike tilgangsdata som utkastet § 10 nevner, er kravet til innførsel oppfylt.

«Fremstiller» omfatter det å gjøre en egen innsats for å avdekke eller gjette passord og kode­nøkler. Alternativet omfatter for eksempel passordknekking. Passordknekking maskinelt utført er gjetting av passord, enten ordlistebasert (dictionary attack) eller ved vilkårlig gjetting (brute force /«rå kraft»). Disse fremgangsmåtene er også beskrevet i kapittel 3.4.7. Ytterligere rammes menneskelig gjetting av passord, slik som når man tenker seg hva den berettigete har satt som passord.

Ved menneskelig gjetting av passord kan det reises spørsmål ved om passordet må være testet for å anses «fremstilt». Hvis ikke vil det være straffbart å gjette passord på ren intuisjon, noe som kan synes å gi straffehjemmelen en noe vid slagvidde. Rettsstridsreservasjonen begrenser imidlertid regelens rekkevidde i disse tilfellene, idet det ikke kan være rettsstridig å gjette eller tenke på andres passord. Passordet må følgelig være verifisert for å anses «fremstilt» etter utkastet § 10. Dersom verifikasjon må skje på et system man ikke er berettiget til å benytte, vil testing også innebære en overtredelse av utkastet § 4. Det kunne dermed synes å være tilstrekkelig med straff for den ulovlige tilgang, eller forsøket på dette, fremfor å anvende utkastet § 10. Denne lovforståelsen fanger imidlertid ikke opp de tilfelle hvor lovovertrederen avbryter testingen så tidlig at kravet til «tilgang» etter utkastet § 4 ikke kan anses oppfylt. Den vil heller ikke fange opp tilfeller hvor lovovertrederen tester passord, ikke for å benytte dem selv, men for å spre dem videre. I slike tilfelle vil neppe kravet til forsett om uberettiget tilgang til datasystem være oppfylt, jf. utkastet § 4.

Maskinell passordknekking inneholder en verifikasjonsprosedyre, så her er det tilstrekkelig for straff å bevise at passordknekkingen gjelder passord som kan gi tilgang til data, databasert informasjon eller datasystem.

Andre tilfeller av menneskelig tilegnelse av passord som omfattes av fremstillingsalternativet, er der hvor lovovertrederen analyserer opplysninger med tanke på å avdekke kamuflerte passord, for eksempel pinkoder som er forsøkt kamuflert i kombinasjon med andre numre. For et eksempel fra rettspraksis vise det til Rt. 2004 side 499, hvor kodene var forsøkt kamuflert i sammenstilling med fødselsdatoer (dommens avsnitt 35). Selve den anstrengelsen som ligger i analysen av telefonnummeret innebærer at kravet til fremstilling er oppfylt, når man har forstått koden. Det kreves ikke testing i tillegg. Alternativt vil handlingen kunne rammes av anskaffelsesalternativet, det vil si ved at man har anskaffet de kamuflerte kodene. Dermed er handlingen fullbyrdet allerede ved anskaffelsen, det vil si før den etterfølgende analysen (fremstillingen). Dette antas også å gi det klareste skjæringspunktet for fullbyrdet handling i disse tilfellene.

Fremstilling omfatter også avdekking av tilgangskoder som skjer som del av en analyse av et dataprogram. Det vises til de generelle merknadene om dette i kapittel 5.7.4, hvor det er lagt til grunn at lovlig analyse av dataprogram ikke nødvendigvis gjør avdekking av tilgangskoder som ligger skjult i programmet, lovlig. Analysen må med andre ord legges opp slik at den respekterer kodekonfidensialiteten. Hvis dette ikke er mulig for å gjennomføre analysen og denne ellers ikke er rettsstridig, vil neppe heller fremstillingen av tilgangskoden være rettsstridig. Dette må vurderes konkret i det enkelte tilfellet, hvor formålet med analysen må stå sentralt. Går analysen ut over det som følger av formålet med den følge at tilgangskoder avdekkes, vil det kunne være å anse som rettsstridig fremstilling av tilgangsdata.

«Besitter» betyr å ha tilgangsdataene på et sted man selv kontrollerer. Besittelsens karakter er uten betydning. Det kan for eksempel være at passord m.v. er skrevet ned for hånd, eller ligger lagret på et brukerområde på en lokal datamaskin eller på et nettsted på internett, som man selv kontrollerer. Det er uten betydning om nettstedet er på en norsk eller utenlandsk server, eller om tjenesteyteren er norsk eller utenlandsk, så lenge tilgangsdataene oppbevares under lovovertrederens direkte kontroll, eventuelt etter vedkommendes instruks.

Besittelsesalternativet vil også ramme tilfeller hvor besittelsen har oppstått uforsettlig, men hvor besitteren unnlater å slette tilgangskodene etter at han ble oppmerksom på besittelsen. Dette kan være aktuelt med tanke på besittelse som har oppstått på unnskyldelig vis som følge av lovlig analyse av dataprogram, se ovenfor. Men når vedkommende blir klar over at analysen har avdekket tilgangskoder oppstår en umiddelbar slettingsplikt for å unngå å bli rammet av besittelsesalternativet.

«Markedsfører» betyr å tilby eller reklamere for spredning av tilgangsdata. Som eksempel rammes det å tilby hyperlenker til nettsteder som formidler tilgangsdata, av dette alternativet. Det er ikke noe vilkår at markedsføringen skjer som ledd i økonomisk virksomhet eller med økonomisk motiv.

«Tilgjengeliggjør» dekker enhver form for spredning av tilgangsdata. Det kan være spredning via internett fra en til en, eller fra en til mange for eksempel via en hjemmeside, på nyhetsgrupper eller pratekanaler. Spredning kan ellers skje muntlig, formidles skriftlig på papir osv. Tilgangskoder som er implementert i dataprogram eller piratdekoderkort m.v., kan spres som følge av at programmet eller kortet spres. Spredningen av dataprogrammet DeCSS som inneholdt tilgangskode for å dekryptere den elektroniske beskyttelsen på dvd-filmer, er et eksempel på dette, se RG 2004 side 414 (dvd-dommen). Slike indirekte spredning av tilgangskoder rammes ikke av utkastet § 10, men av utkastet § 11.

Blant de mange praktisk tenkelige tilfelle av spredning av tilgangsdata, inngår spredning som skjer etter at man eventuelt er kommet i besittelse av tilgangsdata som følge av analyse av dataprogram, jf. de foregående bemerkningene om dette. For det første oppstår slettingsplikt for å unngå straffansvar etter besittelsesalternativet. Hvis tilgangsdataene i tillegg spres, er det straffbart etter tilgjengeliggjøringsalternativet.

9.11 Utkastet § 11. Skadelig data­program og utstyr

Utkastet § 11 lyder:

«For ulovlig befatning med skadelig dataprogram straffes den som uberettiget anskaffer, fremstiller, modifiserer, besitter, markedsfører eller tilgjengeliggjør dataprogram som er særlig egnet til å begå handlinger som er straffbare etter §§ 4-8, 10 eller 13-14 i dette kapitlet. Liknende befatning med utstyr som er særlig egnet til tilsvarende formål straffes på samme måte.

Straffen er bøter eller fengsel inntil 1 år. For grov overtredelse er straffen bøter eller fengsel inntil 3 år.»

Det vises til kapittel 5.7 og datakrimkonvensjonen artikkel 6.

Bestemmelsen rammer befatning med skadelig dataprogram og utstyr. Som det fremgår foran, er denne bestemmelsen foreslått under dissens. Lovmotivene her omhandler flertallets forslag. For mindretallets syn, henvises det til kapittel 5.7. Forslaget innebærer en kriminalisering av innledende handlinger som generelt ikke tidligere har vært straffbar. Flertallet mener at dette vil ha en normskapende og en forebyggende effekt. Bestemmelsen gir muligheter for inngrep før det er begått handlinger som gir direkte skadevirkninger i forhold til konkrete fornærmede.

Første ledd første punktum gjelder skadelig dataprogram. Som skadelig dataprogram regnes dataprogram som er særlig egnet til å begå visse straffbare handlinger. Dette gjelder konkret handlinger som rammes av datakapitlets §§ 4-8, 10 eller 13-14. Dette innebærer at blant annet programmer som er særlig egnet til å bli benyttet for å skaffe seg ulovlig tilgang til et datasystem omfattes av bestemmelsen. Dette er for eksempel såkalte exploits, som er beregnet på å utnytte sårbarheter i programmer som kjøres på et datasystem. Det samme gjelder programmer som er særlig egnet til å begå datatyveri, informasjonstyveri, datamodifikasjon eller uberettiget bruk av andres datasystem. Likedan omfattes dataprogram som er særlig egnet til å ha ulovlig befatning med tilgangsdata, program som er særlig egnet til å forårsake driftshindring og program som er særlig egnet til å foreta ulovlig masseutsendelse av elektroniske meldinger.

Programmer som er særlig egnet til å bli benyttet ved andre handlinger som er straffbare etter datakrimkapitlet, omfattes ikke av utkastet § 11. Dette gjelder for eksempel programmer som er særlig egnet til å foreta elektronisk kartlegging av datasystem. Grunnen til at enkelte av straffebudene har vært holdt utenfor oppregningen, er enten at slike programmer kan ha så mange nyttige formål at utvalget har veket tilbake for å straffbelegge befatning med dem, eller at det antas lite praktisk med bruk av dataprogrammer i forbindelse med lovbruddet. Det første er tilfelle i forhold til utkastet § 2, og det siste er tilfelle i forhold til utkastet § 9.

Programmer med selvspredende egenskaper straffes etter utkastet § 12. Programmer med selvspredende egenskaper regnes derfor ikke som skadelige programmer etter utkastet § 11. Selvspredende dataprogrammer kan, i tillegg til at de er selvspredende, også inneholde egenskaper som i utgangspunktet faller inn under utkastet § 11. I disse tilfellene er imidlertid ikke § 11 og § 12 tenkt anvendt i konkurrens. Meningen er at også andre skadelige egenskaper enn de selvspredende konsumeres av utkastet § 12. Dette fremgår av utkastet § 12 fjerde ledd annet punktum, som utvider strafferammen i slike tilfeller.

Annet ledd likestiller skadelig utstyr med skadelig dataprogram. Dette gjelder for eksempel utstyr som kan utplasseres for ulovlig å registrere tastetrykk for å fange opp informasjon, herunder passord, hos tredjemann (såkalt tastetrykkregistrator eller «key stroke logger»).

Det er et vilkår for straffbarhet at dataprogrammene eller utstyret er «særlig egnet» til å begå de spesifiserte straffbare handlingene. Programmer og utstyr kan benyttes i mange sammenhenger og til mange formål. Noe som er utviklet og vanligvis benyttes til helt legitime formål, kan i enkelte sammenhenger også bli benyttet til straffbare formål. Omvendt kan noe som er utviklet til bruk ved straffbare handlinger også benyttes til lovlige formål. Etter forslaget må objektet være særlig egnet til å begå de nevnte handlingene. Meningen med dette er at det skal være en høy terskel for når program eller utstyr faller inn under utkastet § 11. Det er ikke hensikten å ramme ellers lovlige programmer og utstyr selv om de også i visse tilfeller vil kunne benyttes til straffbare handlinger. Hensikten er å straffbelegge befatning med programmer og utstyr som i første rekke er utviklet eller anskaffet med tanke på å begå straffbare handlinger eller som har sin viktigste funksjon i denne sammenheng.

Verktøyet kan ha en slik karakter at det kan utnyttes alene eller sammen med andre komponenter. Det betyr at utkastet § 11 omfatter den praktiske situasjon at det spres verktøy som i tillegg må kodes for å kunne begå den straffbare handling. Det kan være tale om blanke kort, for eksempel magnetstripekort eller smartkort, som må kodes for å kunne benyttes til å oppnå tilgang til et datasystem eller fjernsynssignaler. At dette er praktisk illustreres blant annet ved noen eksempler fra rettspraksis, se Smartkortdommen (Rt. 1995 side 35) hvor gjerningspersonene solgte piratdekodekort som kunne dekode betalingsbelagte fjernsynssignaler. Det kan også vises til Nedenes herredsretts dom av 1. juli 1998 hvor domfelte hadde solgt blanke smartkort til kunder som ønsket å foreta «piratdekoding» av fjernsynssignaler. I tillegg distribuerte han informasjon om kodene som kunne benyttes på kortene, og i visse tilfeller utførte han også selve kodingen. Poenget er at brukeren gjerne trenger både det fysiske utstyret og tilgangskodene. Utstyret blir rammet av utkastet § 11 uansett om det er kodet eller ikke. Vernet om kodene isolert sett følger av utkastet § 10.

Det er videre et vilkår for straffbarhet at befatningen er urettmessig. Den som har befatning med et skadelig program for lovlige formål, handler ikke urettmessig. Dette vil være tilfelle hvis vedkommendes befatning med objektet har sammenheng med lovlig bruk vedkommende gjør eller har planlagt å gjøre med objektet. Befatning med et spamprogram vil for eksempel være rettmessig hvis det er ment brukt til lovlig utsendelse til medlemmene i en forening eller kundene til et firma, men ikke hvis det er ment brukt til ulovlig masseutsendelse. Befatning med objektet vil også være lovlig hvis det skjer som ledd i forskning eller utvikling av sikkerhetsprodukter. I denne sammenheng er det ikke nødvendig at den som har befatning med objektet har en formell forskerstatus, men det kan ha betydning ved bevisvurderingen. Som ellers i strafferetten er det påtalemyndigheten som må føre bevis for at tiltaltes befatning med objektet er urettmessig, men det antas at de konkrete omstendighetene i den enkelte sak vil gi nødvendig veiledning.

Skyldformen er forsett. Det kreves at forsettet omfatter selve befatningen med objektet og objektets skadelige egenskaper. Dessuten må forsettet også omfatte de elementer som gjør befatningen med objektet urettmessig. Uaktsom overtredelse av § 11 er ikke foreslått gjort straffbar, jf. utkastet § 17. Grunnen til dette er at det i disse tilfellene vil bli for strengt å ramme uaktsomhet. Det er for eksempel fort å komme i besittelse av et objekt i slike tilfeller uten at en tenker over de ulike bruksmulighetene for objektet.

De straffbare befatningsformene er anskaffelse, fremstilling, modifisering, besittelse, markedsføring og tilgjengeliggjøring. Med fremstilling menes det at lovbryteren selv utvikler programmet eller lager utstyret. Modifisering tar sikte på at lovbryteren endrer et program eller utstyr som er utviklet eller bygget av andre. Det har ikke betydning om det opprinnelige objektet rammes av utkastet § 11. Med anskaffelse menes at vedkommende skaffer seg objektet. Det er uten betydning om det ytes vederlag. Anskaffelse kan for eksempel skje ved nedlasting fra internett. Anskaffelsen må skje forsettlig. Det er ikke straffbart om man uten å tenke over det mottar programmet i tilknytning til et selvspredende program eller som en del av en samlet programvare som installeres.

Også besittelse er foreslått gjort straffbart. Besittelse vil for eksempel foreligge dersom lovbryteren har programmet lagret på sitt datasystem. Besittelsen må i tilfelle være forsettlig, og forsettet må her som ellers omfatte alle straffbarhetsvilkårene.

Også markedsføring og tilgjengeliggjøring av skadelig programvare er foreslått omfattet av bestemmelsen. Tilgjengeliggjøring foreligger for eksempel dersom et skadelig dataprogram legges ut på internett for nedlasting; enten gratis eller mot vederlag. Det samme gjelder ved direkte salg av objektet. Markedsføring grenser nær opp til tilgjengeliggjøring, og alternativene kan av og til være overlappende. Med markedsføring tenker en dog vanligvis på en noe mer oppsøkende tilnærming mot potensielle brukere, for eksempel i form av annonsering.

Utkastet § 11 vil i mange tilfeller kunne benyttes i konkurrens med andre straffebud i utvalgets forslag. Har en lovbryter utviklet et programverktøy for inntrengning i andres datasystemer og vedkommende senere benytter dette verktøyet til inntrengning, kan utkastet § 11 og § 4 benyttes i realkonkurrens. Utkastet § 11 og § 12 er imidlertid ikke ment benyttet i konkurrens, slik det er gjort rede for ovenfor i dette kapitlet.

Utvalget har gått inn for å samordne datakrimkapitlet med straffeloven § 262. Dette innebærer at § 262 første ledd videreføres gjennom straffebudet i utkastet § 11.

Et flertall i utvalget har gått inn for å samordne datakrimkapitlet med enkelte bestemmelser i åndsverkloven. Det vises til kapittel 5.1.2, 5.5.2 og 5.6.2. Det ligger i dette flertallets forslag at også bestemmelsene i åndsverkloven § 53a annet ledd og § 53c videreføres gjennom utkastet § 11.

Strafferammen er foreslått satt til bøter eller fengsel inntil ett år. Dessuten er det foreslått en egen bestemmelse om grov overtredelse hvor strafferammen er bøter eller fengsel inntil tre år.

9.12 Utkastet § 12. Spredning av selvspredende dataprogram

9.12.1 Innledning

Utkastet § 12 lyder:

«For ulovlig befatning med selvspredende dataprogram straffes den som uberettiget fremstiller, modifiserer, anskaffer eller tilgjengeliggjør selvspredende dataprogram.

For ulovlig befatning med selvspredende dataprogram straffes også den som initierer spredning av slikt program.

Med selvspredende dataprogram menes dataprogram som kan videredistribuere seg til andre datasystemer og installeres automatisk eller ved at noen foretar eller godkjenner installasjonen uvitende om dataprogrammets selvspredende egenskaper.

Straffen er bøter eller fengsel inntil 1 år. Inneholder det selvspredende dataprogrammet også andre skadelige egenskaper er straffen bøter eller fengsel inntil 3 år. For grov overtredelse er straffen bøter eller fengsel inntil 6 år.»

Det vises til merknadene i kapittel 5.7.6.

Straffebudet rammer befatning med selvspredende dataprogram. Første og annet ledd angir de straffbare befatningsformer. Tredje ledd inneholder en legaldefinisjon av selvspredende dataprogram. Fjerde ledd angir differensierte strafferammer ved overtredelse, blant annet for å ta hensyn til andre skadelige egenskaper ved dataprogrammet.

De legislative hensyn bak straffebudet er at selvspredende dataprogram forårsaker belastninger i det elektroniske kommunikasjonsnettet og på de datasystem som infiseres (vertsmaskinene). Selvspredende dataprogram utgjør en stor trussel mot hensynet til systemintegriteten, jf. kapittel 4.6.2. Videre representerer selve infiseringen en form for ulovlig tilgang og datamodifikasjon, samt at det kan lede både til konfidensialitetskrenkelser og driftshindring. Utkastet § 12 har derfor slektskap med utkastet §§ 4, 7 og 13, og støtter seg dessuten til dels på tilsvarende legislative hensyn som utkastet § 14.

9.12.2 Selvspredende dataprogram – legaldefinisjonen i utkastet § 12 tredje ledd

Selvspredende dataprogram er definert i utkastet § 12 tredje ledd. Definisjonen består av to ledd, se nedenfor. Grunnbetingelsen er at det er tale om et «dataprogram», jf. utkastet § 1 bokstav b. Dette innebærer krav om at innholdet i dataene er slik at de gir instruksjon til et datasystem. Definisjonen omfatter dataprogram som er ferdig kompilert og følgelig er i en form som gjør at det kan påvirke funksjoner og instruere det datasystem som aktiviserer programmet. Definisjonen omfatter også kildekode, det vil si dataprogram som foreligger som en programmeringstekst og som må kompileres for å kunne installeres på datasystemet. Kompilering er en maskinell konverteringsprosess fra kilde- til objektkode, som enkelt utføres ved hjelp av et dataprogram. Legaldefinisjonen av selvspredende dataprogram omfatter dataprogram både som kilde- og objektkode (og eventuelle mellomformer som assemblykode). Det vises til eksemplifiseringen nedenfor i forbindelse med de straffbare befatningsformer.

Etter første ledd i definisjonen kreves det at det er tale om «dataprogram som kan videredistribuere seg til andre datasystemer». Dette innebærer som det fremgår, et krav om at dataprogrammet har slik funksjonalitet at det kan foreta selvspredning til andre datasystemer. Av «kan videredistribuere seg» fremgår det at det er egenskapen ved programmet som har betydning, ikke om videredistribusjon faktisk har skjedd. Dette vilkåret kan være oppfylt uavhengig av programmets form for øvrig, det vil si uavhengig av om det foreligger i objekt- eller kildekode.

Uttrykket «videredistribuere seg» er sentralt fordi det gir anvisning på at viderespredning skjer uten noen innsats eller handling forøvrig av et menneske. Viderespredning skjer følgelig utelukkende som følge av programmets egenskap og utenfor menneskelig styring og kontroll.

Det kreves også at selvspredningsformen er slik at programmet «kan» spre seg selv til «andre datasystemer». Dersom programmet har slik funksjonalitet at det kopierer seg selv på det samme datasystemet, er det ikke et selvspredende dataprogram, slik begrepet er definert i utkastet § 12 tredje ledd, men et skadelig program som forårsaker datamodifikasjon eller ulovlig bruk av et datasystem, jf. utkastet §§ 7 og 8. Befatningen skal i så fall bedømmes etter utkastet § 11. Dersom programmets selvspredningsfunksjonalitet er slik at det kopierer seg til lagringsmedier som naturlig flyttes mellom datasystemer, for eksempel til en cd-plate eller til en minnepinne, anses vilkåret «kan» spre seg til «andre datasystemer» å være oppfylt.

For det annet kreves det at programmet «installeres automatisk eller ved at noen foretar eller godkjenner installasjonen uvitende om dataprogrammets egenskaper». Dette leddet i definisjonen består av to alternativ hvorav minst ett må være oppfylt i tillegg til definisjonens første ledd som er beskrevet i det foregående.

Første alternativ i dette definisjonsleddet er «installeres automatisk». Vilkåret gir anvisning på at dataprogrammet legger seg på vertsmaskinen uten at det kreves noen aksepterende handling på dennes vegne. Blant annet har såkalte «ormer» denne egenskapen. Videre kan det selvspredende programmet ha blitt lagt tilgjengelig på en hjemmeside og installert seg automatisk på de datasystem som har kontaktet hjemmesiden. Det kan også være lagt ut i et fildelingssystem, på en samtaletjeneste eller i et tekstmeldingssystem, og så smitter det automatisk videre fra de datasystem som er infisert til de øvrige som kommuniserer med dem.

Annet alternativ i dette definisjonsleddet gjelder «at noen foretar eller godkjenner installasjonen uvitende om dataprogrammets egenskaper». Alternativet omfatter dataprogram som sprer seg selv, men som krever aksept fra mottaker for å bli installert på vertsmaskinen. Dette alternativet innebærer et element av forledelse, jf. vilkåret «uvitende om dataprogrammets egenskaper». Mottaker blir altså forledet til å la sin maskin infisere av et selvspredende dataprogram og således bli en plattform for viderespredning, det vil si forårsake fortsatt skadeforvoldelse i nettet. Dette definisjonsleddet forutsetter derfor at dataprogrammet er slik laget at det fremstår som en legitim fil. Det er imidlertid ikke noe vilkår at det fremstår som et program , og selvsagt heller ikke at det har selvspredende funksjonalitet. Det er tilstrekkelig at det for eksempel er et vedlegg til en e-post hvor man oppfordres til å åpne vedlegget, for eksempel for å motta en hilsen eller et godt tilbud. Dermed installeres programmet som ligger i vedlegget. Vedlegget inneholder med andre ord et aktivt program som blir kjørt på datamaskinen uten at mottaker forstår det når vedkommende åpner vedlegget. Deretter fortsetter programmet å spre seg selv via e-posttjenesten på den infiserte maskin. Det å åpne vedlegget er en aksept i utkastet § 12 tredje ledds forstand.

En annen variant kan være at en tilsynelatende ordinær programfil, for eksempel for en fildelingstjeneste som lastes ned på internett, også inneholder selvspredende egenskaper som det ikke opplyses om i sluttbrukeravtalen som man bes om å akseptere. Også denne varianten omfattes av legaldefinisjonen. Legaldefinisjonen krever ikke at dataprogrammet har noen annen skadelig egenskap enn at det er selvspredende. Det vil imidlertid ofte være tilfelle, jf. de generelle merknadene om dette, se kapittel 5.7.6. Dette har betydning for strafferammen, se nedenfor.

9.12.3 De straffbare befatningsformer, jf. utkastet § 12 første og annet ledd

De straffbare befatningsformer beskrevet i første ledd omfatter «fremstiller». «modifiserer», «anskaffer» eller «tilgjengeliggjør» Etter annet ledd rammes det å initiere spredning av selvspredende dataprogram.

Alternativet «fremstiller» betyr å lage selvspredende dataprogram, det vil si å programmere et slikt. Fremstillingsalternativet er fullbyrdet allerede ved fremstilling av kildekoden, det kreves ikke at programmet er kompilert i tillegg slik at det rent faktisk kan installeres på et datasystem. Begrunnelsen ligger i straffebudets preventive formål. Den vesentligste innsatsen bak eksistensen av et selvspredende dataprogram er selve programmeringen. Uten slik skadelig programmeringsvirksomhet hadde selvspredningsproblemet vært vesentlig redusert, om ikke helt borte. Via kildekoden kan også andre få kunnskap om hvordan et selvspredende program kan lages, slik at skadelig programmeringskompetanse spres. Selve kompileringen av kildekoden til objektkode er nødvendig for å iverksette selvspredning, fordi først da kan datasystemet instrueres om å bidra til viderespredningen. Men kompilering er en rask og enkel prosess, og terskelen for å gjennomføre kompilering er lav når kildekoden først foreligger.

Dersom kildekoden inneholder funksjoner for selvspredning er overtredelsen som nevnt fullbyrdet. Men dersom det ved testing i form av objektkode viser seg at selvspredningseffekten ikke inntrer (det er feil i programmet), foreligger bare straffbart forsøk. I fremstillingsfasen er det også praktisk med medvirkningsansvar, for eksempel at en bidrar med råd og veiledning mens en annen utfører den konkrete programmering.

Etter ordlyden omfattes også det å kopiere et selvspredende dataprogram av fremstillingsalternativet, men det antas at anskaffelsesalternativet vil være mer aktuelt i slike tilfelle.

Alternativet «modifiserer» omfatter det å endre et selvspredende dataprogram. En variant kan være å foreta en endring i den delen av dataprogrammet som er gitt en elektronisk signatur. Signaturen anvendes i antivirusfilter og ved å foreta en slik endring vil viruset skifte karakter og ikke bli fanget opp (gjenkjent) i filteret. I realiteten foreligger dermed et nytt virus. En annen variant kan være å bygge ut egenskapene i et selvspredende dataprogram med andre skadelige egenskaper i tillegg, for eksempel gi det funksjonalitet for gjentakende restarting som kan skape driftshindring (bakterieprogram), se kapittel 5.7.6 med videre henvisninger.

Alternativet «anskaffer» omfatter det å aktivt motta et selvspredende dataprogram. Anskaffelsen kan gjelde både kilde- og objektkode. Det preventive formålet med straffebudet tilsier at slik anskaffelse straffes når det skjer frivillig, men det kreves mer enn at man for eksempel har unnlatt å anvende antivirusprogram. Anskaffelse øker risikoen for uønsket viderespredning og kan dessuten spre skadelig programmeringskompetanse. Se merknadene om dette i tilknytning til fremstillingsalternativet, som gjelder tilsvarende her.

Alternativet «tilgjengeliggjør» rammer spredning av selvspredende dataprogram uavhengig av om det er aktivisert eller ei. «Tilgjengeliggjør» rammer følgelig det å gi kildekode til et selvspredende dataprogram videre til en annen. Videre rammes det å spre slikt program i objektkode, selv om det ikke er startet opp (aktivisert). Et eksempel kan være at gjerningspersonen deler dataprogrammet med bekjente, for eksempel ved å kopiere og spre det via cd-rom eller via kommunikasjonstjenester på internett. Ytterligere omfatter tilgjengeliggjøringsalternativet det å legge ut et aktivisert selvspredende dataprogram på en slik måte at andre blir infisert av det, for eksempel ved at programmet er lagt tilgjengelig på en hjemmeside og infiserer de maskiner som kontakter den. Det samme gjelder annen form for spredning, for eksempel som vedlegg til e-post, eller som en aktivisert komponent i et ellers tilsynelatende legitimt dataprogram som startes opp fra en cd-plate (dermed startes også dataviruset).

Tilgjengeliggjøring har en grense mot initiering av spredning, jf. utkastet § 12 annet ledd. Initieringsalternativet rammer den som starter opp et selvspredende dataprogram og følgelig aktiviserer de selvspredende egenskaper. De kan være at samme person først initierer programmet og i tillegg legger til rette for viderespredning ved å legge det ut på sin hjemmeside i aktiv form. Da er både initerings- og tilgjengeliggjøringsalternativet overtrådt.

I praksis vil nok initieringsalternativet være kombinert med tilgjengeliggjøring, men det motsatte er ikke nødvendigvis tilfelle. Det kan være at gjerningspersonen har mottatt et datavirus som allerede er aktivisert, og forsettlig sørger for viderespredning, for eksempel ved å tilgjengeliggjøre det i enda større grad enn det som ville vært en vanlig følge av selvspredningen, for eksempel ved å brenne det til cd-er som han sprer videre.

Initiering er straffbart også i sin grovt uaktsomme form, jf. utkastet § 17. Det vises til merknadene i kapittel 6.1.

9.13 Utkastet § 13. Driftshindring

9.13.1 Innledning

Utkastet § 13 lyder:

«For driftshindring straffes den som uberettiget overfører data under slike omstendigheter at overføringen vesentlig hindrer eller er egnet til vesentlig å hindre driften av et datasystem eller elektronisk kommunikasjonsnett. Det samme gjelder den som initierer dataoverføring som nevnt.

For driftshindring straffes også den som på annen måte uberettiget foretar handling som er egnet til vesentlig å hindre driften av et datasystem eller elektronisk kommunikasjonsnett.

Straffen er bøter eller fengsel inntil 6 år. For grov overtredelse er straffen bøter eller fengsel inntil 10 år. For liten overtredelse er straffen bøter eller fengsel inntil 1 år.»

Det vises til merknadene i kapittel 5.6.4.

Straffebudet gjelder driftshindring, det vil si handlinger som skader datasystemets eller det elektroniske kommunikasjonsnettets tilgjengelighet. Et annet ord for denne type krenkelse er tjenestenekt. Utkastet § 13 første ledd gjelder logisk angrep som foretas over det elektroniske kommunikasjonsnettet og som leder til driftshindring av et datasystem eller elektronisk kommunikasjonsnett. Utkastet § 13 annet ledd rammer driftshindring som skapes ved at man på annen måte iverksetter kapasitetskrevende prosesser på datasystemet eller det elektroniske kommunikasjonsnettet. Annet ledd tar dermed først og fremst sikte på å ramme tjenestenekt som foretas innenfra det datasystem som utsettes for krenkelsen.

Straffebudet rammer slike skadevoldende handlemåter som utføres ved misbruk av ordinære funksjoner på et datasystem. For handlingene i første ledd fremgår dette av formuleringene «overfører data» (første punktum) og «initierer dataoverføring» (annet punktum). Handlingen i annet ledd er beskrevet som «på annen måte uberettiget foretar handling som er egnet til vesentlig å hindre driften av et datasystem eller elektronisk kommunikasjonsnett». Også dette tar sikte på krenkelse av logisk art. Formuleringene innebærer at fysiske handlinger som krenker tilgjengeligheten ikke omfattes av utkastet § 13. Slike handlinger må i så fall rammes av de alminnelige regler om fysisk skadeverk.

Etter første ledd er det et vilkår at det skadelige resultatet – driftshindringen - fremkalles som følge av dataoverføringen, det vil si av den eksterne påvirkningen som utføres over det elektroniske kommunikasjonsnettet.

Dette avgrenser området for første ledd i forhold til straffebud som rammer det å foreta endringer på et datasystem. Også slike endringer kan lede til driftshindring, men i så fall står man overfor et tilfelle av datamodifikasjon (en uberettiget endring av data på datasystemet), jf. utkastet § 7. Etter utkastet § 7 er driftshindring som følge av en uberettiget endring av data, et moment som kan lede til at handlingen er grov, jf. alternativet «skade som er voldt» i utkastet § 18, og uansett er det et skjerpende moment i straffutmålingen. Det vises også til de generelle bemerkningene om forholdet mellom tilgjengelighets- og integritetskrenkelser i kap. 4.6.2.

Utkastet § 13 annet ledd gjelder handling som innebærer et misbruk av datasystemets funksjoner. Dette reiser visse konkurrensspørsmål i forhold til utkastet §§ 7, 8 g 11, og det vises til merknadene i kapittel 5.6.4. Det vises også til drøftelsen om utkast § 8 nedenfor i kapittel 9.13.4.

Driftshindring er betegnelsen på det skadelige resultatet av handlingen. Det kreves ikke at driftshindringen er absolutt. Dette fremgår av formuleringen «vesentlig» hindrer. Det som kreves er et markert avvik fra datasystemets eller det elektroniske kommunikasjonsnettes ordinære yteevne.

9.13.2 Nærmere om utkastet § 13 første ledd

Utkastet § 13 første ledd inneholder tre alternativ, nemlig å foreta handling som resulterer i driftshindring, å foreta handling som er egnet til å resultere i driftshindring, og «å initiere» handling som nevnt.

Selve handlingen som er felles for de tre alternativene, er å overføre data. Objektet for dataoverføringen, det vil si målet for handlingen, er «datasystem» eller «elektronisk kommunikasjonsnett». Disse begrepene er definert i utkastet § 1 bokstav a og e, og det vises til merknadene til definisjonene i kapittel 9.1.

Det følger av dette at metoden må gå ut på å overføre data via et elektronisk kommunikasjonsnett, jf. sammenhengen med definisjonen av «data», jf. utkastet § 1 bokstav c. Det å lamme et datasystem ved hjelp av ekstern stråling rammes dermed ikke av bestemmelsen. Ellers er gjerningsbeskrivelsen utformet slik at den skal være dekkende både for kjente former for overbelastningsangrep (som for eksempel tjenestenektangrep, se kapittel 3.4.9) og mulig fremtidig skadelig metodebruk som setter datasystemer eller elektroniske kommunikasjonsnett ut av funksjon. Begrensningene ligger i at handlingen må foregå over elektronisk kommunikasjonsnett, og at den ikke primært er utført som en integritetskrenkelse, jf. utkastet § 7. Se merknadene om forholdet mellom bestemmelsene i kapittel 5.6.4.

Formuleringen «under slike omstendigheter» innebærer krav om kausalitet, dvs. at egenskaper ved dataoverføringen leder til driftshindringen. Dataoverføringen kan for eksempel være innrettet slik at det sendes for mange eller for ressurskrevende datapakker slik at det mottakende datasystem og elektroniske kommunikasjonsnettet inn til systemet, ikke klarer å håndtere dem. Etterhvert fremkalles driftshindring fordi kapasiteten forbrukes til å håndtere dataoverføringen og det blir for lite kapasitet til de ordinære prosesser. Driftshindringen trenger som nevnt ikke være absolutt.

Det kan være at driftshindring ikke inntreffer fordi innehaveren av datasystemet som angripes klarer å beskytte seg mot det skadelige resultatet. Dette har ikke betydning for straffeskylden. Avgjørende er at handlingen er «egnet til» å fremkalle driftshindring. Hvorvidt dette vilkåret er oppfylt beror på en objektiv vurdering hvor man tenker seg effekten av handlingen dersom beskyttelsestiltak ikke hadde vært iverksatt.

Etter annet punktum er den straffbare handling «initierer dataoverføring som nevnt.» Dette skal fange opp de tilfeller hvor gjerningspersonen har etablert et uautorisert nett ved å ha lagt inn dataprogram på fremmede datamaskiner som i sin tur skal benyttes som redskap i utførelsen av et såkalt «distribuert DoS-angrep» mot et tredje datasystem. Gjerningspersonen kan ha gjort alt som er nødvendig for å gjennomføre et angrep ved å ha gitt instrukser til det dataprogrammet som styrer angrepet via det uautoriserte nettet. I et slikt tilfelle er angrepet «initiert», og det foreligger en fullbyrdet overtredelse av utkastet § 13 første ledd annet punktum.

9.13.3 Nærmere om utkastet § 13 annet ledd

Utkastet § 13 annet ledd rammer den som «på annen måte uberettiget foretar handling som er egnet til vesentlig å hindre driften av et datasystem eller et elektronisk kommunikasjonsnett». Bestemmelsen retter seg mot forsettlig misbruk av et datasystem for å oppnå driftshindring. Driftshindringen kan ramme datasystemet eller det elektroniske kommunikasjonsnettet. Det siste vil ofte være en indirekte konsekvens av at det har oppstått driftshindring for datasystemet. I motsetning til handlingen beskrevet i første ledd, skapes ikke driftshindringen av ekstern påvirkning på datasystemet eller det elektroniske kommunikasjonsnettet. Formålet med strafferegelen i utkastet § 13 annet ledd, er særlig å ramme rettsstridig iverksettelse av prosesser som resulterer i at datasystemet eller det elektroniske kommunikasjonsnettet settes ut av funksjon på grunn av kapasitetssvikt, når dette skjer av en bruker som allerede er berettiget til å benytte systemet. Handlingen reiser spørsmål om forholdet mellom utkastet § 8 og utkastet § 13, se nedenfor.

Et eksempel på overtredelse av utkastet § 13 annet ledd er å starte et program som har som formål å sluke datasystemets kapasitet, for eksempel ved kontinuerlig å restarte seg selv (bakterieprogram). Et slikt program vil også anses som et skadelig program og annen befatning med det er straffbar etter utkastet § 11.

9.13.4 Forholdet til utkastet § 8

Etter omstendighetene kan tilfeller av ulovlig bruk av datasystem, jf. utkastet § 8, skape så stor belastning på datasystemet eller det elektroniske kommunikasjonsnettet at det har driftshindring til følge. Dersom driftshindringen lå utenfor forsettet rammes handlemåten av utkastet § 8, men driftshindringen kan gjøre lovbruddet grovt og har betydning for straffutmålingen.

Dersom driftshindringen lå innenfor forsettet for den ulovlige bruken av datasystemet, jf. utkastet § 8, oppstår spørsmålet om forholdet til utkastet § 13. Først drøftes forholdet mellom utkastet § 8 og utkastet § 13 første ledd.

Første spørsmål er om fremgangsmåten er slik at den rammes av utkastet § 13 første ledd. Det å utføre et tjenestenektangrep fra sin egen datamaskin rammes ikke av det alternativet i utkastet § 8 som gjelder «datasystem», fordi den uberettigete bruken bare er straffbar dersom datasystemet tilhører en annen. Imidlertid vil handlemåten nødvendigvis representere ulovlig bruk av det elektroniske kommunikasjonsnettet som benyttes til dataoverføringen, og dette vil regulært ikke tilhøre gjerningspersonen. Denne bruken er straffbar etter utkastet § 8, som har et alternativ for misbruk av «elektronisk kommunikasjonsnett» som tilhører en annen. I et slikt tilfelle konsumeres den ulovlige bruken av utkastet § 13 som den strengere bestemmelse. Videre er det klart at dersom en person benytter en annens datasystem og utfører et tjenestenektangrep fra dette, er denne bruken straffbar etter utkastet § 8, mens selve driftshindringen rammes av utkastet § 13. Utkastet § 8 vil følgelig iblant kunne anvendes i konkurrens med utkastet § 13 første ledd.

Dersom driftshindringen utføres fra det datasystem som utsettes for driftshindringen, det skjer for eksempel innen datanettverket til en bedrift, oppstår spørsmålet om forholdet mellom utkastet § 8 og utkastet § 13 annet ledd. De subjektive forhold er avgjørende. Dersom forsettet omfatter driftshindringen er utgangspunktet at utkastet § 8 konsumeres av utkastet § 13 som den strengere bestemmelse. Selve installasjonen av det skadelige programmet, dvs. før det blir satt i gang på datasystemet, kan imidlertid anses som en rettsstridig handling i seg selv, som er straffbar etter utkastet § 8. Ved å anvende utkastet § 8 i realkonkurrens med utkastet § 13 annet ledd får man i tillegg frem dette straffbare elementet ved handlingen.

9.13.5 Strafferammer

Den ordinære strafferammen foreslås satt til bøter eller fengsel inntil 6 år. Ved grov overtredelse øker strafferammen til fengsel inntil 10 år. Det vises til begrunnelsen i kapittel 5.6.4.

9.14 Utkastet § 14. Masseutsendelse av elektroniske meldinger

Utkastet § 14 lyder:

«For ulovlig masseutsendelse straffes den som sender elektroniske meldinger som ledd i masseutsendelse til mottakere som ikke har samtykket. Denne bestemmelsen gjelder ikke utsendelse av meldinger i eksisterende kundeforhold, til medlemmer eller lignende med mindre mottakeren har reservert seg mot slike meldinger.

Straffen er bøter eller fengsel inntil 1 år. For grov overtredelse er straffen bøter eller fengsel inntil 3 år.»

Bestemmelsen gjør det straffbart å sende ut spam eller «søppelpost». Det vises til kapittel 3.6 om skadevirkningene av spam, og kapittel 5.6.6 om utvalgets overveielser.

Straffebudet rammer «den som sender elektroniske meldinger som ledd i masseutsendelse til mottakere som ikke har samtykket». Enhver utsendelse er gjort straffbar, jf. «den som sender». Det stilles ikke noe vilkår utover dette, som for eksempel at melding skjer i næringsvirksomhet. Årsaken er at skadevirkningene av spam er de samme uavhengig av omstendighetene rundt sendingen eller formålet med den. Rettsstridsreservasjonen i utkastet § 14 første ledd annet punktum har imidlertid betydning blant annet i næringsvirksomhet, se nedenfor.

Det stilles ikke noen krav til mottaker, for eksempel om at adressaten er en fysisk person. Også spam sendt til bedrifter, forvaltningen, organisasjoner m.v. omfattes av utkastet § 14. Også helt upersonlige meldinger som sendes til adresser av typen post@bedrift.no, rammes. Bestemmelsen dekker følgelig et videre område enn markeds­føringslovens forbud mot spam, jf. markedsføringsloven § 2 b, som er begrenset til å gjelde utsendelser «i næringsvirksomhet» til «fysiske personer». På den annen side er utkastet § 14 strengere enn markedsføringsloven § 2 b, ved at den stiller som krav at det er tale om en masseutsendelse (se om begrepet nedenfor). Etter markedsføringsloven § 2 b er det tilstrekkelig med utsending av en melding som oppfyller bestemmelsens vilkår, men i praksis blir den bare anvendt overfor spam, det vil si masseutsendelse. Det foreslås derfor at utkastet § 14 erstatter deler av markedsføringsloven § 2 b.

Utsendelsesforbudet i utkastet § 14 gjelder «elektroniske meldinger» og disse må sendes «som ledd i masseutsendelse». Det er et vilkår at mottakeren «ikke har samtykket» til sendingen.

«Elektroniske meldinger» omfatter elektronisk kommunikasjon som har en slik form at melding kan sendes til et teknisk mottak («innboks») uten at mottakeren behøver å motta meldingen rent fysisk. Dette innebærer en avgrensning mot såkalt forbindelsesorientert kommunikasjon, typisk telefoni, hvor kommunikasjonen forutsetter at mottakeren stiller seg tilgjengelig for å motta samtalen. Markedsføringshenvendelser pr. telefon omfattes følgelig ikke av utkastet § 14, men kan rammes av markedsføringsloven § 2 b, dersom det skjer ved bruk av automatisert oppringningssystem.

Uttrykket «elektroniske meldinger» skal ellers forstås som et teknologinøytralt uttrykk. Det omfatter for eksempel e-post meldinger, meldinger til news, til hjemmesider på internett med interaktive funksjoner, tekst- og multimediameldinger pr. mobiltelefon. Videre omfattes masseutsendelse av telefaksmeldinger.

Den elektroniske meldingen må være sendt «som ledd i masseutsendelse til mottakere som ikke har samtykket». Som det fremgår er «masseutsendelse» den rettslige betegnelse på spam. Straffebudet inneholder ikke noen nærmere spesifikasjon av hva som kjennetegner spamutsendelse bortsett fra at det må være tale om adressater som ikke har samtykket. Dette samtykket må være gitt på forhånd, det vil si før utsendingen skjer. Det er for eksempel ikke tilstrekkelig for å oppfylle samtykkekravet at tittellinjen i meldingen oppfordrer til å gi samtykke (for eksempel «Do you accept this mail?» eller «Do you want to read this offer?»).

Hvorvidt det er tale om en masseutsendelse beror på en totalvurdering. Det ligger i sakens natur at det må være tale om en melding som sendes til mange adressater, men som det fremgår av overveielsene i kapittel 5.6.6, er det ikke hensiktsmessig å tallfeste noe minsteantall. Uttrykket masseutsendelse krever heller ikke at antall adressater kan fastlegges eksakt i en gitt sak, men det må fremstå som klart at meldingen har gått til flere som ikke har samtykket. Det antas at meldingens innhold i seg selv vil kunne bidra til å kaste lys over denne omstendigheten.

Sendingen må skje samtidig eller innenfor et kort tidsrom, til alle adressatene, ellers blir det tale om en individuell sending som ikke rammes av utkastet § 14. Det må dog ses hen til de nærmere omstendighetene. Dersom det programmet (spamprogrammet) som anvendes for forsendelse er instruert om å sende meldinger med et visst mellomrom, kan det bli ansett som en omgåelse som likevel anses som masseutsendelse, jf. utkastet § 14.

Meldingens innhold er uten betydning, Det typiske er at det gjelder markedsføringshenvendelser av forskjellig art, men også meldinger med ideelt og politisk innhold omfattes. Det antas at spamforbudet ikke er i strid med ytringsfriheten, jf. merknadene i kapittel 5.6.6.

Et annet kjennetegn på en masseutsendelse er om utsendelsen er basert på adresselister som innsamlet i strid med regler i personvernlovgivningen, eventuelt annen straffbar atferd, for eksempel ved overtredelse av utkastet §§ 5, 6 eller 9. Dette er ikke et ubetinget vilkår, men et tungtveiende moment i helhetsvurderingen.

Bestemmelsen rammer den som «sender» meldinger som nevnt. Med «sender» tenkes det på den som kontrollerer utsendelsen av spam, det vil si beslutter, tilrettelegger og iverksetter utsendelsen. I praksis sendes spam ofte ved å misbruke en tredjeparts datasystem for selve den tekniske utsendelsen (se kapittel 3.6). Denne tredjeparten rammes ikke av utkastet § 14, med mindre vedkommende har samtykket til eller på annen måte aktivt tilrettelagt for bruk av datasystemet til masseutsendelse. I så fall kan vedkommende straffes for medvirkning til overtredelse av utkastet § 14, jf. ny straffelov § 15. Regulært vil tredjeperson være uvitende om misbruket, og er selv offer for straffbar handling i forbindelse med spamutsendelsen. Bruken av datasystemet kan etter omstendighetene rammes av utkastet §§ 4 og 8, og eventuelt § 13 dersom de automatiske bekreftelsene fra mottakernes datasystemer utgjør en så stor belastning at det representerer driftshindring.

Masseutsendelse er ikke straffbart dersom det skjer «i eksisterende kundeforhold, til medlemmer eller lignende». Dette gjelder likevel ikke dersom «mottakeren har reservert seg mot slike meldinger». Denne regelen i utkastet § 14 første ledd annet punktum innskrenker området for spamforbudet etter mønster fra markedsføringsloven § 2 b. Årsaken er at spamforbudet ikke bør ramme bruk av elektroniske meldinger i vanlig kundepleie, kontakt med medlemmer i en forening eller annen type organisasjon m.v. Det samme gjelder utsendelse av offentlig informasjon fra forvaltningen til borgerne. I disse tilfellene er ikke utsendelsen rettsstridig selv om forhåndssamtykke ikke er innhentet, jf. § 14 første punktum.

Det avgjørende for rettsstridsreservasjonen er karakteren av den relasjon som foreligger mellom avsender og mottaker, det vil si om det kan karakteriseres som «eksisterende kundeforhold», et medlemskap eller lignende. Det følger uttrykkelig av ordlyden at masseutsendelse ikke rettmessig kan anvendes med sikte på å opprette nye kundeforhold m.v., det er kun tale om masseutsendelse i «eksisterende» relasjoner. Det er ikke en betingelse etter loven at det er tale om relasjoner i næringsvirksomhet. Reservasjonen i første ledd annet punktum omfatter for eksempel også elektronisk kommunikasjon mellom private, for eksempel invitasjoner til større private arrangementer som sendes med e-post.

Av annet punktum siste alternativ fremgår det at dersom masseutsendelse skjer til mottakere i slike eksisterende relasjoner, er utsendelse likevel rettsstridig dersom mottakeren har reservert seg. Den generelle reservasjonen i det sentrale reservasjonsregisteret vil være å anse som en gyldig reservasjon, jf. utkastet § 14. Det samme gjelder reservasjon som er foretatt direkte overfor den annen part.

9.15 Utkastet § 15. Identitetstyveri og bruk av uriktig identitet

Utkastet § 15 lyder:

«For identitetstyveri straffes den som uberettiget bruker uriktig identitet ved elektronisk kommunikasjon. Som uriktig identitet anses identiteten til en annen fysisk eller juridisk person og identitet som ikke tilhører noen.

Straffen er bøter eller fengsel inntil 3 år. For grov overtredelse er straffen fengsel inntil 6 år. For liten overtredelse er straffen bøter eller fengsel inntil 6 måneder. »

Det vises til de generelle merknadene i kapittel 5.6.7.

Utkastet § 15 rammer bruk av uriktig identitet ved elektronisk kommunikasjon. Gjerningsbeskrivelsen første ledd første puntum karakteriserer den straffbare handling som identitetstyveri, men bestemmelsen går lenger enn dette siden den også rammer rettsstridig bruk av identitet som ikke tilhører noen, det vil si rent fiktiv identitet. Det sentrale begrepet er «uriktig identitet» og dette er definert i bestemmelsens første ledd annet punktum som følger: « Som uriktig identitet anses identiteten til en annen fysisk eller juridisk person og identitet som ikke tilhører noen». Uriktig identitet inndeles følgelig i to hovedkategorier, og det er bare bruk av identitet som tilhører en annen («stjålet identitet») som innebærer en krenkelse av den personlige integritet. Men for begge kategoriene gjør hensynet til sikker kommunikasjon seg gjeldende, siden mottakeren kan ha behov for å stole på de identitetsopplysninger som gis.

Første alternativ i definisjonen gjelder identitet som tilhører en annen («stjålet identitet»). Innehaveren av identiteten kan være en fysisk eller juridisk person, for eksempel en bedrift eller en organisasjon. Annet alternativ gjelder identitet som ikke tilhører noen («fiktiv identitet»). En identitet kan være fiktiv selv om den fremstår som et naturlig navn. Avgjørende er at den ikke tilhører noen. Grensetilfelle oppstår dersom identiteten tilhører noen, men gjerningspersonen ikke var klar over det. Subsumsjonsspørsmålet har imidlertid ikke betydning for straffeskylden siden alternativene er likestilte. Bruk av identiteten til en død person eller til en bedrift eller organisasjon som har opphørt å eksistere antas å måtte bedømmes som fiktiv identitet. Det avgjørende er at identiteten ikke tilhører noen på gjerningstidspunktet.

Hvorvidt opplysningen er å anse som «identitet» må avgjøres på grunnlag av en totalvurdering hvor konteksten har stor betydning, Det er med andre ord vesentlig om kommunikasjonen skjer i et miljø eller i en situasjon hvor det er grunn til å forvente at opplysningen er reell. På en del elektroniske tjenester er det vanlig å benytte pseudonymer (se kapittel 5.6.7 om dette begrepet). Når deltagerne ikke kan ha noen forventning om at de øvrige oppgir reell identitet har heller ikke opplysningen noen relevans, og er neppe å anse som en identitet i straffebudets forstand. En annen innfallsvinkel er å si at bruken under enhver omstendighet ikke kan være rettsstridig i et slikt tilfelle (se kapittel 5.3.5). Dette gjelder selv om man har anvendt et navn som viser seg å tilhøre en annen. Men slik bruk kan være rettsstridig etter andre regler, for eksempel etter straffeloven § 390 a.

Således vil heller ikke registrering under uriktig identitet på tjenester beregnet på barn og ungdom uten videre være rettsstridig, jf. utkastet § 15. Tvert imot kan slik opptreden være i samsvar med nettvettregler, og det rammes da ikke av utkastet § 15. Rettsstridsvilkåret skal forstås slik at det støtter andre regler til vern om barn om ungdom som en sårbar brukergruppe, som for eksempel de foreslåtte reglene i straffeloven § 201 annet ledd i forbindelse med tiltak mot «grooming». Mottakeren av opplysningen har heller ikke foranledning til å stole på informasjonen i slike tilfeller. Det vises også her til kapitlet om nettvett (kapittel 5.3.5).

Hvilke opplysninger som kan skape «identitet» kan variere, men navn, adresse, e-postadresser hvor person- eller bedriftsnavn inngår er åpenbart relevante. I tillegg kan domenenavn og innhold (det visuelle uttrykket) på et nettsted være slike opplysninger. Det samme gjelder informasjon som gis i løpet av en samtale på en pratekanal. Det vises til kommentarene i kapittel 5.6.7 om dette.

9.16 Utkastet § 16. Kontomisbruk

Utkastet § 16 lyder:

«For kontomisbruk straffes den som med forsett om vinning uberettiget disponerer over en konto som tilhører en annen, ved å gi opplysninger til et datasystem og derved volder tap eller fare for tap for noen. Med konto menes en adgang til bestemte rettigheter basert på et avtaleforhold, og informasjon om rettighetene er lagret elektronisk.

Med konto menes en adgang til bestemte rettigheter av økonomisk art basert på et avtaleforhold når informasjonen om rettighetene er lagret elektronisk. Det anses ikke som konto dersom informasjonen om rettighetene kun er lagret elektronisk i en fysisk representasjon som kan utnyttes av ihendehaveren.

Straffen er bøter eller fengsel inntil 3 år. For grov overtredelse er straffen fengsel inntil 6 år. For liten overtredelse er straffen bøter eller fengsel inntil 6 måneder.»

Det vises til merknadene i kapittel 5.8.5.

Straffebudet retter seg mot kontomisbruk. Straffebudet retter seg mot tredjepersons misbruk av en annens konto, jf. «konto som tilhører en annen». Kontoinnehaverens eget misbruk, for eksempel ved forsettlig overbelastning av konto, omfattes ikke av bestemmelsen.

«Konto» er definert i bestemmelsens annet ledd. Det sentrale er at det er tale om rettigheter av økonomisk verdi. Videre er det et vilkår at selve administrasjonen av rettigheten skjer av en annen enn kontoinnehaveren selv. Et typisk eksempel på kontoforhold som omfattes av definisjonen er bankkonti. Det er uten betydning om beløpet på konto er et tilgodehavende eller en gjeld (kreditt) for kontohaver. Poenget er bevegelsene på konto registreres av den som administrerer kontoen. Dette kan være en bank, et kredittforetak, en oppgjørsagent m.v. Også andre avtaleforhold kan representere konti i bestemmelsens forstand, for eksempel en konto med bonuspoeng hos et flyselskap eller et abonnement i et teleselskap.

Kontobegrepet kan – og vil ofte være – representert fysisk, for eksempel ved et bank- eller kredittkort, men dette er ikke noe rettslig relevant vilkår.

Kontobegrepet i utkastet § 16 avgrenses mot elektroniske ihendehaverbevis, jf. bestemmelsens annet ledd annet punktum. Med dette menes kort, armbånd m.v. som er utstyr med elektronisk brikke som gir rett til å disponere over et visst beløp. Slike betalingsløsninger er vanlige, for eksempel i svømmehaller eller på festivaler. Også elektroniske telefonkort pålydende et gitt beløp eller et begrenset antall tellerskritt faller i denne gruppen. Dersom slike ihendehaverbevis urettmessig borttas eller tilegnes, står man overfor regulært tyveri eller underslag. Bruken av beløpet er å anse som et moment i straffutmålingen.

Straffebudet rammer det å uberettiget disponere konto som nevnt. Formuleringen setter ikke noen begrensninger for hva slags type handlinger det er tale om, annet enn at det ikke omfatter disposisjoner foretatt av kontoinnehaver selv (eller noen som opptrer på vedkommendes vegne).

Eksempler på uberettiget disponering av konto kan være å anvende et stjålet kort eller et kort som er ulovlig kopiert (skimming), på en automat for uttak av kontanter eller varer. Et tilfelle som nevnt i Rt. 1997 side 1771 hvor det ble foretatt uttak av bensin og varer med bruk av kort som var ulovlig kopiert, skal derfor ikke lenger bedømmes som tyveri, men som kontomisbruk, jf. utkastet 16. Det samme gjelder avgivelse av opplysning om en annens kredittkortnummer og sikkerhetskode ved bestillinger på internett.

Som det fremgår har karakteren av vinning ikke betydning for subsumsjonen. Dette er en endring i forhold til gjeldende rett. Dersom vilkårene for øvrig er oppfylt etter utkastet § 16, skal dette under enhver omstendighet bedømmes som kontomisbruk.

Det er et vilkår at det voldes tap eller fare for tap for noen. Dette tilsvarer formuleringen i databedrageribestemmelsen i straffeloven § 270 første ledd nr. 2 og skal forstås likedan. Om uttrykket «noen» kan det bemerkes at det vil kunne være både medkontrahent, kontoutsteder og kontoinnehaver.

9.17 Utkastet § 17. Grovt uaktsomt datalovbrudd

Utkastet § 17 lyder:

«Er bestemmelser i §§ 7, 9, 10, 12 annet ledd eller 13 i dette kapitlet overtrådt uten forsett, er overtredelsen likevel straffbar hvis gjerningspersonen har opptrådt grovt uaktsomt. »

Det vises til de generelle merknadene under kapittel 6.1.

Skyldkravet etter datakrimkapitlet er som hovedregel forsett, men etter denne bestemmelse er §§ 7, 9, 10, 12 annet ledd og 13 også straffbar dersom gjerningspersonen opptrådte grovt uaktsomt. Utvalget har kommet til at disse bestemmelser bør være straffbare også ved grov uaktsomhet ut fra en vurdering av hvilke overtredelser som praktisk kan begås ved uaktsomhet sett i forhold til skadepotensialet ved overtredelse. Også bevisbyrdereglene taler for at visse grovt uaktsomme overtredelser er straffbare, idet forsett i en del tilfeller er vanskelig å bevise (for å ramme «skjult forsett»).

Utvalget har vurdert om også simpel uaktsomhet bør være straffbar for enkelte av bestemmelsene, men finner at det bør kreves grov uaktsomhet. Om dette vises det til kapittel 6.1.

Når det gjelder hvilke overtredelser som etter utkastet også er straffbare ved grov uaktsomhet, bemerker utvalget at for en del av bestemmelsene er det vanskelig å tenke seg at en handling kan begås ved uaktsomhet. Dette gjelder for eksempel utkastet § 2 (elektronisk kartlegging), § 3 (ulovlig anbringelse av utstyr), § 14 (masseutsendelse av elektroniske meldinger) og § 16 (kontomisbruk). Kravet til uberettiget vil også utelukke noen av handlingene, for eksempel § 15 (identitetstyveri og bruk av uriktig identitet).

Når det gjelder § 4 (ulovlig tilgang til datasystem) bemerker utvalget at normaltilfellet ved overtredelse av denne bestemmelse er at det foretas en aktiv handling fra gjerningspersonens side. Etter utvalgets syn vil det normalt ikke foreligge særlige problemer med å bevise forsettet dersom hendelsesforløpet kan bevises. Det kan imidlertid tenkes tilfeller av ulovlig tilgang som reelt skyldes uaktsomhet fra gjerningspersonens side. Vedkommende vil for eksempel kjøre en exploit mot sitt eget system for å teste sikkerheten, men skriver inn feil IP-addresse og skaffer seg dermed ulovlig tilgang på et annet system. Det kan også tenkes andre eksempler som begås ved uaktsomhet. Hvorvidt slik uaktsomhet anses som grov vil variere fra tilfelle til tilfelle. Utvalget finner imidlertid grunn til å spørre om skaden som oppstår ved ulovlig tilgang begått ved uaktsomhet er tilstrekkelig stor til å begrunne å belegge dette med straff. I eksemplet som er nevnt over vil gjerningspersonen raskt oppdage at han er inne på en annens datasystem. Eventuell videre bruk av systemet vil da bli forsettlig ulovlig bruk (utkastet § 8), data/informasjonstyveri (utkastet §§ 5 og 6) eller datamodifikasjon (§ 7). Skaden som oppstår ved selve tilgangen er at systemsikkerheten er brutt. Utvalget er av den oppfatning at denne skaden ikke er så betydelig at den kan begrunne at grov uaktsom overtredelse av § 4 bør være straffbar.

For utkastet § 5 (informasjonstyveri) viser utvalget til at gjerningen som utføres her er at man tilegner seg informasjon som man ikke skulle ha tilgang til. Det kan med andre ord være nok å lese fra skjermen over skulderen til andre, eller på annen måte uberettiget få kjennskap til datalagret informasjon. Utvalget finner at det er åpenbart at dette er et forhold som lett kan oppstå ved uaktsomhet, og spørsmålet blir da hvilken aktsomhet man har plikt til å utvise når det gjelder å få informasjon som man ikke skulle hatt tilgang til. Utvalget mener at det vil føre for langt å gjøre også grovt uaktsomme handlinger etter denne bestemmelsen straffbare.

Heller ikke utkastet § 6 (datatyveri) finner utvalget bør gjøres straffbart ved grov uaktsomhet. Et datatyveri skjer riktignok ikke så lett som et informasjonstyveri, men krever i større grad en aktiv handling fra gjerningspersonens side. For eksempel kan det tenkes at en ansatt som slutter i en bedrift kopierer med seg private filer, men også får med seg bedriftens filer, uten at det var bevisst. Utvalget er likevel kommet til at også for § 6 bør det kreves forsett.

I forhold til utkastet § 7 (datamodifikasjon) finner imidlertid utvalget at dette er handlinger som bør være straffbare også dersom de begås ved grov uaktsomhet. Endring eller sletting av data er handlinger som meget lett kan skje ved uaktsomhet, og dette kan potensielt få meget store konsekvenser. Det er for eksempel fullt mulig å slette alle data som er lagret på et datasystem på en slik måte at de ikke kan rekonstrueres. Dette vil for eksempel skje hvis en dataetterforsker ved speilkopiering foretar kopieringen i feil retning, slik at originaldisken blir overskrevet. En slik feil må ofte karakteriseres som grovt uaktsom i og med at dette er det aller viktigste dataetterforskeren skal passe på. De potensielt store skadefølgene er for utvalget avgjørende for at grovt uaktsom datamodifikasjon bør være straffbar.

Uberettiget bruk av datasystem etter utkastet § 8 er også en aktiv handling. Utvalget kan imidlertid vanskelig se at uaktsomhet vil ha noen praktisk anvendelse i forhold til denne bestemmelsen. Det måtte eventuelt være uaktsomhet som går ut på hvem som er den egentlige eier av systemet.

Utkastet § 9 (etterfølgende befatning av ulovlig tilegnet data og databasert informasjon) er imidlertid en bestemmelse hvor uaktsomhet er meget aktuelt. Man kan for eksempel tenke seg at informasjonen blir publisert på et websted ved uaktsomhet, og at dette får store konsekvenser fordi den da blir kjent for allmennheten. Dersom handlingen kan karakteriseres som grovt uaktsom er det etter utvalgets syn klart at det bør gjøres straffbart på grunn av skadepotensialet.

Det samme gjelder for utkastet § 10 (ulovlig befatning med tilgangsdata). Et eksempel kan være en systemadministrator som sender ut passordene til alle brukerne i klartekst til et news-forum. Dette er noe alle systemadministratorer vet at de ikke skal gjøre, og vil lett karakteriseres som grovt uaktsomt. Skadepotensialet ved en slik handling er så stort at utvalget finner at også grovt uaktsomme handlinger bør være straffbare.

For handlinger som dekkes av utkastet § 11 (befatning med skadelig dataprogram og utstyr) bør det etter utvalgets oppfatning kreves forsett, mens når det gjelder utkastet § 12 annet ledd (befatning med selvspredende dataprogram) og utkastet § 13 (driftshindring) bør det etter utvalgets syn være tilstrekkelig med grov uaktsomhet. Det vises til at overtredelser etter § 12 annet ledd har meget stort skadepotensiale. Er man først klar over at man har selvspredende dataprogram mellom hendene, må det kreves at man innretter seg slik at det ikke uforvarende startes opp. Grov uaktsomhet i så henseende bør derfor være straffbart. Drifthindring etter § 13 skjer normalt ved forsettlige handlinger, men kan også oppstå ved uaktsomhet som følge av at den som kjører et dataprogram ikke innser at følgen av dataprogrammet er at det oppstår en driftshindring for noen. Dette vil etter omstendighetene kunne bedømmes som grovt uaktsomt, og bør etter utvalgets syn rammes.

I kravet om grov uaktsomhet ligger at handlingen er svært klanderverdig og at det er grunnlag for sterk bebreidelse, jf. ny straffelov § 23 annet ledd, og Ot.prp. nr. 90 (2003-2004) side 427. Det vises også til Rt. 1970 side 1235 hvor det fremgår at for grov uaktsomhet må det foreligge en kvalifisert klanderverdig opptreden som foranlediger sterke bebreidelser for mangel på aktsomhet.

Utvalget har vurdert om det bør gis egne strafferammer for de grovt uaktsomme handlinger, men er kommet til at man ikke vil foreslå det. Det vises til begrunnelsen gitt under kapittel 6.1.

9.18 Utkastet § 18. Grovt datalovbrudd

Utkastet § 18 lyder:

«Ved avgjørelsen av om et lovbrudd etter dette kapitlet skal anses som grovt, legges det særlig vekt på den skade som er voldt eller kunne ha vært voldt, om lovbruddet er begått ved å bryte en beskyttelse og om gjerningspersonen har hatt eller kunne ha hatt vinning og størrelsen av denne.»

Det vises til de generelle merknadene under kapittel 6.2.

Oppregningen i bestemmelsen over av hva om gjør en handling til et grovt datalovbrudd, er ikke er uttømmende. Dette fremgår ved uttrykket «legges det særlig vekt på». Det vil avhenge av en helhetsvurdering av om handlingen anses som en grov overtredelse. Selv om ett eller flere av alternativene i § 18 er til stede, innebærer ikke det nødvendigvis at handlingen anses som en grov overtredelse. På samme måte kan handlingen også anses som grov, selv om ingen av de nevnte alternativene foreligger, dersom andre forhold tilsier det. De alternativene som er nevnt i § 18 er imidlertid etter utvalgets oppfatning momenter som ofte vil bringe forholdet inn i karakteristikken grovt datalovbrudd.

Når det gjelder alternativene, er det særlig den voldte skade som innebærer at forholdet bør anses som grovt. Utvalget finner imidlertid at det ikke bare er den konkrete skaden som bør tillegges vekt, men også skadepotensialet. Det vises til at det i en del tilfeller vil være tilfeldig om skade faktisk blir voldt. For eksempel kan sikkerhetstiltak hos den som blir angrepet begrense skaden, uten at dette bør ha betydning for hvordan gjerningspersonens forhold bedømmes. Videre er det i mange tilfeller vanskelig å skaffe seg et sikkert overslag over den faktiske skaden som er voldt.

I begrepet «skade» ligger naturligvis den økonomiske skade som lar seg beregne. Utvalget legger imidlertid en bredere forståelse av begrepet til grunn, idet man også mener at uleilighet, forsinkelse og problemer hos andre må anses som skade, selv om det ikke lar seg beregne noe økonomisk tap. Hvor stor skade som må kreves for å bedømme forholdet som grovt, må avgjøres konkret. Her vil man for økonomisk skade måtte se hen til hvor grensene for grove vinningsforbrytelser går, for tiden ved ca. kr 100 000. Når det gjelder annen skade enn den økonomiske, vil man måtte se hen til hvor mange som er rammet av handlingen og omfanget mer generelt.

Det neste alternativet som skal vektlegges ved vurderingen av om forholdet anses som grovt, er om det er begått ved å bryte en beskyttelse. Der den som er rammet har forsøkt å beskytte seg ved for eksempel tilgangskoder eller kryptering, eller på andre måter, er dette et moment som etter utvalgets syn taler for å bedømme forholdet som grovt.

Videre finner utvalget at gjerningspersonens vinning og den eventuelle størrelsen av denne også bør tillegges vekt ved vurderingen av om forholdet skal anses som grovt. Opplysninger utvalget har fått under sitt arbeid, tyder på at det på datakrimområdet har skjedd en dreining fra å være forhold begått ut fra utforskertrang, nysgjerrighet og for å oppnå anerkjennelse fra andre i miljøet, til å bli mer vinningsstyrt kriminalitet. Dette gir forholdene, etter utvalgets oppfatning, en annen og mer alvorlig karakter, og bør tillegges vekt i vurderingen av om forholdet anses som grovt eller ikke.

9.19 Utkastet § 19. Lite datalovbrudd

Utkastet § 19 lyder:

«Ved avgjørelsen av om et lovbrudd etter dette kapitlet skal anses som lite, legges det særlig vekt på om skadepotensialet er lite og om gjerningspersonen ikke har eller kunne ha hatt vinning.»

Det vises til de generelle merknadene under punkt 6.2.

Oppregningen i bestemmelsen over av hva som gjør en handling til et lite datalovbrudd, er ikke er uttømmende. Dette fremgår ved uttrykket «legges det særlig vekt på«. Det vil avhenge av en helhetsvurdering om handlingen anses som en liten overtredelse. Selv om ett eller begge av alternativene i utkastet § 19 er til stede, innebærer ikke det nødvendigvis at handlingen anses om en liten overtredelse. Videre kan handlingen også anses som liten, selv om ingen av de nevnte alternativene foreligger, dersom andre forhold tilsier det. De alternativene som er nevnt i utkastet § 19 er imidlertid etter utvalgets oppfatning momenter som ofte vil bringe forholdet inn i karakteristikken lite datalovbrudd.

Utvalget har kommet til at det er særlig lite skadepotensiale og manglende vinningsmuligheter som bør være avgjørende for om forholdet skal anses som et lite datalovbrudd. Med skadepotensiale mener utvalget både økonomisk og ikke-økonomisk skade som beskrevet i merknaden til utkastet § 18. Ved vurderingen av om forholdet anses som lite, finner utvalget at det ikke er den voldte skade, men potensialet for skade som bør være avgjørende, idet tilfeldigheter kan føre til at den faktiske skaden blir liten selv om potensialet var stort. Dette bør ikke komme gjerningspersonen til gode i karakteristikken av forholdet.

Også manglende faktisk vinning eller vinningsmuligheter bør vektlegges i vurderingen.

Utvalget har vurdert om gjerningspersonens alder, erfaring og hensikt bør tas med i oppregningen av momenter som tilsier at forholdet anses som et lite datalovbrudd. Utvalget har imidlertid kommet til at dette ikke bør tas med. Det vises til at selv om gjerningspersonen er ung, og kanskje har liten erfaring, kan vedkommende begå handlinger som etter utkastet § 18 skal vurderes som grove datalovbrudd. Ung alder, liten erfaring og begrenset forståelse av skadepotensialet, vil etter rettspraksis ha betydning for den konkrete straffutmåling innenfor den aktuelle strafferamme, og bør da etter utvalgets oppfatning ikke ha betydning for om forholdet skal anses som grovt, vanlig eller lite.

Til forsiden