NOU 2007: 2

Lovtiltak mot datakriminalitet— Delutredning II

Til innholdsfortegnelse

4 Rettslige utgangspunkter

4.1 Et eget kapittel om data­kriminalitet

4.1.1 Begrepet «datakriminalitet»

Etter en alminnelig forståelse omfatter uttrykket «datakriminalitet» både kriminalitet som er rettet mot data og datasystemer, og kriminalitet hvor datautstyr benyttes som verktøy for å begå handlingen. Utvalget har ikke sett behov for å gi uttrykket «datakriminalitet» en rettslig definisjon. Mandatet sett under ett oppfattes som et oppdrag om å gi regler om kriminalitet som har sammenheng med bruk og utnyttelse av datateknologi (IKT). Begrepet datakriminalitet er hensiktsmessig for å indikere hva lovforslaget gjelder.

4.1.2 Særregulering av datakriminalitet eller inkorporering i andre deler av straffeloven?

Et viktig systematisk spørsmål har vært å ta stilling til om det skal gis særlige straffebestemmelser om datakriminalitet eller om alternativer som rammer slike handlinger bør inkorporeres i de øvrige straffebestemmelsene. Ved Straffelovrådets revisjon av straffeloven med tanke på datakriminalitet i 1985-1987, ga mandatet en føring om at man så langt som mulig skulle basere seg på de alminnelige bestemmelsene. Denne systematikk ble da også valgt, se NOU 1985: 31 «Datakriminalitet» side 5 og 28, og Ot.prp. nr. 35 (1986-1987) side 13.

Mandatet av 6. september 2005 stiller Datakrimutvalget fritt med hensyn til systematisk plassering av straffebudene, og i dag er nok erfaringen at krenkelser mot data og datasystemer reiser så mange særlige spørsmål at man er best tjent med en særregulering.

Utvalget foreslår å samle reglene om datakriminalitet i et eget kapittel kalt «Vern av data, databasert informasjon og datasystemer» i ny straffelov. For det første anvendes visse sentrale begrep i flere av bestemmelsene, noe som har gitt behov for å innta legaldefinisjoner i lovutkastet § 1. Regler som anvender definisjonene bør stå samlet, tilsvarende systematikken i straffeloven kapittel 18 om dokumentfalsk, hvor straffebudene står plassert i umiddelbar tilknytning til legaldefinisjonen i straffeloven § 179 i begynnelsen av kapitlet. Straffelovkommisjonen foreslo å videreføre denne systematikken for dokumentfalsk, se utkast til kapittel 31 om vern av tilliten til dokumenter og penger i NOU 2002: 4 Ny straffelov (delutredning VII), side 374 flg. Utvalgets forslag til kapittel om vern av data, databasert informasjon og datasystemer føyer seg inn i en tilsvarende systematikk.

Datakrimreglene har et innbyrdes slektskap. Pedagogiske hensyn og hensyn til oversiktlighet tilsier at de plasseres samlet. Det gjør det enklere å sette seg inn i straffereguleringen på et område som kan oppfattes som vanskelig tilgjengelig. Lovforslaget dekker ulike stadier og sider ved den straffverdige atferd som det ofte vil være hensiktsmessig å se under ett. For eksempel er det naturlig at regler om ulovlig tilgang til datasystem (utkastet § 4) og data- og informasjonstyveri (utkastet §§ 5 og 6) står i nærheten av hverandre siden slike handlinger ofte vil følges ad. Straffebudene har imidlertid slektskap med andre bestemmelser også, for eksempel innbrudds- og tyveribestemmelsene i straffeloven §§ 147 og § 257. Inkorporering er imidlertid ikke nødvendigvis den mest hensiktsmessige lovteknikken fordi datakriminalitet reiser egne spørsmål som uansett må løses. Datatyveri kan illustrere dette. Datatyveri skjer ved uberettiget kopiering eller overføring av data til datasystemer som gjerningspersonen kontrollerer. Ved eventuell inkorporering av utkastet § 6 (datatyveri) i straffeloven § 257, oppstår problemer i forhold til vilkårene «gjenstand» og «borttar». Det vises også til fremstillingen i Sunde 2006 «Lov og rett i cyberspace» kapittel 4 om dette.

Det antas at utbygging av andre straffebud med alternativer som dekker datakriminalitet, vil kunne gjøre dem svært kompliserte. Det er heller ikke gitt at legaldefinisjonene i utkastet § 1 er hensiktsmessige for andre straffebud i den spesielle del, som måtte inneholde tilsvarende uttrykk. Definisjonene er utarbeidet med tanke på bestemmelsene i datakrimkapitlet, ikke på de øvrige straffebudene i den spesielle delen. Til slutt pekes det på at med en selvstendig regulering får man bedre frem de spesielle legislative hensyn som gjør seg gjeldende ved beskyttelse av data utover de som gjelder formuesgoder mer generelt, se kapittel 4.6.2 om datasikkerhetshensynene.

I Straffelovkommisjonens delutredning VII ble datakrimbestemmelsene foreslått samlet i ett kapittel om vern av informasjon og informasjonsutveksling i utkastet kapittel 23, side 318 flg. Etter kommisjonens forslag inneholdt kapitlet også andre bestemmelser (enn datakrimbestemmelser) til vern om det samme, blant annet straffebud om brudd på taushetsplikt (VII utkast til § 23-1), brudd på bedriftshemmelighet (VII utkast til § 23-6) og åpning eller hindring av brev m.v. (VII utkast til § 23-10). Også utkastet til straffebud om offentliggjøring av private forhold (VII utkast til § 23-2), som er en videreføring av straffeloven §§ 248 nr. 2 og 390, kan nevnes. For de øvrige dataspesifikke bestemmelsene fulgte det av kommisjonens forslag at disse bare kunne overtres ved tekniske metoder, for eksempel ved misbruk av datasystem og avlyttingsutstyr m.v. Datakrimutvalgets forslag til særregulering skiller seg fra kommisjonens ved at straffebud som ikke er satt til vern om data, databasert informasjon eller datasystemer, eller som etter gjerningsbeskrivelsen tydelig rammer handlinger som begås ved hjelp av datateknologi, foreslås skilt ut til andre kapitler i ny straffelov. Utvalget er imidlertid enig med kommisjonen i at dataspesifikke straffebud forutsettes overtrådt ved dataspesifikke fremgangsmåter, og følgelig skal kunne anvendes i konkurrens med andre straffebud, der det er naturlig. Se som eksempel delutredning VII side 325, utkastet § 23-11 om skadeverk på elektronisk lagret informasjon, hvor det opplyses at

«informasjon kan også gå tapt ved fysisk ødelegging av lagringsmediet, for eksempel hvis en datamaskin blir knust med en slegge. I så fall vil bestemmelsene om skadeverk på informasjon kunne anvendes i konkurrens med bestemmelsene om skadeverk på fysiske ting [...]»

Utvalget slutter seg til dette.

Ytterligere har utvalget sett hen til det praktiske behovet for oppdatering av straffebudene. Teknologi- og samfunnsutvikling går raskt og det antas at teknisk betonte straffebud jevnlig må gjennomgås for å påse at de er relevante og anvendelige. Det er påregnelig at nye straffverdige utnyttelsesformer vil oppstå i fremtiden. Kontrollen gjøres enklere dersom reglene er plassert i sammenheng. Styrken av dette hensynet avhenger imidlertid av gjerningsbeskrivelsene. Dersom de er tilstrekkelig generelt og fleksibelt utformet og beskriver modus snarere enn misbruk av spesifikke tjenester, antas de også å kunne ha en viss tidsbestandighet. På den annen side setter legalitetsprinsippet grenser for hvor generelt straffebud kan utformes. Dersom generaliserings- eller abstraksjonsnivået blir for høyt, fratas straffebudene også noe av de pedagogiske og opplysende funksjoner. Det synes naturlig i hvert fall å planlegge for et revisjonsbehov på dette feltet med jevne mellomrom. Også av denne grunn antas det at det er hensiktsmessig at bestemmelsene står samlet.

Spørsmålet om plasseringen av straffebudene om datakriminalitet beror først og fremst på hva som anses hensiktsmessig. Som det fremgår har utvalget lagt avgjørende vekt på hensynene til reglenes innbyrdes sammenheng, felles begrepsbruk, pedagogiske formål, behovet for oversiktlighet og det antatte oppdateringsbehovet. Disse hensynene tilsier særregulering i et eget kapittel. Straffebudene i dette kapitlet gjelder bare handlinger i kjerneområdet for datakriminalitet. Kapitlet omfatter ikke straffebud hvor bruk av data bare er en av flere mulige måter å begå overtredelsen på. Slike handlinger fanges opp av andre straffebud hvor gjerningsbeskrivelsen er utformet mer generelt, og som snarere lar den vernede interesse være avgjørende for straffbarheten fremfor den konkrete fremgangsmåte som ble benyttet. Det vises for eksempel til straffeloven § 135 a om spredning av straffbare ytringer, straffeloven § 204a om befatning med seksualiserte skildringer av barn, og straffeloven § 390 a om krenkelse av privatlivets fred.

Utenfor kapitlet om vern av data, databasert informasjon og datasystemer legger utvalget frem forslag til supplering av reglene i ny straffelov kapittel 13 om inndragning (utkastet §§ 76a og 76b). Det fremlegges også en skisse til regler om dokumentfalsk i relasjon til data, som foreslås tatt inn i kapitlet om vern av tilliten til dokumenter og penger i ny straffelov. For en fullstendig oversikt over lovforslaget vises det til kapittel 5.1.

4.2 Historikk om bestemmelsene om datakriminalitet – tidligere utredningsarbeid

4.2.1 Dataspesifikke endringer

I 1985 ble straffeloven gjennomgått med tanke på om den ga tilfredsstillende dekning mot datakriminalitet. Straffelovrådet avga utredningen NOU 1985: 31 «Datakriminalitet». Arbeidet ledet til visse endringer i straffeloven ved endringslov av 12. juni 1987 nr. 4. Endringene var som følger: Straffeloven § 151 b (sabotasje) ble tilføyd. Regelen om datainnbrudd ble gitt en modernisert ordlyd og skilt ut som eget ledd i straffeloven § 145 annet ledd. Det ble tatt inn en bestemmelse om uberettiget bruk av løsøregjenstand i straffeloven § 261, og tilføyd en bestemmelse om databedrageri i straffeloven § 270 første ledd nr. 2.

I 1995 ble det på ledig plass i straffeloven tilføyd et straffebud i § 262 til vern om betalingsbelagte kodete kringkastingssignaler, jf. lov av 7. april 1995 nr. 15. Bestemmelsen ble tatt inn fordi det gjennom to høyesterettsdommer var fastslått at det ikke forelå et tilfredsstillende strafferettslig vern mot såkalt piratdekoding av fjernsynssendinger, verken etter straffeloven § 145 annet ledd, eller etter åndsverklovens regler, se Rt. 1994 side 1610 (Betal-tv-dommen) og Rt. 1995 side 35 (Smartkort-dommen). Ved lovendring av 15. juni 2001 nr. 57, ble straffeloven § 262 bygd ut til sin nåværende form. Straffebudet gjelder piratvirksomhet overfor såkalte vernede tjenester. Vernet tjeneste er legaldefinert i straffeloven § 262 fjerde ledd, og omfatter betalingsbelagte tilgangskontrollerte kringkastingssignaler og informasjonssamfunnstjenester. Bestemmelsen rammer forskjellige spesifiserte medvirkningsformer til piratdekoding (første ledd), og piratdekoding som sådan (annet ledd). Endringene ble foretatt for å gjennomføre kravene i tilgangskontrolldirektivet av 20. november 1998 (98/94 EF) og tilgangskontrollkonvensjonen av 24. januar 2001 (ETS 178).

Den 23. november 2001 undertegnet Norge Europarådskonvensjonen Convention on Cybercrime (ETS 185) («datakrimkonvensjonen»). Som følge av tiltredelsen nedsatte regjeringen Datakrimutvalget. Datakrimutvalget leverte utredningen NOU 2003: 27 «Lovtiltak mot datakriminalitet». Utredningen gir anvisning på de lovendringer som er nødvendige for å oppfylle datakrimkonvensjonens minimumskrav, og gir ikke anbefalinger utover dette. På bakgrunn av datakrimkonvensjonen artikkel 9, ble også bestemmelsen om seksualiserte skildringer av barn i daværende bestemmelse i straffeloven § 204 gjennomgått, uten forslag om å endre denne.

Gjennomføring av datakrimkonvensjonens krav skjedde ved endringslov 8. april 2005 nr. 16. Følgende endringer i straffeloven ble gjort:

  • Straffeloven § 12 første ledd nr. 3 bokstav a: Straffeloven §§ 145 annet ledd og 145b ble tilføyd i opplistingen av bestemmelser. Slike overtredelser er derfor straffbare også når de er begått i utlandet av norsk statsborger eller en i Norge hjemmehørende person.

  • Straffeloven § 145 annet ledd: Beskyttelsesvilkåret ble fjernet. Bestemmelsen ble dermed endret fra en beskyttelsesbruddsbestemmelse til en datavernbestemmelse. I tillegg ble strafferammen forhøyet fra «bøter eller med fengsel inntil 6 måneder», med tilføyelsen av alternativet «eller begge deler». Formålet var å hindre rask foreldelse og gi mulighet for økt bruk av tvangsmidler.

  • Straffeloven § 145b: Det ble tilføyd en ny bestemmelse om spredning av tilgangsdata.

Videre må endringene i åndsverkloven ved endringslov 17. juni 2005 nr. 97 nevnes. Endringene ble foretatt for å gjennomføre to WIPO konvensjoner av 20. desember 1996, henholdsvis the Copyright Treaty og the Performances and Phonograms Treaty, samt krav i opphavsrettsdirektivet (direktiv 2001/29/EF av 22. mai 2001) i norsk rett. Lovendringsarbeidet gjaldt først og fremst problemstillinger knyttet til vern og distribusjon av digitaliserte åndsverk, herunder rettslig vern for systemer for elektronisk rettighetsadministrasjon («digital rights management» – DRM).

Av spesiell betydning i forhold til datakriminalitet er tilføyelsen av åndsverkloven § 53a, lest i sammenheng med presiseringen av eneretten i § 2 annet til fjerde ledd. Bestemmelsen er straffesanksjonert, jf. åndsverkloven § 54 første ledd bokstav b. Bestemmelsen gjelder forbud mot omgåelse av tekniske beskyttelsessystemer til vern om digitaliserte åndsverk, og slår til dels inn på området for straffeloven § 145 annet ledd (vern om data), straffeloven § 145b (spredning av tilgangskoder) og straffeloven § 262 (vernede verk). Også den eldre bestemmelsen i åndsverkloven § 54a, som ble renummerert til åndsverkloven § 53c, har slektskap med de nevnte reglene.

4.2.2 Seksualiserte skildringer av barn

Parallelt med Datakrimutvalgets arbeid pågikk en lovendringsprosess for å styrke barns rettigheter. Bakgrunnen var det generelle behovet for økte tiltak på området, påvist blant annet i Seksuallovbruddutvalgets utredning NOU 1997: 23 «Seksuallovbrudd». Dette sammenfalt med en vesentlig rettslig utvikling på det internasjonale plan, især ved vedtagelsen av FNs tilleggsprotokoll til barnekonvensjonen av 25. mai 2000 om salg av barn, barneprostitusjon og barnepornografi, samt EUs rammebeslutning om bekjempelse av seksuell utnytting av barn og barnepornografi av 22. desember 2003 (2004/68/JHA). Denne prosessen resulterte blant annet i flere suksessive endringslover som justerte rekkevidden av forbudet mot seksualiserte skildringer av barn.

Etter det nevnte utredningsarbeidet fremmet regjeringen to lovproposisjoner om datakriminalitet og styrking av barns rettigheter. Ot.prp. nr. 40 (2004-2005) fulgte opp Datakrimutvalgets arbeid, mens Ot.prp. nr. 37 (2004-2005) (eige straffebod om kjønnslege skildringar som gjer bruk av barn) gjaldt styrking av barns rettigheter. Lovforslaget i den sistnevnte proposisjonen dekket også kravene etter datakrimkonvensjonen artikkel 9.

  • Som følge av utredningsarbeidet i Ot.prp. nr. 37 (2004-2005) ble forbudet mot seksualiserte skildringer av barn skilt ut som egen bestemmelse og vesentlig omarbeidet, jf. straffeloven § 204a. Endringen skjedde ved lov av 20. mai 2005 nr. 29. Straffebudet tilfredsstiller kravene i datakrimkonvensjonen artikkel 9, uten bruk av reservasjonsadgangen i artikkel 9 nr. 4.

4.2.3 Arbeidet med ny straffelov

Ny straffelov alminnelig del ble vedtatt ved lov 20. mai 2005 nr. 28. Til grunn for dette arbeidet ligger særlig Ot.prp. nr. 90 (2003-2004) og Innst.O. nr. 72 (2004-2005). I henhold til mandatet skal Datakrimutvalget gjennomgå enkelte av de bestemmelser som ble vedtatt i alminnelig del, særlig bestemmelsene om straffelovens stedlige virkeområde, jf. ny straffelov §§ 4-7. Utvalget har også sett på reglene om rettighetstap og inndragning.

Straffelovkommisjonens skisse til straffebud i kapitlet om Vern av informasjon og informasjonsutveksling etablerer et generelt informasjonsvern som gjelder informasjon representert både i elektroniske data og på annen måte, for eksempel på papir. Se delutredning VII side 318 flg. om utkast til kapittel 23. Datakrimutvalget går inn for at bare dataspesifikke bestemmelser inntas i samme kapittel. Det antas at de øvrige bestemmelsene i delutredning VII utkastet kapittel 23 kan følges opp andre steder i ny straffelov.

Utvalget har ellers forholdt seg til forarbeidene til ny straffelov og til de alminnelige bestemmelsene i ny straffelov. Utvalget har bare behandlet spørsmål som ligger innenfor den avgrensningen som fremgår nedenfor.

4.3 Avgrensning av mandatet

4.3.1 Straffebud til vern av data, databasert informasjon og datasystemer

Mandatet gir utvalget stor frihet i utformingen av lovforslaget. Utvalget mener det er sentralt å lage bestemmelser til vern av data, databasert informasjon og datasystemer, jf. annet punkt i mandatet. Dette omfatter etter en naturlig forståelse regler som beskytter påliteligheten og tilliten til datasystemer og den informasjon som der behandles. Det er således tale om straffebud mot uberettiget tilgang til datasystemer, uberettiget tilegnelse av data og databasert informasjon, uberettiget bruk av datasystemer, skadevoldende handlinger rettet mot data og datasystemer osv.

4.3.2 Om gjeldende straffelov i tilstrekkelig omfang og tilstrekkelig strengt straffer handlinger som begås ved misbruk av data og datasystemer

Videre har utvalget vurdert om den gjeldende straffelov i tilstrekkelig omfang og tilstrekkelig strengt straffer handlinger som begås ved misbruk av data og datasystemer, jf. tredje punkt i mandatet. Databedrageri er et eksempel på en straffbar handling som naturlig omfattes av denne del av mandatet. Men her gis det også foranledning til å vurdere en lang rekke andre straffbare handlinger siden svært mange handlinger kan begås elektronisk så vel som fysisk. Noen eksempler er spredning av seksualiserte skildringer av barn, jf. straffeloven § 204a, trusler, jf. straffeloven § 227, krenkelser av privatlivets fred, jf. straffeloven § 390 a, uberettiget tilegnelse og bruk av bedriftshemmeligheter, jf. straffeloven § 294 nr. 2 og 3, dokumentfalsk som er relatert til bruk av data, handlinger som krenker rikets sikkerhet, jf. straffeloven §§ 90 og 91 osv. Problemstillingen gjelder også for rasistiske og hatefulle ytringer, jf. straffeloven § 135 a, men dette er spesielt dekket av mandatets tredje punkt, og skilt ut til særskilt behandling i kapittel 7.4.

Utvalget har som utgangspunkt avgrenset mot de nevnte problemstillinger. Det foreslås likevel noen presiseringer i slike straffebud der datavarianten har fremstått som særlig viktig eller praktisk.

I Datakrimutvalgets forrige utredning ble det opplyst at man ville komme tilbake til en ny behandling av gjennomføringen av datakrimkonvensjonen artikkel 9 om seksualiserte skildringer av barn, jf. NOU 2003: 27 kapittel 2.9.3 side 26. I lys av lovendringene på dette området som er beskrevet i kapittel 4.2.2, har utvalget valgt å avgrense mot denne problemstillingen. Utvalget ser det her som en fordel at reguleringen fremtrer som medienøytral. Det foreligger heller ikke spesielle samordningsbehov i forhold til annet regelverk som tilsier ny behandling av reglene.

Den nye problemstillingen som gjelder kriminalisering av handlinger som har til formål å oppnå møte med barn med tanke på seksuelt misbruk («grooming») er fremmet av regjeringen som egen lovsak (Ot.prp. nr. 18 (2006-2007)) og faller utenfor utvalgets arbeid. Utvalget bemerker imidlertid også her at det er naturlig at reguleringen er medienøytral.

4.3.3 Forholdet til spesiallovgivningen

Utgangspunktet har vært å avgrense mot bestemmelser i spesiallovgivningen. Verken mandatet eller utvalgets knappe tidsramme har gitt foranledning til å gjennomgå spesiallovgivningen med tanke på datakriminalitet. I visse tilfelle har det likevel ut fra en trusselorientert tilnærming vært naturlig å vurdere om enkelte bestemmelser i spesiallovgivningen bør flyttes til straffeloven, eller justeres i lys av Datakrimutvalgets forslag til straffebestemmelser. Spørsmålet har vært reist i forhold til masseutsendelse av elektroniske meldinger («spam»), som i dag reguleres av markedsføringsloven § 2 b. Forslag til ny markedsføringslov er sendt på høring, og § 2 b er foreslått videreført uten vesentlige endringer i utkast til ny markedsføringslov § 6-2. Utvalget foreslår å overføre første ledd av denne bestemmelsen i noe utvidet form til straffeloven, jf. utkastet § 14 (se kapittel 5.6.6).

Utvalget har også sett på forholdet mellom åndsverkloven §§ 53a og 53c og de korresponderende bestemmelsene i straffeloven. Problemstillingen er beskrevet i kapittel 5.1.2. Utvalget mener det er behov for samordning på grunn av det klare slektskapet mellom åndsverkloven § 53a, § 53c og straffeloven § 145 annet ledd, § 145b og § 262. Utvalget er klar over at enkelte av de endringer som ble foretatt i åndsverkloven i 2005, var gjenstand for en betydelig samfunnsdebatt og politiske overveielser. Dette gjaldt særlig åndsverkloven § 53a om beskyttelse av elektroniske sperrer. Imidlertid er de detaljerte folkerettslige forpliktelsene på dette området langt på vei styrende for den internrettslige gjennomføringen, med tilsvarende mangel på eget handlingsrom. Gjennomføringen kan dermed sies å få et visst teknisk preg. Det er også på det rene at forpliktelsen til å ha en regel som gjennomfører opphavsrettsdirektivet artikkel 6 om beskyttelse av elektroniske sperrer, kan dekkes i annen lovgivning enn den opphavsrettslige, for eksempel i straffeloven. Det vesentlige er regelens materielle innhold, ikke hvilken lov den er plassert i. Etter datakrimkonvensjonen artikkel 10 anses straffbare krenkelser av opphavs- og nærstående rettigheter som knytter seg til digitaliserte åndsverk, som datakriminalitet, noe som også tilsier harmonisering av bestemmelsene. Utvalget går enstemmig inn for harmonisering. Forslaget innebærer ikke noen materielle lovendringer. Utvalget har delt seg noe i synet på hvor omfattende harmoniseringsforslag som bør fremlegges i denne omgangen, se kapittel 5.1.2, og metodevalg ved gjennomføringen av harmoniseringen.

Ytterligere har utvalget avgrenset mot handlinger som innebærer krenkelse av straffeloven § 151 b. Bestemmelsen kom inn i straffeloven i forbindelse med datakrimutredningen i 1985, se kapittel 4.2.1. Bestemmelsen gjelder sabotasjehandlinger generelt, herunder sabotasje som rammer data og datasystemer, jf. uttrykkene «informasjonssamling» og «elektronisk kommunikasjon» i gjerningsbeskrivelsen. Bestemmelsen ble tatt inn i loven for å følge opp konvensjoner til bekjempelse av terrorisme som ble inngått på 1970-tallet. Det vises til merknadene om dette i NOU 1985: 31 «Datakriminalitet» side 32-33, og NOU 1993: 3 «Strafferettslige regler i terrorristbekjempelsen» side 8 kapittel 1.3 og side 44 kapittel 6.2.1. Det sentrale innhold i straffeloven § 151 b, er «volder omfattende forstyrrelse i den offentlige forvaltning eller i samfunnslivet for øvrig». Skadevoldende handlinger med slik omfattende virkning er i delutredning VII foreslått inntatt i ny straffelov kapittel 20 om vern av den offentlige ro og orden (se side 279 flg.). Utvalget antar at sabotasjebestemmelsen i sin helhet kan inntas i det nevnte kapittel slik kommisjonen foreslår, og finner det ikke naturlig å foreslå en spesialbestemmelse om datasabotasje. Derimot kan enkelte bestemmelser som er foreslått av utvalget tenkes anvendt i konkurrens med sabotasjebestemmelsen, noe avhengig av hvordan denne konkret utformes. Dette er særlig nærliggende for straffebudene om datamodifikasjon og driftshindring, jf. utkastet § 7 og § 13. Ved bruk av reglene om konkurrens kan man eventuelt få frem de sider ved sabotasjehandlingene som rammes av disse bestemmelsene.

Det kunne være ønskelig med en generell gjennomgang av reglene om hva det er adgang til å tilgjengeliggjøre på internett og hvilke regler som nærmere gjelder for dette. Problemstillingen gjelder både informasjon om andre (for eksempel bilder tatt med kamera på mobiltelefon) og informasjon om seg selv. Et eksempel på det siste kan være barn og ungdom som legger ut bilder av seg på internett. Spørsmålene reguleres i dag blant annet av personopplysningsloven (publisering av personopplysninger), åndsverkloven § 45c (publisering av fotografi) og av straffelovens bestemmelser om ærekrenkelse (§§ 246 flg.), forhånelse på grunn av tro (§ 142), diskriminerende eller hatefulle ytringer (§135 a) og bestemmelser til vern om privatlivets fred (§§ 390 og 390 a). Som utgangspunkt er det klart at reglene for tilgjengeliggjøring på internett bør være de samme som ellers i samfunnet, men det oppstår en rekke spørsmål som særlig skyldes at hvem som helst enkelt og kostnadsfritt kan foreta slik tilgjengeliggjøring. Blant annet har mange privatpersoner, også mindreårige, egne hjemmesider eller blogger. Utvalget har funnet å måtte avgrense også overfor disse problemstillingene i denne omgang.

Det har vært problemer forbundet med at noen registrerer domenenavn hvor andres firmanavn eller varemerke benyttes, eller andre navn eller betegnelser som er naturlig knyttet til andres virksomhet eller aktivitet. Det har imidlertid ikke vært mulig for utvalget å gå nærmere inn på slike forhold. For øvrig vises det også til enkelte avgrensninger som fremgår i kapittel 3.

4.3.4 Dataavlesing

Ifølge mandatet skal utvalget utrede og foreslå straffeprosessuelle regler om dataavlesing. Dataavlesing er et begrep uten entydig fastlagt innhold, og utvalget mener at det må utredes nærmere hva metoden består i. Metodebruken har dog vært berørt av Politimetodeutvalget som beskrev problemstillingen og metoden på følgende måte, jf. NOU 2004: 6 kapittel 10.7.11 side 207:

«Gjennom kommunikasjonskontroll får politiet også opplysninger som kommuniseres mellom datamaskiner, for eksempel e-postforsendelser. På grunn av bedre tilgang til krypteringsprogrammer gir kommunikasjonskontroll i dag mindre informasjon enn tidligere. De moderne krypteringsprogrammer er så kompliserte at meldingen ikke lar seg dekryptere. Eneste måte å få tak innholdet på er derfor før meldingen krypteres. Dette har ført til at det i dansk rett er åpnet for dataavlesning ved å installere et program i datamaskinen som sender opplysninger til politiet. Programmet installeres ved datainnbrudd, og gir politiet opplysninger både om hva som meddeles og hvilke internett-adresser som oppsøkes.»

Som straffeprosessuelt spørsmål faller dataavlesing på siden av utredningsarbeidet for øvrig i denne fasen. På grunn av de knappe tidsrammer som har vært satt for arbeidet med de materielle straffebestemmelsene, og fordi dataavlesing bør behandles i sammenheng med andre metodespørsmål, har utvalget latt dette spørsmål utstå til det senere utredningsarbeid. Dette har skjedd i samråd med Justisdepartementet.

4.4 Folkerettslige forpliktelser

4.4.1 Innledning

Utvalget har påsett at forslaget til straffebud overholder de folkerettslige forpliktelsene på området. Utvalget har også vurdert behovet for lovendringer for at Norge skal kunne ratifisere tilleggsprotokollen om rasistiske og fremmedfiendtlige handlinger begått i et datasystem (ETS 189), jf. punkt fire i mandatet. Dette spørsmålet er behandlet i kapittel 7.

4.4.2 Datakrimkonvensjonen

Med hensyn til de gjeldende folkerettslige forpliktelsene står datakrimkonvensjonen (ETS 185) av 8. oktober 2001 sentralt. Norge ratifiserte den 30. juni 2006 og den trådte i kraft pr. 1. oktober 2006. Konvensjonen angir minimumsforpliktelser til partenes strafferettslige og straffeprosessuelle lovgivning om datakriminalitet og dataetterforsking, og gir bestemmelser om internasjonalt rettslig samarbeid. Konvensjonen skal supplere andre konvensjoner på kriminalitetsbekjempelsens område, jf. konvensjonen artikkel 39. Som nevnt var utredningen i NOU 2003: 27 begrenset til å påse overholdelse av konvensjonens minimumsforpliktelser. Dette ledet til at Norge i flere tilfelle anvendte retten til å avgi erklæringer, jf. artikkel 40, og i forhold til artikkel 6 ble det foretatt en reservasjon, jf. artikkel 42. Utvalget mener at det på flere områder kan være ønskelig å gå lenger i å oppstille et strafferettslig ansvar for handlinger som rammer eller misbruker dataressurser, enn det som følger som minimumskrav etter konvensjonen. Lovforslagets bestemmelser om elektronisk kartlegging (§ 2), ulovlig anbringelse av utstyr m.v. (§ 3), data- og informasjonstyveri (§§ 5 og 6), etterfølgende befatning med ulovlig tilegnet data og databasert informasjon (§ 9), masseutsendelse av elektroniske meldinger (§ 14) og identitetstyveri (§ 15), er slike som klart går ut over konvensjonens minstekrav. Et flertall går også inn for straffebud som dekker artikkel 6 i sin helhet, jf. utkastet §§ 10 og 11, slik at reservasjonen kan trekkes.

4.4.3 Andre folkerettslige forpliktelser med spesiell relevans for datakriminalitet

Også andre folkerettslige forpliktelser har direkte betydning for utformingen av straffebud til vern om data. Dette gjelder blant annet tilgangskontrolldirektivet (1998/84/EF) og tilgangskontrollkonvensjonen (178 ETS) som ligger til grunn for straffeloven § 262 om rettslig vern for kodete tjenester. Det samme gjelder det beslektede regelsettet i WIPO-traktatene og opphavsrettsdirektivet (se kapittel 4.2.1) som gjelder vern om tekniske beskyttelsessystemer for vernede verk, som ble implementert i åndsverkloven ved lov av 17. juni 2005 nr. 97. Også programvaredirektivet (1991/250/EØF) kan nevnes her. Direktivet ligger til grunn for de spesielle reglene til vern om dataprogrammer i åndsverkloven, herunder § 53c.

4.4.4 FN-konvensjonen mot korrupsjon

FN-konvensjonen mot korrupsjon av 31. oktober 2003 pålegger medlemsstatene å innta straffebestemmelser som rammer gjerningspersonens egen befatning med utbyttet av en straffbar handling, såkalte sikringshandlinger («self laundering»). Ved lovendring av 30. juni 2006 nr. 49 ble straffeloven § 317 supplert med et nytt annet ledd som rammer slike sikringshandlinger. Noen av utvalgets forslag til straffebud beskriver et straffbart utbytte i form av databasert informasjon eller data, jf. utkastet §§ 5 og 6. Dette har gitt foranledning til å vurdere om slikt utbytte dekkes av den generelle bestemmelsen om sikringshandlinger, eller om det er behov for et eget straffebud om dette. Utvalget har konkludert med at det er behov for et eget straffebud som rammer etterfølgende befatning med data og databasert informasjon, jf. utkastet § 9, se kapittel 5.5.3.

4.5 Rettspolitiske utgangspunkter

4.5.1 Reglenes formål

Det grunnleggende formålet med straff er å hindre uønsket atferd og å styre borgernes atferd i ønsket retning, jf. formuleringen i Ot.prp. nr. 90 (2003-2004) side 82 kapittel 7.1. For å bidra til å oppfylle formålet må reglene gi god informasjon til borgerne om hva som er straffbart. Utvalget har derfor lagt vekt på å utforme straffebudene så klart og enkelt som mulig. God språklig tilgjengelighet kan også tenkes å bidra til en viss normdannende effekt.

Straffebud om datakriminalitet må imidlertid forholde seg til den teknologi som anvendes og de sikkerhets- og sårbarhetsspørsmål som reiser seg i tilknytning til dette. Et vesentlig formål med reglene er at de kan verne om data og datasystemers pålitelighet og støtte sikker bruk av datatjenester. Utvalget har likevel så langt som mulig ønsket å unngå bruk av tekniske faguttrykk. Faglige krav til datasikkerhet m.v., er imidlertid trukket inn i overveielsene ved utformingen av straffebudene.

Et vesentlig hensyn har vært å imøtekomme den jevne borgers alminnelige behov for vern mot datakriminalitet. På grunn av datateknologiens store nytte og brede anvendelighet kommer alle borgere i berøring med databaserte tjenester. Samtidig er datakompetanse og kunnskap om beskyttelsestiltak svært ulikt fordelt. Det er neppe rimelig å ha en straffelovgivning som bare tilgodeser kompetente aktører med de beste forutsetninger for å ivareta datasikkerhetshensyn. Dermed ville en stor brukergruppe uten spesiell kompetanse bli stående med et mangelfullt vern.

Borgerne er dessuten i stor grad avhengig av profesjonelle tjenesteytere for å kunne sikre seg. Utvalget mener at ansvar for å tilrettelegge for sikker bruk av datatjenester og elektronisk kommunikasjon først og fremst bør påhvile de profesjonelle aktører. Utvalget slutter seg derfor ikke til det utgangspunkt som tas i utredningen i NOU 2006: 6 «Når sikkerheten er viktigst» side 108 om at det påhviler et eget ansvar for den enkelte bruker med hensyn til dette problemet.

Et viktig legislativt utgangspunkt ved lovrevisjonen av 1987 (jf. NOU 1985: 31 side 31) var at

«det primært hviler på innehaveren av anlegget å sørge for beskyttelse mot innsyn fra uberettigete. Først når det er tatt rimelige foranstaltninger i så måte kan han kreve hjelp fra strafferettsapparatet.»

Kommentaren gjaldt den såkalte datainnbruddsbestemmelsen. Da lovgiver fjernet beskyttelsesvilkåret i datainnbruddsbestemmelsen i straffeloven § 145 annet ledd, ved lovendringen 8. april 2005 nr.16, fravek man også det prinsipielle utgangspunktet fra 1985-1987. Begrunnelsen var at det forelå et behov for økt vern om data og datasystemer, se Innst. O. nr. 53 (2004-2005). Utvalget slutter seg til denne endring i synet på når det er rimelig å søke hjelp fra rettsapparatet. Dermed økes også vernet for den alminnelige brukergruppe.

Videre bør vernet om data være på linje med vernet om fysiske gjenstander. Også dette bidrar til et økt vern om data og datasystemer. Utvalget antar at denne delen av begrunnelsen for det strafferettslige vernet har sammenheng med at krenkelser overfor data og databasert informasjon i realiteten rammer formuesrettigheter som eiendomsrett, leie-, lisens- og opphavsrettigheter. Dette gjelder enten dataene forvaltes i privat eller offentlig sektor. Siden data, databasert informasjon og datasystemer har stor økonomisk betydning i vår tid synes det rimelig at vernet må være på linje med vernet for fysiske gjenstander.

En annen del av den legislative begrunnelsen gjelder at datasystemer forvalter interesser av ikke-økonomisk art, som også trenger et effektivt vern mot krenkelser. Dette gjelder særlig ulike aspekter av personvernet, herunder retten til en privat sfære og til å bli latt i fred. Disse interessene ivaretas ikke i tilstrekkelig grad av personopplysningslovens regler, som er begrenset til å omfatte «personopplysninger». Det er uklart hvor langt personopplysningsbegrepet rekker og det strafferettslige vernet bør omfatte private data uansett om de er omfattet av begrepet eller ei.

Lovforslaget er ment å dekke praktiske tilfeller av straffverdig atferd knyttet til bruk av datateknologi. Datakriminalitet er noe som mange deler av rettsapparatet får befatning med og må ha evne til å håndtere. Dette gjelder hele kjeden bestående av etterforskere, påtalemyndighet, forsvarere og dommere. Enkle og oversiktlige straffebud som står samlet kan bidra til å effektivisere rettshåndhevelsen på dette feltet.

4.5.2 Nykriminalisering versus avkriminalisering

Borgernes respekt for straffelovgivningen tilsier at reglene ikke går lenger enn reelt begrunnet. I arbeidet med ny straffelov går man således inn for å fjerne straffebud som ikke lenger fremstår som relevante (avkriminalisering). På generelt grunnlag advares det også mot unødig nykriminalisering. Datakrimutvalget sier seg enig i dette som generell rettesnor for arbeidet. På den annen side gjelder lovforslaget om datakriminalitet livs- og samfunnsområder som kjennetegnes ved at borgerne på kort tid har fått tilgang på et vell av dataprodukter og datatjenester, og at samfunnet har blitt sterkt avhengig av datateknologien. Utvalget har ikke sett det som tvilsomt at dagens regler om datakriminalitet er utilstrekkelige, og at det foreligger et reelt behov for nykriminalisering. Ikke minst gjelder dette tyveri av data og databasert informasjon samt etterfølgende befatning med slikt straffbart utbytte. Det har heller ikke vært grunnlag for å foreta avkriminalisering i forhold til gjeldende rett.

4.5.3 Skadefølgeprinsippet

Skadefølgeprinsippet står sentralt ved utformingen av straffebudene i den spesielle del i ny straffelov og innebærer som alminnelig utgangspunkt at bare handlinger som medfører skade eller fare for skade bør straffesanksjoneres, se Ot.prp. nr. 90 (2003-2004) kapittel 7.5.1 side 88 flg. Datakrimutvalget har lagt dette premisset til grunn ved utformingen av lovforslaget.

Det antas at et straffebud ivaretar skadefølgeprinsippet dersom det beskriver en ytre konstaterbar handling som krenker data- og informasjonssikkerhetshensyn. Slike handlinger vil også ramme datasystemenes pålitelighet se nedenfor.

I tillegg søker lovforslaget som nevnt å ivareta ulike økonomiske rettigheter i dataressursene, eventuelt interesser av annen art, det vil si hensynet til privatlivets fred m.v., se ovenfor. Det kan reises spørsmål ved hva som i slike tilfelle må kreves for å kunne tale om en skade i skadefølgeprinsippets forstand. Her kan man skille mellom handlinger rettet mot datasystem og mot data/databasert informasjon.

Når et datasystem krenkes, rammes også påliteligheten og det foreligger en skade. Når handlingen rammer data eller databasert informasjon kan man skille mellom konkret og hypotetisk skade avhengig av om den berettigede til dataene eller informasjonen er klar over det inntrufne eller ei. Dersom vedkommende vet at data eller informasjon er slettet, manipulert eller kommet på avveie, foreligger klart nok en skade. Dersom vedkommende ikke er klar over det som har skjedd, for eksempel fordi opplysningene har vært lagret hos tredjemann, kan det i noen tilfeller være mer uklart hvordan man skal karakterisere hendelsen. I enkelte slike tilfelle kan man tale om hypotetiske krenkelser rent subjektivt sett. Det er heller ikke nødvendig at datasystemet som sådan er krenket ved hendelsen, for eksempel dersom dataene er manipulert av en bruker som er berettiget til systemet hvor dataene har vært lagret.

I tilfeller hvor det er tale om eksponering av informasjon undergitt lovbestemt taushetsplikt, foreligger et rettsbrudd og det må anses å foreligge en skade. Det anses også ønskelig at straffelovgivningen behandler data og databasert informasjon som et gode i seg selv. Dette reflekterer den store verdi som data og databasert informasjon har i dagens samfunn, kommersielt, i forvaltningen og i privat sammenheng.

Utviklingen av nye nettbaserte datalagringstjenester tilsier også at det er behov for et styrket vern om data og databasert informasjon, uavhengig av om den berettigede har registrert noen krenkelse eller ei. Årsaken er at den berettigede i slike tilfelle er henvist til å stole på at dataene virkelig er tilstrekkelig beskyttet hos tredjemann (tjenesteyter). Den berettigete er vanligvis uten mulighet til selv effektivt å kunne kontrollere dette.

Utvalget mener altså at skadefølgeprinsippet må anses oppfylt overfor handlinger som rammer data og databasert informasjon selv om den berettigede ikke er klar over hendelsen. En eventuell straffesak må i enkelte slike tilfelle forutsettes initiert av tredjemenn, for eksempel tjenesteyter selv eller en tilsynsmyndighet. Det finnes eksempler fra praksis på dette, for eksempel vedrørende spredning av kredittkortnumre og passordlister på internett hvor de som er berettiget til kredittkortnumrene eller passordene ikke er klar over det som foregår. Det vises til Sunde 2006 «Lov og rett i cyberspace» på side 83, som omtaler en slik sak fra Nedre Romerike tingrett (passorddommen av 25. november 2003), hvor ca. 650 000 passord var kommet på avveie fra en tjenestetilbyder. Videre omtales en amerikansk sak hvor 19 personer ble tiltalt for spredning av kredittkortnumre fra et nettsted som het shadowcrew.com.

4.5.4 Hensynet til læring, forskning og kreativitet

Det er viktig at straffelovgivningen ikke er til hinder for læring, forskning og kreativitet på datateknologiens område. Et datamaskinprogram har et selvstendig rettslig vern som litterært åndsverk, jf. åndsverkloven § 1, og loven oppstiller begrensninger i adgangen til å foreta kopiering og dekompilering, jf. åndsverkloven §§ 39h og 39i. Åndsverklovens bestemmelser verner dataprogrammets konkrete utforming, det vil si konkrete funksjoner og virkemåte. De ideer og prinsipper som programmet er bygget på er ikke vernet. Tvert imot er det ansett å være i samfunnets interesse at man fritt kan analysere slike ideer og prinsipper. Derfor er det sentralt at straffebudene ikke griper inn i retten til å analysere og foreta omvendt utvikling av dataprogram i større utstrekning enn det som følger av åndsverkloven.

Alt i alt stiller dette lovgiver overfor en utfordring med hensyn til å komme frem til en passende balanse mellom et rettslig vern som sikrer at datasystemer nyter den tillit som skal til for å oppfylle viktige og nødvendige funksjoner i samfunnet, samtidig som det gis tilstrekkelig rom for aktiviteter som kan gi teknisk nyvinning.

I strafferettslig sammenheng aktualiseres interesseavveiningen først og fremst i tilknytning til utforming av vernet om tilgangskoder, og ved spørsmålet om det skal være adgang til å utvikle og anvende verktøy som kan benyttes til å skade eller trenge inn i datasystemer (for eksempel såkalte «exploits»). Dette er behandlet i kapittel 5.7 og gjennomført i utkastet §§ 10-12. Lovforslaget innebærer ingen innskrenkning i retten til å analysere de ideer og prinsipper som ligger bak programutvikling og ferdigstilte dataprogrammer og rammer ikke virkeområdet for åndsverkloven §§ 39h og 39i.

4.5.5 Andre hensyn

Til slutt presiseres det at straffelovgivningen bør være på linje med straffelovgivning i andre land det er naturlig å sammenligne seg med. En viktig grunn er at avvikende lovgivning kan medføre risiko for at Norge blir en «safe haven» for datakriminelle. Via globale elektroniske nettverk kan norske datatjenester utnyttes av kriminelle i utlandet dersom straffelovgivningen ikke er adekvat. Et eksempel er datamaskiner som misbrukes som anonymiserende mellomstasjoner i en straffbar handling som eventuelt materialiserer seg i et tredjeland. Dette harmoniseringshensynet er særlig ivaretatt ved gjennomføringen av datakrimkonvensjonen i norsk rett.

4.6 Hensynet til datasystemers pålitelighet

4.6.1 Pålitelighet

Det er en forutsetning for et velfungerende og utviklingsdyktig høyteknologisk samfunn at borgerne har tillit til at databaserte tjenester er sikre og virker som de skal. Denne tilliten bygger på at datasystemene kan anses å være pålitelige. På teknologisk nivå gjelder en rekke krav som må være oppfylt for at datasystemer skal kunne anses som sikre. De sentrale hensyn er kravene til konfidensialitet, integritet og tilgjengelighet. I nettbasert samhandling som er det praktiske i dag, har også krav til uavviselighet og autentisering fått økt betydning. Det vises til neste kapittel om disse hensynene.

Straffebud til vern av data, databasert informasjon og datasystemer må forholde seg til gjeldende standarder og tekniske konsepter for å oppnå datasikkerhet. Datakriminalitet vil ofte bestå i krenkelse av datasikkerhetshensynene og det er naturlig med et sammenfall i synet på hva som er en krenkelse av sikkerhetstiltak og hva som er straffbart. De underliggende hensyn er langt på vei de samme.

Dette er likevel bare et utgangspunkt. Siden straff er samfunnets strengeste sanksjon mot uønskede handlinger, krever utformingen av straffebud særskilte overveielser. Ifølge skadefølgeprinsippet må det fremstå som klart at handlingen er krenkende. Dertil må bruk av straff fremstå som rimelig.

Flere typer regelsett inneholder regler for organisering og behandling av data. Pliktene kan være straffesanksjonerte. Slike regler tar i stor grad sikte på å regulere informasjonssikkerheten for nærmere spesifiserte opplysninger. I den grad det er tale om databasert behandling av opplysninger er overholdelse av datasikkerhetstiltak viktig for å ivareta informasjonssikkerheten. De foreslåtte straffebud ivaretar datasikkerheten og følgelig informasjonssikkerheten på en klarere måte enn tidligere. Dette følger især av begrepsbruk og systematikk ved regelutformingen.

4.6.2 Datasikkerhetshensynene

Konfidensialitet

Konfidensialitet innebærer at data ikke blir gjort tilgjengelig for andre enn den berettigete. Data kan skjermes både ved fysiske og logiske tiltak. Fysisk skjerming kan for eksempel bestå i separering av nett, gjerne slik at man i en bedrift har et lukket nett til intern kommunikasjon og et annet nett ut mot internett. Innelåsing av fysiske lagringsmedier er et annet eksempel på fysisk skjerming. Logisk skjerming er databaserte tiltak for å beskytte mot adgang til data, for eksempel bruk av innholdskryptering, tilgangskontroll og brannmur. Også oppdateringsrutiner for å avbøte sårbarheter er tiltak som skjermer mot uberettiget tilgang til datasystemer.

I dagligtale benyttes ordet konfidensialitet ofte synonymt med hemmelig. Forslaget til straffebud om datakriminalitet inneholder imidlertid ingen forutsetning om at den databaserte informasjonen er hemmelig. Konfidensialitetskravet innebærer at den ansvarlige sørger for at data oppbevares eller behandles slik at det ikke er tvilsomt om adgang for andre er berettiget eller ei. Etter lovforslaget har det ikke betydning for skyldspørsmålet om informasjonen er hemmelig, taushetsbelagt eller lignende. Derimot kan slike omstendigheter være skjerpende momenter ved straffutmålingen, eventuelt lede til at lovbruddet anses å være grovt, jf. utkastet § 18.

Beslutning om skjermingstiltak treffes av eieren av datasystemet eller den som er berettiget til dataene. Utgangspunktet er at skjermingstiltak skal respekteres av brukerne av systemet. For å oppnå en klar grenseoppgang i forhold til andre bestemmelser, er bare skjerming etablert ved bruk av datainfrastruktur og logiske skjermingstiltak rettslig relevante i forhold til datakrimbestemmelsene. Med datainfrastruktur menes «datasystem» og «elektronisk kommunikasjonsnett», se utkastet § 1 bokstav a og e.

Skjermingstiltak er imidlertid ikke direkte tillagt rettslig betydning etter ordlyden i de foreslåtte straffebud. Spesielt vises det til utkastet § 4 om ulovlig tilgang til datasystem, som ikke anvender noe vilkår om beskyttelsesbrudd. Dette er i samsvar med straffeloven § 145 annet ledd, men ikke med straffeloven § 262 annet ledd og åndsverkloven § 53a første ledd, som gjelder bekyttelsesbrudd på tilgangskontrollerte tjenester og verk. Men vanligvis vil datasystemer, dvs. også slike som ikke behandler vernede tjenester eller verk, være beskyttet med tilgangskontroll og andre skjermingstiltak. Det betyr at en praktisk måte å overtre utkastet § 4 på er ved å bryte eller omgå en beskyttelse, for eksempel ved misbruk av et passord (passordinnbrudd). Metodebruken er mer utførlig beskrevet i kapittel 3.4.1.

Bruk av skjermingstiltak kan influere på rettsstridsvurderingen, særlig den subjektive side av handlingen. Det kan jo tenkes at gjerningspersonen ikke forsto at han var uberettiget til å skaffe seg tilgang til et datasystem nettopp fordi det ikke var skjermet. I så fall er ikke det subjektive vilkår for straff oppfylt. Motsatt vil en som har overvunnet skjermingsmekanismer på systemet vanskeligere kunne høres med at vedkommende ikke var klar over at tilgangen var uberettiget.

Krenkelse av alminnelige fysiske tiltak, slik som fysisk avstengning eller innelåsing, er ikke relevant i forhold til datakrimbestemmelsene. Handlinger som krenker slike tiltak må eventuelt rammes av de vanlige bestemmelsene om innbrudd og skadeverk. Slike straffebud kan anvendes i realkonkurrens dersom det i tillegg – etter innbruddet – foretas ulovlig tilgang på datasystemet eller uberettiget bruk av dette, jf. utkastet §§ 4 og 8. Dette innebærer en klargjøring i forhold til dagens rettstilstand vedrørende problemer i grenseflaten mellom straffeloven § 145 annet ledd og straffeloven § 147 (se Sunde 2006 «Lov og rett i cyberspace» side 140-141).

Lovforslaget inneholder straffebud som verner mot konfidensialitetskrenkelser, se utkastet § 4 om ulovlig tilgang til datasystem, og utkastet §§ 5 og 6 om informasjons- og datatyveri og utkastet § 9 om etterfølgende befatning med slik informasjon. Alle former for uberettiget tilegnelse og viderespredning anses følgelig som konfidensialitetskrenkelser. I tillegg vises det til utkastet §§ 2, 3 og 10 som blant annet rammer uberettiget tilegnelse av opplysninger som kan anvendes for å begå konfidensialitetskrenkelser m.v.

Integritet

Integritet betyr at noe er intakt. Begrepet kan også forstås som et krav til at data skal være opprinnelige, originale eller autentiske. Integritetshensynet innebærer et krav om at data ikke blir uberettiget endret (modifisert). Handlinger som tar sikte på å skade og slette datafiler er i kjerneområdet for krenkelser av integritetshensynet. Det samme gjelder tilføyelse av data som medfører at man ikke lenger kan stole på datasystemet, for eksempel tilføyelse av trojaner som utløser feilfunksjoner på systemet, fordi den også inneholder en såkalt «logisk bombe». Både kodetillegget representert ved trojaneren og feilfunksjonene er integritetskrenkelser fordi innhold og funksjonalitet er ulovlig endret. Også annen type kodetillegg, som for eksempel legger seg på datasystemet på grunn av et datavirus, innebærer en uautorisert endring og er en integritetskrenkelse.

Begrepet «data» foreslås definert etter generelle tekniske kriterier, jf. legaldefinisjonen i utkastet § 1 bokstav c. Det strafferettslige vernet gjelder dermed uavhengig av det innhold (informasjon) dataene bærer. Integritetsvernet gjelder således både på filnivå og systemnivå. En uberettiget endring i en datafil er et direkte integritetsbrudd på filen. Dersom funksjonaliteten på systemet er avhengig av innholdet i filen, for eksempel fordi det er en programfil, vil endringen ha betydning for datasystemet som sådan, dvs. for systemintegriteten.

Visse integritetsbrudd, for eksempel det å legge til adgangsrettigheter for tredjepersoner, eller å legge inn bakdører som åpner opp systemet for utenforstående, er filendringer med konsekvenser for systemsikkerheten. Til illustrasjon kan det vises til Rt. 2004 side 1619 (Bakdør-kjennelsen) hvor gjerningspersonene ved uberettigede endringer i passordfilen la til nye brukere. I tillegg foretok de modifikasjoner i systemoppsettet ved å legge til trojanere som fungerte som «bakdører». Handlingene ble bedømt som skadeverk, jf. straffeloven § 291. Etter utvalgets lovforslag rammes slike handlinger som datamodifikasjon, jf. utkastet § 7. Se også beskrivelsen i kapittel 3.4.3 og 3.4.4.

Utgangspunktet er at eieren av datasystemet har rett til å bestemme hvem som skal benytte det og til å sette regler for bruken. Brudd på slike regler vil lett innebære krenkelser av integritetshensynet. Integritetshensynet gjør seg gjeldende i åpne så vel som lukkede elektroniske kommunikasjonsnett og datasystemer. Selv om dataressurser kan sies å ligge åpent tilgjengelig, for eksempel på internett, gjelder normalt visse rammer for bruken. Det gis for eksempel adgang til å lese informasjon, men ikke til å endre data, for eksempel i en offentlig tilgjengelig rutetabell på internett. Uberettiget endring i en slik datafil er følgelig et integritetsbrudd selv om informasjonen er lagt fritt tilgjengelig for publikum.

Lovutkastet § 7 (datamodifikasjon) og § 12 (selvspredende dataprogram) er direkte begrunnet i integritetshensynet. Utkastet § 11 om ulovlig befatning med skadelig dataprogram, rammer utvikling, anskaffelse og spredning av dataprogram som er særlig egnet til å begå krenkelser av datasikkerheten, herunder integritetskrenkelser.

Tilgjengelighet

Kravet til tilgjengelighet innebærer at datatjenester er tilgjengelige når og slik de skal for de berettigete. Kravet refererer seg både til funksjonalitet og kapasitet. Datasystemer skal ha en viss yteevne. Det er for eksempel sentralt for en bedrift at regnskaps- og administrasjonssystemer er løpende tilgjengelige. Tilsvarende må tjenestesteder på internett være tilgjengelige for brukerne. Tilgjengelighet er et rent funksjonskrav som oppnås ved mange forskjellige tiltak, for eksempel tilstrekkelig lagringskapasitet, båndbredde, oppdateringsrutiner, tiltak for datasupport eller nødaggregat i tilfelle strømstans. Når tjenesten er avskåret eller vesentlig forringet for eieren eller den berettigede bruker, foreligger tjenestenekt.

Siden handlinger som rammer tilgjengeligheten kan skje både ved å ramme fysiske installasjoner og datasystemets logiske funksjoner, oppstår behovet for en avgrensning av straffebudenes rekkevidde. Som nevnt avgrenses datakriminalitet mot rent fysiske handlinger. Lovforslaget retter seg derfor mot logiske krenkelser av tilgjengeligheten. Et klart tilfelle av logisk krenkelse av tilgjengeligheten er et tjenestenektangrep, også kalt «DoS-angrep», se kapittel 3.4.9. Dette er en form for overbelastningsangrep som har som mål å sette den angrepne server ut av funksjon. Når serveren slutter å fungere er tilgjengelighetskravet krenket i en slik grad at man taler om tjenestenekt. Skaden er midlertidig slik at driften kan gjenopptas når angrepet er over. Straffebestemmelsen i utkastet § 13 om driftshindring tar sikte på å ramme denne type krenkelse, se kapittel 5.6.4.

Også utestenging rammer tilgjengeligheten. Utestenging skjer ved at gjerningspersonen endrer påloggingsprosedyre eller passord slik at den berettigete ikke får adgang til datasystemet eller brukerkontoen. Fremgangsmåten innebærer at det er foretatt uberettiget endring i de datafiler som styrer tilgangsprosedyren, noe som er en integritetskrenkelse. I tillegg rammes tilgjengeligheten. Utkastet inneholder ikke noen bestemmelse som retter seg spesielt mot utestenging. Hovedsynspunktet er at handlingen rammes av bestemmelsen om datamodifikasjon, jf. utkastet § 7, siden integritetsbruddet er det primære ved selve handlingen. Krenkelsen av tilgjengeligheten er i tilfelle en konsekvens av integritetskrenkelsen og har betydning både for straffutmålingen og for om handlingen skal anses som grov, jf. utkastet § 18.

Også andre handlemåter kan gå ut over tilgjengeligheten i en slik grad at det er naturlig å reagere med straff. Dette kan for eksempel være tilfellet hvor en person setter i gang så krevende prosesser på et system at det går ut over øvrige brukeres normale utnyttelse. Når iverksettelse av slike prosesser skjer uten gyldig tillatelse, kan forringelsen av tilgjengeligheten for øvrige brukere tilsi at man står overfor et tilfelle av ulovlig bruk som kan rammes etter utkastet § 8 om uberettiget bruk av datasystem.

Autentisering – uavviselighet

Autentisering er krav om sikkerhet for opprinnelse eller identitet. Autentiseringsprosedyrer kan sikre at bare den berettigete får tilgang til et datasystem, eller til en brukerkonto på et system. Slike prosedyrer kan også sikre at bare rette innehaver belaster et betalingskort, og bare berettigete datamaskiner får koble seg opp i et datasystem, eller får adgang til å spille av (lese) data fra spesielle tjenester eller lagringsmedier. Autentiseringstiltak kan altså gjelde både mennesker og datautstyr.

Tiltak for å sikre autentisering baserer seg på noe som den autoriserte bruker er, har eller vet, det vil si egenskap, objekt eller informasjon. Biometri baserer seg på egenskaper ved brukeren (noe han er). Objektbasert autentisering kan gå ut på bruk av nøkkelkort og dongler (noe han har). Kunnskapsbaserte autentiseringsmetoder kan kreve bruk av faste passord, pinkoder, eventuelt andre tilgangskoder (noe han vet). Samtlige teknikker har sine svakheter, så de benyttes ofte i kombinasjon for å øke sikkerhetsnivået. Krav om å trekke adgangskort i en kortleser og taste pinkode er en vanlig kombinasjon. Autentiseringshensynet begrunner derfor et særlig vern om tilgangskoder siden dette er et sentralt element i sikkerhetsløsningen.

Misbruk av tilgangskoder inngår som ledd i forøvelsen av en rekke databaserte lovbrudd. Ved bruk av stjålet tilgangskode kan man skaffe seg adgang til datasystem (ulovlig tilgang), belaste et kredittkort (kredittkortbedrageri), skaffe seg tilgangskontrollerte ytelser over nett (åndsverkloven § 53a, jf. § 2 siste ledd, og straffeloven § 262 annet ledd). For å bidra til å skape den nødvendige sikkerhet for fortsatt god utvikling av e-handel, antas det å være behov for straffebud som slår ned på forskjellige former for kodemisbruk. I tillegg er det et minimumsvilkår i datakrimkonvensjonen artikkel 6, at uberettiget spredning av tilgangskoder skal straffes som særskilt handling. Dette følger i dag av straffeloven § 145b, § 262 første ledd og åndsverkloven § 53a annet ledd og § 53c.

Utvalget har valgt å utforme straffebudene i lovforslaget slik at de retter seg mot selve resultatet av handlingen, det vil si den uberettigete tilgang eller tilegnelse, og har ikke oppstilt vilkår knyttet til hvordan handlingen skal skje annet enn at den må være uberettiget. Siden kodemisbruk hyppig vil være et ledd i handlingen slik den rent faktisk begås, bør også anskaffelse og fremstilling av kodene være straffbar. Det samme gjelder besittelse og spredning. Dette følger av utkastet §§ 3 og 10. Behovet for å styrke vernet om autentiseringsmekanismen er en vesentlig del av den legislative begrunnelsen. Autentiseringshensynet supplerer her de øvrige datasikkerhetshensynene.

Det er grunn til å understreke at uttrykket «tilgangskoder» har vid betydning. Det omfatter alle «opplysninger, databasert informasjon og data» som kan benyttes overfor tilgangskontrollen til et datasystem, eller til å anvende databaserte tjenester. Derfor omfattes mye mer enn koder som er implementert i selve datautstyret. For eksempel omfattes opplysninger om passord som gjerningspersonen uberettiget leser fra en «gul lapp». En tilgangskode kan altså være representert på annen måte enn i form av data eller databasert informasjon. Den behøver ikke bestå av en tegnstreng, som for eksempel en rekke numeriske tegn eller bokstaver. Dersom tilgangskoden er digitalisert, det vil si lesbar for et datasystem, kan den for eksempel bestå av et hologram eller et fingeravtrykk som er lastet inn i en brikke som skal anvendes overfor tilgangskontrollen. Den digitale representasjonen er en tilgangskode som uberettiget kan tilegnes, for eksempel ved uberettiget kopiering («skimming»).

Krypteringsteknikker kan anvendes for å oppnå autentisering. Utveksling av hemmelige koder innebærer en bekreftelse for identiteten til parten (noe han vet eller har). Det kan være tale både om symmetrisk og asymmetrisk kryptering (offentlig nøkkelkryptering (PKI)), se kapittel 3.2.5 og 3.4.7. Bruk av asymmetrisk kryptering inngår i elektronisk signatur, som er en sikkerhetsmekanisme som kan sikre både autentisering og uavviselighet. Uavviselighet er viktig for å skape sikkerhet i nettbaserte transaksjoner. Medkontrahenten påstår for eksempel å ha mottatt en varebestilling som den angivelige bestilleren nekter å ha foretatt. Medkontrahenten kan via bruk av elektronisk signatur skaffe seg verifikasjon for identitet og at bestillingen virkelig er foretatt. Uavviselighet kan ses som en funksjon av integritets- og autentiseringstiltak.

  • Autentiseringshensynet tilsier at man slår ned på identitetstyveri som en selvstendig forbrytelse, se utkastet § 15. Dette rammes ikke klart av noen straffebestemmelse i dag, men kan etter omstendighetene for eksempel rammes av reg­lene om krenkelse av privatlivets fred, jf. straffeloven § 390a, dersom handlemåten innebærer misbruk av en annens identitet. Indirekte har identitetstyveri betydning for tilliten til datasystemer og til den informasjon som formidles over databaserte tjenester. Lovbrudd etter utkastet § 15 forutsetter ikke misbruk av tilgangskoder. Vern om autentiseringshensynet er også en del av lovgrunnen for utkastet § 16 om kontomisbruk, som ofte skjer ved misbruk av koder for sikker identifikasjon. Utkastet §§ 15 og 16 er nærmere begrunnet i kapittel 5.6.7 og 5.8.

4.6.3 Andre hensyn

Lovforslaget går lenger enn å foreslå straffebestemmelser som er direkte forankret i datasikkerhetshensynene. Dette gjelder for eksempel utkastet § 6 om datatyveri. Datatyveri forutsetter en forutgående adgang til dataene. Denne adgangen kan være berettiget eller uberettiget. Dersom adgangen er ulovlig, jf. utkastet § 4, foreligger krenkelse av konfidensialitet. Selve kopieringen av data («tyveriet» eller tilegnelsen) kan muligens anses som en integritetskrenkelse, fordi det er foretatt en ulovlig handling på systemet. Det sentrale ved bestemmelsen er imidlertid at det er behov for vern om data som objekt i seg selv, slik at vernet kommer på linje med det som gjelder for fysiske gjenstander.

Regelen om ulovlig bruk av datasystem, jf. utkastet § 8, er bare delvis begrunnet i hensynet til datasikkerheten. Det sentrale er vernet om eierens investering i datasystemet. Eieren har rett til å bestemme både hvem som skal benytte systemet og hva det skal brukes til. Et annet spørsmål er hvilke kontrolltiltak eieren kan utøve for å påse at bruken holder seg innenfor de rammer han har satt. Rekkevidden av kontrolladgangen reguleres blant annet av regler om privatlivets fred, f. eks. EMK artikkel 8, arbeidsrettslige regler om kontroll med arbeidstakernes databruk, personopplysningsforskriftens regler om bruk av logger m.v. Disse reglene er det ikke nødvendig å gå nærmere inn på her.

Etter utvalgets oppfatning er det tilstrekkelig begrunnelse for straff at det foreligger brudd på retningslinjer som er gyldig fastsatt og kommunisert til brukerne. Dette følger av eierrådigheten, som ligger til grunn for tilsvarende regler som rammer uberettiget bruk av løsøregjenstand, jf. straffeloven §§ 261 og 393. For fast eiendom gir dessuten bestemmelsen om uberettiget opphold i hus, jf. straffeloven § 395 en viss parallell. Ved rettsstridig bruk av datasystem er det unødvendig også å søke begrunnelse i datasikkerhetshensynene, selv om handlingen kan komme til å krenke disse. Det kan for eksempel skje hvis en bruker installerer og tar i bruk programvare som retningslinjene av sikkerhets- eller kapasitetsmessige årsaker har satt forbud mot.

Til forsiden