5 Nærmere om problemstillinger i tilknytning til lovforslaget
5.1 Oversikt over lovforslaget
5.1.1 Hovedelementer i lovforslaget
Lovforslaget inneholder følgende hovedelementer:
Legaldefinisjoner. Utkastet § 1.
Straffebud som rammer handlinger som hyppig skjer i forkant av ulovlig tilgang eller andre krenkelser overfor datasystem eller databaserte tjenester. Handlingenes formål er gjerne å skape grunnlag for gjennomføring av den etterfølgende krenkelsen. Utkastet § 2 (elektronisk kartlegging av datasystemer) og § 3 (ulovlig anbringelse av utstyr m.v.).
Straffebud som rammer uberettiget tilegnelse («tyveri») og etterfølgende bruk av databasert informasjon og data. Utkastet §§ 5, 6 og 9.
Straffebud som rammer handlinger som krenker hensynene til datasystemers pålitelighet og til de økonomiske og samfunnsmessige interesser som er forbundet med datasystemer. Utkastet § 4 (ulovlig tilgang til datasystem), § 7 (datamodifikasjon), § 8 (uberettiget bruk av datasystem), § 13 (driftshindring), § 14 (masse-utsendelse av elektroniske meldinger) og § 15 (identitetstyveri).
Straffebud som rammer uberettiget befatning med tilgangsdata og skadelig dataprogram. Utkastet §§ 10-12.
Straffebud om kontomisbruk. Utkastet § 16.
Bestemmelse om når grov uaktsomhet som skyldform kan lede til straff. Utkastet § 17.
Bestemmelser om lovbruddet skal anses som grovt eller lite. Utkastet §§ 18 og 19.
Straffebud som plasseres i øvrige deler av ny straffelov:
En skisse til regler om elektronisk dokumentfalsk.
Bestemmelser til den alminnelige delen i ny straffelov: Bestemmelser om jurisdiksjon, rettighetstap og inndragning, jf. utkast til § 7, § 69, § 76 annet ledd og ny § 76a. Et mindretall presenterer forslag til bestemmelse om filtrering som ny § 76b.
I tillegg foreslås en endring i § 390a i straffeloven.
5.1.2 Harmoniseringsspørsmålet
Utvalget har identifisert et harmoniseringsbehov mellom åndsverkloven §§ 53a og 53c, straffeloven §§ 145 annet ledd og § 145b, og straffeloven § 262. Det anses ikke å være tvilsomt at det foreligger en nær sammenheng mellom disse bestemmelsene siden de alle gjelder uberettiget tilgang til data, og handlinger som tar sikte på å tilrettelegge for uberettiget tilgang til data.
Følgende av bestemmelsene gjelder uberettiget tilgang til data: Åndsverkloven § 53a første ledd, straffeloven § 145 annet ledd og § 262 annet ledd.
Følgende bestemmelser gjelder tilretteleggelse for uberettiget tilgang til data: Åndsverkloven § 53a annet ledd og § 53c, straffeloven § 145b og § 262 første ledd.
Begrunnelsen for samordning og harmonisering er særlig å gi et mer oversiktlig lovverk. Dette oppnås ved å påse at reglene om uberettiget tilgang til data gis lik strafferettslig behandling uansett hvilket innhold dataene bærer. Per i dag fremstår de ovennevnte regler og grensesnittet mellom dem som så uoversiktlige at de er vanskelige å praktisere. Folkerettslige forpliktelser synes ikke å være til hinder for å integrere reglene i åndsverkloven § 53a og § 53c i datakrimkapitlet i den nye straffeloven (se kapittel 4.3.3 og 4.4.3). Forpliktelsene oppfylles ved at loven har et straffesanksjonert forbud mot omgåelse av tekniske beskyttelsessystemer som også gjelder digitaliserte vernede verk. Det er ikke noen betingelse at disse reglene står i åndsverkloven.
Utvalget har imidlertid delt seg i synet på hvorvidt harmoniseringen mellom åndsverkloven og straffeloven bør gjennomføres allerede på det nåværende stadium og hvordan harmoniseringen eventuelt bør gjennomføres. Flertallet (Willassen, Sellæg, Gulbrandsen og Taraldset) går inn for å implementere det vesentlige innholdet i åndsverkloven § 53a og 53c i datakrimkapitlet i den nye straffeloven. Mindretallet (Christensen og Rønning) støtter harmonisering, men går inn for at den eksisterende plasseringen av bestemmelsene foreløpig beholdes i åndsverkloven. Begrunnelsene følger nedenfor.
Flertallet legger størst vekt på det ovennevnte behovet for samordning. Det vises til at samordningen ikke medfører noen materiell endring i gjeldende rett, men gir en gevinst ved å lette mulighetene for å praktisere reglene som vil bli mer oversiktlige og lettere å tilegne seg. Flertallet er klar over at åndsverkloven § 53a nylig ble vedtatt, etter omfattende debatt og grundig behandling i Stortinget, men siden samordningsforslaget ikke innebærer noen materiellrettslige endringer, antas ikke dette å være til hinder for å gå inn for samordning nå. Rettstilstanden for hva som omfattes av åndsverkslovens regler om den opphavsrettslige enerett, privatkopieringsretten eller bibliotekenes adgang til å skaffe seg åndsverk i digitalisert form, jf. åndsverkloven §§ 2, 12 og 16, påvirkes ikke av lovforslaget. Forslaget gjør heller ingen inngrep i retten til å kopiere eller analysere et dataprogram, jf. åndsverkloven §§ 39h og 39i. Alle disse reglene gjelder som før.
Det kan også nevnes at ulovlig spredning av vernede verk ved bruk av fildeling på internett ikke berøres av lovforslaget. Slike handlinger er klart straffbare brudd på eneretten til å foreta tilgjengeliggjøring til allmennheten, jf. åndsverkloven § 2, jf. § 54 første ledd bokstav a, og lovforslaget endrer ikke dette.
Flertallet viser også til at lovforslaget gir lovgiver stor frihet ved gjennomføringen. Siden lovforslaget bygger på generelle begreper som «data», «dataprogram», «databasert informasjon», «datasystem» og «elektronisk kommunikasjonsnett», har lovgiver mulighet til å la være å integrere åndsverkslovens bestemmelser, uten at det av den grunn er nødvendig å foreta noen endring i bestemmelsene i lovforslaget. Men det innebærer i så fall at straffebudene får en smalere og mindre praktisk rekkevidde enn flertallet går inn for.
Full harmonisering slik flertallet går inn for forutsetter imidlertid at utkastet § 11 gjennomføres. I forhold til denne bestemmelsen foreligger det dissens, se kapittel 5.7.5. Dersom § 11 ikke gjennomføres kan heller ikke åndsverkloven § 53a annet ledd og § 53c integreres i datakrimkapitlet. Åndsverkloven § 53a første ledd kan imidlertid uansett integreres på grunn av sammenhengen med utkastet §§ 4-6.
Dersom lovgiver helt velger å avstå fra å integrere åndsverklovens bestemmelser § 53a og § 53c i datakrimkapitlet, antar flertallet at heller ikke straffeloven § 262 bør integreres. Området for sistnevnte bestemmelse dekkes nemlig nærmest i sin helhet av åndsverkloven § 53a, jf. § 2 siste ledd. Det vises videre til sammenhengen mellom disse bestemmelsene og åndsverkloven § 45 og § 45a, som igjen henger sammen med straffeloven § 262. Det synes derfor uansett å være nødvendig med en samordning mellom straffeloven § 262 og åndsverkloven § 53a. Dette kan altså gjennomføres i datakrimkapitlet i den nye straffeloven slik flertallet anbefaler. Alternativet antas å være at temaet skilles ut til fullstendig separat behandling i en annen prosess.
Mindretallet viser til den nære og indre sammenheng mellom åndsverkloven § 53a og øvrige bestemmelser i loven. Etter mindretallets oppfatning kan ikke åndsverkloven § 53a uten videre oppheves uten at vesentlige sammenhenger mellom reglene i åndsverkloven går tapt. Mindretallet er videre av den oppfatning at pedagogiske hensyn trekker i retning av at åndsverkloven § 53a ikke bør flyttes ut av loven idet utflytting av en sentral bestemmelse lett kan føre til en uønsket reduksjon av muligheten til å holde den fulle oversikten over regelverket. Mindretallet viser også til at åndsverkloven § 53a nylig er vedtatt, etter omfattende debatt og grundig behandling i Stortinget. Mindretallet ser likevel behovet for å vurdere det nærmere forholdet mellom denne bestemmelsen og straffeloven, men forutsetter at dette vil bli gjort når Kultur- og kirkedepartementet senere skal revidere åndsverkloven, jf. den kommende revisjonen som varsles i Ot.prp. nr. 46 (2004-2005). Mindretallet viser endelig til at bestemmelsene i datakrimkapitlet i første rekke verner eierens data og datasystemer mot angrep utenfra. Et datasystem kan imidlertid inneholde data, herunder dataprogrammer, som eieren av systemet kun har en lisensiert bruksrett til. Lisensavtalen og lovgivningen, herunder for eksempel åndsverkloven § 53a første ledd, setter grenser for retten til å utnytte slike data og dataprogrammer. Blant annet vil det kunne være i strid med slike begrensninger å kopiere data fra gjerningspersonens eget datasystem eller bryte beskyttelsessystemer som er innebygd i dataprogrammer som er installert på gjerningspersonens datasystem. Mindretallet ser at utnyttelse i strid med dette fra eieren av datasystemet kan være i strid med ordlyden i blant annet § 4 og § 5 i lovutkastet slik flertallet synes å legge til grunn, men mener at det burde vært vurdert å få dette enda klarere frem i lovteksten i forbindelse med en harmonisering med de aktuelle bestemmelsene i åndsverkloven. Tiden har imidlertid ikke tillatt full utredning av dette.
I den videre utredningen er flertallets standpunkt lagt til grunn.
5.1.3 Forholdet til datakrimkonvensjonen m.v.
Det gis her en oversikt over lovforslagets dekning av de folkerettslige forpliktelser, først og fremst datakrimkonvensjonens krav, men også krav etter tilgangskontrollkonvensjonen, tilgangskontrolldirektivet, opphavsrettsdirektivet og programvaredirektivet. Disse folkerettslige instrumenter er nærmere omtalt i kapittel 4.4.3 med videre henvisninger. Oversikten tar utgangspunkt i rekkefølgen i bestemmelsene i datakrimkonvensjonen.
Om valg av skyldform kan det nevnes at forsett er tilstrekkelig for å oppfylle datakrimkonvensjonens krav, men at konvensjonen også i flere tilfeller gir mulighet for å kreve en eller annen form for hensikt. Utvalget har basert seg på hovedregelen i den nye straffeloven alminnelige del § 21, jf. § 22, det vil si forsett. I visse tilfeller er det åpnet for grov uaktsomhet som skyldform, jf. utkastet § 17. Skyldkravet kommenteres ikke nærmere i gjennomgangen i dette kapittel.
Artikkel 1: Definisjoner av datasystem og elektroniske data: Definisjonene dekkes av legaldefinisjonene i utkastet § 1 bokstav a, b, c og e. Det vises også til merknadene i kapittel 5.2.
Artikkel 2: Ulovlig tilgang: Dette dekkes av utkastet § 4 om ulovlig tilgang til datasystem. Etter konvensjonen er det valgfritt om man foruten vilkåret om «urettmessig tilgang» (jf. oversettelsen) vil anvende et beskyttelsesvilkår eller vilkår om at det er tale om uberettiget tilgang til et helt datasystem (og ikke bare til en del av dette). Utkastet § 4 beskriver en krenkelse på det laveste nivået i forhold til de muligheter konvensjonen gir, dvs. straff for ulovlig tilgang til datasystem med krav om forsett. Det kreves ikke beskyttelsesbrudd. Overtredelse er oppfylt også ved ulovlig tilgang til «del av et datasystem».
Utkastet § 4 dekker også opphavsrettsdirektivet artikkel 6, for så vidt gjelder omgåelse overfor et vernet verk som er elektronisk lagret. I dag dekkes dette av åndsverkloven § 53a første ledd i alternativet «omgå effektive tekniske beskyttelsessystemer [...] for å kontrollere eksemplarfremstilling [...] av et vernet verk».
Artikkel 3: Ulovlig oppfanging av data: Dette dekkes av utkastet §§ 5 og 6 om informasjons- og datatyveri. De nevnte bestemmelsene dekker uberettiget tilegnelse av databasert informasjon og data, enten de er lagret eller overføres (mellom datasystemer), herunder det å fange opp signaler som overføres innenfor ett og samme datasystem. Etter konvensjonen er det adgang til å begrense straffebudet til å gjelde overføring mellom datasystemer. Som nevnt går lovutkastet lenger enn dette.
Utkastet §§ 5 og 6 dekker også kravene i tilgangskontrollkonvensjonen, tilgangskontrolldirektivet og opphavsrettsdirektivet for så vidt gjelder uberettiget dekoding eller omgåelse av beskyttelse overfor overføring av vernede tjenester og verk, det vil si det området som i dag dekkes av straffeloven § 262 annet ledd, og åndsverkloven § 53a første ledd, jf. § 2 siste ledd, jf. § 54 første ledd bokstav b. I § 53a første ledd er det alternativet «omgå effektive tekniske beskyttelsessystemer [...] for å kontrollere tilgjengeliggjøring for allmennheten av et vernet verk» som dekkes av utkastet §§ 5 og 6. Som det fremgår, supplerer utkastet §§ 5 og 6, utkastet § 4 i forhold til området for åndsverkloven § 53a. Mens §§ 5 og 6 rammer dekoding av data under overføring, rammer § 4 dekoding av data som er lagret. Det vises til underkapitlet Harmoniserings- og konkurensspørsmål i kapittel 5.5.2 for en nærmere redegjørelse om sammenhengen mellom bestemmelsene.
Artikkel 4 og 5: Disse bestemmelsene gjelder skadeverk utført ved inngrep i dataenes integritet og i driften av et datasystem. Disse handlingene dekkes av utkastet § 7 (datamodifikasjon) og § 13 (driftshindring). Utkastet § 7 dekker i utgangspunktet både artikkel 4 og 5, fordi den på samme måte som konvensjonsbestemmelsene beskriver integritetskrenkelser. Etter artikkel 5 er det i tillegg et vilkår at integritetskrenkelsen resulterer i driftshindring. Forsettlig driftshindring som følge av integritetskrenkelse kan rammes av utkastet § 13 annet ledd, se kapittel 5.6.4. Dessuten bidrar utkastet § 13 første ledd om overbelastningsangrep, også til å dekke ødeleggelsesalternativet i artikkel 5. Spredningsalternativet i utkastet § 12 om selvspredende dataprogram supplerer utkastet §§ 7 og 13 i dekningen av artikkel 4 og 5. Spredning av er en form for «tilførsel av data», jf. artikkel 5, og resulterer regulært i flere av de øvrige alternativene beskrevet i artikkel 4 og 5, som «slette», «fjerne» eller «endre» data.
Artikkel 6: Misbruk av innretninger og tilgangsdata: Bestemmelsen skiller mellom rettsstridig befatning med tilgangsdata, jf. artikkel 6 nr. 1, a, ii, og rettsstridig befatning med innretninger (dataprogram og utstyr) som kan benyttes til å begå overtredelse som beskrevet i artikkel 2-5, jf. artikkel 6 nr. 1, a, i.
Rettsstridig befatning med tilgangsdata er dekket i utkastet § 10. Lovforslaget legger opp til en videre kriminalisering enn nødvendig for å dekke minimumsforpliktelsen, som bare gjelder spredning av tilgangsdata. Dette er i dag kriminalisert, jf. straffeloven § 145b. Etter utkastet § 10 foreslås det å straffe anskaffelse, innførsel, fremstilling, besittelse, markedsføring og tilgjengeliggjøring av tilgangsdata.
Slik utkastet § 10 foreslås å lyde, dekkes ikke bare området for datakrimkonvensjonen artikkel 6 nr. 1, a, ii, men også de folkerettslige forpliktelsene bak straffeloven § 262 første ledd, åndsverkloven § 53a annet ledd og § 53c når dekodingsinnretningen er en tilgangskode.
Rettsstridig befatning med innretninger som kan benyttes til å begå overtredelse av handlingene nevnt i artikkel 2-5, foreslås straffet, jf. utkastet § 11. Den foreslåtte bestemmelsen dekker som nevnt artikkel 6 nr. 1, a, i, og her gir datakrimkonvensjonen reservasjonsadgang, jf. artikkel 6 nr. 3. I utvalget foreligger dissens i spørsmålet om å foreslå § 11. Et flertall går inn for bestemmelsen.
Slik utkastet § 11 foreslås å lyde dekkes ikke bare området for datakrimkonvensjonen artikkel 6 nr. 1, a, i, men også de folkerettslige forpliktelsene bak straffeloven § 262 første ledd, åndsverkloven § 53a annet ledd og § 53c, når dekodingsinnretningen består i skadelig dataprogram eller teknisk utstyr. Det er et vilkår at dekodingsinnretningen kan benyttes til å begå datakriminalitet i form av overtredelse av utkastet §§ 4-8, 10 eller 13-14. Disse overtredelsene dekker handlingene beskrevet i datakrimkonvensjonen artikkel 2-5 og uberettiget dekoding av vernede tjenester, verk, og dataprogrammer. Utkastet § 11 gjennomfører altså reservasjonsløst de folkerettslige forpliktelser som følger av datakrimkonvensjonen, tilgangskontrollkonvensjonen, tilgangskontrolldirektivet, opphavsrettsdirektivet og programvaredirektivet.
Artikkel 7: Datarelatert falsk: I utgangspunktet er det avgrenset mot dokumentfalsk, jf. kapittel 4.3.2. Utvalget er enig i straffelovkommisjonens merknad om at falskreglene må dekke datatilfeller og sier seg enig i de vurderinger som det er redegjort for i delutredning VII side 375 flg. I NOU 2003: 27 «Lovtiltak mot datakriminalitet» konkluderte dessuten Datakrimutvalget med at dagens regler om dokumentfalsk var tilstrekkelige for å tilfredsstille den folkerettslige forpliktelsen, se side 22 flg. Det antas likevel å være behov for en viss regelutvikling på dette området og utvalget presenterer derfor en skisse til nye regler om elektronisk dokumentfalsk, se kapittel 5.9.
Artikkel 8: Datarelatert bedrageri: I NOU 2003: 27 konkluderte utvalget med at dagens regler om databedrageri i straffeloven § 270 første ledd nr. 2, er tilstrekkelige for å dekke den folkerettslige forpliktelsen. I denne utredningen foreslås likevel et nytt straffebud om kontomisbruk, jf. utkastet § 16, for å klargjøre hjemmelen for en rekke praktiske varianter av databedrageri. Det foreslås også en korresponderende endring i straffeloven § 270 første ledd nr. 2.
Artikkel 9: Straffbare handlinger knyttet til befatning med seksualiserte skildringer av barn: Dette har utvalget avgrenset mot, se begrunnelsen i kapittel 4.3.2.
Artikkel 10: Straffbare handlinger knyttet til opphavsrett og nærstående rettigheter: Norsk rett oppfyller kravene i de konvensjonene som er listet opp i denne artikkelen. Det vises til Datakrimutvalgets vurdering i NOU 2003: 27 side 26 flg. Lovforslaget integrerer reglene om uberettiget tilgang, herunder uberettiget tilegnelse av vernede tjenester og verk som overføres elektronisk, i utkastet §§ 4-6, og §§ 10-11. Det vises til de tidligere kommentarene om dette. Integreringen endrer ikke gjeldende rett. De folkerettslige forpliktelsene for opphavsrettigheter og nærstående rettigheter vil være dekket i samme grad som før.
Artikkel 11: Forsøk og medvirkning. Dette dekkes av ny straffelov §§ 15 og 16.
Artikkel 12: Juridiske personers ansvar: Dette er spørsmål om foretaksstraff. Det er lagt til grunn at alle straffebestemmelsene kan overtres etter dagens regler om foretaksstraff i straffeloven § 48a og § 48b. Disse reglene er videreført i ny straffelov §§ 27 og 28 og reiser neppe spesielle spørsmål i forbindelse med lovforslaget.
Artikkel 13: Straffesanksjoner og tiltak: Denne bestemmelsen stiller krav om reaksjonsform og nivået. Lovforslaget oppfyller utvilsomt de vilkår som stilles her. Dessuten suppleres reaksjonsformene nevnt i den nye straffeloven med noen presiseringer om inndragning i ny straffelov § 69 annet ledd, og § 76 annet ledd og en særregel for inndraging av konto på et datasystem i ny straffelov § 76a. Et mindretall foreslår også filtrering av tilgang til internettsteder, jf. utkastet til en ny bestemmelse i ny straffelov § 76b.
Artikkel 22: Jurisdiksjon: Forpliktelsen etter denne bestemmelsen er oppfylt, jf. straffeloven § 12. Det foreslås likevel et supplement til bestemmelsen i ny straffelov § 7.
Lovforslagets bestemmelser i utkastet §§ 2, 3, 8, 9, 14, 15 og 16 går ut over datakrimkonvensjonens krav, og er særlig begrunnet i behovet for å effektivisere vernet om datasikkerheten og å bringe vernet om data og databasert informasjon på linje med det som gjelder for fysiske gjenstander. I tillegg vernes hensyn til privatlivets fred og til den personlige integritet. De sistnevnte hensyn som gjør seg særlig gjeldende for utkastet §§ 14, 15 og 16.
Tilleggsprotokollens (ETS 189) krav er allerede dekket i gjeldende straffelov. Det vises til kapittel 7.4 om overveielser knyttet til rasistiske og hatefulle ytringer.
5.2 Begrepsbruk
5.2.1 Prinsipper for utforming av begrepene
Teknologi- og innholdsnøytralitet
Lovforslaget definerer følgende begreper, jf. utkastet § 1: «Datasystem», «dataprogram», «data», «databasert informasjon» og «elektronisk kommunikasjonsnett». I spesialmotivene er det redegjort for begrepenes innhold, se kapittel 9.1. I tillegg inneholder lovforslaget enda tre begrepsdefinisjoner, men disse er tatt direkte inn i det straffebud som benytter begrepet. Det vises til definisjonen av «selvspredende dataprogram», i utkastet § 12 tredje ledd, «uriktig identitet» i utkastet § 15 første ledd annet punktum og «konto» i utkastet § 16 annet ledd.
Grunnbegrepet «data» inngår i alle begrepene i utkastet § 1, som således får et visst preg av sirkeldefinisjon. Utvalget mener imidlertid at hver definisjon inneholder tilstrekkelig med ny informasjon til å tilføre begrepene en selvstendig betydning, slik at sirkelelementet ikke utgjør noe problem.
Straffebudene i lovforslaget baserer seg på prinsipper om teknologi- og innholdsnøytralitet . Spørsmål om hva slags type «IKT-system» det er tale om og hva slags innhold dataene har, er ikke relevante for reglenes anvendelsesområde. Straffebudene omfatter «IKT-systemer», uansett om teknologien gjelder tele-, IT- og media (herunder kringkasting). Det samme gjelder innholdet. Om innholdet består av tekst, lyd, bilde eller dataprogram, er uten betydning. Den viktigste legaldefinisjonen er «data», som de øvrige begrepene bygger på. Infrastrukturbegrepene i utkastet § 1 bokstav a (datasystem) og bokstav e (elektronisk kommunikasjonsnett) gjelder utstyr og teknologi som kan lagre, behandle eller overføre «data». Også definisjonene av «dataprogram» og «databasert informasjon» viser tilbake til begrepet «data».
Av hensyn til behovet for vern av informasjon som er lagret på en type medier som krever annet teknologisk avlesningsutstyr, er begrepet «data» definert noe videre enn bare til å omfatte elektroniske signaler. Det tenkes for eksempel på informasjon som er lagret på hullkort, glassplater (microfich) eller i integrerte kretser (brikker / «chips»). Slik informasjon er «data», jf. utkastet § 1 bokstav c annet punkt. Kriteriet er at informasjonen ikke er lesbar uten bruk av teknisk utstyr. Begrepsbruken er i samsvar med databegrepet i straffeloven § 145 annet ledd. Bestemmelsen omfatter uttrykkelig data som kan lagres elektronisk eller ved «andre tekniske hjelpemidler». Utvalget har ikke sett noen grunn til å innskrenke anvendelsesområdet for databegrepet i den nye straffeloven. Tvert imot synes det å være klart at også slik informasjon må ha strafferettslig vern mot uberettiget avlesning m.v. Slik beskyttelse oppnås gjennom den noe vide definisjonen av «data».
Forpliktelsen etter datakrimkonvensjonen
Som et utgangspunkt for utformingen av definisjoner for «data» og «datasystem», kan det vises til datakrimkonvensjonen artikkel 1 bokstav a og b som definerer «datasystem» ( computer system) og «elektroniske data» ( computer data) . Begrepene er omtalt i NOU 2003: 27 «Lovtiltak mot datakriminalitet» kapittel 4.1 side 10, hvorfra siteres:
«Konvensjonen bruker «computer system» for å betegne en innretning som består av maskinvare og/eller programvare, beregnet på eller brukt til automatisk behandling av digitale data.
Konvensjonens bruk av begrepet «any device» tyder på at konvensjonen tar høyde for de siste årenes tekniske utvikling som har resultert i en konvergens mellom det vi tradisjonelt kjenner som områdene for tele, IT og media. I henhold til konvensjonen antas det ikke å være avgjørende hvilken type innretning som behandler dataene. Utvalget legger derfor til grunn at begrepet «computer system» er ment å være teknologinøytralt. Dette medfører at det ikke er avgjørende for resultatet om innretningen er (en del av) et tradisjonelt datasystem eller en annen innretning som har tilsvarende funksjoner. Innretningen kan være frittstående eller knyttet sammen i nettverk. Det elektroniske kommunikasjonsnettet som binder innretningene sammen kan være jordbasert eller radiobasert. Teknologivalget vil ikke være avgjørende for hvorvidt innretningen er å betrakte som et «computer system».
En slik forståelse er i tilfelle i tråd med forståelsen nasjonalt innenfor området for elektronisk kommunikasjon slik den fremstilles i Ot.prp. nr. 58 (2002-2003) Om lov om elektronisk kommunikasjon. Utvalget finner det hensiktsmessig å legge til grunn en teknologinøytral forståelse av begrepet «computer system» og bruker i det følgende det norske begrepet «datasystem».
[...]
Konvensjonens definisjon av «computer data» bygger på ISO-definisjonen av data. Konvensjonen bruker begrepet «computer data» for å klargjøre at alle data som behandles elektronisk eller i annen direkte prosesserbar form er omfattet.
ISO-definisjonen av data ligger også til grunn for den norske forståelsen av begrepet «data». Data i denne sammenhengen forstås vanligvis som en elektronisk representasjon av informasjon.
Utvalget legger i det følgende en vid forståelse av begrepet data til grunn, der det avgjørende er om informasjonen er egnet til elektronisk behandling. Teknologivalget innenfor området elektronisk kommunikasjon vil dermed ikke være avgjørende for om noe faller inn under betegnelsen «data».»
Sitatet fremholder at som følge av konvergensen mellom tele, IT og mediesektorene, er prinsippet om teknologinøytralitet viktig. Datakrimkonvensjonens definisjoner av «datasystem» og «data» er følgelig så vide at alle de nevnte sektorer, enhver distribusjonsform og alt elektronisk innhold som derigjennom formidles, omfattes av konvensjonens vern. Som nevnt er dette prinsippet fulgt i lovutkastet.
Det betyr også at karakteren av den underliggende interesse eller rettigheter i dataene ikke har betydning for begrepene i utkastet § 1. Slike interesser og rettigheter kan være av svært ulik art, som for eksempel hensynet til privatlivets fred, kommersielle interesser, opphavsrettslige rettigheter, samfunnmessige hensyn til sikker infrastruktur, sikker forvaltning og hensynet til rikets sikkerhet m.v. Det er ikke meningen at karakteren av den interesse eller rettighet som måtte være rammet ved overtredelse av et straffebud om datakriminalitet, skal ha betydning for straffeskylden. Derimot kan det ha betydning ved straffutmålingen.
5.2.2 Begrepshierarkiet
Begrepene fordeler seg på tre nivåer.
«Datasystem» og «elektronisk kommunikasjonsnett»
Det laveste nivået omfatter infrastruktur, nemlig utstyr som er nødvendig for å lagre, behandle eller overføre data. Begrepene «datasystem» og «elektronisk kommunikasjonsnett» gjelder infrastruktur, se utkastet § 1 bokstav a og e.
Etter utkastet § 1 bokstav a er et «datasystem» definert som
«Enhver innretning bestående av maskinvare og data som foretar behandling av data ved hjelp av dataprogram.»
Definisjonen av elektronisk kommunikasjonsnett i utkastet § 1 bokstav e er likelydende med definisjonen i ekomloven § 1-5 nr. 2:
«Elektronisk kommunikasjonsnett: System for elektronisk kommunikasjon der radioutstyr, svitsjer, annet koplings- og dirigeringsutstyr, tilhørende ustyr eller funksjoner inngår.»
Definisjonene gjelder komponenter som i praksis har et nært samvirke, hvor begge – som det vil fremgå – etter omstendighetene kan inngå som komponent i den annen.
En datamaskin som fungerer alene oppfyller vilkårene i definisjonen av datasystem. Det samme gjør en mobiltelefon. Man kan si at delbegrepet «system» i slike tilfeller beskriver det samspillet mellom maskin og programvare som innebærer at det kan foretas behandling av data ved hjelp av et dataprogram. Både datamaskinen og mobiltelefonen kan derfor blant annet være utsatt for uberettiget tilgang og bruk, jf. utkastet §§ 4 og 8 som begge benytter ordet «datasystem» om det vernede objekt.
Datasystemer kan være koblet sammen og dermed inngå som komponenter i et større datasystem. Eksempler på dette kan være to sammenkoblede datamaskiner i en husstand, en bærbar pc som kommuniserer med en mobiltelefon (for eksempel for å behandle e-post og tekstmeldinger) og alle terminalene og serverne som inngår i datasystemet til en bedrift. Når det opprettes forbindelse mellom de lokale datasystemene foregår en ressursutveksling i et samspill mellom enhetene. Totalt sett utgjør de dermed et «datasystem» hvor de samarbeider om å foreta behandling av data ved hjelp av dataprogram.
Den linje som opprettes for å skape en sammenkobling mellom komponenter i et datasystem er et «elektronisk kommunikasjonsnett», jf. utkastet § 1 bokstav e. Datamaskinene står da som «annet koplings- og dirigeringsutstyr» i nettet, jf. utkastet § 1 bokstav e. I et slikt tilfelle er det naturlig å tenke på nettet som en del av datasystemet. Dette er i samsvar med datakrimkonvensjonens definisjon av «datasystem» i artikkel 1 bokstav a, jf. omtalen av definisjonen sitert i kapittel 5.2.1. Her står det blant annet at
«Innretningen [datasystemet] kan være frittstående eller knyttet sammen i nettverk. Det elektroniske kommunikasjonsnettet som binder innretningene sammen kan være jordbasert eller radiobasert.»
«Elektronisk kommunikasjonsnett» omfatter imidlertid også store nett som for eksempel Telenors landsdekkende telefonnett, radio- og kringkastingsnett og satellittnett. Disse nettene danner den infrastruktur som bærer internett. Når det er tale om store elektroniske kommunikasjonsnett rettes oppmerksomheten mot overføringsevnen og «nettet» er i sentrum for oppmerksomhet og tankegang. Imidlertid inngår «datasystemer» som komponenter i slike nett. Rutere, basestasjoner, radio- og kringkastingssendere er eksempler på dette.
Rutere er enkle datamaskiner som bidrar til å sluse elektronisk kommunikasjon til rett adressat. Basestasjoner er datamaskiner som står som punkter i mobilnettet og bidrar til å koble opp og formidle samtaler. Det samme gjelder radio- og kringkastingssendere. Det nevnte utstyret omfattes av uttrykket «annet koplings- og dirigeringsutstyr», jf. utkastet § 1 bokstav e, og av definisjonen i utkastet § 1 bokstav a om «datasystem».
Elektronisk kommunikasjonsnett avgrenses mot slike komponenter i datasystemet som tjener til transport av signaler mellom prosessor og periferienheter, for eksempel fra tastatur eller mus til prosessoren og fra denne til utskriftsmaskinen. Overføringen kan skje i kabel eller trådløst (radiobølger). Uansett anses dette etter definisjonene i utkastet § 1, som en del av datasystemets interne prosesser. Dette følger også av at tastatur, mus og utskriftsmaskin ikke selvstendig sett oppfyller de rettslige vilkår for å være et datasystem, siden de ikke alene kan behandle data ved hjelp av et dataprogram. Det samme gjelder lagringsenheter som harddisk, minnepinne (USB-enhet), cd-er og dvd-er.
Dersom en enhet er så avansert at den oppfyller alle vilkårene i utkastet § 1 bokstav a, er den imidlertid «datasystem». Hvilke enheter som på et gitt tidspunkt kan karakteriseres som «datasystem» er avhengig av den tekniske utforming, og per i dag kan vilkårene for eksempel være oppfylt for visse avanserte utskriftsmaskiner.
Denne avgrensningen har betydning for om en handling skal anses som ulovlig tilgang til et datasystem, jf. utkastet § 4, eller som avlytting eller tapping av data under overføring som i så fall rammes av utkastet §§ 5 og 6. Ulovlig tilgang er rettet mot et «datasystem», jf. utkastet § 4. Det å fange opp signaler som går over tastaturlinjen er dermed uberettiget tilgang. Avlytting og tapping er rettet mot trafikken på et elektronisk kommunikasjonsnett og rammes av utkastet §§ 5 og 6, som følge av at begrepene «databasert informasjon» og «data» omfatter data under overføring.
Begrepene «datasystem» og «elektronisk kommunikasjonsnett» har en funksjonell rolle som fremgår av sammenhengen i de respektive straffebud. Utkastet § 2 kan tjene som eksempel. Her beskriver «datasystem» det objekt som utsettes for elektronisk kartlegging (krenkelsen), mens «elektronisk kommunikasjonsnett» begrenser straffebudets rekkevidde ved å gjøre det klart at bare kartleggingsvirksomhet som skjer over nett rammes. Annen kartlegging ved hjelp av tekniske metoder, for eksempel ved bruk av et digitalt kamera, omfattes ikke av bestemmelsen.
«Data» og «dataprogram»
Det mellomste nivået gjelder de elektroniske signalene som lagres, behandles eller overføres på eller ved hjelp av et datasystem eller via et elektronisk kommunikasjonsnett. Slike signaler er «data», jf. utkastet § 1 bokstav c. Teknisk sett går det en hovedsondring mellom data som er lagret (kalles gjerne informasjon) og data som overføres (kalles gjerne kommunikasjon). Straffeloven § 145 annet ledd anvender en slik sondring, jf. «data eller programutrustning som er lagret eller som overføres». Datadefinisjonen i utkastet § 1 bokstav c er supplert med ytterligere et alternativ, nemlig slike signaler som «behandles» av et datasystem. Formålet er å unngå tvil om at dynamiske data omfattes av straffebudene i lovforslaget. Språklig sett lyder det noe anstrengt å si at data som for eksempel utnyttes i en database (som i et internasjonalt bookingsystem for flybilletter) er data som er lagret. Det er mer nærliggende å anse slike data for å være under behandling. Reelle hensyn taler selvsagt for at den strafferettslige beskyttelsen skal være på linje med vernet for data som er lagret og som overføres, og dette følger nå uttrykkelig av datadefinisjonen.
Også «dataprogram» er et definert begrep, jf. utkastet § 1 bokstav b. Dataprogram er en spesiell kategori data, og begrepet er følgelig på samme nivå som databegrepet.
«Databasert informasjon»
Det øverste nivået er informasjonsnivået, som er når mennesker gjør seg kjent med det databaserte innholdet. Begrepet er «databasert informasjon», jf. utkastet § 1 bokstav d. Data transformeres til databasert informasjon ved sansebruk, dvs. ved å lese, høre eller føle (gjelder blant annet visse datatjenester for blinde). Eksempler på databasert informasjon er en fjernsynssending, et skjermbilde på en datamaskin eller lyd som formidles i en telefonsamtale når innholdet oppfattes av et menneske.
5.2.3 Forholdet til ekomlovens definisjoner
Siden ekomloven med forskrifter er det førende regelverk for tekniske, kommersielle og samfunnsmessige rammevilkår på feltet har utvalget lagt vekt på å harmonisere definisjonene i lovforslaget med ekomlovens definisjoner, jf. ekomloven § 1-5. Som nevnt er ekomlovens definisjon av elektronisk kommunikasjonsnett tatt inn ordrett i den korresponderende definisjonen i lovforslaget, se ekomloven § 1-5 nr. 2, jf. utkastet § 1 bokstav e.
Det kan imidlertid være grunn til å fremheve at datakrimbestemmelsene i lovforslaget ikke opererer med noen forutsetning om at den elektroniske kommunikasjonstjeneste som måtte være mål eller middel for handlingen, ytes mot vederlag. Dette er en forskjell i forhold til ekomloven, som gjelder elektroniske kommunikasjonstjenester som «normalt ytes mot vederlag», jf. ekomloven § 1-5 nr. 4. Dette innebærer at straffebudene kan ha et videre anvendelsesområde enn det som ville vært tilfelle dersom ekomlovens begrepsbruk hadde vært lagt til grunn fullt ut. Straffebestemmelsene gir således vern for elektronisk kommunikasjon og elektroniske kommunikasjonstjenester som omfattes av ekomloven, men er ikke nødvendigvis begrenset til dette.
5.2.4 Plassering av legaldefinisjonene
Legaldefinisjonene er skrevet med tanke på straffebud mot datakriminalitet, og foreslås inntatt i begynnelsen av kapitlet «Vern av data, databasert informasjon og datasystemer», se utkastet § 1. Alternativet hadde vært å plassere legaldefinisjonene i den alminnelige del. Faren for utilsiktede virkninger taler mot en slik plassering. Det vises til kommentarene i kapittel 4.1.2 om dette.
5.3 Rettsstridsreservasjonen
5.3.1 Innledning
Med unntak for utkastet § 14 om masseutsendelse av elektroniske meldinger, inneholder alle straffebestemmelsene i lovforslaget en uttrykkelig rettsstridsreservasjon, jf. vilkåret «uberettiget». Dette er i samsvar med vanlig lovteknikk ved utforming av straffebud, og fortolkning av vilkåret må i utgangspunktet skje konkret for hver bestemmelse. Her behandles noen generelle problemstillinger om rettsstrid vedrørende datakriminalitet.
Begrepet «uberettiget» er et utslag av den mer generelle rettsstridsreservasjonen . Om dette begrepet, hva det innebærer, og spørsmålet om det bør lovfestes en generell rettsstridsreservasjon, vises det til tidligere utredninger vedrørende ny straffelov, se NOU 1983: 57 side 122 og 141-142, NOU 1992: 23 side 105-112, NOU 2002: 4 side 220-222, Ot.prp. nr. 90 (2003-2004) side 211-215 og Innst. O. nr. 72 (2004-2005) side 45-48.
Hva som anses som uberettiget, må avgjøres på bakgrunn av normer utenfor strafferetten, særlig vil spesiallovgivning, avtale, kutyme, retningslinjer, instrukser og lignende være av betydning.
På samme måte som for andre straffebestemmelser vil generelle straffrihetsregler kunne utelukke straffansvar, for eksempel samtykke og nødrett. Det vil noen ganger være skjønnsmessig om man sier at handlingen ikke er uberettiget eller om man sier at den er uberettiget, men ikke straffbar på grunn av at gjerningspersonen handlet i nødrett.
Det kan i mange tilfeller reises spørsmål om når det foreligger en gyldig avtale. Før installasjon av programmer må bruker for eksempel klikke på en knapp hvor vedkommende aksepterer leverandørens lisensvilkår. Her kan det for eksempel, som en del av omfattende avtalevilkår, være innbakt en klausul om at brukeren aksepterer at et «spionprogram» installeres og aktiviseres sammen med resten av programpakken. I utgangspunktet må slike spørsmål løses etter avtalerettslige regler. Utvalget går derfor ikke nærmere inn på denne problemstillingen.
Nedenfor drøftes noen problemstillinger om rettsstrid og datakriminalitet som kan fortjene særlig omtale.
5.3.2 Bruk av tjenester på internett
Datamaskiner plassert i nett står der fordi det er et behov for å kommunisere med omverdenen. En slik datamaskin kan selv ta initiativ og sende meldinger til andre maskiner, men den stiller seg også i posisjon til å motta kommunikasjon som rettes til den. Innehaveren kan søke å beskytte sitt system mot uønsket kontakt, for eksempel ved å sette opp en såkalt «brannmur» som har i oppgave å stenge ute all trafikk som man ikke uttrykkelig har tillatt. Man kan for eksempel beslutte at bare trafikk til hjemmesiden og til e-posttjenesten skal slippe igjennom og at alt annet skal avvises. Prinsippet som følges er da at «alt som ikke uttrykkelig er tillatt er forbudt». Et slikt beskyttelsestiltak hindrer ikke at datasystemet kan bli oppsøkt med sikte på å finne ut hvilke tjenester som tilbys, eventuelt om det er mulig å utnytte andre tjenester enn de som godtas av brannmuren. Dersom brannmuren fungerer slik den skal blir kontakten avvist. Men den annen part kan forsøke å omgå sperrene som er satt for å komme inn på irregulær måte.
Eksemplet viser for det første at som følge av at datamaskinen er plassert i nett kan den kontaktes av omverdenen, og at slik kontakt i seg selv ikke kan hindres. For det annet viser det at omverdenen kan oppsøke datasystemet for å finne ut hvilke tjenester som tilbys. Videre kan omverdenen forsøke å utnytte tjenestene, dvs. skaffe seg tilgang til og utnytte datasystemet. En tjeneste er en ressurs på systemet. Systemet kan være satt opp slik at visse tjenester bare skal kunne utnyttes av innehaveren selv mens andre skal betjene omverdenen. Overfor omverdenen kan ressursene gå med til å tilby ulike tjenester som for eksempel en opplysningsdatabase, salg av film og musikk som leveres elektronisk, en tjeneste for en pratekanal eller andre møteplasser, fildeling osv. Utnyttelse av slike ressurser når de tilbys av innehaveren, er selvsagt helt legitim og lovlig. Dette er nettopp formålet med og gevinsten av å kunne utnytte tjenester i nett.
Et datasystem inneholder imidlertid også ressurser som gjerne er forbeholdt innehaveren selv, for eksempel lagringsplass, styrings- og kontrollfunksjoner. Kontakt fra omverdenen kan iblant være motivert av ønske om å skaffe seg tilgang til disse ressursene, for eksempel for å lagre egne datamengder, for å skaffe seg anonymitet, for å skape feilfunksjoner på datasystemet, for å lage et uautorisert nett m.v.
Spørsmålet som reiser seg er om det kan sies noe generelt om når kontakt med andre datasystemer er uberettiget. Utgangpunktet er at hvert straffebud må tolkes for seg. Her er det særlig sammenhengen mellom utkastet §§ 2, 4 og 8 som belyses. Disse bestemmelsene gjelder elektronisk kartlegging, ulovlig tilgang og uberettiget bruk av datasystem.
Spørsmålet om rettsstrid ble aktualisert ved lovendringen i 2005 da beskyttelsesvilkåret i straffeloven § 145 annet ledd ble fjernet. Dette skjedde ved behandlingen i Stortinget, til tross for at både Datakrimutvalget og departementet gikk inn for å beholde vilkåret inntil spørsmålet var nærmere utredet. Forarbeidene i NOU 2003: 27 side 14-15, Ot.prp. nr. 40 side 14-15 og Innst. O. nr. 53 (2004-2005) side 5, sier derfor svært lite om betydningen av å fjerne vilkåret, og hvilken betydning dette har i forhold til begrepet uberettiget, kan ikke ses kommentert.
Utvalget går inn for å videreføre et straffebud om ulovlig tilgang, jf. utkastet § 4, uten å oppstille noe vilkår om beskyttelsesbrudd. Det er særlig vist til den jevne borgers behov for strafferettslig vern mot uberettiget tilgang og at det generelt er ønskelig med et sterkere strafferettslig vern om data og datasystemer. Fjerningen av beskyttelsesvilkåret bidrar til dette, men ikke alene. I tillegg foreslås et straffebud som rammer elektronisk kartleggingsvirksomhet, jf. utkastet § 2.
Det kan være naturlig å legge til grunn at en datamaskin på internett ønsker kontakt med omverdenen. Ellers burde den vært tatt ut av nettet. Utgangspunktet bør derfor være at det er legitimt å kontakte en datamaskin på nettet for å se om den har ressurser å dele med omverdenen. Men siden aktørene på internett ikke kjenner hverandre («hele verden») er det også naturlig å tenke at det gjelder begrensninger for omverdenens bruk av ressurser. Dette kan sammenlignes med en landhandel i innehaverens hus, hvor butikken er i første etasje og innehaverens leilighet i annen etasje. Det er tillatt å oppsøke butikken for å handle, men selvsagt ikke å ta seg inn i leiligheten og gå av gårde med sølvtøyet.
Hvis dette overføres til internett bør det anses som legitimt å forespørre datasystemet om det tilbyr tjenester som vanligvis er tilgjengelig for allmennheten på porter som normalt er dedikert til dette. Derimot er det ikke legitimt å fremsette en forespørsel for å avdekke hvorvidt datasystemet har sårbarheter som kan misbrukes for inntrengning. Utvalget har derfor lagt til grunn at forespørsler fremsatt for å avdekke om datasystemet har sårbarheter er straffbart, jf. utkastet § 2.
En forespørsel som nevnt setter også i gang prosesser ved at det datasystem som blir oppsøkt må gi svar på om det tilbyr de etterspurte tjenester, og registrere henvendelsen i sikkerhetsloggen. Forespørselen leder altså til en viss «bruk» av datasystemet. Men dersom forespørselen er lovlig etter utkastet § 2 er heller ikke den nevnte bruken rettsstridig. Det blir følgelig heller ikke tale om noe straffansvar etter utkastet § 8.
Høyesterett har kommentert en lignende situasjon i den såkalte portskandommen (Rt. 1998 side 1971). Her var spørsmålet blant annet om det forelå rettsstridig bruk av et datasystem på internett som følge av påloggingsforsøk på kjente tjenester (i dette tilfellet såkalte gjestekonti), og som følge av portskanning på systemet. Flertallet uttalte på side 1978-1979 at
«Hvorvidt det kan anses som bruk av en løsøregjenstand å forespørre en datamaskin som er tilkoblet Internett om hvilke opplysninger den har å tilby, tar jeg ikke stilling til. Etter min oppfatning kan dette under enhver omstendighet ikke anses som uberettiget bruk [...]. Etter min oppfatning må den som har koblet sin datamaskin til Internett, og har valgt å la den svare på forespørsler, anses å ha gjort maskinen til en del av det informasjonssystem som Internett representerer. Ved å koble maskinen til Internett har datamaskineieren akseptert at det blir rettet forespørsler til maskinen om hvilken informasjon den har å tilby, og den aktivitet som skjer når maskinen svarer på slike forespørsler, kan da etter mitt syn ikke anses som uberettiget bruk av maskinen.»
Denne uttalelsen går noe lenger i å godta henvendelser over internett enn lovforslaget legger opp til. Mens Høyesterett godtok portskanning generelt, blir dette i utgangspunktet å anse som ulovlig kartleggingsvirksomhet, jf. utkastet § 2. Unntak gjelder eksempelvis dersom det dreier seg om å søke etter port 80 på det man på forhånd vet er en webserver. Da søkes det nettopp på en alminnelig tjeneste på en server som er dedikert til dette. Derimot er det ikke akseptabelt å foreta breddeskanning rettet mot port 80, for å teste om datasystemet kjører en gitt versjon av et operativsystem som gir mulighet for sårbarhetsinnbrudd. Slik kartleggingsvirksomhet anses å være «uberettiget» og straffbar.
Et annet tilfelle hvor løsningen også fremstår som temmelig utvilsom er at et datasystem har et brukergrensesnitt hvor det gis uttrykkelig anvisning på hvilke ressurser som tilbys og hvordan man skal kunne få tilgang til dem. Da er det disse retningslinjene som gjelder. En bruker kan ikke velge å skaffe seg tilgang på annet vis, for eksempel ved et sårbarhetsinnbrudd, selv om formålet er å få tilgang på de samme ressursene. Slik tilgang anses å være rettsstridig og straffbar. Og det fremstår også som nokså åpenbart at omverdenen ikke kan utnytte et datasystem med en berettiget forventning om å ha rettigheter som administrator på systemet. Utgangspunktet er at innehaveren av datasystemet ønsker å ha kontroll med det. Handlinger som retter seg mot kontroll og styringsfunksjoner rammer systemintegriteten. Det klare utgangspunkt og hovedregel er derfor at en slik handling må anses å være rettstridig.
5.3.3 Utlån av egne brukerrettigheter og passord
Problemstillingen gjelder om det kan sies noe generelt om når det er berettiget eller uberettiget å stille sine egne brukerrettigheter og passord til disposisjon for andre. Slike handlinger reiser spørsmål om straffansvar både for den som yter og for den som mottar og eventuelt anvender rettighetene. Langt på vei gjelder spørsmålet i hvilken grad samtykke kan frita for straffansvar for overtredelse av utkastet § 4 om uberettiget tilgang til datasystem og § 10 om uberettiget befatning med tilgangskoder. Det forutsettes at det ikke er tale om disposisjoner over egne brukerrettigheter på et datasystem man selv er innehaver av. I et slikt tilfelle står man fritt til å disponere over tilgangsrettighetene og ressursene.
Utgangspunktet er at eieren av et datasystem kan bestemme regler for bruken, herunder hvem som skal være berettiget til å bruke det. Eieren står dermed fritt til å gi brukerrettigheter til systemet. Spørsmål oppstår når en som er tildelt personlige brukerrettigheter til datasystemet samtykker til at en tredjeperson benytter datasystemet. Tredjeperson kan settes i stand til å bruke systemet ved at den berettigete bruker har gitt vedkommende opplysning om brukernavn og passord, eller ved å bli gitt tilgang rent fysisk etter at den berettigete bruker selv har sørget for påloggingen. I det siste tilfellet gis tilgangen uten at tredjeperson har fått opplysning om tilgangsdataene.
I utgangspunktet avhenger rettsstriden av utlånet av brukerrettighetene av rettsforholdet mellom eieren av datasystemet og innehaveren av brukerrettighetene, og dette må vurderes konkret. Mer generelt er det vanlig at innehaveren av et datasystem, for eksempel arbeidsgiver, har gitt retningslinjer om at brukerrettighetene er personlige og at passordet skal oppbevares hemmelig. Dette er også i samsvar med internasjonal og norsk standard for systemsikkerhet, jf. NS-ISO/IEC 17799:2005 Informasjonsteknologi, Sikkerhetsteknikk, Administrasjon av informasjonssikkerhet, kapittel 11, særlig 11.2.3 og 11.3. Det å gi passordet videre til uvedkommende i et slikt tilfelle må anses som klart rettsstridig, og er en overtredelse av tilgjengeliggjøringsalternativet i utkastet § 10.
Men også uten eksplisitt retningslinje som nevnt, er det nærliggende å anse spredningen som rettsstridig. Årsaken er innehaverens beskyttelsesbehov. De personlige brukerrettighetene gis normalt i en relasjon basert på tillit og lojalitet. Ofte vil brukerkontoen gi tilgang til ressurser som kun er ment for datasystemets brukere, typisk de ansatte, men som ikke er ment for omverdenen. Ut ifra slike omstendigheter alene kan eksponeringen av passordet anses som et tillitsbrudd og være rettsstridig. Dessuten må et passord holdes hemmelig for å oppfylle formålet. Når det er gitt videre, må det erstattes med et nytt for at datasystemet skal være beskyttet. Dette støtter ytterligere at eksponering av passord er en rettsstridig handling. I motsatt retning kan det trekke at tilgangsdataene eventuelt bare ga mulighet for tilgang til brukerens egne data og ikke til de fellesresurser som tilbys samtlige ansatte (fellesressursene krever for eksempel et annet passord). Men ihvertfall i arbeidsforhold er det tvilsomt om dette kan lede til at handlingen ikke anses rettsstridig, siden det da normalt er arbeidsrelaterte data på det personlige brukerområdet. Slike data kan være sensitive og taushetsbelagte, men også uten slike restriksjoner er de normalt ikke ment for omverdenen. Hovedsynspunktet er altså at det å gi passordet videre er rettsstridig og rammes av utkastet § 10.
Spørsmålet er om også mottakeren kan rammes for å ha anskaffet passordet, jf. utkastet § 10. Rent objektivt er det tilfelle dersom det først var rettsstridig å spre det. Straffansvaret vil avhenge av det subjektive, dvs. om det forelå forsett eller grov uaktsomhet, jf. ny straffelov § 21 og utkastet § 17. Selve den omstendighet at det gjelder et arbeidsrelatert passord vil være et tungtveiende moment for at det foreligger grov uaktsomhet.
Et annet spørsmål er om selve det å gi tilgang til en annens system, og å benytte det, uten at passordet er eksponert, er rettsstridig. Her kan det oppstå spørsmål om ansvar for ulovlig tilgang, jf. utkastet § 4. Det forutsettes at det ikke er tale om samtidig å begå en overtredelse av utkastet §§ 5 og 6, fordi rettsstriden da vil være klar.
Det kan neppe sies noe helt generelt om dette, annet enn at dersom det foreligger retningslinjer, skal de følges. Uten retningslinjer må spørsmålet løses konkret og resultatets rimelighet må gis stor vekt. Blant de momenter som vil ha betydning er hvor kontrollert omstendighetene rundt tilgangen er. Dersom brukerkontoens innehaver for eksempel står ved siden av og følger med på at bedriftsrelaterte data ikke blir eksponert, er heller ikke lojaliteten til datasystemets eier nødvendigvis brutt. Motsatt dersom kontoens innehaver overlater databruken til tredjeperson uten å følge med, eventuelt også over et ikke ubetydelig tidsrom. Videre vil graden av sensitivitet av de data som behandles på systemet, virksomhetens art og alminnelig praksis i virksomheten for bruk av datasystemet, ha betydning.
I et tilfelle som nevnt er innehaveren av brukerkontoen medvirkende til at hovedmannen (tredjeperson) uberettiget skaffer seg tilgang til datasystemet. Medvirkeren vil normalt ha oversikt over de lokale regler for databruken, mens det ikke nødvendigvis er tilfelle for tredjepersonen. De subjektive vilkår må vurderes individuelt. I dette tilfellet er det bare aktuelt med ansvar for forsettlig forhold, jf. ny straffelov § 21. Det er nærliggende å anta at dette kan lede til at vilkårene for straff er oppfylt for medvirkeren, men ikke for hovedmannen.
Et annet spørsmål er hvorvidt det er straffbart å benytte et datasystem, når bruken kun skjer fordi det faktisk var adgang til det. Problemstillingen gjelder bare bruk av datamaskin som er fysisk tilgjengelig, ikke utnyttelse over nett som er behandlet i kapittel 5.3.2. Dataterminaler som åpenbart er satt opp som publikumstjenester, for eksempel i en hotellresepsjon, holdes utenfor. For å illustrere problemstillingen tenkes det for eksempel på at en uvedkommende benytter en personlig arbeidsstasjon som står ledig. Det kan jo være tale om en dataterminal som står i et sentralbord og innen fysisk rekkevidde for besøkende. Det gjøres ikke noen forutsetning om at bruken i seg selv er ulovlig etter andre bestemmelser i datakrimkapitlet, for eksempel at det er tale om rettsstridig informasjonstilegnelse, jf. utkastet § 5. Det kan være tale om bruk av uskyldig karakter isolert sett, for eksempel at den uvedkommende bruker dataterminalen til å sjekke sin webbaserte e-postkonto.
Dette antas å måtte løses etter de samme retningslinjer som gjelder for utnyttelse av datasystemer over internett. Det må altså foretas en vurdering av situasjonen hvor spørsmålet er om datasystemet innbyr til slik bruk eller ikke. Svaret vil som regel være negativt, med mindre det som nevnt er tydelig at dataterminalen er ment for publikum. Som nevnt kreves det ikke anvendelse av konkrete beskyttelsestiltak for å ha strafferettslig beskyttelse for sitt datasystem. Utgangspunktet er således at tredjeperson må skaffe seg tillatelse til å utnytte datasystemet for at tilgangen skal være rettmessig. I fysiske omgivelser bør det ikke by på problemer å avklare hvorvidt man er berettiget til å skaffe seg adgang eller ei.
I tråd med dette fremstår det også som nokså utvilsomt at «slapp» omgang med passord ikke gir tredjeperson rett til å benytte slike passord. «Passordtyranniet» kan lede til at passord skrives ned for eksempel på gul lapp rett ved dataterminalen. Selv om det å lese et slikt passord ikke nødvendigvis vil anses som rettsstridig, fordi det lå i dagen slik at det i praksis var uunngåelig, gis ikke tredjeperson noen rett til å bruke passordet eller gi det videre. Begge de sistnevnte tilfellene vil være rettsstridige handlinger etter utkastet §§ 10 og 4.
5.3.4 Tilegnelse av digitaliserte vernede verk – åndsverkloven § 53a m.v.
Etter lovforslaget dekkes åndsverkloven § 53a første ledd av utkastet §§ 4-6. Åndsverkloven § 53a første ledd har en rettsstridsreservasjon i tredje ledd annet punktum som lyder:
«Bestemmelsen i første ledd skal heller ikke være til hinder for privat brukers tilegnelse av lovlig anskaffet verk på det som i alminnelighet oppfattes som relevant avspillingsutstyr.»
Bestemmelsen skal leses i sammenheng med åndsverkloven § 12 siste ledd. § 12 omhandler privatkopieringsretten, og siste ledd lyder:
«Det er ikke tillatt å fremstille eksemplar etter denne paragraf på grunnlag av en gjengivelse av verket i strid med § 2, eller på grunnlag av et eksemplar som har vært gjenstand for eller er resultat av en omgåelse av vernede tekniske beskyttelsessystemer, med mindre slik eksemplarfremstilling er nødvendig etter § 53a tredje ledd andre punktum.»
Bestemmelsen i åndsverkloven § 12 siste ledd stiller krav om lovlig kopieringsgrunnlag, dvs. at det ikke lovlig kan tas privat kopi av et eksemplar som enten har vært ulovlig tilgjengeliggjort eller som har vært krenket ved en omgåelseshandling som nevnt i § 53a første ledd, eller som er et resultat av en slik omgåelseshandling. Det sistnevnte alternativet tar sikte på tilfeller hvor tilegnelsen ikke lar seg se atskilt fra omgåelsen, noe som for eksempel er tilfelle for piratdekoding av fjernsynssignaler. Bestemmelsen gjør unntak for omgåelser som er nødvendig for å realisere privat bruk av verket.
Reglene innebærer således at det uansett er lov til å fremstille en kopi dersom det er nødvendig for å realisere den private bruken. Det er også tillatt å benytte denne kopien som grunnlag for privat kopiering etter § 12 første ledd. Som et eksempel kan forbrukeren altså rettmessig kopiere lydspor fra en beskyttet cd til mp3-spilleren, og benytte mp3-filen som lovlig kopieringsgrunnlag for privat kopiering, jf. § 12 første ledd.
Flertallet antar at denne rettstilstand ville være tilfelle også uten en uttrykkelig regel om det i § 53a tredje ledd, fordi det ikke kan anses som rettsstridig å foreta dekoding for privat utnyttelse av et lovlig ervervet verk. Dersom lovgiver finner å ville beholde bestemmelsen er det imidlertid mulig for eksempel å flytte den til åndsverkloven § 12, med en henvisning til §§ 4-6 i datakrimkapitlet i den nye straffeloven.
5.3.5 Nettvett
På internett utvikles det kutymer for kommunikasjon, og det antas at disse iblant kan ha relevans for innholdet i rettsstridsreservasjonen. Utviklingen av slike kutymer er med på å gi internett dets dynamiske karakter. Det innebærer at lovgivningen ofte vil komme til kort med mindre det legges inn et rom for skjønn som kan ta hensyn til praksis. Et grunnleggende vilkår er imidlertid at det er tale om en praksis som er god, eller i det minste ikke er skadelig, og som må anses som klar, festnet og velkjent for dem som berøres av den. Videre kan det være grunn til å ta hensyn til normer for anbefalt atferd som tar sikte på å skape et miljø for sikker sosial omgang på internett. Disse normene er i en annen posisjon enn en kutyme, fordi normene i motsetning til kutymen, ikke nødvendigvis er nedfelt i en eksisterende praksis, men tilstreber å danne en ønsket praksis. Normene tillegges altså en selvstendig betydning for vurderingen av spørsmålet om rettsstrid.
Et aktuelt eksempel gjelder bruken av pseudonymer på internett. Det gjelder i stor utstrekning kutyme for bruk av fiktiv identitet på internett. Hvorvidt dette er en god eller dårlig kutyme beror på sammenhengen, og her varierer det meget mellom tilfellene og hva som søkes oppnådd med å anvende pseudonymet. Det kan dreie seg om handlinger over et så vidt spekter som fremsettelse av en politisk ytring uten å risikere forfølgning for sitt synspunkt (sikre reell ytringsfrihet), barn og ungdoms bruk av uriktig identitet som et alminnelig tiltak for å sikre seg mot ubehagelig eller farlig kontakt, fremsettelse av straffbare ærekrenkelser uten å bli holdt til ansvar, eller voksne som søker kontakt med mindreårige under foregivende at man selv er en ungdom.
For å sikre økt grad av personvern, herunder begrense bruken av elektroniske spor, satses det stadig mer på å utvikle teknologi som sikrer pseudonymitet, dvs. at man generelt er anonym, men kan spores opp dersom det har et lovhjemlet formål, for eksempel å bekjempe kriminalitet. Slik teknologi kalles PET (etter engelsk «Privacy Enhancing Technologies»).
På dette feltet skjer det en stor utvikling av normer, sosial praksis og teknologi. I korthet kan disse momentene ha betydning for når en overtredelse av forbudet mot elektronisk identitetstyveri, jf. utkastet § 15, er å anse som rettsstridig. Som en generell rettesnor antas det at nettvettregler som utarbeides for å støtte barn og ungdoms bruk av internett på sikker måte, bør ha stor betydning for å fastlegge hva som er rettsstridig for så vidt gjelder bruk av fiktiv identitet, slik at straffebudene støtter opp om dette. Slike nettvettregler kan også gi grunnlag for slutninger om hva som anses som rettsstridig praksis, nemlig de handlinger som reglene tar sikte på å sikre overfor.
5.4 Handlinger som skaper stor fare for gjennomføring av andre former for datakriminalitet
5.4.1 Problemstilling
Utvalget mener det er behov for straffebud som klart rammer visse innledende handlinger som skaper særlig stor fare for at andre straffbare handlinger begås. Det er tale om elektronisk kartleggingsvirksomhet og ulovlig anbringelse av utstyr m.v. på eller i tilknytning til datasystem eller elektronisk kommunikasjonsnett.
5.4.2 Elektronisk kartlegging
Elektronisk kartlegging av datasystemer er en aktivitet som går ut på å anvende dataprogrammer (kartleggingsprogrammer) over nett til å undersøke datasystemer. Slik kartlegging kan foregå på mange måter. Det vises til den generelle omtalen i kapittel 3.4.2. Formålet kan være å identifisere datasystemer som er sårbare for inntrengning eller misbruk. Aktiviteten kan også rette seg mot et spesifikt datasystem for å skaffe opplysninger om egenskaper og tjenester som er tilgjengelige på dette.
Rettspraksis har eksempler på begge former for kartleggingsvirksomhet. Det kan vises til bakdør-kjennelsen i Rt. 2004 side 1619, hvor aktiviteten gikk ut på å finne en mengde datamaskiner som var sårbare for en viss type angrep. På grunnlag av kartleggingen trengte gjerningspersonene seg inn i 437 servere i 33 land. I portskandommen (Rt. 1998 side 1971) og sms-dommen (Rt. 2004 side 94) foretok gjerningspersonene grundige undersøkelser mot datasystemer som var valgt ut på forhånd. Her gjaldt det altså kartleggingsvirksomhet som ble målrettet utført mot bestemt identifiserte datasystemer.
Elektronisk kartlegging er et regulært sikkerhetstiltak når det foretas av en som har i oppgave å ivareta sikkerheten på datasystemet. Kartleggingen kan for eksempel bidra til å avdekke tjenester som står tilgjengelige for omverdenen til tross for at de skulle vært stengt. På denne måten kan den ansvarlige skaffe opplysninger som er nødvendige for å kontrollere systemet.
Men elektronisk kartlegging er også en ordinær metode for å forberede en inntrengning i et datasystem. Gjennom kartleggingen registreres hvilke sårbarheter datasystemet har, og følgelig hvordan det kan misbrukes.
Lovligheten av elektronisk kartlegging i form av portskanning ble behandlet i den nevnte portskandommen. Spørsmålet var om handlingen ble rammet av straffeloven § 393 om ulovlig bruk av løsøregjenstand. Kartlegging innebærer nemlig kontakt med datasystemet, som sender tilbake elektroniske signaler («svar») på en forespørsel om egenskaper og tjenester er aktivisert på systemet. Responsen innebærer at prosesser iverksettes på det datasystem som er gjenstand for undersøkelsen. Slike prosesser kan karakteriseres som «bruk». Høyesteretts flertall kom til at kartleggingen ikke var å regne som ulovlig bruk da den fornærmede ved tilkoblingen til internett måtte anses å ha akseptert at datasystemet ble satt i virksomhet på grunn av slike aktiviteter.
Straffelovkommisjonen tar opp problemstillingen om portskanning bør være straffbart, se delutredning VII side 373 (spesialmerknader til § 30-14). I en kommentar til portskandommen bemerkes at det
«ikke er åpenbart at grensen for det ulovlige bør gå der hvor Høyesterett har trukket den. En kartlegging av portene i et fremmed datasystem står sentralt ved forberedelse av datainnbrudd, og vil som regel gjøre det nødvendig for offeret å foreta nærmere undersøkelser. Det bør vurderes om en lovendring er nødvendig for å fange opp slik kartlegging.»
Utvalget utelukker ikke at fjerningen av beskyttelsesvilkåret i straffeloven § 145 annet ledd ved lovendringen i 2005, kan ha medført at elektronisk kartleggingsvirksomhet rammes av forbudet mot å skaffe seg adgang til data. Dette forutsetter at adgangen til de opplysninger på datasystemet som kan kartlegges, anses å være uberettiget. Det vises til drøftelsen i Sunde 2006 «Lov og rett i cyberspace» side 138-139 og side 148. Problemstillingen ble imidlertid ikke vurdert i forbindelse med lovbehandlingen, så rettstilstanden er neppe helt avklart.
I lys av disse omstendighetene antas det å være behov for en uttrykkelig avklaring av om elektronisk kartlegging skal være straffbar eller ei. Det er vanskelig å se at det foreligger aktverdige grunner for kartleggingsvirksomhet uten at det skjer etter ønske fra datasystemets eier. Elektronisk kartlegging er mer nærgående og dermed farligere, enn for eksempel det å foreta observasjoner av inngangspartier og vinduer til et hus man ønsker å bryte seg inn i. Årsaken er at elektronisk kartlegging nødvendigvis forutsetter en kontakt med det datasystem som er gjenstand for observasjon. Kartleggingsprogramvare kan også bygges ut med exploits som automatisk utnytter sårbarheter som avdekkes. Det er altså kortere vei mellom kartlegging og misbruk enn ved observasjon i fysiske omgivelser. Dette gir datasystemets eier mindre mulighet for å skjerme seg.
Mot kriminalisering taler at elektronisk kartlegging kan være vanskelig å forfølge, både på grunn av utnyttelse av anonymiseringsteknikker og fordi saken ofte vil kreve etterforsking i utlandet. Bruk av ressurser på etterforsking kan være vanskelig å forsvare med mindre kartleggingen faktisk har resultert i andre straffbare handlinger. Dermed kan det sies å være mindre reelt behov for å ramme kartleggingsvirksomheten med straff. På den annen side er det liten grunn til å akseptere atferden og det antas at et straffebud kan ha en holdningsskapende effekt. Allmennpreventive hensyn gjør seg også gjeldende med styrke. Mye av kartleggingsvirksomheten kan forstås i lys av fraværet av et klart forbud, noe som har gitt et visst spillerom for en type nysgjerrighetsdrevet aktivitet som særlig var gjeldende i internetts barndom. I dag fremstår slik kartleggingsvirksomhet som lite legitim, og den registreres som «fiendtlige oppkall» av sensorer som fanger opp dette. Hensett til den preventive effekt et slikt straffebud vil ha, ikke bare for kartleggingsvirksomheten som sådan, men også for den datakriminalitet som utløses av opplysningene fra kartleggingen, foreslås det å kriminalisere uberettiget elektronisk kartlegging av datasystemer.
For så vidt angår portskanning gjør de hensyn som Høyesterett la vekt på i portskandommen seg fortsatt gjeldende. Utvalget mener imidlertid at disse hensynene ikke går så langt som Høyesterett trakk dem i den nevnte dommen. Men etter utvalgets syn bør det i hvert fall ikke anses som uberettiget å sjekke om et datasystem koblet til internett tilbyr tjenester som vanligvis er tilgjengelig for allmennheten på porter som normalt er dedikert til dette. Det må for eksempel være lovlig å sjekke om en datamaskin tilbyr en webserver, er vert for chatting eller tilbyr en åpen ftp-server på ordinær port. Det vises for øvrig til drøftelsen av rettsstridsreservasjonen i forbindelse med bruk av tjenester på internett i kapittel 5.3.2.
I spesielle tilfelle kan elektronisk kartlegging være så intens at den utgjør en belastning på datasystemet og går ut over dets funksjonsevne. Hvis kartleggingen på denne måten rammer tilgjengeligheten, utgjør den en form for tjenestenekt og kan rent objektivt rammes av forbudet mot driftshindring, jf. utkastet § 13. Dersom forsett om driftshindring mangler vil handlingen ikke kunne straffes etter denne bestemmelsen. Selve registreringen av egenskapene til datasystemet kan også etter ordlyden rammes av forbudet mot datatyveri, jf. utkastet § 5. Men handlingen er i periferien av hva bestemmelsen er ment å dekke, og det kan være grunnlag for en innskrenkende fortolkning på dette punkt. Utkastet § 4 om ulovlig tilgang til datasystem kommer ikke til anvendelse fordi kartleggingen ikke innebærer noen overskridelse av datasystemets grense, dvs. en «tilgang» til systemet som sådan. Kartleggingsaktivitet kan neppe heller rammes som forsøk på ulovlig tilgang, jf. utkastet § 4, jf. ny straffelov § 16, fordi handlingen i seg selv ikke innebærer noe inntrengningsforsøk, bare registrering av opplysninger.
Det antas følgelig å være behov for en særskilt bestemmelse om forbud mot elektronisk kartlegging av datasystem. Spørsmålet er hvordan et straffebud mot elektronisk kartlegging skal utformes slik at det blir tilstrekkelig presist og ikke får for stor slagvidde. Rent objektivt er det kun tale om å ramme kartleggingsaktivitet som skjer over det elektroniske kommunikasjonsnettet. Og det gjelder kun aktivitet rettet direkte mot det datasystem som kartlegges. Indirekte kartlegging, for eksempel ved bruk av databaser på internett som kan inneholde opplysninger om datasystemer og dets tjenester, omfattes ikke. Dette blir å sammenligne med konsultasjon i alminnelige oppslagsverk. Videre antas det å være nødvendig å oppstille et vilkår knyttet til formålet med kartleggingen. Hensynet bak straffebudet er å virke preventivt overfor aktiviteter som kan gi grunnlag for andre straffbare handlinger overfor datasystemet. Det synes dermed naturlig å kreve at kartleggingen skjer med tanke på å avdekke sårbarheter. Dermed unngår man at straffebudet favner for vidt.
Straffebudet om elektronisk kartlegging er tatt inn i lovforslaget § 2. Det vises ellers til særmerknadene i kapittel 9.2.
5.4.3 Ulovlig anbringelse av utstyr
Utvalget mener det er behov for å ramme handlinger som går ut på å plassere utstyr eller programvare på eller i tilknytning til datasystem eller elektroniske kommunikasjonsnett for å skaffe seg informasjon man ikke er berettiget til. Dette bidrar til å effektivisere vernet om datasystemer, databaserte tjenester og informasjon. Noen eksempler kan klargjøre formålet med straffebudet:
Pinkoder
Det er velkjent at kriminelle plasserer utstyr på automater for å fange opp pinkoder, for eksempel videokamera i nærheten av en minibank eller en bensinpumpe hvor man kan benytte kontokort. En annen variant er bruk av såkalte «falske fronter» som festes på utsiden av slike automater for å registrere avtrykk av pinkoden når den tastes inn av brukeren.
Denne tilegnelsen av pinkoder kombineres ofte med tyveri av kortet. En metode er å sørge for at automaten tilsynelatende «sluker» kortet, som dermed gis opp som tapt av eieren. Etterpå fiskes kortet opp fra automaten av den kriminelle. Dette kalles «libanesisk slynge» («Lebanese loop»). En annen variant er ulovlig kopiering av kontoinformasjonen i magnetstripen på kortet, såkalt «skimming». Den kriminelle kan kombinere bruk av pinkode og stjålet kort eller kopiert magnetstripe og foreta uberettigete kontooverføringer og kontant- og vareuttak. Disse handlingene straffes som (data)bedrageri eller tyveri, se kapittel 3.5.4 flg. Men utplasseringen av utstyret for å skaffe pinkoden er etter dagens rettstilstand straffri. Utvalget foreslår altså å kriminalisere dette.
Avlytting og tapping
Et annet straffverdig tilfelle er å installere utstyr eller programvare for å foreta avlytting eller tapping av elektronisk kommunikasjon, eller lese innholdet på et datasystem, se kapittel 3.4.6.
Den uberettigete informasjonstilegnelsen rammes som informasjons- eller datatyveri, jf. utkastet §§ 5 og 6. Straffebudene verner data og databasert informasjon som er lagret og som overføres. Også forsøk på uberettiget tilegnelse vil være straffbart, jf. ny straffelov § 16. Selve plasseringen av utstyret m.v. rammes ikke av disse reglene.
Gjeldende rett og begrunnelse for forslaget om et eget straffebud
Etter gjeldende rett er de nevnte handlingene straffrie. Selve utplasseringen av utstyr innebærer ikke en overskridelse av grensen for straffbart forsøk, jf. straffeloven § 49 (ny straffelov § 16). Dersom gjerningspersonen for eksempel forbereder avlytting av en kommunikasjon han regner med at vil finne sted på lørdag, kan han straffritt montere utstyret på torsdag. Da er han bare i fasen for straffri forberedelse. Straffeloven § 145 a nr. 3 representerer et unntak ved at anbringelse av «lytteapparat, lydbånd eller annen teknisk innretning» i slikt øyemed er straffbart. Bestemmelsens rekkevidde er imidlertid begrenset og gjelder bare forberedelse til telefonavlytting (og romavlytting, som ikke omfattes av utvalgets forslag). Utplassering av utstyr for avlytting av elektronisk kommunikasjon, jf. straffeloven § 145 annet ledd, omfattes ikke av forbudet i straffeloven § 145 a nr. 3.
Det antas at straffeloven § 393 heller ikke gir tilstrekkelig hjemmel for straff i disse tilfellene. Bestemmelsen krever at det foreligger rettsstridig «bruk» av løsøregjenstand. Hvorvidt vilkåret er oppfylt beror på den fremgangsmåte som er valgt for den rettsstridige informasjonsinnhentingen. For det praktiske tilfelle at et kamera er montert i nærheten av minibanken for å filme tastetrykk, er straffeloven § 393 neppe anvendelig, siden dette ikke kan karakteriseres som «bruk» av minibanken. Montering av en «falsk front» på minibanken representerer formodentlig et grensetilfelle for hva som kan kalles «bruk». Hvis fremgangsmåten består i å installere en «nettverksniffer» på eget datasystem for å fange opp passord som sendes over nettverket, er man klart utenfor straffeloven § 393. Denne fremgangsmåten, som er meget praktisk, er nærmere behandlet nedenfor.
Utplassering av utstyr m.v. er nødvendig for gjennomføring av et planlagt straffbart foretagende som nevnt. Handlingen skaper usikkerhet ved bruk av databaserte tjenester og er klart straffverdig. På denne bakgrunn foreslås straffebudet i utkastet § 3.
Skjæringspunktet for fullbyrdet straffbar handling foreslås å gå ved selve utplasseringen av utstyret. Det spiller ingen rolle om lovovertrederen har aktivisert utstyret såfremt formålet er å foreta en tilegnelse som nevnt i utkastet § 3 første ledd bokstav a eller b. Selve tilegnelsen av data og databasert informasjon, herunder tilgangsdata, foreslås straffet som en egen handling, jf. utkastet §§ 5, 6 og 10. Dersom lovovertrederen har tatt i bruk utstyr som nevnt i utkastet § 3 og lykkes i å tilegne seg informasjon, vil utkastet § 3 kunne anvendes i konkurrens med utkastet §§ 5, 6 og 10. Men formålet med utkastet § 3 er først og fremst å gi grunnlag for å gripe inn på et tidligere stadium, før tilegnelsen har skjedd. I slike tilfelle blir det bare tale om straff for overtredelse av utkastet § 3.
Pinkoder m.v. som kan registreres ved kamerabruk eller «falske fronter» omfattes ikke av utkastet §§ 5 og 6. Grunnen er at opplysningene når de fanges opp ikke er data eller databasert informasjon, jf. begrepsbruken i utkastet § 1 bokstav c og d. Det er kun tale om opplysninger som anskaffes ved å studere inntastingen slik den lar seg observere på videoopptaket eller ved å undersøke avtrykkene avsatt på falsk tastatur. Slike opplysninger nyter ikke noe generelt strafferettslig vern. Man kunne tenkt seg at skjæringspunktet for fullbyrdet handling gikk ved tilegnelsen av disse opplysningene. Men et slikt kriterium ville utløse en rekke spørsmål om når tilegnelsen skjedde. Det kan være ved filmopptaket, registreringen eller den senere tolkingen av informasjonen. I tillegg kommer de bevismessige problemer ved anvendelsen av en slik regel. Både rettstekniske og bevismessige hensyn taler dermed for at skjæringspunktet går ved den ytre konstaterbare handling, nemlig utplasseringen av utstyret. Det er også da sårbarheten for den databaserte tjenesten oppstår.
Utkastet § 3 rammer ikke bare utstyr og dataprogram som plasseres på andres systemer, men også om det plasseres på eget system. Forutsetningen er at formålet er å begå en handling som nevnt. Dette er praktisk med tanke på å ramme forberedelse til uberettiget avlytting av nettverkstrafikk. Elektronisk kommunikasjon kan sendes i form av pakker og hver enkelt av disse pakkene inneholder informasjon om hvilken adressat pakken (og følgelig kommunikasjonen) skal til. Ved ordinær overføring vil nettverkstrafikken passere de datamaskiner som er koblet til nettet, men maskinene vil ikke fange opp andre kommunikasjonspakker enn de som er adressert til dem. Det er imidlertid mulig å ta i bruk dataprogram som «fisker opp» elektronisk kommunikasjon som ikke er adressert til den datamaskin man anvender. Et slikt program kalles ofte en «sniffer», jf. beskrivelsen i 3.4.6. Selve bruken av programmet rammes av forbudet mot uberettiget tilegnelse av data, jf. utkastet § 6. Etter utkastet § 3 rammes installeringen av slik programvare.
I denne sammenheng må det anses å være uten betydning for straffverdigheten om anbringelsen av dataprogrammet skjer på egen eller en annens datamaskin. For gjerningspersonen vil det normalt være mest hensiktsmessig å gjøre det på egen maskin fordi han da har kontroll både på programvaren og de data som tilegnes. I et tilfelle hvor avlyttingsprogrammet er installert på en annens maskin – og dette er gjort uten tillatelse – innebærer handlingen også en overtredelse av utkastet § 7 om datamodifikasjon.
Som det fremgår rammer utkastet § 3 utplassering både av fysisk utstyr og programvare. Dette er et utslag av prinsippet om teknologinøytralitet. Straffbarheten av en handling bør ikke avhenge av hvilken teknologi som konkret er benyttet, men formålet med handlingen. En tastetrykksregistrator som registrerer de signaler som sendes til datamaskinen fra tastaturet, kan enten være en fysisk gjenstand på tastaturkabelen eller programvare som er installert i det datasystem som utsettes for krenkelsen. I begge tilfelle kan de loggede tastetrykkene sendes automatisk til et program på gjerningspersonens datamaskin, men det er også mulig for gjerningspersonen å hente dem fysisk. Dette siste alternativet er kanskje det mest sannsynlige hendelsesforløp når registratoren er en fysisk gjenstand. Plasseringen av tastetrykksregistratoren rammes av utkastet § 3 i begge tilfellene, mens bruken rammes av utkastet §§ 5 og 6.
5.5 Strafferettslig vern for data og databasert informasjon
5.5.1 Rettspolitiske uttalelser m.v.
Mens vernet om eiendomsretten har vært regnet som tilstrekkelig grunn for straff, når krenkelsen gjelder fysiske formuesgoder, har ikke dette kommet tilsvarende til uttrykk for data. Det vises blant annet til bestemmelsene om underslag og tyveri, som retter seg mot uberettiget tilegnelse av (løsøre) gjenstand, jf. straffeloven §§ 255 og 257. Det er alminnelig antatt at disse bestemmelsene ikke kommer til anvendelse på uberettiget tilegnelse av data.
Oslo tingretts dom av 10. mars 2005 (TOSLO-2004-84792) er et utslag av denne rettsoppfatningen. En ledende ansatt i et telemarketingselskap var i ferd med å gå over i stilling som administrerende direktør i et konkurrerende selskap. Før han sa opp stillingen i telemarketingselskapet kopierte han innholdet på den såkalte «produksjonsserveren» til 5-7 cd-er som han tok med seg ut av bedriften. Det var tale om ca. 23 000 datafiler. I tillegg tilegnet han seg arbeidsgiverens hemmelige anbud på et prosjekt verd ca. 200 millioner kroner, ved å overføre datafilen med anbudet til sin private frisurf e-postkonto. For disse handlingene ble han tiltalt for grov økonomisk utroskap og grovt tyveri, jf. straffeloven §§ 275, jf. 276 og §§ 257, jf. 258. Mens han ble domfelt for grovt økonomisk utroskap ble han frifunnet for tyveriet, fordi data etter tingrettens oppfatning ikke kunne anses som «løsøregjenstand», jf. straffeloven § 257. Som støtte for tolkningen ble det vist til eldre oppfatninger i teorien, som er gjengitt i datakrimutredningen av 1985.
I forbindelse med lovtilpasningene 8. april 2005 som følge av tiltredelsen av datakrimkonvensjonen, påpekte flere høringsinstanser at vernet om data måtte styrkes slik at det kom på linje med det som gjelder for fysiske gjenstander. Fra ØKOKRIMs høringsuttalelse siteres (gjengitt fra Ot.prp.nr 40 (2004-2005) kapittel 3.2.5 side 14):
«ØKOKRIM … har registrert en økning i henvendelser som gjelder «tyveri» av informasjon ved hjelp av en datamaskin, men hvor det vanskelig kan sies å foreligge brudd på en beskyttelse. Et typeeksempel er en utro tjener i en bedrift som uberettiget kopierer ut informasjon til en konkurrent.
I en tid hvor man tillegger IKT-tjenester stadig større verdi, bør det strafferettslige vern om data i hvert fall være på linje med det man har for gjenstander, og som kjent stilles det ikke noe vilkår om at en gjenstand skal være beskyttet for at det skal være tale om tyveri.»
Justisdepartementet fulgte opp med følgende bemerkning (Ot.prp. nr. 40 (2004-2005) kapittel 3.2.6 side 14-15):
«I lys av høringen er det etter departementets syn naturlig å se spørsmålet om å endre straffeloven § 145 annet ledd i sammenheng med reglene om uberettiget tilegnelse av informasjon, selv om disse regelsettene retter seg mot ulike stadier av et hendelsesforløp og heller ikke fullt ut varetar de samme hensyn. Ulike former for «informasjonstyveri» synes å utgjøre et økende samfunnsmessig problem, som det kan være grunn til å møte med nye lovtiltak. På bakgrunn av særlig ØKOKRIMs høringsuttalelse, som får støtte av Politidirektoratet, ser departementet et klart behov for å utrede nærmere om data i dag har et for svakt strafferettslig vern sammenlignet med for eksempel vernet mot tyveri av fysiske gjenstander. Å vurdere dette og eventuelt utforme en helt ny bestemmelse som rammer urettmessig tilegnelse av informasjon, slik ØKOKRIM foreslår, er imidlertid en oppgave av en slik art at det er naturlig å la den gå inn i Datakrimutvalgets videre arbeid. Det synes med andre ord som om reformbehovet innenfor dette feltet strekker seg utover en eventuell endring av straffeloven § 145 annet ledd slik som skissert i høringsbrevet.»
Justiskomiteen sa seg enig i at «dagens lovgivning ikke er fullgod på alle områder» (Innst. O. nr. 53. (2004-2005) kapittel 2). I stedet for å avvente en ny utredning fra Datakrimutvalget valgte komiteen å fjerne beskyttelsesvilkåret i straffeloven § 145 annet ledd.
Datakrimutvalget foreslår at det strafferettslige vern om data og informasjon styrkes slik at det kommer på linje med vernet for løsøregjenstander. De to viktigste tiltakene er å sørge for straffebud som rammer uberettiget tilegnelse av data og databasert informasjon, og etterfølgende befatning med slikt straffbart utbytte. I dag oppnås et visst vern for data ved en fortolkning av gjenstandsbegrepet i de tradisjonelle straffebud. Etter gjeldende rett omfattes ikke data av begrepet «gjenstand» i straffeloven, og har følgelig ikke selvstendig beskyttelse etter de regler som anvender dette begrepet. Legaldefinisjonen av «løsøregjenstand» i straffeloven § 6 er ikke begrenset til fysiske gjenstander, men omfatter også «enhver til Frembringelse af Lys, Varme eller Bevægelse fremstillet eller opbevaret Kraft». Dette omfatter elektrisitet og andre energiformer, men ikke data, jf. Matningsdal og Bratholm: Straffeloven Kommentarutgave, Bind I side 31. Ny straffelov § 12 har følgende definisjon av «gjenstand»: «Med gjenstand menes også elektrisk energi eller annen energi». Forarbeidene presiserer: «informasjon i datasystemer mv. skal fortsatt ikke regnes som gjenstand», jf. Ot.prp. nr. 90 (2003-2004) kapittel 12.2.4 side 165. Data er derfor ikke vernet etter straffebud som benytter begrepet «gjenstand» i ny straffelov heller.
Etter gjeldende rett fortolkes imidlertid «gjenstand» utvidende i enkelte sammenhenger og kan da omfatte data som er lagret. Tolkningen, som kalles å anvende det «funksjonelle gjenstandsbegrep», ser dataene i sammenheng med det fysiske lagringsmediet som utvilsomt er en gjenstand. På denne måten har man i rettspraksis funnet å kunne anvende straffebudet om skadeverk på «gjenstand» i straffeloven § 291, i saker om uberettiget endring og sletting av data. Det kan blant annet vises til bakdør-kjennelsen i Rt. 2004 side 1619, hvor uberettigete endringer i programoppsettet ble ansett som straffbart etter straffeloven § 291.
Denne fortolkningsteknikken har sitt opphav i den såkalte «damlukedommen» i Rt. 1930 side 1005. Anvendt på data er fortolkningen noe av en konstruksjon og gir heller ikke tilstrekkelig vern stilt overfor det behov som foreligger. Det vises til drøftelsen i Sunde 2006 «Lov og rett i cyberspace» kapittel 4, med en kritikk av denne tolkningsmetoden i datatilfeller. Et viktig hensyn er at gjenstandsbegrepet må fortolkes i lys av de øvrige vilkår i det straffebud som det er tale om at skal gis anvendelse på data. For så vidt gjelder tyveribestemmelsen skaper vilkåret «borttar» problemer, siden «datatyveri» typisk skjer ved kopiering eller overføring av data. Disse handlingene fordrer ikke at de originale data forflyttes. Man kan si at vilkåret «borttar» ikke er oppfylt, eller at begrepet «gjenstand» slik det benyttes i straffeloven § 257 ikke omfatter data.
Videre reiser etterfølgende bruk av data og databasert informasjon som er uberettiget tilegnet noen særlige spørsmål som gjør at straffelovens bestemmelser om heleri og sikringshandlinger i straffeloven § 317 første og annet ledd neppe er helt tilstrekkelige, se kapittel 5.5.3.
Også andre typer straffebud kan bidra til et styrket vern om data. Regler som verner om de datasystemer og elektroniske kommunikasjonsnett som lagrer, behandler og overfører data gir et indirekte vern. Både de tidligere nevnte straffebud som omfatter handlinger som skaper stor fare for annen datakriminalitet og straffebudene om datainnbrudd, datamodifikasjon og driftshindring m. fl. gir et styrket vern om data og databasert informasjon.
I det følgende gis det en nærmere beskrivelse av hensynene bak reglene om uberettiget tilegnelse og etterfølgende befatning med databasert informasjon og data, jf. utkastet §§ 5, 6 og 9. De konkrete formuleringene i straffebudene er kommentert i kapittel 9.5, 9.6 og 9.9.
5.5.2 Uberettiget tilegnelse av data og databasert informasjon
Utkastet §§ 5 og 6 gir et generelt strafferettslig vern mot tilegnelse av «data» og «databasert informasjon».
Tilegnelse av data, jf. utkastet § 6
«Data» er enhver representasjon av informasjon som lagres eller behandles av et datasystem, eller overføres i et elektronisk kommunikasjonsnett, jf. utkastet § 1 bokstav c. I tillegg omfattes enhver representasjon av informasjon som ikke er lesbar uten bruk av teknisk utstyr, jf. bestemmelsens annet punktum.
Tilegnelseshandlinger etter utkastet § 6 fordrer følgelig bruk av et datasystem eller annet teknisk utstyr, siden handlingen er rettet mot signaler som bare kan utnyttes maskinelt. Når tilegnelsen gjelder data som er lagret eller som behandles vil den bestå i en kopieringshandling. Kopiering innebærer at data overføres til et annet fysisk lagringsmedium eller nettsted enn der hvor de originale data befinner seg, og som er utenfor den berettigetes kontroll. For tilegnelse av data som er lagret, er fremgangsmåtene benyttet av domfelte i tingrettsdommen nevnt i kapittel 5.5.1 (TOSLO-2004-84792) illustrerende. Domfelte hadde kopiert data fra arbeidsgivers produksjonsserver til flere cd-rom og dessuten overført data som vedlegg til en e-post.
Tilegnelse av data som er under overføring kan kalles «tapping». Tapping betyr at kommunikasjonsstrømmen fortløpende kopieres til et lagringsmedium mens den er underveis til mottaker. Tappingen vil ikke nødvendigvis påvirke overføringen som sådan, slik at selve kommunikasjonen kan skje uforstyrret.
Tilegnelse av databasert informasjon, jf. utkastet § 5
Utkastet § 5 første ledd bokstav a retter seg mot tilegnelse av «databasert informasjon». «Databasert informasjon» er meningsinnholdet i data, jf. utkastet § 1 bokstav d. Databasert informasjon oppstår når man gjør seg kjent med innholdet i data, og fordrer sansebruk av et menneske. Tilegnelse av databasert informasjon som er lagret kan for eksempel skje ved å lese innholdet på et skjermbilde eller ved å lytte til et opptak av en samtale. Når opptaket er lagret er det å anse som «data», jf. utkastet § 1 bokstav c, mens det transformeres til «databasert informasjon» ved avspilling, jf. utkastet § 1 bokstav d. Tilegnelse av det lagrede opptaket kan skje maskinelt ved kopiering og rammes i så fall av utkastet § 6. Men tilegnelse kan også skje ved avspilling, det vil si at lovovertrederen lytter til og/eller ser på innholdet. I så fall kommer utkastet § 5 til anvendelse.
Tilsvarende gjelder i overføringstilfellene. Ved kopiering av signalstrømmen til et lagringsmedium skjer en tilegnelse av data (som overføres i et elektronisk kommunikasjonsnett, jf. utkastet § 1 bokstav c), jf. utkastet § 6. Hvis noen lytter eller ser på overføringen mens den foregår (i sann tid) foreligger tilegnelse av databasert informasjon, jf. utkastet § 5, fordi det skjer sansebruk av et menneske. Dersom kommunikasjonen kopieres til et lagringsmedium samtidig som man foretar avlytting, foreligger overtredelse både av utkastet §§ 5 og 6.
Papirutskrift
Det anses nødvendig å bygge ut utkastet § 5 for å fange opp den praktiske form for informasjonstilegnelse som skjer ved utskrift av data. Tatt i vid forstand kan uttrykket «databasert informasjon» forstås å omfatte tegn i ethvert trykt skrift som er fremstilt ved hjelp av datastyrte trykke- og kopieringsprosesser. Så vidt skal imidlertid ikke uttrykket forstås, noe som klart følger av definisjonens tilknytning til datadefinisjonen, se utkastet § 1 bokstav d, jf. bokstav c og merknadene i kapittel 9.1 og 9.5. Dette innebærer at en utskrift fra en datamaskin ikke er meningsinnhold i «data». Hovedregelen er at trykte skrifter anses om løsøregjenstand og gis vern mot uberettiget tilegnelse etter reglene om tyveri og underslag (det tenkes ikke her på det opphavsrettslige vernet).
Det antas imidlertid å være behov for en utvidelse av området for utkastet § 5 i tilfeller som gjelder uberettiget tilegnelse av utskrift fra en datamaskin, på grunn av den nære sammenhengen handlingen har med et informasjonstyveri direkte fra skjermen eller spilleren.
Det er nærliggende å tenke seg at uberettiget tilegnelse av informasjon kan skje ved at lovovertrederen ser sitt snitt til å ta en utskrift, for eksempel av et skjermbilde når han er på besøk hos en konkurrent. Det kan tenkes at borttagelse av en utskrift kan straffes etter reglene om tyveri og naskeri, jf. straffeloven §§ 257 og 391a. Men rettsanvendelsen treffer noe på siden av det straffverdige ved handlingen, som er selve informasjonstilegnelsen , og denne kan innebære en langt større krenkelse overfor den som blir rammet enn det som i hvert fall ville følge av naskeribestemmelsen. Siden det å bortta en slik utskrift står i meget nær sammenheng med de andre tilegnelsestilfellene som omfattes av utkastet § 5, er det naturlig å bygge ut bestemmelsen til å omfatte dette. Det er gjort ved alternativet i utkastet § 5 første ledd bokstav b, som omfatter «utskrift av databasert informasjon» . Det kreves ikke at lovovertrederen selv har tatt utskriften, bare at utskriften står i så nær sammenheng med datasystemet at utskriften i det konkrete tilfellet nærmest kan anses som en forlengelse av datasystemet. Den kan for eksempel ligge klar til avhenting i en kassett i utskriftsmaskinen (printeren), og så ser lovovertrederen sitt snitt til å ta den med seg når han går forbi.
De grensespørsmål som kan oppstå overfor tyveribestemmelsen må nødvendigvis løses i rettspraksis. Bestemmelsens annet ledd inneholder en subsidiaritetsklausul som gir tyveribestemmelsen forrang der det er naturlig. Dette er en lovteknikk som i dag blant annet er benyttet i straffeloven § 275 tredje ledd, som regulerer forholdet mellom underslag og økonomisk utroskap.
Harmoniserings- og konkurrensspørsmål
Selv om data og databasert informasjon ikke har et selvstendig strafferettslig vern etter gjeldende rett, rammer flere straffebud handlinger som reelt sett innebærer en slik tilegnelse. Dette gjelder straffeloven §§ 145 annet ledd og 262 annet ledd, samt åndsverkloven § 53a første ledd, jf. § 54 første ledd bokstav b. Direkte rammer de nevnte bestemmelser den uberettigete tilgang, jf. «skaffer seg adgang», «bruk av dekodingsinnretning» og «omgå effektive tekniske beskyttelsessystemer». Den umiddelbare følge av de nevnte handlinger er imidlertid tilegnelse, enten av data eller databasert informasjon. Tilegnelsen skjer ved at dataene eller den databaserte informasjon leses maskinelt og eventuelt kopieres, at fjernsynssignaler dekodes til klart innhold som fremvises på fjernsynsskjerm, at en dvd-film kopieres i ubeskyttet tilstand (datatyveri) og avspilles (informasjonstyveri) eller at krypterte informasjonssamfunnstjenester tappes under overføring (datatyveri) og deretter avspilles på gjerningspersonens eget utstyr (informasjonstyveri).
Som det har fremgått rammes disse handlingene av utkastet §§ 5 og 6. Selve den uberettigete tilgang til lagrede data – som er den forutgående handling – rammes av utkastet § 4 (ulovlig tilgang til datasystem). Det vises til kapittel 5.6.2 i underkapitlene «Særlig om ulovlig tilgang til frittstående lagringsmedier» og «Harmoniseringsspørsmål». I mange tilfeller vil det være naturlig å anvende utkastet § 4 i realkonkurrens med utkastet §§ 5 eller 6. Dermed får man bedre frem enn etter dagens regler at slike krenkelser består både av uberettiget tilgang og en straffbar tilegnelse.
Uberettiget dekoding og tilegnelse av data og databasert informasjon under overføring rammes i sin helhet av utkastet §§ 5 og 6. Det vil her gjerne være sammenfall mellom dekodingen og tilegnelsen, noe som illustreres ved piratdekoding av fjernsynssignaler nevnt ovenfor. Som følge av dekodingen fremvises programmet på fjernsynsskjermen. Hvorvidt det er naturlig å anvende utkastet §§ 5 og 6 i konkurrens der det først skjer en datakopiering og deretter en avspilling, kan være tvilsomt. I slike tilfelle kan det kanskje være mer naturlig å se informasjonstilegnelsen som en konsekvens av datatyveriet og eventuelt som en straffskjerpende omstendighet ved dette. Dette konkurrensspørsmålet antas å finne sin naturlige løsning i rettspraksis.
En annen sak er at utkastet §§ 5 og 6 kan anvendes i konkurrens med utkastet § 9 som gjelder etterfølgende befatning med slikt straffbart utbytte. Overtredelse av utkastet § 9 er en ny selvstendig straffbar handling og det spiller ingen rolle for straffbarheten om lovovertrederen også begikk primærovertredelsen, det vil si, overtredelsen av utkastet §§ 5 eller 6. Utkastet § 9 kan anvendes både der lovovertrederen har begått primærlovbruddet og når befatningen skjer av en tredjeperson.
Til slutt kan det nevnes at utkastet § 8 om uberettiget bruk av datasystem m.v. ofte vil være aktuell i konkurrens med utkastet §§ 5 og 6. «Bruk» etter utkastet § 8 må imidlertid gjelde den side av handlingen som ikke kan karakteriseres som tilegnelse , for eksempel den bruk som går ut på å lete i datasystemet etter data som skal tilegnes.
5.5.3 Etterfølgende befatning med data og databasert informasjon som er utbytte av en straffbar handling
En styrking av det generelle vern for data og databasert informasjon reiser spørsmål om det er behov for et eget straffebud om etterfølgende befatning når data og databasert informasjon er utbytte av en straffbar handling. Det kan være tale om en tredjeperson som mottar slikt utbytte eller om tyvens (primærforbryterens) etterfølgende disposisjoner over utbyttet. Som et eksempel kan man tenke seg at tyven legger en mengde kredittkortnumre han uberettiget har kopiert fra en database, ut på internett. Ved å eksponere data som skulle vært konfidensielle kan han ramme omdømmet til innehaveren av databasen og kortinnehaverne og påføre kortutstederne økonomisk tap.
Det er naturlig å ta utgangspunkt i straffeloven § 317 slik bestemmelsen lyder etter lovendringen 30. juni 2006 nr. 49, som trådte i kraft straks. Første ledd er delt i to alternativ som rammer heleri og hvitvasking av utbytte av en straffbar handling. Helerialternativet rammer den som «mottar eller skaffer seg eller andre del i utbytte av en straffbar handling». Alternativet rammer en tredjeperson som mottar eller har annen direkte befatning med utbyttet for seg selv eller for en annen.
Hvitvaskingsalternativet rammer den som «yter bistand til å sikre slikt utbytte for en annen». Det kan for eksempel være tale om en advokat eller annen profesjonell rådgiver som bistår med å konvertere utbyttet slik at forbindelsen til den opprinnelige straffbare handling skjules. Også bistand som ytes til heleren for å skjule utbyttet rammes av dette alternativet (Matningsdal og Bratholm: Straffeloven Kommentarutgave, Bind II side 851). Verken heleri- eller hvitvaskingsalternativet kommer til anvendelse overfor den som har initiert eller bistått ved utførelsen av primærforbrytelsen. I stedet blir han å straffe for medvirkning til denne.
Før lovendringen i 2006 var det klart at en tyv eller en bedrager ikke ble straffet for sin ytterligere befatning med tyvegodset. Dette fremgår av Rt. 2003 side 1376 hvor Høyesterett uttalte i avsnitt 29:
«Spørsmålet blir etter dette om man markerer ytterligere sider ved den straffbare handling om hun i tillegg straffes for heleri. I denne sammenheng nevner jeg at i forhold til det tilsvarende spørsmål ved tyveri, straffes ikke tyven i tillegg for underslag eller heleri for sin videre befatning med tyvegodset, jf. Bratholm/Matningsdal: Straffeloven med kommentarer, Bind II side 663 med videre henvisninger. Dette standpunktet begrunnes i at tyvens senere disposisjon over tyvegodset i forhold til fornærmede konsumeres av den tilegnelsen som har skjedd ved tyveriet. Selv om verken merverdiavgiftsloven §72 nr. 1 eller straffeloven §270 har som straffbarhetsvilkår at det skjer en tilegnelse, må den begrensningen som er oppstilt ved tyveri, gjelde tilsvarende.»
Det vises også til Ot.prp. nr. 53 (2005-2006) side 20. Her uttalte departementet:
«Etter gjeldende norsk rett anses det ikke straffbart for en lovbryter å foreta handlinger for å sikre utbyttet for seg selv. Heleribestemmelsen kan for eksempel ikke anvendes i konkurrens med straffebudet mot tyveri eller bedrageri, se bl.a. Rt-2003-1376 med videre henvisninger. Standpunktet er begrunnet med at lovovertrederens senere disposisjon over for eksempel tyvegodset konsumeres av tilegnelsen som er skjedd ved tyveriet, og det samme er lagt til grunn ved bedrageri selv om det der ikke er noe vilkår om tilegnelse.»
For heleri var forholdet mer usikkert. Det vises til Matningsdal og Bratholm: Straffeloven Kommentarutgave, Bind II side 856-860.
Ved lovendringen i 2006 ble det tilføyd et nytt annet ledd som skal ramme såkalte «sikringshandlinger», det vil si primærforbryterens egen befatning med utbyttet. Bestemmelsen i straffeloven § 317 annet ledd lyder:
«For hvitvasking straffes også den som gjennom konvertering eller overføring av formuesgoder eller på annen måte skjuler eller tilslører hvor utbyttet fra en straffbar handling han selv har begått, befinner seg, stammer fra, hvem som har rådigheten over det, dets bevegelser, eller rettigheter som er knyttet til det.»
Lovendringen skjedde for å gjennomføre FN-konvensjonen mot korrupsjon av 31. oktober 2003 artikkel 23, som er rettet mot hvitvasking av utbytte av en straffbar handling. Det vises til den nærmere behandling i St.prp. nr. 49 (2005-2006) side 23-25.
Det antas at straffeloven § 317 annet ledd også rammer en eventuell medvirker til primærforbrytelsen. Straff etter § 317 annet ledd kan altså anvendes i konkurrens med straff for primærforbrytelsen, og av motivene fremgår det at annet ledd skal brukes i konkurrens med straffebudet som rammer primærforbrytelsen «dersom først vilkårene i annet ledd er oppfylt», jf. Ot.prp. nr. 53 (2005-2006) side 36.
Etter gjeldende rett anses det å være klart at data og informasjon som er tilegnet ved en straffbar handling omfattes av utbyttebegrepet i straffeloven § 317. Dette begrepet omfatter som kjent langt mer enn fysiske gjenstander, for eksempel fordringer som ikke er knyttet til noe gjeldsbrev og immaterielle rettigheter. Det kan også vises til pinkodekjennelsen (Rt. 1995 side 1872) hvor det ble lagt til grunn at en stjålet pinkode til et telefonkort var omfattet. Høyesterett uttalte at
«PIN-kodene gir tilgang til telefonselskapenes tjenester, og de har derved økonomisk betydning og er egnet til å bli disponert over. En PINkode må derfor anses som et utbytte i straffeloven §317 første ledds forstand når den skriver seg fra en straffbar handling.»
Denne lovforståelsen er også lagt til grunn i Romerike tingretts dom av 25. november 2003 (passorddommen), hvor det ble avsagt dom på heleri av minst 650 000 brukernavn og passord som tilhørte brukerne til en internettleverandør.
Vilkåret om at utbyttet må stamme fra en straffbar handling har i stor grad utelukket muligheten for å anvende straffeloven § 317 på data og informasjon. Siden det ikke har foreligget noe straffebud som generelt har rammet uberettiget data- og informasjonstilegnelse, har det vært problematisk å påvise en primærforbrytelse. Dersom nye straffebud om uberettiget data- og informasjonstilegnelse blir gjennomført slik utvalget foreslår, vil også det etterfølgende vernet bli styrket. Straffeloven § 317 vil bli mer anvendelig på data og informasjon som følge av at utkastet §§ 5 og 6 kriminaliserer den uberettigete tilegnelsen.
Straffeloven § 317 annet ledd rammer den som skjuler eller tilslører hvor utbyttet fra en straffbar handling han selv har begått befinner seg, stammer fra, hvem som har rådigheten over det, dets bevegelser eller rettigheter som er knyttet til det. Det er dette som karakteriserer hvitvasking. For øvrig er det regnet opp måter dette kan gjøres på, nemlig ved konvertering, overføring av formuesgoder eller på annen måte.
Det presiseres at den folkerettslige forpliktelsen til å kriminalisere er begrenset til å gjelde sikringshandlinger. Lovgiver valgte ikke å gå lenger enn det som var nødvendig for en lojal gjennomføring av den folkerettslige forpliktelsen. Forarbeidene presiserer også at den rene besittelse av utbyttet fra en straffbar handling man selv har begått ikke rammes (Ot.prp. nr. 53 (2005-2006) side 36).
Det fremgår videre av Ot.prp. nr. 53 (2005-2006) side 21-22 at det ikke er meningen med lovendringen å dekke befatning med utbyttet som allerede er dekket gjennom gjerningsbeskrivelsen i primærlovbruddet, med den nye hvitvaskingsbestemmelsen. Det heter i Innst.O. nr. 60 (2005-2006) i kapittel 1.4.1.1:
«Departementet tolker artikkel 23 nr. 1 slik at det ikke er påkrevd å kriminalisere særskilt ervervet, besittelsen eller bruken av formuesgoder når det er den som har begått primærlovbruddet som har slik befatning med utbyttet. Det som kreves kriminalisert er sikringshandlinger som f. eks. konvertering eller overføring av utbyttet fra en annen straffbar handling som man selv har begått. »
Dette innebærer at straffeloven § 317 annet ledd rammer tyvens eller helerens etterfølgende realisasjon av tyvegods hvis det skjer som ledd i hvitvasking av utbytte. En ordinær realisasjon av tyvegods som ikke har dette som formål, vil etter utvalgets vurdering ikke rammes av bestemmelsen.
Bestemmelsens rekkevidde drøftes nærmere i tilknytning til tre typetilfelle som påkaller en viss interesse. Tilfellene gjelder primærforbryterens (og medvirkerens) disposisjoner over utbyttet. Problemstillingen er om straff kan anvendes for etterfølgende disposisjoner i konkurrens med straff for primærovertredelsen.
Tilfellene er som følger:
Primærforbryteren selger eller overfører på annen måte utbyttet til en tredjeperson. Det er klart at mottakeren kan straffes for heleri, jf. § 317 første ledd. Spørsmålet er om primærforbryteren kan rammes for overføringen av det utbyttet han selv ulovlig har tilegnet seg, jf. utkastet §§ 5 og 6.
Primærforbryteren legger data han rettsstridig har tilegnet seg ut på internett. Motivet kan variere. Det kan for eksempel skyldes et behov for å demonstrere ferdigheter, hvor dataene tjener som bevis for at han har lykkes i å trenge seg inn i et datasystem og stjele informasjon. Et annet eksempel kan være at handlingen skyldes et ønske om å skade omdømmet til innehaveren av datasystemet hvorfra dataene er stjålet. Tankegangen er da at omdømmet skades dersom data som skulle vært behandlet konfidensielt er blitt gjort allment tilgjengelige. Det vises for så vidt til eksemplet nevnt innledningsvis.
Primærforbryteren utnytter de stjålne data eller informasjon i egen virksomhet. Han driver for eksempel en konkurrerende virksomhet i forhold til den rette innehaveren av dataene. Som eksempel kan man tenke seg at innehaveren av en bedrift ved overtredelse av utkastet §§ 4-6, skaffer seg adgang til kunderegisteret til konkurrenten, som han kopierer og bruker som grunnlag for å sende ut konkurrerende markedsføringshenvendelser. Et tilfelle fra foreleggspraksis er omtalt i Sunde 2006 «Lov og rett i cyberspace» side 164-165. Her hadde en person kopiert kunderegisteret og solgt det til en konkurrerende bedrift som utnyttet det i sin virksomhet. Det ble gitt forelegg for overtredelse av straffeloven § 145 annet ledd (for vedkommende som hadde trengt seg inn og kopiert dataene) og straffeloven § 317 (mottakeren av dataene). Den foreliggende problemstilling gjelder om datainntrengeren, dersom vedkommende hadde anvendt kunderegisteret selv, også bør kunne straffes for dette.
Utvalget antar at de nevnte tilfeller er klart straffverdige forhold som det er behov for å ramme. I hvert fall er det viktig å påse at det rettslige vernet om data og databasert informasjon er på linje med det rettslige vernet om annen type utbytte av straffbare forhold.
På et vesentlig punkt avviker imidlertid data og databasert informasjon fra andre former for utbytte. Selv om data eller databasert informasjon er stjålet, er eieren som regel ikke fratatt besittelsen av originaldataene. Eierens filer er fortsatt komplette, men de er kopiert av tyven. Den økonomiske verdien av data og databasert informasjon er gjerne betinget av at den er konfidensiell. Etter en ulovlig tilegnelse er konfidensialiteten brutt. Bedriftshemmeligheter kan ha blitt kjent. Dette kan for eksempel gjelde teknologi, strategiplaner og finansielle forhold. De hemmelige valgkampplanene til et politisk parti kan ha kommet på avveie. Det samme kan gjelde opplysninger om personlige forhold, for eksempel helseopplysninger. Full restitusjon av dataene eller den databaserte informasjonen til rette innehaver kan fremstå som umulig og meningsløst. Vedkommende kan eventuelt kompenseres gjennom erstatning, noe som kan fremstå som et lite tilfredsstillende alternativ, blant annet på grunn av problemer med å kalkulere skadeomfang og årsakssammenheng.
Dette rører ved den del av begrunnelsen bak de strenge hvitvaskingsreglene som gjelder at slike handlinger medfører «at det blir vanskeligere å finne frem til formuesgodene igjen og returnere dem til eieren, selv om primærlovbruddet blir oppklart» (Ot.prp. nr. 53 (2005-2006) side 21 i kapittel 4.7.2.2). Momentet står enda sterkere ved utnyttelse av data og databasert informasjon hvor restitusjon for alle praktiske formål vil være utelukket, selv om det er på det rene hvor informasjonen er og hvordan den er blitt utnyttet.
Felles for de tre typetilfellene er at gjerningspersonens etterfølgende handling har karakter av å være en endelig disposisjon over utbyttet. Spørsmålet er om dette rammes av straffeloven § 317 annet ledd, hvoretter formålet er å ramme handlinger som «skjuler eller tilslører» utbyttets forbindelse med den opprinnelige straffbare handling.
Ordlyden angir som nevnt ovenfor hvilke etterfølgende disposisjoner som rammes, nemlig «konvertering eller overføring av formuesgoder eller på annen måte». Med alternativet «på annen måte» er ordlyden så vid at i realiteten enhver disposisjon utover det rene forbruk er omfattet. Begrensningen av bestemmelsen ligger i neste del av regelen, som forutsetter at de nevnte handlinger innebærer at gjerningspersonen «skjuler eller tilslører hvor utbyttet [...] befinner seg, stammer fra, hvem som har rådigheten over det, dets bevegelser, eller rettigheter som er knyttet til det».
De tre nevnte eksempler gjelder realisasjon av utbyttet (salg/overføring), det å gjøre utbyttet tilgjengelig for andre eller utnytte utbyttet direkte i egen virksomhet. Handlingene innebærer en direkte og endelig utnyttelse av utbyttet. Spørsmålet er om de kan anses som sikringshandlinger, jf. straffeloven § 317 annet ledd. Så vidt forstås tar denne bestemmelsen i utgangspunktet sikte på handlinger som sikrer utbyttet for gjerningspersonen, og ikke på den endelige utnyttelse av utbyttet.
I forhold til de nevnte typetilfelle er det neppe helt klart hva som er rekkevidden av straffeloven § 317 annet ledd. Dette kan bero på de konkrete omstendigheter i den enkelte sak.
Første eksempel som gjelder salg eller overføring, er en form for «konvertering», jf. annet ledd. Vederlaget sikrer utbyttet for gjerningspersonen i form av et surrogat. Dette omfattes, jf. første ledd siste punktum. Konvertering til et økonomisk vederlag kan sies å tilsløre hvor utbyttet «stammer fra», jf. annet ledd, men det kan reises tvil om konvertering som kun tar sikte på å realisere en økonomisk gevinst omfattes av bestemmelsen.
Det antas derfor at det første typetilfellet – tyvens salg av stjålne data eller informasjon – i enkelte tilfeller kan rammes av straffeloven § 317 annet ledd, men at det er svært tvilsomt hvor langt bestemmelsen rekker.
Annet eksempel gjelder at stjålet informasjon gjøres tilgjengelig på internett. For så vidt gjelder tilgangskoder inneholder lovforslaget en spesialbestemmelse som vil ramme slik tilgjengeliggjøring, enten tilgangskoden er utbytte av en straffbar handling eller ikke (den er for eksempel gjettet), jf. utkastet § 10. Se også gjeldende bestemmelse i straffeloven § 145b. Utenfor området til utkastet § 10, antas imidlertid slik tilgjengeliggjøring i sin generelle form å falle utenfor straffeloven § 317 annet ledd. Det man får igjen for tilgjengeliggjøringen i form av en eventuell forbedret status i visse miljøer eller glede over den skade som måtte være forvoldt, faller utenfor utbyttebegrepet. Det kan derfor ikke være tale om å bedømme tilgjengeliggjøringen som noen konverterings- eller sikringshandling.
Det tredje og siste typetilfellet gjelder primærforbryterens egen bruk av den ulovlig tilegnede databaserte informasjon eller data. Som nevnt skal straffeloven § 317 annet ledd avgrenses mot den rene besittelse. Bruk er imidlertid en aktiv handling som innebærer at gjerningspersonen kan nyttiggjøre seg utbyttet. Vedkommende tar for eksempel konkurrentens teknologi i bruk i egen produksjon. For så vidt gjelder data og databasert informasjon antas det at den etterfølgende utnyttelse ofte kan ha meget stor verdi for gjerningspersonen, for eksempel i tilfeller av industrispionasje. Hvis gjerningspersonen gjør endringer i informasjonen for å skjule opprinnelsen, kommer straffeloven § 317 annet ledd til anvendelse, jf. «på annen måte tilslører hvor utbyttet stammer fra». Har han stjålet et dataprogram kan han foreta endringer i kildekoden for å skjule opprinnelsen før han selv tar programmet i bruk. Dette vil representere en sikringshandling som rammes av straffeloven § 317 annet ledd, og som kommer i tillegg til selve utnyttelsen av programmet. Ordlyden ses imidlertid ikke å ramme den endelige utnyttelsen.
Til slutt må det tilføyes at det kan oppstå spørsmål om foretaksstraff for heleri av dataene eller den databaserte informasjonen, for foretaket som mottar utbyttet og utnytter det i virksomheten. Informasjonstyvens forhold er straffbart etter utkastet §§ 5 og 6, og kan etter omstendighetene være straffbart som en konverteringshandling etter straffeloven § 317 annet ledd, dersom informasjonen er solgt til bedriften, jf. bemerkningene ovenfor. Bedriftens mottak er et heleri som er straffbart etter første ledd. Videre er det spørsmål om bedriften (heleren) kan straffes for den etterfølgende utnyttelse av dataene eller informasjonen i virksomheten. Det antas at dette må løses på samme måte som for den første gjerningsperson (tyven), med andre ord at heleriet kan anses som en primærforbrytelse i relasjon til annet ledd. Helerens handlinger kan altså etter omstendighetene straffes både etter § 317 første og annet ledd.
Imidlertid er det uansett et spørsmål om utnyttelsen av dataene og den databaserte informasjonen som sådan, kan rammes av annet ledd, og det er denne uklarheten som begrunner behovet for et eget straffebud, jf. utkastet § 9. Problemene ved anvendelsen av straffeloven § 317 annet ledd tilsier at det er behov for en egen bestemmelse som klart rammer både primærforbryterens og helerens etterfølgende befatning med ulovlig tilegnet informasjon og data. Det foreslås at også handlinger som nok kan omfattes av uttrykket «konvertering» bør omfattes av spesialregelen, siden det som nevnt kan være tvilsomt hvor langt § 317 annet ledd rekker i slike tilfeller. Formålet må være ikke bare å ramme sikringshandlinger, men også handlinger som bærer preg av å være den endelige disponering, utnyttelse eller forbruk av ulovlig tilegnet data eller informasjon. Dette anses å være viktig siden data og informasjon sjelden kan restitueres til rette eier. Det vises også til bemerkningene om de problemer som gjør seg gjeldende i forhold til mulighetene for erstatning, for eksempel i tilfeller der de stjålne data er spredt på internett i skadehensikt.
Meningen er at utkastet § 9 skal være en spesialregel for etterfølgende befatning med data og databasert informasjon som er utbytte av en straffbar handling. Utvalget har vurdert om den straffbare handling bør kvalifiseres i lovteksten, for eksempel ved at det må være tale om en overtredelse av utkastet §§ 5 eller 6. Utvalget har kommet til at dette ikke er ønskelig, siden det er behov for å styrke lovverket mot data- og informasjonsheleri m.v. uavhengig av karakteren av primærovertredelsen. Man kan for eksempel tenke seg etterfølgende befatning med data som er skaffet til veie ved elektronisk kartlegging av datasystem, jf. utkastet § 2. Heller ikke straffeloven § 317 anvender noe kvalifikasjonskrav til primærovertredelsen. Det er tilstrekkelig at det er tale om en «straffbar handling». Utvalget har etter dette kommet til at primærovertredelsen bør angis generelt, dog slik at det er tale om en handling som er straffbar etter reglene i datakrimkapitlet.
Dersom vilkårene for straff er oppfylt både etter straffeloven § 317 og utkastet § 9, skal utkastet § 9 anvendes, jf. lex specialis prinsippet . Det skal stilles de samme krav til praktisering av vilkårene i utkastet § 9 som etter straffeloven § 317. Det betyr at det ikke er noe vilkår for straff at det foreligger domfellelse for primærovertredelsen og det skal stilles tilsvarende krav til bevisstyrke m.v. som praktiseres etter straffeloven § 317. Også en primærovertredelse begått i utlandet er relevant i forhold til utkastet § 9. Det samme vil være tilfelle dersom den forutgående handling ikke kan straffes, for eksempel fordi gjerningspersonen ikke var strafferettslig tilregnelig.
5.6 Handlinger som rammer datasystemenes funksjonalitet, kapasitet og sikkerhet
5.6.1 Innledning
I kapittel 4.6 «Hensynet til datasystemers pålitelighet» er det redegjort for hvordan hensynene til konfidensialitet, integritet og tilgjengelighet, samt mekanismer for autentisering, danner betingelser som er nødvendige for å anse datasystemer som pålitelige. I det følgende redegjøres det for de straffebud som direkte ivaretar disse hensynene. Dette er utkastet § 4 (ulovlig tilgang til datasystem), § 7 (datamodifikasjon), § 8 (uberettiget bruk av datasystem m.v.), § 13 (driftshindring), § 14 (masseutsendelse av elektroniske meldinger) og § 15 (identitetstyveri og bruk av uriktig identitet).
5.6.2 Ulovlig tilgang til datasystem
Intet vilkår om beskyttelsesbrudd
Det foreslås et straffebud som rammer den som skaffer seg ulovlig tilgang til et datasystem, jf. utkastet § 4. Straffebudet inneholder ikke noe vilkår om at datasystemet må være beskyttet. Dette har flere årsaker. For det første innebærer et slikt vilkår at det strafferettslige vern forbeholdes den som allerede er sikret. For utvalget er det et viktig hensyn at straffebudene rammer straffverdige handlinger uavhengig av om fornærmede har hatt kyndighet til å sørge for sikkerhetstiltak eller ikke, se kapittel 4.5.1.
En tenkelig innvending er likevel at uten et beskyttelsesvilkår er det fare for at terskelen for det straffbare blir for lav slik at bestemmelsen kan ramme handlinger som ikke er straffverdige. Men som det vil fremgå gir ikke et beskyttelsesvilkår nødvendigvis en klar og hensiktsmessig avgrensning.
I praksis skjer uberettiget tilgang ved bruk av to alternative metoder, enten ved misbruk av passord eller ved bruk av verktøy til å skaffe seg ulovlig tilgang (exploits) til å misbruke en sårbarhet. Man kan tale om «passordinnbrudd» og «sårbarhetsinnbrudd» (se kapittel 3.4.1). I begge tilfeller vil rettsstriden normalt være på det rene for gjerningspersonen og et vilkår om beskyttelsesbrudd i tillegg har ikke noen reell betydning. Selve anstrengelsen det innebærer å forsere en hindring kan lede til at overtredelsen anses som grov, jf. utkastet § 18, som nevner «om lovbruddet er begått ved å bryte en beskyttelse» blant de momenter som særlig skal vektlegges. Momentet kan også få betydning ved straffutmålingen.
Også rettstekniske hensyn taler for at man unngår et vilkår om at datasystemet må være beskyttet. Et slikt vilkår kan gi opphav til flere uklarheter slik at regelen blir vanskelig å praktisere.
For det første kan det diskuteres om et datasystem virkelig er beskyttet bare fordi det er passordkontrollert, når det på samme tid er sårbart for inntrengning ved sårbarhetsinnbrudd.
For det annet kan det fortone seg kunstig å skille mellom beskyttede og ubeskyttede systemer i absolutt forstand. Vanligvis blir datasystemer sikkerhetsmessig oppdatert og skal derfor være beskyttet mot sårbarhetsinnbrudd. Men siden sårbarheter oppdages av personer som skaffer seg ulovlig tilgang raskere enn man klarer å oppdatere, vil systemene uansett være utsatt. Og selv om et datasystem ikke er tilgangskontrollert betyr det ikke at hele systemet står åpent. Innehaveren vil skjerme administratorfunksjonene mot tilgang fra omverdenen for å sikre seg kontroll med sikkerhet og funksjonalitet. Dermed er det bare det vanlige brukernivået som er åpent tilgjengelig på såkalte usikrede servere. Men for personer med ulovlig tilgang er det nettopp systemadministratornivået som er attraktivt fordi det gir styring med datasystemet, og et inntrengningsforsøk vil følgelig bli rettet mot dette. Inntrengning kan således skje med utgangspunkt i det brukerområdet man har lovlig tilgang til, eller direkte ved sårbarhetsinnbrudd uten å gå via brukerområdet.
For det tredje har ikke anvendelse av tilgangskontroll noen faktisk betydning for datainntrengning som skjer ved sårbarhetsinnbrudd. Utvelgelse av datasystemer som utsettes for datainnbrudd skjer gjerne ved elektronisk kartleggingsvirksomhet som avdekker sårbarheter som kan misbrukes, se kapittel 5.4.2. Siden tilgangskontrollen ikke har noen funksjon overfor denne inntrengningsmetoden, savner det ofte mening å anvende et vilkår om at datasystemet skal være beskyttet.
Av de nevnte grunner foreslås ikke noe vilkår om at datasystemet skal være beskyttet. Dette er i samsvar med den gjeldende utforming av straffeloven § 145 annet ledd, etter lovendringen av 8. april 2005 nr 16. Beskyttelsesvilkåret ble da slettet for å styrke vernet om data, se kapittel 5.5.1.
Rettsstridsvilkåret
Etter utvalgets syn gir rettsstridsvilkåret alene en tilstrekkelig avgrensning av straffebudets rekkevidde. Dette er vilkåret om at tilgangen må være «uberettiget».
Rettstridsvilkåret gjelder både objektivt og subjektivt, hvilket betyr at lovovertrederen må mangle rettsgrunnlag for å skaffe seg tilgangen og han må være klar over at han er uten slik rett.
Det er den materielle rett til å skaffe seg tilgang til datasystemet som er avgjørende og denne rett avgjøres av andre regler enn de strafferettslige, for eksempel avtaler, retningslinjer, instruks, arbeidsrettslige regler, regler i kjøps- og avtaleforhold, opphavsrettslige regler m.v. Tekniske tilgangsrettigheter er ikke i seg selv tilstrekkelig til å anse tilgangen som berettiget. Dette har betydning i de tilfeller hvor tilgang skaffes ved bruk av tilgangsrettigheter som er knyttet til en status som er opphørt. Det kan for eksempel være tale om tilgangsrettigheter man hadde som ansatt i en bedrift eller som student ved universitetet. Treghet i slettings- og oppdateringsrutiner kan medføre at de gamle brukerrettighetene fungerer selv om ansettelses- eller studentforholdet er avsluttet. Siden det underliggende rettsforhold er avgjørende vil bruk av gamle tilgangsrettigheter i utgangspunktet være uberettiget. I situasjoner hvor det er tvilsomt hva den underliggende rett går ut på kan eksistensen av den gamle tilgangsrettigheten være et moment som inngår i en helhetsvurdering, og som kan tale for at tilgangen i det konkrete tilfellet likevel ikke kan sies å være uberettiget. I hvert fall kan det ha betydning for om kravet til forsett er oppfylt, fordi brukeren feilaktig kan ha trodd at han var berettiget til å skaffe seg tilgang siden han fremdeles hadde muligheten rent teknisk.
Et praktisk eksempel på et tilstrekkelig rettsgrunnlag er samtykke fra innehaveren av datasystemet. På internett er det vanlig å basere seg på slike samtykker ved tilgang til datatjenester som er allment tilgjengelige. Et annet spørsmål er hvor langt samtykket rekker når det gjelder hvilken bruk som kan gjøres av tjenesten. Den strafferettslige siden av dette spørsmålet er behandlet i tilknytning til utkastet § 8 om uberettiget bruk av datasystem, se kapittel 5.6.5.
Nedenfor er det vist hvordan utkastet § 4 blant annet kommer til anvendelse på uberettiget tilgang til datalagringsmedier med opphavsrettslig vernet materiale. Dette er tilfeller som etter gjeldende rett rammes av åndsverkloven § 53a første ledd. I forhold til slike handlinger inneholder åndsverkloven § 53a tredje ledd annet punkt, en rettsstridsreservasjon som gjelder «privat brukers tilegnelse av lovlig anskaffet verk på det som i alminnelighet oppfattes som relevant avspillingsutstyr». Lovforslaget gjør ingen endring i denne rettsstridsreservasjonen som vil være et gyldig grunnlag for å skaffe seg «tilgang» etter utkastet § 4. Se også de generelle kommentarene til rettsstridsreservasjonen i kapittel 5.3.4.
Vilkåret «hele eller del av et datasystem»
Ved utformingen av straffebudet har det vært ønskelig å få frem en presisering av at den uberettigete tilgang er straffbar både om den rammer hele eller en del av datasystemet. Dette bidrar til å klargjøre straffbarheten av to praktiske tilfeller hvor rettstilstanden ellers kanskje kunne by på tvil.
Utgangspunktet er at bestemmelsen rammer uberettiget tilgang som skaffes av personer som savner enhver rett til datasystemet, såkalte eksterne gjerningspersoner. Dette er klart straffbart. Men av formuleringen «del av» rammes også tilgang av personer som har rett til å benytte datasystemet og som overskrider grensene for denne rett (såkalt eskalering av brukerrettigheter ). Videre rammes tilfelle hvor lovovertrederen skaffer seg tilgang til innholdet på frittstående lagringsmedier som ikke alene oppfyller vilkåret for å være et «datasystem», se kommentarene til legaldefinisjonen i utkastet § 1 bokstav a, i kapittel 9.1. Slike lagringsmedier kan for eksempel være en minnepinne, en cd eller dvd, lagringsenheten i et digitalt fotoapparat eller en harddisk.
Eskalering av brukerrettigheter
Formålet med å skaffe seg økte brukerrettigheter kan for eksempel være å overta kontrollen med datasystemet ved å skaffe seg tilgang til systemadministrators område. Et annet tenkelig motiv kan være å skaffe seg innsyn i en kollegas skjermede område, eller i et skjermet område på et webhotell hvor man selv allerede har brukerkonto. Inntrengning på administrators område kan ha store sikkerhetsmessige konsekvenser fordi det kan gi styringsmulighet over mange brukere og verdifulle ressurser. Men også horisontal inntrengning må anses som en alvorlig handling, blant annet fordi den krenker privatlivets fred. Også andre interesser kan rammes, for eksempel dersom brukerområdet forvalter bedriftshemmeligheter som er betrodd en spesiell medarbeider. Når man overskrider grensene for sitt brukerområde skaffer man seg tilgang til en annen «del av» datasystemet, noe som rammes av utkastet § 4.
Særlig om ulovlig tilgang til frittstående lagringsmedier
Straffebudet er innholds- og teknologinøytralt. Dette følger direkte av begrepet «datasystem», som er knyttet til begrepet «data», se utkastet § 1 bokstav a, jf. bokstav c, og kommentarene i kapittel 5.2 og kapittel 9.1. Utvalget har sett det som ønskelig å samordne de forskjellige reglene som regulerer straffansvaret for uberettiget tilgang til data som etter gjeldende rettstilstand er spredt på forskjellige bestemmelser. Bestemmelsene er straffeloven §§ 145 annet ledd og 262 annet ledd, samt åndsverkloven § 53a første ledd, jf. § 54 første ledd bokstav b. Harmoniseringsspørsmålet er drøftet i kapittel 5.1.2.
Som det tidligere er redegjort for, innebærer praktiske tilfelle av uberettiget tilgang at det ofte må foretas et beskyttelsesbrudd. Imidlertid er den uberettigete tilgang straffbar også om datasystemet er ubeskyttet. Det har vært vanlig å anse tilgangen som en selvstendig handling som må ses atskilt fra en eventuell påfølgende tilegnelse av data eller databasert informasjon. Denne tilnærming lar seg gjennomføre for tilgang til og tilegnelse av data som er lagret. Mens det er større grad av sammenfall mellom tilgangen og tilegnelsen for så vidt gjelder data som overføres. Uberettiget tilgang til data som er lagret reguleres altså av utkastet § 4, fordi dataene befinner seg på datasystemet eller på en del av dette, mens en eventuell påfølgende tilegnelse av dataene, for eksempel ved kopiering bedømmes etter utkastet §§ 5 eller 6. For data som overføres kan det være sammenfall mellom den uberettigete tilgang og selve tilegnelsen, for eksempel ved dekoding av beskyttede fjernsynssignaler. Dette skal bedømmes etter utkastet §§ 5 og 6. Dette er også nærmere belyst i kapittel 5.5.2 i underkapitlet «Harmoniserings og konkurrensspørsmål».
Den straffbare tilgang til et datalagringsmedium (jf. «del av» et datasystem i utkastet § 4), kan bestå i at en minnepinne kobles til datamaskinen og åpnes for avlesing. Dersom innholdet er passordbelagt er tilgangen fullbyrdet når passordet er tastet inn og tilgang til innholdet gis. Dette er en variant av passordinnbrudd.
Straffbar tilgang, jf. utkastet § 4, kan også skje ved fjerning av integritetsvernet på data, for eksempel på en film lagret på en dvd-plate. Beskyttelsesbruddet (tilgangen) leder til at innholdet kan kopieres (tilegnes) og spres i ubeskyttet tilstand. Beskyttelsesbruddet eller omgåelsen, er i dag straffbar etter åndsverkloven § 53a første ledd, jf. § 54 første ledd bokstav b, for så vidt gjelder opphavsrettslig vernet materiale. Dersom materialet har annen karakter kan det ha vern etter den generelle bestemmelse i straffeloven § 145 annet ledd som omfatter «data som lagres». Selve beskyttelsesbruddet eller omgåelsen rammes av utkastet § 4, jf. «tilgang». Den uberettigete tilegnelse av innholdet rammes av utkastet §§ 5 eller 6.
Også utnyttelse av en datatape kan rammes av utkastet § 4, når den settes i en spiller og avspilling startes. Men her går det en fin grense mellom den handling som gir tilgang og selve tilegnelsen av den databaserte informasjonen, som rammes av utkastet § 5.
Rettsstillingen til innehaveren av datasystemet
Innehaveren av et datasystem står i en spesiell stilling fordi han har teknisk tilgangsmulighet til hele systemet. Normalt er ikke noen del av systemet absolutt stengt for ham, med mindre han selv har besluttet det og innrettet seg deretter.
Straffebudet om ulovlig tilgang til datasystem i utkastet § 4 skal verne mot inntrengning fra eksterne personer eller av brukere som overskrider den rett de er tildelt. Innehaveren qua innehaver omfattes ikke av denne personkretsen. Innehaverens innsynsrett kan være begrenset som følge av andre regler som for eksempel er gitt til vern for personvernet generelt, arbeidsrettslige regler om begrensninger i innsynsretten overfor arbeidstakernes data, bestemmelser i registerlovgivningen m.v. Et eventuelt innsyn foretatt av datasystemets innehaver må vurderes i forhold til de nevnte bestemmelser. Det blir ikke spørsmål om å anvende utkastet § 4 på slike tilfelle. Forutsetningen er som nevnt at et eventuelt innsyn skjer av innehaver som innehaver, det vil si at innsynet skjer i forbindelse med ivaretakelse av drift og sikker bruk av datasystemet sett i lys av det formål det skal tjene. I praksis vil innehaverens kontroll- og styringsbehov ivaretas gjennom systemadministrators funksjoner. Straffebudet om ulovlig tilgang er altså ikke ment å gjøre noen innskrenkning i systemadministrators adgang til å utøve sine oppgaver.
Harmoniseringsspørsmål
Som det har fremgått dekker utkastet § 4 straffeloven § 145 annet ledd for så vidt gjelder «data som er lagret». Data som overføres omfattes ikke av utkastet § 4, men av utkastet §§ 5 og 6, som blant annet rammer tapping og avlytting, se kapittel 5.5.2. Videre omfattes området for åndsverkloven § 53a første ledd, det vil si «å omgå effektive tekniske beskyttelsesmekanismer» som benyttes for å kontrollere eksemplarfremstilling eller tilgjengeliggjøring av et vernet verk. Et slikt vernet verk vil være representert på et datalagringsmedium som er «del av» et datasystem, jf. utkastet § 4.
I den grad forbudet mot uberettiget dekoding i straffeloven § 262 kan anses å gi vern for data som er lagret eller som behandles på et datasystem, dekkes også dette området av utkastet § 4. Forbudet mot uberettiget dekoding av vernede tjenester står i straffeloven § 262 annet ledd. Vernet tjeneste er definert i bestemmelsens fjerde ledd bokstav a og b, og omfatter betalingsbelagte tilgangskontrollerte radio- og kringkastingstjenester og informasjonssamfunnstjenester. I tillegg omfattes tilgangskontrollen som sådan når den er en egen tjeneste (fjerde ledd siste punktum). Både radio- og kringkastingssignaler og de nevnte informasjonssamfunnstjenester er signaler, det vil si data, under overføring.
Når dekodingen gjelder signaler under overføring er det stor grad av sammenfall mellom dekodingen og selve tilegnelsen av signalet. Etter systematikken i lovforslaget anses dette som uberettiget tilegnelse av data under overføring, det vil si varianter av avlytting og tapping av en signalstrøm. Slike tilfeller skal bedømmes etter utkastet §§ 5 og 6.
For informasjonssamfunnstjenester som altså gjøres tilgjengelig på individuell forespørsel, kan man imidlertid tenke seg at den uberettigete dekoding kan utføres som et passordinnbrudd på selve det datasystem som lagrer de data som ordinært skal leveres på forespørsel. I så fall er det tale om et tilfelle av uberettiget tilgang til et datasystem som rammes av utkastet § 4. Denne type handling ligger i dag i grenseland mellom straffeloven § 145 annet ledd og § 262 annet ledd, og det er neppe helt klart de lege lata, hvilket straffebud som skal anvendes. I henhold til systematikken i lovforslaget hvor verken innholdets karakter eller kommersielle leveringsbetingelser har betydning for den objektive straffbarheten, er det klart at handlingen under enhver omstendighet rammes av utkastet § 4.
De tilfelle hvor dekodingen rammer beskyttelsessystemet som sådan, jf. straffeloven § 262 fjerde ledd siste punktum, reiser ingen særlige spørsmål i forhold til lovutkastet. Dersom det er tale om dekoding rettet mot data lagret på et datasystem eller et frittstående lagringsmedium som for eksempel en dvd, kommer utkastet § 4 til anvendelse. Dersom handlingen er rettet mot data under overføring kommer utkastet §§ 5 eller 6 til anvendelse. Hvis handlingen kan karakteriseres som passordknekking eller lignende, vil den være straffbar etter utkastet § 10, jf. «fremstiller» tilgangsdata.
I alle tilfelle er dekoding en omstendighet som kan gjøre handlingen grov, jf. utkastet § 18.
5.6.3 Datamodifikasjon
Med datamodifikasjon tenkes det på uberettigete endringer i data. Dette er handlinger som er en direkte krenkelse av integritetshensynet, se kapittel 4.6.2. Utkastet § 7 gir data et selvstendig vern mot slike endringer. Dette er nytt sammenlignet med gjeldende rett, hvor straffeloven § 291 riktignok er gitt anvendelse på tilfeller av dataskadeverk, men hvor vernet for data anses avledet av vernet for det fysiske systemet eller lagringsmediet som dataene er knyttet til. Det er det fysiske utstyret som er «gjenstand» og som er direkte vernet etter straffeloven § 291. Vernet om data følger av en anvendelse av det såkalte funksjonelle gjenstandsbegrep, se omtalen i kapittel 5.5.1. Etter utkastet § 7 er det unødvendig å anvende en slik tolkningsmetode, siden data har et direkte vern mot uberettigete endringer. Dette følger eksplisitt av ordlyden.
Utkastet § 7 første punktum rammer den som uberettiget «endrer, ødelegger, sletter eller skjuler» data. I utgangspunktet dekker alternativet «endrer» alle de øvrige alternativene, fordi hver av de nevnte handlingene forutsetter at det skrives til datasystemet og følgelig at det oppstår endringer. De øvrige alternativene er derfor inntatt av informative grunner for å klargjøre hva bestemmelsen omfatter. Databegrepet er vidt, jf. utkastet § 1 bokstav b og c, og enhver type data er omfattet av vernet etter utkastet § 7. Den straffbare endringen kan for eksempel skje i data som styrer datasystemet (nærmere bestemt i filer som inneholder dataprogrammer, såkalte programfiler), på brukerområder eller felles lagringsområder på systemet. Handlingen er fullbyrdet når endringen er foretatt. Integritetshensynet tilsier nemlig at filen skal være i den tilstand som den berettigete har bestemt. En uberettiget endring rammer påliteligheten ved at tilliten til innhold, sikkerhet og funksjonalitet svekkes. Dette er begrunnelsen for å straffbelegge selve endringshandlingen. Det stilles ikke noe krav om at endringen rent konkret leder til feilfunksjonalitet. Også en endring som rammer en sikkerhetsfunksjon på datasystemet uten at det får noen direkte betydning for funksjonaliteten, er straffbar etter utkastet § 7. Dette er i samsvar med den gjeldende rett. Straffeloven § 291 tolkes slik at den rammer uberettigete endringer selv om funksjonaliteten ikke rammes, se bakdørkjennelsen (Rt. 2004 side 1619). Se Sunde 2006 «Lov og rett i cyberspace» kapittel 6.2.2.
Om forståelsen av de forskjellige endringsalternativer som er angitt i straffebudet vises det til spesialmotivene, kapittel 9.7.
Endringer kan ha konsekvenser og det kan reises spørsmål ved hvordan slike konsekvenser strafferettslig skal bedømmes. Endringen kan for eksempel lede til at informasjon går tapt, at funksjonalitet endres dersom en programfil blir erstattet av en «logisk bombe», eller at systemet har fått tillagt nye brukerrettigheter fordi det er gjort endringer i passordfilen.
I Sunde 2006 «Lov og rett i cyberspace» side 197-198 omtales en dom av 4. november 2002 fra Skien og Porsgrunn tingrett. Saken tjener til illustrasjon av skadeverk i form av logisk bombe utført ved uautoriserte endringer i kildekode. Tiltale for grovt skadeverk var tatt ut mot en 42 år gammel mann som hadde vært
«ansatt som programmerer i en bedrift som laget og solgte et «administrativt databehandlingsverktøy med funksjoner for regnskap, fakturering, ordre, material og produksjonsstyring». Vedkommende foretok 17 uautoriserte endringer i kildekoden i dataprogrammet. Endringene ville gi «45 avvik fra normalprosedyren i [datamaskinprogrammet] fra og med årsskiftet 2001/2002 [...]. Endringene ville påført [bedriften] og dets kunder store skader dersom de ikke hadde blitt oppdaget og utbedret i tide. Programmereren ble for dette domfelt for grovt skadeverk, jf. strl. §§ 292, jf.. 291.»
Dersom følgen er av en slik art at den kan karakteriseres som en skade , følger det direkte av utkastet § 18 at momentet har betydning for om lovbruddets skal anses å være grovt, jf. formuleringen «legges det særlig vekt på den skade som er voldt». Dersom endringen knapt kan sies å ha hatt betydning kan det lede til at lovbruddet anses som lite, jf. utkastet § 19 «om skadepotensialet er lite». Ellers kan karakteren av følgen ha betydning som straffutmålingsmoment.
Utkastet § 7 rammer ikke fysisk beskadigelse av datautstyr som har til følge at data skades eller går tapt. Et eksempel kan være å ripe opp en cd slik at dataene ikke lenger er lesbare. Dette er fysisk skadeverk, som rammes av en egen bestemmelse om det. Det antas at verdien av de data som gikk til spille kan ha betydning ved bedømmelsen av det fysiske skadeverket.
Det kan dog tenkes tilfelle som minner om fysisk skadeverk som kan rammes av utkastet § 7, dersom det gjelder skade på data som nevnt i utkastet § 1 bokstav c annet punktum, for eksempel data lagret på hullkort. Modifikasjon som rammes av utkastet § 7 kan forvoldes ved å stikke ut nye hull i eksisterende hullkort. Dette vil gi endrete eller ødelagte data. Dersom selve hullkortet ødelegges, for eksempel ved at det rives i stykker, foreligger et vanlig fysisk skadeverk.
5.6.4 Driftshindring
Problemstilling
Straffebudet om driftshindring i utkastet § 13 er nytt og rammer handlinger som går ut på å krenke tilgjengeligheten til datasystemer og elektroniske kommunikasjonsnett. Når tilgjengeligheten krenkes oppstår såkalt tjenestenekt, det vil si at kapasiteten er forbrukt eller så kraftig belastet at datasystemet eller det elektroniske kommunikasjonsnettet ikke kan utføre sine ordinære funksjoner. Det vises til kapittel 4.6.2 for en nærmere beskrivelse tilgjengelighetshensynet. I lovforslaget benyttes betegnelsen driftshindring om slik tjenestenekt. Vanlige betegnelser på rettsstridige handlinger som resulterer i driftshindring er tjenestenektangrep eller overbelastningsangrep.
Som det fremgår er driftshindring resultatet av en skadevoldende handling. Etter gjeldende rett rammes slike handlinger av straffeloven § 291. For disse tilfellene har det ikke vært nødvendig å anvende det funksjonelle gjenstandsbegrep ved fortolkningen, siden det nettopp er datasystemet som settes ut av drift. Det funksjonelle gjenstandsbegrep er omtalt i kapittel 5.5.1 med videre henvisninger. Det fremstår altså som en i og for seg dekkende mulighet å la driftshindring fanges opp av den alminnelige skadeverksbestemmelsen som er foreslått videreført i den nye straffeloven, jf. delutredning VII side 367, om forslag til § 29-1 om skadeverk. Overtredelsen innebærer imidlertid misbruk av datasystem og kan derfor karakteriseres som en typisk datakriminell handling som bør straffbelegges ved et straffebud som står i datakrimkapitlet i ny straffelov. Utkastet § 13 er således å anse som lex specialis i forhold til den alminnelige skadeverksbestemmelsen.
Legislative hensyn
Driftshindring kan oppstå ved bruk av forskjellige metoder. I kapittel 3.4.9 finnes en faktisk beskrivelse av disse fremgangsmåtene. Rettslig kan det være naturlig å sondre mellom driftshindring forårsaket av en ekstern handling og driftshindring som skjer innenfra, det vil si av en som allerede er berettiget til å bruke datasystemet. Videre bør det skilles mellom tilfelle hvor handlingen faktisk har resultert i driftshindring og tilfelle hvor handlingen er egnet til å resultere driftshindring, men av en eller annen grunn ikke har gjort det.
Utkastet § 13 er bygget opp rundt disse sondringene. Etter bestemmelsens første ledd rammes eksternt tjenestenektangrep, mens internt tjenestenektangrep rammes av annet ledd. Begge alternativ omfatter handlinger som faktisk har resultert i driftshindring og handlinger som er egnet til å fremkalle et slikt resultat. I tillegg omfattes det å initiere handlinger som nevnt i første ledd.
Den tekniske fremgangsmåte for eksternt tjenstenekt- eller overbelastningsangrep, jf. utkastet § 13 første ledd, karakteriseres ved at den baserer seg på overføring av data over det elektroniske kommunikasjonsnettet til det datasystem som er målet for handlingen. Datapakkene som overføres er for mange og/eller for ressurskrevende til at det mottakende datasystem klarer å håndtere dem. Datasystemet forbruker kapasiteten til å forsøke å håndtere datapakkene på bekostning av de ordinære prosessene på systemet. Ikke bare datasystemet, men også datalinjen inn til systemet kan anses som mål for handlingen, siden resultatet jevnlig er at all overføringskapasitet forbrukes. I begge tilfelle er konsekvensen at datasystemet ikke lenger klarer å kommunisere med omverdenen og stenges ned.
Driftshindring er skade av midlertidig karakter. Når overbelastningsangrepet opphører kan driften av datasystemet gjenopptas. Slike angrep kan imidlertid gjennomføres målrettet og presist, og det er eksempler på at de har vært gjenopptatt så snart det angrepne system er satt i drift igjen. På denne måten kan det datasystem som utsettes for angrepet settes ut av drift over lengre tid. Effekten av slike angrep kan dermed være særdeles skadelig og påføre innehaveren av datasystemet store økonomiske tap. De omfattende skadevirkningene begrunner et behov for særlig høy strafferamme, se nedenfor.
Siden skadevirkningene av overbelastningsangrep er så store bør det anses tilstrekkelig for straffbarhet at det er begått en handling som er egnet til å forårsake driftshindring, og legges mindre vekt på om driftshindring faktisk ble resultatet av handlingen. Anvendelse av et slikt alternativ i straffebudet vil innebære at eventuelle beskyttelsestiltak iverksatt for å forebygge driftshindring (slik at det skadelige resultatet ikke inntrer), ikke får betydning for straffeskylden.
Overbelastningsangrep kan også utføres ved å gi instrukser til et dataprogram om å iverksette et angrep på et gitt tidspunkt i fremtiden. Da har gjerningspersonen gjort alt som er nødvendig for å gjennomføre et overbelastningsangrep, og dette bør anses avgjørende for straffeskylden. Et eksempel kan være at gjerningspersonen via et program han kontrollerer har gitt agenter (maskiner som inneholder dertil egnede programmer) i et uautorisert nett (botnett) kommando om å sette i gang et overbelastningsangrep på et gitt fremtidig tidspunkt. I et slikt tilfelle kan den skadevoldende handling sies å være «initiert» og det foreslås et eget alternativ i straffebudet om dette. Den straffbare handling er dermed fullbyrdet når angrepet er tilrettelagt og automatisk vil bli utført. Det er uten betydning for straffeskylden om andre klarer å gripe inn og forhindre at angrepet faktisk utløses eller iverksettes. Dersom gjerningspersonen selv trekker kommandoen tilbake kan straffeloven § 59 om nedsettelse av straff eller anvendelse av mildere straffart komme til anvendelse, sml. ny straffelov § 80 bokstav a nr. 1. Et angrep kan også anses initiert når den som kontrollerer et botnet gir angrepskommando i samtid.
Tilsvarende betraktninger gjør seg gjeldende for overbelastningsangrep som skjer innenfra ved at en som er berettiget til bruk av datasystemet, rettsstridig iverksetter prosesser som er så kapasitetskrevende at det oppstår driftshindring. Et eksempel kan være at en ansatt i en bedrift starter opp et såkalt bakterieprogram som ikke har noen annen funksjon enn å restarte seg selv. Etter hvert vil dataprogrammet forbruke hele maksinkapasiteten til dette på bekostning av de ordinære prosesser på systemet. Datasystemet vil dermed også bli satt ut av stand til å kommunisere med omverdenen. Denne type driftshindring foreslås gjort straffbart, jf. utkastet § 13 annet ledd.
Det anses tilstrekkelig at handlingen er egnet til å skape driftshindring. Begrunnelsen er den samme som for første ledd nevnt ovenfor, det vil si at det ikke bør ha relevans for straffespørsmålet om innehaveren av datasystemet klarer å iverksette tilstrekkelige beskyttelsestiltak.
Konkurrensspørsmål
De tekniske fremgangsmåter for å skape driftshindring kan variere: Med mindre overbelastningen skapes ved en metode som er absolutt ekstern, vil handlingene innebære et element av rettsstridig datatilførsel og rettsstridig bruk av datasystemet. Med absolutt ekstern fremgangsmåte menes at det utelukkende er tale om ytre påvirkning på dataystemets prosesser, eller på det elektroniske komunikasjonsnettverkets kapasitet.
Overbelastningsangrep kan imidlertid utføres ved å tilføre datasystemet datapakker som er av en slik art eller størrelse at operativsystemet ikke klarer å håndtere det, noe som som resulterer i datakrasj. Metoden Ping of Death er eksempel på dette, se kapittel 3.4.9. Det kan reises spørsmål ved om denne tilførselen av datapakker inn i det system som er mål for handlingen, også er datamodifikasjon, jf. utkastet § 7, ved at det rettsstridig tilføyes data til dem som allerede ligger på systemet. Den direkte konsekvens av datatilførselen er at datasystemet slutter å fungere på grunn av den rettsstridige påvirkningen på operativsystemet. Når datasystemet startes opp på nytt er de skadelige datapakkene forsvunnet og utgjør dermed ikke noen endring som sådan på datasystemet. Det oppstår ikke spørsmål om konkurrens med utkastet § 7 i et slikt tilfelle. Men dette stiller seg annerledes dersom det tas i bruk en metode for driftshindring som på mer varig måte etterlater fremmede data med skadelig funksjonalitet på datasystemet. Dette vil i så fall kunne anses som datamodifikasjon i tillegg til driftshindring.
En regel om straff for driftshindring forårsaket internt har først og fremst som formål å ramme tilfeller hvor gjerningspersonen i utgangspunktet har rett til å programmere, installere eller starte opp nye dataprogrammer på datasystemet. Hvis vedkommende mangler slik rett vil introduksjon og bruk av et fremmed program etter omstendighetene kunne anses som datamodifikasjon og ulovlig bruk, jf. utkastet §§ 7 og 8. Er resultatet av handlingen tjenestenekt uten at dette var omfattet av forsettet, eller kan anses som grovt uaktsomt, er det en skjerpende omstendighet som kan lede til at lovbruddet anses å være grovt, jf. utkastet § 18 «den skade som er voldt», og det er uansett et skjerpende moment ved straffutmålingen.
Dersom gjerningspersonen programmerer, installerer eller starter opp et dertil egnet program med forsett om å skape driftshindring, eller er grovt uaktsom i så henseende, kommer utkastet § 13 annet ledd til anvendelse. Hvorvidt et slikt program i utgangspunktet er å anse som et fremmedeelement som utgjør en datamodifikasjon, jf. utkastet § 7, avhenger av omstendighetene og må følgelig vurderes konkret. Dersom det er tale om en programmerer som har frihet til å programmere og kjøre nye programmer, kan straff for driftshindring tenkes uten at det nødvendigvis også foreligger en overtredelse av utkastet § 7 om datamodifikasjon. Det forutsettes da at programmet ikke har andre skadelige egenskaper enn å stjele kapasiteten på systemet. Hvis det også endrer eller sletter data skal forsettlig oppstart av programmet naturligvis rammes av utkastet § 7. En slik bruk av datasystemet vil også i seg selv være rettsstridig og rammes av utkastet § 8. I tillegg kan det være aktuelt å vurdere befatningen med det skadelige dataprogrammet opp imot vilkårene i utkastet § 11.
Til slutt antas det at et straffebud om driftshindring kan anvendes i konkurrens med straffeloven § 151 b eller et tilsvarende straffebud i ny straffelov. Det vises til at mens straffeloven § 151 b først og fremst har vern om allmenne interesser for øye, er straffebudet om driftshindring satt til vern om innehaverens interesse i et velfungerende uskadet datasystem. Indirekte er dette selvfølgelig også i samfunnets interesse, men det primære etter utkastet § 13 er likevel vernet om eierinteressene i datasystem og elektroniske kommunikasjonsnett.
Strafferammer
Driftshindring kan som nevnt utføres presist ogt målrettet, og har skadelige konsekvenser ofte i form av meget store økonomiske tap. Dersom det datasystem eller elektroniske kommunikasjonsnett som rammes tilhører en stor bedrift eller forestår prosesser som er viktige for samfunnet mer generelt, kan handlingen få preg av sabotasje. Anvendeligheten av sabotasjebestemmelsen i straffeloven § 151 b antas imidlertid å være noe uavklart når målet for handlingen er en privat bedrift, selv om det i og for seg er tale om virksomhet som har stor betydning. Det antas da at vilkåret om å forvolde en «omfattende forstyrrelse» ikke så lett vil være oppfylt. Utvalget går derfor inn for å anvende en streng strafferamme i utkastet § 13 med tanke på de alvorligste tilfellene av driftshindring, også om de ikke kan karakteriseres som «sabotasje». Den ordinære strafferammen foreslås satt til bøter eller fengsel inntil 6 år. Ved grov overtredelse øker strafferammen til fengsel inntil 10 år. Dette er strengere enn etter gjeldende strafferamme for grovt skadeverk, som er på fengsel inntil 6 år, jf. straffeloven § 292, og på linje med strafferammen på 10 år i sabotasjebestemmelsen i straffeloven § 151 b.
5.6.5 Uberettiget bruk av datasystem
Problemstilling og forslag til straffebud
Utvalget foreslår en bestemmelse om uberettiget bruk av datasystem, jf. utkastet § 8 første ledd. Etter første punktum straffes den som «uberettiget benytter andres datasystem eller elektroniske kommunikasjonsnett». Annet punktum inneholder en presisering av rettsstridsreservasjonen når bruken gjelder «et tilgangspunkt til internett i usikret trådløst elektronisk kommunikasjonsnett».
Utkastet § 8 vil være en videreføring av de gjeldende bestemmelser i straffeloven §§ 261 og 393 om uberettiget bruk av løsøregjenstand, når bruken gjelder datasystemer. Straffelovkommisjonen har foreslått å videreføre straffeloven §§ 261 og 393 i kapittel 30 om tyveri, underslag, ran, utpressing m.v, jf. § 30-14 ulovlig bruk av løsøregjenstand og § 30-15 om grov ulovlig bruk av løsøregjenstand. Det vises til delutredning VII side 373. Utvalgets forslag til straffebud om ulovlig bruk av datasystem, er en spesialregel i forhold til de nevnte straffebud i delutredning VII.
Straffeloven § 261 ble tatt inn i forbindelse med styrkingen av vernet mot datakriminalitet i 1987. Vernet om datasystemer fremgår ikke direkte av ordlyden, som er utformet som et generelt forbud mot misbruk av «løsøregjenstand». Det kreves også at bruken har påført den berettigete «betydelig vinning eller … betydelig tap». Det er særlig forseelsesbestemmelsen i § 393, som bare krever «Tab eller Uleilighed», som har vist seg praktisk anvendelig i forbindelse med datakriminalitet. Med unntak for en såkalt «tellerskritt-dom» i Rt. 1989 side 980, ses ikke straffeloven § 261 å ha blitt forsøkt anvendt i forbindelse med datakriminalitet (i den nevnte dom ble forholdet nedsubsumert til straffeloven § 393). Dette antas å ha sammenheng med problemet med å kvantifisere vinning eller tap ved uberettiget bruk av datasystem.
Utvalgets utgangspunkt er at eierrådigheten gir rett til å sette regler for bruken av et datasystem. Selve datasystemets formål kan også gi visse rammer for bruken, uten at formålet nødvendigvis er nedfelt i noen instruks. Dette må vurderes konkret. Brytes slike regler, enten de er fastsatt eksplisitt eller følger implisitt av formål eller situasjon, vil bruken kunne anses som rettsstridig og følgelig kunne rammes av utkastet § 8. Bestemmelsen er således særlig begrunnet i behovet for vern om eierens eller den berettigedes økonomiske interesse i datasystemet, typisk en bedrifts investering i sitt datasystem. Det vil da gjelde visse regler og forutsetninger for bruken, som skal respekteres av brukerne. Den samme begrunnelsen lå til grunn for innføringen av regelen om uberettiget bruk av løsøregjenstand i straffeloven § 261 i 1987, se NOU 1995: 31 særlig på side 30 første spalte.
Vernet gjelder ressursene på datasystemet, det vil si kapasitet og funksjonalitet. Overtredelse kan derfor foreligge selv om utnyttelsen i det enkelte tilfelle gjelder ordinære tjenester på systemet. Det er ikke en betingelse for straff at det settes i gang ulovlige prosesser, for eksempel i form av installering av avlyttingsutstyr eller lignende. Slike handlinger vil regulært rammes av andre bestemmelser i lovforslaget, særlig utkastet § 7 om datamodifikasjon. Det avgjørende i forhold til utkastet § 8 er om bruken kan karakteriseres som uberettiget.
Utvalget går ikke inn for å anvende noe krav i utkastet til § 8 om at den rettsstridige bruken skal lede til vinning, tap eller uleilighet. Dette er en endring i forhold til de vilkår som stilles etter straffeloven §§ 261 og 393. Etter ordlyden i utkastet § 8 kreves det altså mindre for at bruken skal være straffbar enn etter de gjeldende straffebud. Denne endringen i ordlyden innebærer likevel ikke noen realitetsendring med hensyn til terskelen for straff, siden det vanskelig kan tenkes tilfeller av ulovlig bruk som ikke i det minste innebærer «uleilighet» for den berettigete, sammenlign vilkåret i straffeloven § 393. Dessuten er formuleringen av utkastet § 8 hensiktsmessig for å kunne ramme tilfeller av misbruk som er rettet mot mange, men hvor den individuelle konkrete uleilighet er vanskelig å dokumentere for eksempel fordi ofrene er i utlandet. Saksforholdet i bakdørkjennelsen (Rt. 2004 side 1619) er illustrerende i så måte. De to gjerningspersonene hadde installert «bakdør» på 437 datasystemer verden over. Det synes rimelig å kunne ramme dette etter regelen om ulovlig bruk. For så vidt gjelder vilkåret vinning (sammenlign straffeloven § 261), så gjøres dette rettslig relevant ved vurderingen av om lovbruddet er grovt, jf. utkastet § 18.
Hva som menes med «bruk», jf. utkastet § 8
Med «bruk» etter utkastet § 8, menes faktiske handlinger, ikke rettslige disposisjoner. «Bruk» omfatter handlinger som retter seg mot prosessene, tjenestene og kapasiteten på datasystemet, herunder alle dets komponenter. Straffebudet kan for eksempel ramme en arbeidstakers bruk av arbeidsgiverens datasystem til å laste ned musikkfiler fra internett. Det er ikke noe vilkår at nedlastningen er ulovlig etter andre regler, for eksempel etter åndsverklovens bestemmelser. Avgjørende for straff etter utkastet § 8 er at bruken må anses uberettiget i forhold til det datasystem som er utsatt for handlingen. I det nevnte eksempel kan derfor bruken tenkes å være uberettiget og straffbar etter utkastet § 8 selv om nedlastningen av musikkfilene er lovlig, for eksempel fordi arbeidstakeren laster ned fra en lovlig betalingstjeneste (nettbutikk). Se nærmere om rettsstridsreservasjonen nedenfor.
Det er uten betydning om nedlastingen i et slikt tilfelle skjer til harddisken på datasystemet, eller til en lagringsenhet som senere benyttes på andre systemer, for eksempel til en cd-rom eller en mp3-spiller. Overføringen til lagringsmediet skjer når den er tilkoblet eller installert i datasystemet, og er følgelig en del av dette når bruken skjer.
Som det har fremgått, er nedlastingen og kopieringen (lagringen) programstyrte prosesser som initieres og utføres på datasystemet, og dette innebærer altså «bruk» i utkastet § 8 sin forstand. Ordet «bruk» omfatter derimot ikke fysiske handlinger som bare gjelder utstyret, for eksempel det å uberettiget ta med seg bedriftens datautstyr hjem. Her kan reglene om tyveri og underslag komme til anvendelse. I tillegg kan bestemmelser om uberettiget bruk av løsøregjenstand være aktuelle, for eksempel der bruken gjelder lagring til en harddisk eller minnepinne som kan gjenbrukes for å lagre, endre eller slette data.
Andre eksempler på «bruk», jf. utkastet § 8, kan være å misbruke en annens datasystem for å etablere et uautorisert nett (botnett). Bruken av systemet (datamaskinen som agent) er ulovlig bruk, jf. utkastet § 8. Selve installeringen av programmet som muliggjør dette kan straffes som datamodifikasjon, jf. utkastet § 7. Tilsvarende vil et misbruk av en annens datasystem for utsending av spam, jf. utkastet § 14, være «bruk», jf. utkastet § 8.
Rettsstridsreservasjonen
a) Innledning
Avgjørende for straff er at det er tale om bruk som er «uberettiget». Det er meningen at utkastet § 8 både skal ramme bruk som skjer av eksterne personer som er helt uberettiget til å anvende systemet, og av brukere som er berettiget til å benytte systemet, men som bruker det på ulovlig måte. I det første tilfellet kan det for eksempel være tale om en som har logget seg på med et stjålet passord og deretter utnytter systemet. I det andre tilfellet kan det være tale om bruk i strid med retningslinjer som er kommunisert til brukeren på tilfredsstillende vis.
b) Bruk utført av eksterne personer
Bruk som skjer av eksterne, det vil si personer som i utgangspunktet mangler rett til å skaffe seg tilgang til systemet, vil være rettsstridig etter utkastet § 8, i tillegg til at handlemåten vil kunne være straffbar etter utkastet § 4. I denne kategorien faller også bruk som skjer på grunnlag av gamle tilgangsrettigheter som fremdeles lar seg utnytte på systemet. Det vises til omtalen av denne problemstillingen i kapittel 5.6.2.
Straffebudet i utkastet § 8 første ledd annet punktum kommer imidlertid inn som en praktisk begrensning av rettsstridsvilkåret for eksterne brukere. Bestemmelsen lyder:
Bruk av andres tilgangspunkt til internett i usikret trådløst elektronisk kommunikasjonsnett anses ikke som uberettiget.
Som det fremgår av ordlyden tas det her sikte på å klargjøre rettstilstanden for bruk av usikret trådløst nettverk for å skaffe seg tilgang til internett. Slik tilgangsmulighet tilbys ofte som en service til gjester på hotell og kafé, eller på andre møte- eller transittplasser som i resepsjonen i et forretningsbygg, på bibliotek, i kinoresepsjoner og på flyplasser. I slike tilfeller reiser det seg åpenbart ikke noe spørsmål om berettigelsen av å bruke tjenesten, den er helt klar.
I annen sammenheng kan det imidlertid herske noe tvil om retten til å benytte et usikret nett. Spørsmålet oppstår når slik tilgang er mulig nettopp fordi nettet er åpent tilgjengelig («usikret»), men man ikke kan vite om tilgangen er ment for det alminnelige publikum. I praksis er det ofte mulig å benytte privatpersoners bredbåndstilknytning til internett, fordi det ikke er satt opp noen sperre mot slik bruk. Årsaken kan være at vedkommende har glemt å sikre seg, men det kan også være at vedkommende ønsker å dele internettilgangen med andre.
Forutsetningen for drøftelsen er at bruken er begrenset til å gjelde tilgang til internett. Problemstillingen inviterer ikke til å vurdere om det kan være berettiget å skaffe seg tilgang til internettabonnentens datasystem via det usikrede nettet. En slik handling rammes uansett av utkastet § 4.
Men for tredjepersons bruk av internettilgangen kan det pekes på at slik tilgang enkelt oppnås fordi bærbare datasystemer har funksjonalitet for automatisk å søke og koble seg opp dersom slike nett først er tilgjengelige. Bak dette ligger tilgjengelighets- og effektivitetshensyn. Det skal være enkelt å koble seg til internett fordi det letter kommunikasjons- og samhandlingsmulighetene i samfunnet generelt. Videre tilsier samfunnsøkonomiske hensyn at nettverksressurser utnyttes så effektivt som mulig. En tredjepersons bruk av et usikret nett vil normalt ikke gå ut over internettabonnentens egen bruk. Effektivitetshensyn taler derfor mot at slik bruk kriminaliseres.
Disse hensyn gjelder bare for usikrede nett. Dersom nettet er tilgangskontrollert vil en tredjepersons bruk være uberettiget. Selve handlemåten som går ut på å skaffe seg tilgangen vil i et slikt tilfelle være straffbar etter utkastet § 4.
Overfor regelen i utkastet § 8 første ledd annet punktum, kan det innvendes at det gir en fare for at internettabonnenten identifiseres med tredjepersons aktiviteter på internett. Dersom den eksterne person begår ulovlige eller kritikkverdige handlinger på internett vil mistanken i første omgang rette seg mot internettabonnenten (sluttbrukeren), fordi det er IP-adressen til vedkommendes datasystem som vises som oppkoblingspunkt på internett. Omverdenen vil ikke i utgangspunktet kunne vite at handlingen utføres av en annen enn internettabonnenten.
Utvalget mener at dette hensynet ikke kan være avgjørende for utformingen av rettsstridskravet. Det er vanlig at et datasystem benyttes av en annen enn den som står som internettabonnent. Det kan være husstandsmedlemmer (mor eller far står som abonnent), arbeidstakere (bedriften står som abonnent), beboere i et borettslag (styreformannen eller borettslaget står som abonnent). Følgelig kan man neppe ta som alminnelig utgangspunkt at den som er registrert som abonnent også er den som faktisk har utfoldet seg på internett. Hvem dette er må undersøkes konkret. Dette er en selvsagt forutsetning ved etterforsking av internettkriminalitet. Det er heller ikke grunn til å tro at vanlige internettbrukere baserer seg på opplysninger om IP-adresse når de kommuniserer i sammenhenger hvor personrelasjonen har betydning. Ved slik kommunikasjon er det andre opplysninger som vektlegges, blant annet former for sikker kommunikasjon (autentisering) og opplysninger som fremgår av innholdet i kommunikasjonen.
Til slutt har internettabonnenten mulighet til å sikre seg teknisk og kan få profesjonell assistanse til dette. I så fall vil han være beskyttet mot tilgang og bruk av tilgangspunkt til internett, både etter utkastet §§ 4 og 8.
c) Bruk utført av personer med rettmessig tilgang til datasystemet
For så vidt gjelder bruk av datasystemet av brukere som har rettmessig tilgang, er det hensiktsmessig å inndele spørsmålet om rettsstrid i forskjellige kategorier. For det første er det tale om bruk som er ulovlig etter andre straffebestemmelser, for eksempel forbudet mot befatning med seksualiserte skildringer av barn, jf. straffeloven § 204a. Bruk av datasystemet til et slikt formål vil både være en krenkelse av straffeloven § 204a og av utkastet § 8, fordi utnyttelsen av en annens datasystem til et slikt formål under enhver omstendighet er uberettiget med mindre eieren har samtykket. Straffebudene skal følgelig anvendes i konkurrens.
Videre kan det være tale om bruk til et formål som isolert sett er lovlig, men som blir uberettiget fordi bruken faller utenfor datasystemets formål, eller regler satt for bruken. Formålet kan fremgå av retningslinjer eller av situasjonen. Dette må avgjøres konkret. Dersom det er tale om utnyttelse av arbeidsgivers datasystem er utgangspunktet at bruken skal være arbeidsrelatert, med mindre det er gitt tillatelse til annen bruk. «Annen bruk» kan være av meget ulik karakter, noe som medfører at handlemåten i visse tilfeller kan være uberettiget, jf. utkastet § 8, mens den i andre tilfeller er innenfor det akseptable.
Privat bruk av arbeidsgivers datasystem kan være uberettiget. Arbeidsgiver må anses å ha stor frihet i å utforme retningslinjer for bruken. Det kan også gjelde ulike retningslinjer for ulike deler av datamaskinparken i en bedrift. Slike retningslinjer skal overholdes såframt de er tilstrekkelig kommunisert til medarbeiderne. I tillegg må arbeidsgiver opptre slik at det er tydelig at retningslinjene tas alvorlig. Dette ble understreket i den såkalte ConocoPhillipsdommen (Rt. 2005 side 518). Her ble avskjed av to medarbeidere som hadde brukt datasystemet i strid med arbeidsgivers retningslinjer, kjent ugyldig, blant annet med henvisning til at arbeidsgiveren hadde sett mellom fingrene med den type overtredelse det var tale om.
Dersom retningslinjene ikke sier noe om adgangen til privat bruk må det antas å foreligge kutyme for dette, forutsatt at det ikke er til ulempe for bedriften og holdes innenfor et rimelig omfang. Som eksempel må det være akseptabelt å håndtere privat e-post med tilgang fra arbeidsgivers system og bruke arbeidsgivers telefon til private samtaler. Den nærmere vurdering av rettsstridskriteriet må følge arbeidsrettslige regler.
I andre tilfeller er rettsstriden mer åpenbar, for eksempel dersom arbeidsgivers datautstyr utnyttes til bruk i konkurrerende virksomhet. Det kan være tale om arbeidstakerens egen næringsvirksomhet, slik at bruken fremstår som en type «butikk i butikken»-tilfelle. Forutsetningen er selvsagt at bruken ikke er bekjentgjort overfor arbeidsgiver og at arbeidsgiver har akseptert denne.
Databruken beskrevet i Oslo tingretts dom av 10. mars 2005 (TOSLO-2004-84792), ligger lenger ut på skalaen og må klart anses som uberettiget, jf. utkastet § 8. Det vises til saksfremstillingen gjengitt i kapittel 5.5.1. Her skjedde databruken som besto i omfattende kopiering fra en bedriftsserver og overføring ved hjelp av e-posttjenesten, som ledd i et datatyveri til bruk for en konkurrent av arbeidsgiveren. Slik bruk er klart rettsstridig og straffbar, jf. utkastet § 8.
Til slutt – og uavhengig av om bruken har forbindelse med noe arbeidsforhold eller ikke – dersom bruken, slik den arter seg rent konkret, påfører datasystemet sikkerhetssvikt eller belastninger som går ut over funksjonaliteten, for eksempel fordi prosessene er for kapasitetskrevende, kan bruken etter omstendighetene anses som rettsstridig. Dette kan blant annet ha betydning i forbindelse med uttesting av ukjente programmer på datasystem man ikke har tillatelse til å bruke for slikt formål. Det innebærer en risiko å teste ukjente programmer. Programmet kan vise seg å ha egenskaper som skader systemet. Testvirksomhet uten tillatelse kan derfor i seg selv være en aktivitet som kan anses som rettsstridig etter utkastet § 8. Dette gjelder selvsagt ikke dersom slik testing inngår som ledd i brukerens oppgaver og testing utføres på et nærmere angitt system som kan benyttes for formålet, og innenfor de retningslinjer som er gitt.
De såkalte «tellerskrittsakene» har vært subsummert under reglene om rettsstridig bruk, jf. straffeloven §§ 261 og 393, og etter reglene om uberettiget tilgang i konkurrens med databedrageribestemmelsen, jf. straffeloven § 145 annet ledd jf. § 270 første ledd nr. 2. Det vises til Rt. 1989 side 980 og Rt. 1992 side 790 (rettsstridig bruk), og Rt. 1995 side 1872 (pinkodekjennelsen) som ble subsummert som datainnbrudd i kombinasjon med databedrageri. Subsumsjonen må nødvendigvis avhenge av fremgangsmåten som er benyttet i det enkelte tilfellet. «Tellerskrittsaker» er en merkelapp som på en gruppe handlinger som ikke nødvendigvis skal subsummeres likt. Det vises til omtalen av dette i kapittel 5.8.7.
5.6.6 Masseutsendelse av elektronisk kommunikasjon («spam»)
Problemstilling
Spam er elektroniske meldinger som masseutsendes til mottakere som verken har bedt om eller gitt forhåndssamtykke til mottak av slike meldinger. Slike meldinger representerer en stor kostnad og en teknisk belastning i kommunikasjonsnettene. Meldingene svekker påliteligheten til e-posttjenesten på flere måter, og utgjør en sikkerhetsrisiko mer generelt siden de også benyttes til å spre skadelig dataprogram som for eksempel orm og virus.
Det vises til fremstillingen i kapittel 3.6 om egenskaper og skadevirkninger av spam.
I OECD-rapporten Anti-Spam Toolkit of Recommended Policies and Measures av 13. april 2006, er effektive regelbaserte sanksjoner fremhevet som et nødvendig virkemiddel mot spam. Utvalget foreslår at det tas inn et eget straffebud mot spam i datakrimkapitlet i den nye straffeloven, jf. utkastet § 14.
Gjeldende rett
Straffeloven inneholder ingen bestemmelser om spam, men spam som sendes i næringsvirksomhet uten mottakers forutgående samtykke, eller i eksisterende kundeforhold, er straffbart etter markedsføringsloven § 2b, jf. § 17. Bestemmelsen gjelder bare utsendelse til fysiske personer. Det innebærer at det ikke gjelder noe forbud mot spam som sendes til bedrifter, forvaltningen, organisasjoner osv. Denne bestemmelsen foreslås videreført i utkast til § 6-2 i forslaget til ny markedsføringslov sendt på høring av Barne- og likestillingsdepartementet 7.7.2006. Markedsføringslovens forbud mot spam bidrar blant annet til å gjennomføre kommunikasjonsverndirektivet (direktiv 2002/58/EF) i norsk rett.
Ekomloven inneholder ingen regler rettet mot utsendere av spam. Imidlertid inneholder loven visse regler som kan hjemle tiltak iverksatt av tilbydere av elektronisk kommunikasjonsnett, -tjeneste, tilhørende utstyr og installasjoner, rettet mot spam. Grunnlaget er først og fremst ekomloven § 2-3 som gir Post- og teletilsynet kompetanse til å stille krav knyttet til kvaliteten og tilgjengeligheten til de nevnte nett og tjenester. Tilbyderne kan pålegges å iverksette tiltak for å nå disse kriteriene, og det antas at dette også omfatter tiltak rettet mot spam. Samferdselsdepartementet har imidlertid foreslått en presisering i den nevnte bestemmelsen i ekomloven, for å sørge for at det kommer klart frem at bestemmelsen kan brukes til dette formålet. Det vises til forslag om endringer i ekomloven og ekomforskriften sendt på høring 21. august 2006. Samferdselsdepartementet har også signalisert at det i samarbeid med Post- og teletilsynet vil følge utviklingen nøye, og fortløpende vurdere behovet for tiltak mot spam.
Ekomloven pålegger også tilbyderne å tilby nødvendig sikkerhet for brukerne, jf. § 2-10. Bestemmelsen gir myndighetene hjemmel til å pålegge tilbyderne å innføre bestemte sikkerhets- og beredskapstiltak. Etter ekomforskriften § 8-1 er forpliktelsene begrenset til tilbydere som leverer elektronisk kommunikasjonstjeneste, overføringskapasitet eller samtrafikk til bruker med samfunnskritisk funksjon, det vil si bare et begrenset utvalg av tilbydere.
Som nevnt er grunnlaget for spam ofte adresselister som er benyttet i strid med personopplysningsloven. Etter definisjonen av personopplysning i personopplysningsloven § 2 nr. 1, antas det at en e-postadresse må anses som en personopplysning når den direkte eller indirekte kan identifisere en enkeltperson, for eksempel ved at den inneholder hele eller deler av vedkommendes navn. Når en e-postadresse er å anse som en personopplysning, vil personopplysningsloven § 11 første ledd, bokstav a jf. § 8, stille krav om at det foreligger et rettslig grunnlag før e-postadressen kan benyttes for utsendelse av e-post. Ved utsendelse av spam vil et slikt rettslig grunnlag som hovedregel mangle, og utsendelsen medfører dermed brudd på personopplysningslovens bestemmelser. Det er per i dag ikke straffbart å handle i strid med disse bestemmelsene. Personopplysningsloven § 26 pålegger den som sender ut meldinger inneholdende direkte markedsføring å oppdatere sitt adresseregister mot et sentralt reservasjonsregister der personer som ikke ønsker å motta direkte markedsføring kan reservere seg. Brudd på denne oppdateringsplikten er straffbelagt, men har liten selvstendig betydning all den tid markedsføringsloven § 2 bokstav b krever forutgående samtykke ved utsendelse av spam i næringsvirksomhet.
Utvalgets forslag
Utvalget mener at problemene med spam er så omfattende og veldokumenterte at det er behov for et eget straffebud om dette. Et slikt forbud foreslås inntatt i datakrimkapitlet i den nye straffeloven, jf. utkastet § 14. Denne bestemmelsen vil altså bidra til at Norge fortsatt gjennomfører forpliktelsene i kommunikasjonsverndirektivet nevnt ovenfor.
Dagens forbud i markedsføringsloven § 2 b, jf. § 17, som foreslås videreført i den nye markedsføringsloven § 6-2, anses ikke å være tilstrekkelig, siden forbudet er begrenset til å gjelde spam som sendes «i næringsvirksomhet» hvor mottaker er en fysisk person. Tiltakene hjemlet i ekomloven er heller ikke tilstrekkelige siden de bare kan rettes mot tilbyderne, ikke de som står bak selve utsendelsen. Det er avsenderne av spam det er behov for å ramme med straff.
Skadevirkningene av spam gjør seg gjeldende generelt, uavhengig av hvem som er avsender eller mottaker eller formålet med meldingen. Det tenkes på belastningen i nettet, kostnadene som forvoldes på grunn av de sikkerhetstiltak det er behov for å ta i bruk, svekkelsen av påliteligheten til kommunikasjonstjenestene, pr. i dag særlig for e-post, og forbruket av tid som medgår til å håndtere problemet. Spam anses også å utgjøre en krenkelse av det private rom, det vil si retten til å bli latt i fred. Dette er virkninger som tilsier at et straffebud bør ramme enhver avsender av spam, uansett om det er tale om næringsvirksomhet, offentlig, privat eller for eksempel ideell eller politisk virksomhet. Et forbud mot spam anses også å støtte opp under EMK artikkel 8.
Utvalget har vurdert hvorvidt et forbud mot spam vil kunne krenke vesentlige kryssende interesser som også er viktige i et demokratisk samfunn. Det tenkes her særlig på forholdet til ytringsfriheten, siden det ligger i sakens natur at spamforbudet vil kunne utløse straffansvar for formidling av ytringer. Straffansvaret er imidlertid ikke knyttet opp til ytringens natur. Forbudet er således ikke-diskriminerende sett i forhold til ytringens innhold. Det avgjørende er måten ytringen er fremsatt på. Det antas at ytringsfriheten ikke kan påberopes som grunnlag for en rett til å formidle ytringer helt uavhengig av omkostningene og ulempene ved formidlingsmetoden. Den sentrale begrunnelsen for forbudet mot spam er at det går ut over sikkerheten ved de kommunikasjonstjenester som anvendes, og på sikt undergraver effektiviteten av disse. Dette kan ikke ytringsfriheten legitimere. Dessuten krysses ytringsfriheten av retten til privatlivets fred, som også er en grunnleggende menneskerettighet.
Utvalget er ikke kjent med at det foreligger rettspraksis fra menneskerettighetsdomstolen (EMD) vedrørende spam, men antar at det er vesentlig om et forbud åpner for at masseutsendelse likevel i visse tilfeller kan være lovlig. Det antas at en adgang til å samtykke til å motta spam (en såkalt «opt-in» klausul) kan være vesentlig i forhold til EMK artikkel 10. Det foreslås derfor at spamforbudet i utkastet § 14 uttrykkelig unntar meldinger det er samtykket til. Presiseringen antas også å være nødvendig for å få frem at mottakers samtykke går foran tilbydernes interesse i å unngå spam, som gjør seg gjeldende med like stor styrke uavhengig av om det er samtykket til meldingen eller ikke.
Her kan det være naturlig å nevne at masseutsendelse av elektroniske meldinger ikke kan sammenlignes med det å akseptere annonser eller andre oppslag i aviser og tidsskrifter, entes disse er papirbasert eller elektroniske. I slike tilfeller foreligger en aksept ved at man har skaffet seg eksemplaret eller stilt seg som abonnent til tjenesten, og da er det implisitt også samtykket til mottak av det ikke-redaksjonelle stoffet. Dette er ikke tilfelle for spam, som sendes ubedt av mottakeren.
Ytterligere antas det at rekkevidden av spamforbudet ikke bør være så vid at den rammer bruk av meldinger i eksisterende relasjoner, for eksempel for å drive kundepleie, kommunikasjon til medlemmer i en forening, fra offentlige institusjoner til borgerne m.v. Utkastet § 14 første ledd annet punktum inneholder derfor en reservasjon for dette. Formuleringen i markedsføringsloven § 2 b første ledd tredje punktum er tatt som utgangspunkt for reservasjonen i utkastet § 14. Det antas at praksis knyttet til markedsføringslovens bestemmelse, også vil kunne ha betydning for rekkevidden av utkastet § 14. Det er for eksempel ikke rettsstridig å sende invitasjoner til større private selskaper og lignende per e-post.
I tillegg til de nevnte tilfelle hvor bruk av masseutsendelse anses å være rettmessig kan det fremholdes at et spamforbud ikke innebærer noe forbud mot å ytre seg til mange adressater ved bruk av elektronisk kommunikasjon, som skjer ved andre fremgangsmåter. Flere internettjenester er tilrettelagt for å ytre seg til mange («hele verden»), for eksempel ved bruk av hjemmesider, dertil egnede news-grupper, åpne pratekanaler m.v. Også på denne måte er formidlingsretten innen ytringsfriheten ivaretatt.
Som nevnt anser utvalget at det avgjørende for straff er at det foreligger en masseutsendelse. Det er ikke hensiktsmessig å knytte forbudet opp til et vilkår om at det sendes i næringsvirksomhet. For det første kan det ofte være tvilsomt om avsender driver næringsvirksomhet i lovens forstand. Ikke sjelden inngår spam som forberedelse til bedragerier eller som ledd i annen ulovlig virksomhet, se kapittel 3.6. Dette styrker begrunnelsen for straff, men tilfellene vil falle utenom straffebudet dersom det tar i bruk et vilkår om næringsvirksomhet. Skadevirkningene gjør seg som nevnt gjeldende uavhengig av hvem som sender meldingene og hva de inneholder.
En masseutsendelse er en utsendelse som bærer noen eller alle de karakteristika som det er redegjort for innledningsvis i kapittel 3.6. Utvalget har vurdert om det er hensiktsmessig at lovteksten tallfester en minimumsgrense for antall meldinger som er nødvendige for å anse kommunikasjon som en masseutsendelse. En tallfesting vil være klargjørende, men på den annen side kan det lede til at for stor vekt legges på antallet i seg selv, mens det som nevnt er en helhetsvurdering som skal foretas. For eksempel dersom adresselister er benyttet i strid med personvernlovgivningen kreves det mindre med hensyn til antallet, enn dersom adressegrunnlaget i utgangspunktet er lovlig. Det viktigste er uansett at det er tale om en melding som sendes til mange mottakere uten at de på forhånd har samtykket til det. En annen innvending imot tallfesting er at det ikke har latt seg gjøre å identifisere en klar oppfatning om hva som skal til. En slik tallangivelse må derfor fastsettes nokså vilkårlig, noe utvalget finner lite ønskelig. Uansett skal det som nevnt foretas en totalvurdering av situasjonen. Det vises også til de spesielle merknadene i kapittel 9.14 om dette.
Utvalget mener som nevnt at det er hensiktsmessig å overføre spamforbudet til straffeloven, fordi det knytter seg langt flere interesser bak forbudet enn de forbruker- og markedsføringsrettslige interessene. Dette gjenspeiles i ordlyden til utkastet § 14 som rammer masseutsendelse generelt, med visse unntak som nevnt. Disse unntakene er imidlertid ikke knyttet til noen spesielle interesser, bare til i mottakerens generelle selvbestemmelsesrett (samtykke / reservasjon) eller om det foreligger en eksisterende relasjon mellom avsender og mottaker.
Utkastet § 14 foreslås ikke å dekke markedsføringshenvendelser som skjer ved automatisert oppringningssystem. Denne metoden benyttes særlig i forbindelse med markedsføring og salg i næringsvirksomhet og av ideelle organisasjoner og en regulering reiser egne særlige spørsmål som det ikke er naturlig å regulere i utkastet § 14. Det vises blant annet til at belastningen i nettet og faren for spredning av skadelig dataprogram m.v. ikke gjør seg gjeldende på samme måte for denne metoden. Denne delen av markedsføringsloven § 2 b foreslås derfor beholdt i markedsføringsloven.
Videre bemerker utvalget at dersom overtredelsesgebyr blir tatt inn som reaksjonsform i markedsføringsloven, jf. BLDs forslag i høringsutkastet til ny markedsføringslov, bør det av praktiske årsaker vurderes en deling av spambestemmelsen mellom markedsføringsloven og straffeloven, slik at mindre spamovertredelser overfor forbruker kan følges opp av forbrukermyndighetene gjennom ileggelse av overtredelsesgebyr.
Videre vil et forbud i straffeloven effektivisere håndhevelsen, fordi straffelovens vide jurisdiksjonsbestemmelser dermed kommer til anvendelse. Dette er ikke tilfelle for et forbud som står i markedsføringsloven, som ikke rammer masseutsendelse som skjer fra utlandet. Det vises til et slikt tilfelle behandlet i Stavanger tingrettsdom av 6. oktober 2006. Etter utkastet § 14, jf. ny straffelov § 7, omfattes også utenlandske avsendere når meldingene sendes til mottakere i Norge.
5.6.7 Identitetstyveri
Problemstilling
Utvalget foreslår et eget straffebud som rammer rettsstridig bruk av uriktig identitet. I kapittel 3.5.12 er flere varianter av identitetstyveri behandlet. Problemstillingen i det følgende gjelder kun identitetstyveri ved elektronisk kommunikasjon. Et slikt straffebud antas å kunne fremme tilliten til nettbasert samhandling og være egnet til å styrke personvernet ved at den rammer krenkelser av den personlige integritet.
Ved elektronisk kommunikasjon er det enkelt å benytte uriktig identitet, men ikke alle tilfeller er kritikk- eller straffverdige. I visse sammenhenger er det kutyme for å benytte pseudonymer. Pseudonymer anses som et vidt begrep som omfatter både navn som ikke er ens eget, men som kan fremstå som et naturlig navn, og kallenavn («nickname»/ «nick»), det vil si navn eller betegnelser som er åpenbart fiktive (for eksempel «julenissen» eller «Dolly Duck»).
Bruk av pseudonymer er for eksempel vanlig ved kommunikasjon på pratekanaler. For de øvrige parter i kommunikasjonen vil det normalt være åpenbart når det er kutyme for bruk av pseudonym og i slik sammenheng har gjerne heller ikke identiteten til avsender noen betydning for adressatene. Det kan være tvilsomt om man overhodet kan omtale slike pseudonymer som identiteter i forbindelse med elektronisk kommunikasjon. I hvert fall er ikke slik bruk rettsstridig. Det er heller ikke hensikten å ramme slik opptreden som er anbefalt, jf. regler om nettvett for barn og ungdom. Redd Barnas nettvettregler anbefaler barn og ungdom å unngå å oppgi sin egen identitet, og den de oppgir må derfor nødvendigvis ha karakter av å være et psudonym eller uriktig identitet. Opptreden i samsvar med slike normer, som tar sikte på å verne en brukergruppe som er spesielt utsatt, blant annet med tanke på seksuell tilnærming som «grooming», er det ikke på tale å kriminalisere gjennom en regel om identitetstyveri. Det vises også til kapitlet om nettvett i 5.3.5. Det forutsettes imidlertid at det ikke tas i bruk identitet som tilhører en annen. Slik bruk er regulært straffverdig, se nedenfor.
Det problem som et straffebud mot identitetstyveri bør rette seg mot lar seg inndele i to kategorier, henholdsvis bruk av stjålet identitet og fiktiv identitet.
Med bruk av stjålet identitet menes misbruk av en annens identitet. I slike tilfeller er det særlig hensynet til den hvis identitet er blitt misbrukt som begrunner et straffebud, det vil si hensynet til den personlige integritet, men handlingen kan jo også medføre en villfarelse hos den annen part i kommunikasjonen.
Med bruk av fiktividentitet menes bruk av identitet som ikke er ens egen, men som heller ikke tilhører noen annen. I dette tilfellet oppstår det ikke noen identitetskrenkelse overfor noe subjekt, men det kan selvsagt oppstå en villfarelse hos den annen part i kommunikasjonen.
Det går neppe noen skarp grense mellom de to kategoriene, noe som illustreres ved bruk av identitet som er helt uriktig, men som er forvekselbar med en reell identitet. Typetilfellene er imidlertid klare og den nærmere grensedragningen må trekkes opp i rettspraksis. Siden alternativene foreslås å være er likestilte har ikke grensedragningen noen betydning for skyldspørsmålet.
Motiv for bruk av uriktig identitet
Det kan foreligge varierende motiv for å kommunisere under uriktig identitet. Motivet kan for eksempel være å krenke en person ved å tillegge vedkommende en mening hun ikke har. Skadeformålet kan oppnås ved å fremsette en opplysning som om den var den krenkedes egen mening, for eksempel ved å lage en uriktig erklæring i en annens navn om å begå selvmord, om avsløring av overgrep i familien eller om at man er rasist. Slike identitetstyverier kan også ramme juridiske personer, for eksempel et selskap, ved at det sendes et uriktig resultatvarsel i dets navn, eller staten, ved at det sendes en opplysning i statsministerens navn om at vedkommende stiller kabinettspørsmål, eller at statsbudsjettet sendes i navnet til finansministeren til en avisredaksjon en uke før det skal offentliggjøres.
Her er ikke poenget om opplysningene isolert sett er riktige eller uriktige, men at de er fremsatt under stjålet identitet. Det gjør handlingen ekstra graverende. I slike tilfeller er det ikke formålstjenlig å benytte fiktiv identitet, fordi ytringen da ikke smitter over på den som skal rammes.
Motivet kan også være å oppnå anonymitet for egne handlinger. For dette formålet kan man benytte både stjålet og fiktiv identitet. I tillegg kan man benytte seg av offentlig tilgjengelige anonymiseringstjenester på internett, såkalte anonymizere . Bruk av anonymiseringstjenester fjerner avsenderopplysningene som erstattes av anonymiseringstjenestens egne. Dette gir en form for «ikke-identitet» og er ikke i seg selv villedende for mottakeren. Men bruk av anonymiseringstjenester hindrer selvsagt muligheten for å avdekke avsenders reelle identitet, noe som er en nyttig effekt når man begår straffbare handlinger. Utvalget anbefaler derfor at myndighetene vurderer lovligheten av å tilby anonymiseringstjenester. En slik vurdering antas å burde foretas i forbindelse med en gjennomgang av straffeprosessuelle problemstillinger og spørsmålet om pliktig datalagring, jf. direktiv 2006/24/EF av 15. mars 2006. Så lenge anonymiseringstjenester ikke er ulovlige kan det heller ikke være aktuelt å kriminalisere bruken av dem, så dette faller utenfor området for utkastet § 15.
Dersom anonymitet søkes oppnådd ved å misbruke en annens eller ta en fiktiv identitet, er man innenfor det området som utvalget foreslår straffbelagt. I det første tilfellet leder handlemåten til at en annen må stå til rette for det gjerningspersonen selv har gjort. I det andre tilfellet går selve handlemåten ut over den tillit man kan ha til elektronisk kommunikasjon, og svekker datasystemenes pålitelighet.
Om forslag til straffebud, jf. utkastet § 15
Straffebudet tar altså sikte på å kriminalisere uberettiget bruk av uriktig identitet ved elektronisk kommunikasjon. Ovenfor er det gitt enkelte eksempler på hva som menes med uriktig identitet. Generelt gjelder det at enhver opplysning som er ment å identifisere den som står bak meldingen omfattes av straffebudets identitetsbegrep. Hva slags informasjon som er relevant i forhold til identitetsbegrepet må bero på en totalvurdering hvor konteksten tillegges stor betydning. Men opplysninger som ofte er relevante er adresseinformasjon, som for eksempel e-postadresse og webadresse (URL). I tillegg vil direkte angivelse av identitetsopplysninger som navn og adresse som oppgis på et nettsted, i en e-post eller på en pratekanal omfattes. Også innholdet på en nettside kan være opplysning om identitet og kan være rettsstridig. Det tenkes for eksempel på nettsider som har et visuelt uttrykk som er forvekselbart med nettsiden til en bedrift eller lignende. Slike nettsider anvendes ofte i forbindelse med bedragerivirksomhet som phishing, hvor de som besøker nettsiden forledes til å gi fra seg kredittkortopplysninger med videre til det som uriktig fremstår som deres egen bank.
Identiteten er uriktig når den enten tilhører en annen enn den som benytter den eller ikke tilhører noen i det hele tatt, men presenteres som om den er reell. Identiteten kan tilhøre – eller foregi at den tilhører – både et menneske og en juridisk person. Det er de samme hensyn som taler for straff i begge tilfeller.
Straffebudet gjør seg gjeldende for enhver type elektronisk kommunikasjon. Det kan skilles mellom meldinger som mottas fordi man er oppført som adressat for meldingen og informasjon på tjenester man selv oppsøker.
Dersom avsenderidentiteten er uriktig på en melding som er sendt, kommer straffebudet til anvendelse. Det kan for eksempel være tale om e-post og tekstmeldinger (sms). Såkalt phishing som utføres ved forsendelse av e-post, hvor mottaker anmodes om å avgi kontoopplysninger til en avsender som foregir å være en bankkontakt, er et praktisk tilfelle som rammes av bestemmelsen.
Identitetsopplysningene kan også være uriktige på tjenester som man selv oppsøker, for eksempel nettsider (web) på internett som uriktig opplyser å være et spesielt foretak, for eksempel en bank. Også slike nettsider anvendes ofte i forbindelse med phishing, jf. beskrivelsen ovenfor. Også tjenester man selv oppsøker er elektronisk kommunikasjon.
Rettsstridsreservasjonen
Bruk av uriktig identitet er bare straffbar dersom bruken er uberettiget. Det vil ha stor betydning for rettsstridsvurderingen om identiteten tillegges noen betydning i den aktuelle kommunikasjon. Det betyr at konteksten har betydning. Videre må det tas hensyn til allment anerkjente regler om nettvett. Det vises til bemerkningene innledningsvis om dette.
Forvekselbare identiteter reiser noen egne spørsmål. I en sak fra Rt. 2003 side 825 benyttet gjerningspersonene et domene som ble forvekslet med Kværner ASAs internettdomene. På grunn av forvekslingen ble Kværners identitet krenket. Gjerningspersonene hadde benyttet et domene som de selv hadde registrert, men det lå meget nær opp til Kværners eget domene (kvearner.com vs. kvaerner.com). I et slikt tilfelle kan det være en smakssak om man vil tale om en stjålet identitet eller en fiktiv identitet. Det er på det rene at man i phishing ofte benytter forvekselbare identiteter, og lykkes med det. Hvorvidt bruken er rettsstridig må vurderes konkret. Utvalget antar at spørsmålet om det foreligger en overtredelse av regler for domeneregistrering ikke bør være avgjørende. Rettsstridsvurderingen må her som ellers baseres på en totalvurdering av situasjonen. I phishingtilfellet legges det for eksempel vesentlig vekt på innholdet til nettstedet, og eventuelt innholdet i e-posten, for å bedømme om dette ligner på informasjonen til en som det ønskes å oppnå forveksling med. Da er rettsstriden på det rene, selv om det konkrete domenet kanskje ikke ville blitt bedømt som forvekselbart isolert sett.
5.7 Ulovlig befatning med tilgangskoder, skadelig dataprogram og utstyr, jf. utkastet §§ 10-12
5.7.1 Innledning
Med en fellesbetegnelse kan utkastet §§ 10, 11 og til dels § 12 sies å omhandle straffansvar for såkalte «innledende handlinger». Det vises til utdypingen av problemstillingen omkring innledende handlinger i kapittel 5.7.3.
Utvalget foreslår straffebud som rammer rettsstridig befatning med tilgangsdata, skadelig dataprogram og utstyr, jf. utkastet §§ 10-12. Straffebudene er kalt «Ulovlig befatning med tilgangsdata» (utkastet § 10), «Skadelig dataprogram og utstyr» (utkastet § 11) og «Selvspredende dataprogram» (utkastet § 12). Selvspredende dataprogram er en spesiell type skadelig dataprogram hvor den selvspredende egenskapen er avgjørende for om dataprogrammet omfattes av straffebudet. Hva som ellers er formålet med dataprogrammet har ikke betydning for om det omfattes av utkastet § 12.
Også andre dataprogrammer enn de selvspredende kan ha egenskaper som medfører at de kan kalles skadelige. Eksempler er dataprogram som benyttes for å trenge seg inn i datasystemer og programmer med egenskaper som «logisk bombe» som kan forårsake skade på datasystemet. Utkastet § 11 rammer spredning og andre befatningsformer med slike dataprogrammer og utstyr, mens selve bruken straffes etter de andre bestemmelsene som straffebudet viser til.
Utvalget har delt seg i spørsmålet om å innføre et straffebud som nevnt i utkastet § 11, jf. drøftelsen i kapittel 5.7.5 hvor flertallets og mindretallets syn fremgår. Flertallet går inn for å foreslå et slikt straffebud.
Dersom skadelige dataprogram har selvspredende funksjonalitet omfattes de uansett av utkastet § 12, som utvalget enstemmig stiller seg bak.
Utvalget er også enstemmig i forslaget om straff for rettsstridig befatning med tilgangskoder, jf. utkastet § 10.
5.7.2 Gjeldende rett
Innledning
Utkastet §§ 10 og 11 går inn på området for straffeloven § 145b, § 262 første ledd og åndsverkloven §§ 53a og 53c. Disse bestemmelsene omfattes av harmoniseringsforslaget. Først gis en beskrivelse av de nevnte bestemmelser. Deretter gjennomgås utvalgets tilnærming til de spørsmål som regulering av dette feltet reiser.
Straffeloven § 145b
Straffeloven inneholder en spesialregel om forbud mot spredning av tilgangsdata, jf. straffeloven § 145b første ledd. Selve spredningsforbudet står i første ledd som lyder:
«Den som uberettiget gjør tilgjengelig for andre passord eller andre data som kan gi tilgang til et datasystem, straffes for spredning av tilgangsdata med bøter eller fengsel inntil 6 måneder eller begge deler.»
Etter annet ledd øker strafferammen til fengsel inntil 2 år dersom handlingen er grov. Blant de omstendigheter som kan tilsi at handlingen er grov nevnes om dataene kan gi tilgang til sensitive opplysninger, om spredningen er omfattende og om handlingen for øvrig skaper fare for betydelig skade.
Av ordlyden fremgår det at spredningsforbudet bare gjelder tilgangsdata som kan gi tilgang til et «datasystem». Dette begrepet er ikke definert i straffeloven og benyttes heller ikke i den beslektede bestemmelsen i straffeloven § 145 annet ledd, som retter seg mot uberettiget tilgang til «data eller programutrustning». I Ot.prp. nr. 40 (2004-2005) kapittel 7.1 side 33 står det om forståelsen av § 145b at
«uttrykket [passord eller andre data som kan gi tilgang til et datasystem] er funksjonelt avgrenset og omfatter alle data som kan gi tilgang til ulike fysiske eller logiske nivåer i et datasystem.»
Noen helt klar avgrensning av straffebudets rekkevidde gir ikke dette, men det synes naturlig at det i hvert fall skal ha samme rekkevidde som straffeloven § 145 annet ledd. Tilgangsdata som benyttes på datastyrte låssystemer på bygninger og biler m.v., faller derfor utenfor området for straffeloven § 145b.
Straffeloven § 262 og åndsverkloven § 53a og § 53c
Straffeloven § 262 første, jf. tredje ledd og åndsverkloven § 53a annet ledd, jf. § 54 første ledd bokstav b, gir hjemmel for straff for den som sprer eller har annen befatning med utstyr som kan bryte eller omgå elektroniske sperrer satt til vern av såkalte vernede tjenester og digitaliserte vernede verk. Selve den handling som går ut på å bryte eller omgå den elektroniske sperren er også straffbar, jf. straffeloven § 262 annet ledd og åndsverkloven § 53a første ledd. Heretter kalles den handling som bryter eller omgår sperren for «dekoding».
For oversiktens skyld gjengis de to nevnte bestemmelsene i sin helhet:
Straffeloven § 262 lyder:
«Den som
i vinnings hensikt framstiller, innfører, distribuerer, selger, leier ut, besitter, installerer, vedlikeholder eller skifter ut dekodingsinnretning,
i vinnings hensikt annonserer eller på annen måte reklamerer for dekodingsinnretning, eller
søker å utbre dekodingsinnretning
når hensikten er å skaffe noen uautorisert tilgang til en vernet tjeneste, eller medvirker til dette, straffes med bøter eller fengsel inntil 1 år.
Den som ved bruk av dekodingsinnretning påfører den berettigede et tap eller skaffer seg selv eller andre en vinning ved å få uautorisert tilgang til en vernet tjeneste, straffes med bøter eller fengsel inntil 6 måneder.
Med dekodingsinnretning menes i denne paragraf ethvert hjelpemiddel, enten dette er teknisk utstyr eller programvare, som er utformet eller tilpasset, alene eller sammen med andre hjelpemidler, for å gi tilgang i forståelig form til en vernet tjeneste.
Med vernet tjeneste menes i denne paragraf
fjernsyns- og radiosignaler, og
tjenester som teleformidles elektronisk på forespørsel fra den enkelte tjenestemottaker, når tilgang i forståelig form er avhengig av tillatelse fra tjenesteytere og ytes mot betaling, eller selve tilgangskontrollen til tjenestene nevnt i a og b, når den må regnes som en egen tjeneste.
Offentlig påtale finner ikke sted uten fornærmedes begjæring med mindre allmenne hensyn krever påtale. Som fornærmet regnes også den som yter tilgangskontroll når denne må regnes som en egen tjeneste.»
Åndsverkloven § 53a lyder:
«Det er forbudt å omgå effektive tekniske beskyttelsessystemer som rettighetshaver eller den han har gitt samtykke benytter for å kontrollere eksemplarfremstilling eller tilgjengeliggjøring for allmennheten av et vernet verk.
Det er videre forbudt å:
selge, leie ut eller på annen måte distribuere,
produsere eller innføre for distribusjon til allmennheten,
reklamere for salg eller utleie av,
besitte for ervervsmessige formål, eller
tilby tjenester i tilknytning til
innretninger, produkter eller komponenter som frembys med det formål å omgå effektive tekniske beskyttelsessystemer, eller som kun har begrenset ervervsmessig nytte for annet enn slikt formål, eller som i hovedsak er utviklet for å muliggjøre eller forenkle slik omgåelse.
Bestemmelsen i denne paragraf skal ikke være til hinder for forskning i kryptologi. Bestemmelsen i første ledd skal heller ikke være til hinder for privat brukers tilegnelse av lovlig anskaffet verk på det som i alminnelighet oppfattes som relevant avspillingsutstyr. For tekniske innretninger til beskyttelse av et datamaskinprogram gjelder i stedet det som er bestemt i §53c.
Bestemmelsene i første ledd skal ikke være til hinder for eksemplarfremstilling etter §16.»
Hva som er vernede tjenester er nærmere angitt i straffeloven § 262 fjerde ledd og omfatter betalingsbelagte tilgangskontrollerte kringkastingssignaler og informasjonssamfunnstjenester. I tillegg omfattes tilgangskontrollen som sådan når den må regnes som en vernet tjeneste. Det kan nemlig tenkes at det er forskjellige rettighetshavere til innholdet og distribusjonssystemet, og til den teknologien som beskytter tilgangen til innholdet. Et eksempel er beskyttelsessystemet Content Scrambling System som ble anvendt på dvd-filmer. Dette systemet ble lisensiert separat til produsenter av dvd-spillere og innholdsleverandørene, se faktabeskrivelsen i dvd-dommen i RG 2004 side 414.
Det strafferettslige vernet mot uberettiget dekoding av beskyttede kringkastingssignaler ble innført i straffeloven § 262 ved lov av 7. april 1995 nr. 15. Ved endringsloven av 15. juni 2001 nr. 57, ble vernet utvidet til å omfatte betalingsbelagte tilgangskontrollerte informasjonssamfunnstjenester og tilgangskontrollen som sådan når den må regnes som en egen tjeneste. Ved denne lovendringen ble også det strafferettslige forsøks- og medvirkningsansvaret mer detaljert utpenslet slik det fremgår av første ledd.
Åndsverkloven § 53a er utformet på lignende måte som straffeloven § 262, og retter seg mot uberettiget dekoding av digitaliserte åndsverk (vernede verk) og nærmere angitte forberedelses- og medvirkningshandlinger til slik dekoding. Hva som er å anse som åndsverk fremgår av åndsverkloven § 1. Verkene nevnt i denne bestemmelsen kan være representert i forskjellig form, og det er bare når de er representert digitalt at de kan være tilgangskontrollert og beskyttet mot uberettiget dekoding, jf. åndsverkloven § 53a. Film og musikk har lenge vært distribuert til markedet i digitalisert form. For å sikre kontroll mot uberettiget spredning benyttes tilgangskontroll på samme vis som for de vernede tjenester nevnt ovenfor. Dataprogrammer er åndsverk som er representert digitalt og er omfattet av det generelle dekodingsvernet etter ordlyden i åndsverkloven § 53a første ledd. Av bestemmelsens tredje ledd siste punktum fremgår det imidlertid at vernet mot uberettiget dekoding skal følge åndsverkloven § 53c, som følgelig er en spesialregel for dataprogrammer. Åndsverkloven § 53c lyder:
«Omsetning av, eller besittelse i ervervsøyemed av et hvilket som helst middel hvis eneste formål er å gjøre det lettere ulovlig å fjerne eller omgå tekniske innretninger til beskyttelse av et datamaskinprogram, er forbudt.»
Denne bestemmelsen har sin forankring i programvaredirektivet 1991/250/EØF av 14. mai 1991, og er beslektet med åndsverkloven § 53a annet ledd, se under kapitlet «Åndsverkloven § 53c» nedenfor.
Hovedregelen om eneretten er angitt i åndsverkloven § 2 første ledd som lyder:
«Opphavsretten gir innen de grenser som er angitt i denne lov, enerett til å råde over åndsverket ved å fremstille varig eller midlertidig eksemplar av det og ved å gjøre det tilgjengelig for almenheten, i opprinnelig eller endret skikkelse, i oversettelse eller bearbeidelse, i annen litteratur- eller kunstart eller i annen teknikk.»
Eneretten gjelder altså eksemplarfremstilling (kopiering) og tilgjengeliggjøring for allmennheten. Som følge av at elektronisk overføring av verk på individuell basis er blitt en vanlig kommersiell spredningsform, ble tilgjengeliggjøringsalternativet presisert ved lovendring 17. juni 2005 nr. 97, for å sikre at også slik distribusjon omfattes av eneretten. Presiseringen er inntatt i åndsverkloven § 2 tredje ledd bokstav c, jf. fjerde ledd, og lyder:
«Verket gjøres tilgjengelig for allmennheten når
c) verket fremføres offentlig.
Som offentlig fremføring regnes også kringkasting eller annen overføring i tråd eller trådløst til allmennheten, herunder når verket stilles til rådighet på en slik måte at den enkelte selv kan velge tid og sted for tilgang til verket.»
Bestemmelsen gjelder også for plate- og filmprodusenters rettigheter, jf. henvisningen i åndsverkloven § 45 siste ledd. Når slike distribusjonstjenester er tilgangskontrollert, er de vernet mot uberettiget dekoding, jf. åndsverkloven § 53a.
Sammenhengen mellom straffeloven §§ 145b, 262 og åndsverkloven § 53a
Det er et tydelig slektskap mellom straffeloven § 262 og åndsverkloven § 53a både hva gjelder den type innhold som er beskyttet og de beskyttelsesteknikker som forutsettes anvendt og som nyter strafferettslig beskyttelse. De vernede tjenester etter straffeloven § 262 vil jevnlig bestå i opphavsrettslig vernet materiale som også er vernet etter reglene i åndsverkloven. Men straffeloven § 262 rekker videre siden den omfatter enhver type innhold bare det er distribuert slik bestemmelsen angir. Det vil si at den omfatter vernede verk etter åndsverkloven, men ikke er begrenset til dette.
Åndsverkloven § 53a går lenger enn straffeloven § 262 i ett henseende. Bestemmelsen oppstiller nemlig også vern for tilgangskontrollerte eksemplarer av verk. I praksis er dette cd-er og dvd-er med musikk og film. Slike eksemplarer faller utenfor området for straffeloven § 262, se bestemmelsens fjerde ledd, som forutsetter at det skjer en elektronisk overføring fra tjenesteyter til tjenestemottaker. Også før innføringen av åndsverkloven § 53a har slike eksemplarer av digitaliserte åndsverk hatt et visst vern mot uberettiget dekoding, jf. straffeloven § 145 annet ledd. I hvert fall ble dette syn lagt til grunn av Borgarting lagmannsrett i dvd-dommen (RG 2004 side 414). En annen sak er at lagmannsretten kom frem til at dekodingen i det nevnte tilfellet ikke var uberettiget. Etter innføringen av åndsverkloven § 53a er det rimelig å anta at denne gjelder som lex specialis for slike tilfeller.
Dataprogrammer reiser noen egne spørsmål som behandles i neste underkapittel.
Straffeloven § 145b har sin bakgrunn i datakrimkonvensjonen artikkel 6. Konvensjonsbestemmelsen pålegger medlemmene på visse betingelser å kriminalisere besittelse, produksjon, salg, erverv for bruk, import, distribusjon eller tilgjengeliggjøring på annen måte av skadelig programvare og tilgangskoder som gir tilgang til hele eller deler av et datasystem. Bestemmelsen legger altså opp til at partene til konvensjonen innfører straffebud som rammer nærmere angitte forberedelses- og medvirkningshandlinger til krenkelser av data og datasystemer.
Artikkel 6 er bygget opp over samme lest som de konvensjonsbestemmelser som ligger til grunn for utformingen av straffeloven § 262 første ledd og åndsverkloven § 53a annet ledd. Det vises til tilgangskontrollkonvensjonen artikkel 4, tilgangskontrolldirektivet artikkel 4 og opphavsrettsdirektivet artikkel 6. Lovgiver har gjennomført de nevnte bestemmelser fullt ut redaksjonelt og innholdsmessig i straffeloven § 262 og åndsverkloven § 53a.
Ved gjennomføringen av artikkel 6 i den interne rett ved lovendringen av 8. april 2005 nr. 16, benyttet lovgiver reservasjonsadgangen i artikkel 6 nr. 3, jf. artikkel 40, og innførte et straffebud i straffeloven § 145b som var begrenset til å oppfylle minimumsforpliktelsen. Denne gjaldt spredning av tilgangskoder som kan gi tilgang til hele eller deler av et datasystem. Selve den uberettigete tilgang til datasystemet rammes av straffeloven § 145 annet ledd. Det systematiske forhold mellom disse to straffebestemmelsene tilsvarer forholdet mellom første og tredje ledd i straffeloven § 262, og første og annet ledd i åndsverkloven § 53a.
De dekodingsinnretninger som er nevnt i straffeloven § 262 tredje ledd og åndsverkloven § 53a, omfatter både dataprogrammer, fysisk utstyr og tilgangskoder. Det vises til Ot.prp. nr. 51 (2000-2001) kapittel 6.4, hvor Justisdepartementet skriver at
«Omgrepet skal dekke alle hjelpemiddel, anten dette er utstyr (hardware) eller programvare (software), som er utforma eller tilpassa – åleine eller saman med andre hjelpemiddel – for å gi tilgang i forståeleg form til ei verna teneste. [...] Kodar, kodenøklar og passord vil normalt vere innretningar som har dei egenskapane som etter definisjonen konstituerer ei dekodarinnretning.»
Det vises også til Ot.prp. nr. 46 (2004-2005) side 119 flg., hvor det på side 120 i kapittel 3.5.1.5.4 står at
«Med omgåelsesverktøy menes innretning, produkt, komponent eller tjeneste som tilbys eller ytes i forbindelse med omgåelse av tekniske beskyttelsessystemer.»
Tilgangskoder er en vanlig bestanddel i slike beskyttelsesinnretninger og det anses ikke som tvilsomt at tilgangskoder omfattes av alternativet «komponenter» i åndsverkloven § 53a annet ledd. Problemstillingen er ekvivalent med det som gjelder for dekodingsinnretning, jf. straffeloven § 262 tredje ledd.
Tilgangskoder kan være integrert i dataprogrammer og utstyr som anvendes for dekoding. Det vil for eksempel være tilfelle når et smartkort er kodet med en tilgangskode til en betalingsbelagt fjernsynssending, eller når et dataprogram som fjerner beskyttelsen på dvd-filmer inneholder tilgangsdata som «åpner» filmen. Men tilgangsdata kan også fungere alene. For eksempel gjelder det tilgangsdata som benyttes for å logge inn på en brukerkonto på et datasystem, en pinkode til bruk på minibank eller en tilgangskode til en internettjeneste, for eksempel en som tilbyr filmfremvisning. Uberettiget anskaffelse, markedsføring og spredning m.v. av tilgangskoder er straffbart etter straffeloven § 262 og åndsverkloven § 53a uavhengig av om befatningen gjelder tilgangskoden alene, eller om den er integrert i fysisk utstyr eller programvare. I begge tilfeller er tilgangskoden en dekodingsinnretning,
Rekkevidden av straffeloven § 145b er noe mer uklar. Forarbeidene synes å forutsette at tilgangskodene spres uten at de er integrert i fysisk utstyr eller programvare. De spres for eksempel via nettsteder på internett. Slike tilfeller av rettsstridig spredning er straffbar etter straffeloven § 145b. Dersom tilgangskodene er integrert i smartkort og spres som følge av at selve smartkortet uberettiget omsettes, er det uklart om § 145b kommer til anvendelse.
Åndsverkloven § 53c
Dataprogrammer står i en særstilling i forhold til de regler som er behandlet i det foregående. På samme vis som musikk og film distribueres dataprogrammer som eksemplarer på cd og ved elektronisk overføring, for eksempel fra en tjenesteyter på internett. Rent teknisk forsøkes disse distribusjonsformene for dataprogrammer sikret ved bruk av tilgangskontroll på samme måte som for film og musikk.
Omsetning eller besittelse i ervervsøyemed av dekodingsutstyr som kan anvendes til å foreta uberettiget dekoding av tilgangskontroll på dataprogram er forbudt og straffbart, jf. åndsverkloven § 53a, jf. § 54 første ledd bokstav b. Det vises til sitatet av § 53c ovenfor. Denne regelen er som nevnt beslektet med åndsverkloven § 53a annet ledd. Av § 53c tredje ledd siste punktum, følger det at «For tekniske innretninger til beskyttelse av et datamaskinprogram gjelder i stedet det som er bestemt i § 53c».
Spørsmålet gjelder fortolkningen av «i stedet» i § 53a tredje ledd tredje punktum. Henviser formuleringen til hele § 53a eller bare til den delen av bestemmelsen som korresponderer med § 53c, nemlig annet ledd i § 53a? Hvis det første alternativet skal legges til grunn er rettstilstanden at de innledende handlinger rammes av § 53c, mens dekodingen rammes av § 53a første ledd. Det betyr at dataprogram likebehandles med andre digitaliserte åndsverk for så vidt gjelder dekodingen. Ordlyden i § 53a første ledd gir anvisning på denne løsningen, siden den setter forbud mot omgåelseshandlinger for vernede verk generelt, noe som også omfatter dataprogram, jf. åndsverkloven § 1 annet ledd nr. 12. Setningen i § 53a tredje ledd siste punktum fremstår som løsrevet fra de to foregående, hvorav første punktum henviser til hele § 53a, jf. «denne paragraf», mens annet punktum bare viser til «første ledd». Etter struktur og ordlyd i selve § 53a er det dermed intet til hinder for å legge ovenstående fortolkning til grunn.
Forarbeidene til § 53a tredje ledd tredje punktum og § 53c taler imidlertid imot at dataprogram har vern mot uberettiget dekoding, jf. § 53a første ledd. Det vises til uttalelsene i Ot.prp.nr 46 (2004-2005) på side 122-123 og 157, hvor det fremgår at omgåelsesforbudet i sin helhet reguleres i § 53c. Resultatet henger dårlig sammen med det strenge vern som for øvrig er gitt dataprogrammer, jf. forbudet mot privatkopiering, utlån og analyse / omvendt utvikling, jf. åndsverkloven §§ 12 annet ledd bokstav b, § 19 annet ledd, § 39h og § 38i.
Det fremgår av forarbeidene at det som ble gjort var å flytte det eksisterende forbudet i åndsverkloven § 54a til § 53c. Forarbeidene ses ikke å inneholde noen vurdering av hvordan omgåelseshandlingene som sådan skal reguleres. Det er derfor grunn til å reise spørsmål om man utilsiktet har unnlatt å skaffe hjemmel for å forby og straffe slik omgåelse overfor tilgangskontroll av dataprogram, eller om meningen nettopp har vært at handlingen omfattes av § 53a første ledd, slik at formuleringene i forarbeidene er noe ufullstendige på dette punkt.
Omgåelseshandlinger overfor dataprogrammer kan uansett anses som en del av harmoniseringsspørsmålet som for fremtiden bør reguleres og ha et vern på linje med andre data. Lovforslaget legger opp til dette.
Siden det vesentlige av tematikken i kapitlet 5.7 gjelder kriminalisering av innledende handlinger, berører samordningsspørsmålet for dataprogrammer særlig den gjeldende bestemmelse i åndsverkloven § 53c. Selve omgåelsen av tilgangskontroll på dataprogrammer rammes av de regler i lovforslaget som gjelder uberettiget tilgang, informasjons- og datatyveri, jf. utkastet §§ 4-6, som er behandlet i kapittel 5.5.2 og 5.6.2. Det vises også til merknadene i kapittel 5.3 om rettsstridsreservasjonen.
5.7.3 Utvalgets tilnærming
Fremskutt innslagspunkt for straff
Begrunnelsen for kriminalisering av befatning med tilgangskoder og skadelig programvare, er først og fremst at slike handlinger kan være – og ofte vil være – første skritt for å muliggjøre ulovlig inntrengning i datasystem eller for å foreta datamodifikasjon. På denne måten vil befatning med tilgangskoder og skadelig programvare kunne sies å være innledende handlinger til andre straffbare handlinger. Man kan dermed si at kriminalisering av slike handlinger først og fremst er et spørsmål om straffelovens innslagspunkt, det vil si om man skal anvende et såkalt fremskutt innslagspunkt for straff. Reglene suppleres av det alminnelige strafferettslige forsøks- og medvirkningsansvaret, jf. ny straffelov §§ 15 og 16.
Det kan nevnes at spredningsalternativet i utkastet § 12 er beslektet med utkastet § 7, fordi spredningen av selvspredende dataprogram kan anses som en spesiell form for dataskadeverk. En slik handling leder med nødvendighet til endringer på de datasystemer som infiseres av programmet.
Selve bruken av tilgangsdata og skadelig programvare rammes som nevnt av andre straffebud i lovforslaget, forutsatt at bruken er rettsstridig. Dette gjelder for eksempel bruk av et stjålet passord for å skaffe seg uberettiget tilgang til et datasystem, jf. utkastet § 4 og aktivisering av et dertil egnet dataprogram som skaper driftshindring, jf. utkastet § 13. Befatning med et stjålet passord kan også være straffbar som informasjonsheleri, jf. utkastet § 9 og straffeloven § 317.
Det kan være grunn til å understreke at ulovlig dekoding som sådan, jf. straffeloven §§ 145 annet ledd (når overtredelsen skjer ved beskyttelsesbrudd), 262 annet ledd og åndsverkloven § 53a første ledd, jf. § 54, dekkes av utkastet §§ 4-6. Disse straffebudene i lovforslaget rammer den som uberettiget skaffer seg tilgang til et datasystem, og den som uberettiget tilegner seg databasert informasjon og data. Overtredelsen kan være begått ved at det er foretatt dekoding, men dette er ikke noen betingelse for straff. Det betyr at bestemmelsene har et videre anvendelsesområde enn det som følger av de nevnte bestemmelser i straffeloven og åndsverkloven. En overtredelse som har skjedd ved dekoding kan medføre at lovbruddet skal anses å være grovt, jf. utkastet § 18. Det vises til bemerkningene i kapittel 5.5.2 og 5.6.2.
Poenget er at overtredelse for §§ 4-6 ikke er betinget av at datasystemet, den databaserte informasjonen eller dataene er tilgangskontrollert. Den legislative begrunnelse for dette er beskrevet i kapittel 5.5.1 og 5.6.1. Med andre ord er det tilstrekkelig for overtredelse at adgangen eller tilegnelsen er uberettiget. Dekoding er derfor bare én av flere mulige overtredelsesformer.
Utkastet §§ 10-12 retter seg mot det å anskaffe, fremstille, modifisere, markedsføre og tilgjengeliggjøre tilgangsdata og skadelig dataprogram (for en nærmere beskrivelse av de forskjellige alternativene vises det til spesialmotivene i kapittel 9.10-9.12). Skadelig dataprogram omfatter mer enn den type programvare og utstyr som kan anvendes for å skaffe seg uberettiget adgang til datasystemer, databasert informasjon eller data. Dette følger av henvisningen i straffebudet som omfatter §§ 4-8, 10 og 13-14. Foruten de straffebud som dekker området for straffeloven §§ 145 annet ledd, 145b, 262 og åndsverkloven 53a, jf. utkastet §§ 4-6, omfattes utkastet § 7 (datamodifikasjon), § 8 (uberettiget bruk av datasystem), § 10 (ulovlig befatning med tilgangsdata), § 13 (driftshindring) og § 14 (masseutsendelse av elektroniske meldinger).
Begrunnelsen for utkastet §§ 10-11 er at de nevnte handlinger øker faren for at den direkte krenkelse begås, typisk datainnbrudd, informasjonstyveri, datamodifikasjon, og driftshindring. For utkastet § 10 gjør det seg i tillegg gjeldende at konfidensiell behandling av tilgangsdata er en forutsetning for at den skal kunne fungere på en sikker måte. Rettsstridige krenkelser av konfidensialiteten rammes derfor av utkastet § 10. Det vises også til bemerkningene om datasikkerhet, konfidensialitet og autentisering i kapittel 4.6.2.
Alternativet «besittelse» har vært undergitt en nærmere vurdering. Utvalget har kommet frem til at det bør inntas i utkastet §§ 10 og 11, men ikke i utkastet § 12. Det vises til bemerkningene i forbindelse med de respektive straffebud.
Straffeloven § 262 første ledd og åndsverkloven § 53a annet ledd hjemler allerede et fremskutt strafferettslig innslagspunkt for verktøy som kan anvendes til å foreta uberettiget dekoding av vernede tjenester og verk. Det samme gjelder åndsverkloven § 53c. Lovforslaget innebærer en generalisering slik at den rettsstridige befatning gjøres straffbar for tilgangsdata og verktøy som gjelder data, databasert informasjon og datasystemer uavhengig av lagrings- og distribusjonsform og innholdets karakter.
Utkastet §§ 10-11 dekker dermed området for straffeloven §§ 145b, 262 første ledd og åndsverkloven § 53a annet ledd og § 53c. Dersom lovforslaget blir gjennomført, er det ikke nødvendig å videreføre de nevnte bestemmelsene. Lovforslaget harmoniserer de nevnte bestemmelser og gjør ellers ikke noen endring i rettstilstanden.
Nykriminalisering
Utkastet § 10 innebærer en viss nykriminalisering. Etter dagens regler er spredning av tilgangsdata straffbart dersom de kan gi tilgang til datasystem, vernede tjenester eller verk, jf. straffeloven §§ 145b, 262, åndsverkloven § 53a og § 53c. Foruten spredning rammer straffeloven § 262 og åndsverkloven § 53a også det å fremstille, innføre, besitte, installere, vedlikeholde, skifte ut, annonsere og markedsføre, og tilby tjenester i tilknytning til, slike dekodingsinnretninger. Forbudet etter straffeloven § 145b som gjelder tilgangskoder som kan gi tilgang til et datasystem er begrenset til å gjelde spredning av slike tilgangsdata.
Utvalget går enstemmig inn for at også de øvrige befatningsformer bør være straffbare for tilgangskoder som gir tilgang til datasystem generelt. Utkastet § 10 gir derfor anvisning på et mer omfattende forbud enn det som følger av straffeloven § 145b, men i lys av den vide rekkevidden av straffeloven § 262 og åndsverkloven § 53a, representerer utkastet § 10 likevel bare en mindre nykriminalisering.
Utkastet § 11 innebærer nykriminalisering av befatning med skadelig dataprogram og utstyr som rammer andre datasystemer og dataoverføringer enn de som er omfattet av straffeloven § 262, åndsverkloven § 53a og § 53c. Dette følger av at utkastet § 11 gjelder verktøy som kan ramme datasystemer generelt, ikke bare slike som omfattes de nevnte bestemmelsene. For eksempel vil anskaffelse og spredning av skadelig dataprogram som kan benyttes for å trenge inn i datasystemet til en bedrift, rammes av utkastet § 11. Det samme gjelder anskaffelse og spredning av utstyr som kan benyttes til å avlytte telefonsamtaler. Dette er ikke straffbart i dag, med mindre handlingen kan anses som medvirkning til datainntrengningen eller avlyttingen. Vilkårene for medvirkningsansvar vil etter gjeldende rett neppe være oppfylt for den som sprer skadelig dataprogram fra et nettsted, men ikke deltar i den konkrete utnyttelsen av programmet verken fysisk eller psykisk. Slik spredning foregår i stor utstrekning på internett og anses av mange som et stort problem. Utkastet § 11 rammer altså slike handlinger.
Redaksjonelle hensyn
Utvalget har valgt å redigere lovforslaget slik at befatning med tilgangskoder og skadelig dataprogram reguleres i forskjellige bestemmelser. I straffeloven § 262 og åndsverkloven § 53a og § 53c er tilgangskoder og skadelig programvare behandlet under ett med felles betegnelse, jf. «dekodingsinnretning» i § 262 tredje ledd, «innretninger, produkter eller komponenter» i § 53a annet ledd og «middel» i § 53c. Alle uttrykkene omfatter både dataprogrammer, fysisk utstyr og tilgangskoder.
Utvalget mener at det er hensiktsmessig å oppstille særskilte regler for befatning med henholdsvis tilgangsdata og skadelig dataprogram m.v. Dermed får man bedre frem de rettspolitiske hensyn bak bestemmelsene.
Som nevnt vil tilgangskoder ofte være integrert i dataprogrammer og utstyr som benyttes for å foreta dekoding. Slike tilfeller rammes av utkastet § 11. Utkastet § 10 kommer til anvendelse der befatningen gjelder tilgangskodene direkte, for eksempel ved passordknekking, ved spredning av tilgangsdata på internett eller ved omsetning av en cd-rom hvor man har kopiert tilgangsdata.
Befatning med selvspredende dataprogram, jf. utkastet § 12, anses som meget skadelig i seg selv. Den legislative begrunnelse for straff står således på egne ben og det er naturlig å utforme forbudet i en egen bestemmelse. Legaldefinisjonen av selvspredende dataprogram er tatt inn i utkastet § 12 tredje ledd, siden begrepet utelukkende benyttes i denne bestemmelsen. En integrering av utkastet §§ 11 og 12 i én bestemmelse ville gjøre den så komplisert at det også av den grunn er hensiktsmessig med to bestemmelser. De rettspolitiske spørsmål bak bestemmelsene er heller ikke helt sammenfallende. Særlig kan det herske ulike syn på hvor skadelig og straffverdig handlingene i utkastet § 11 er, og om hvor effektivt straffebudet vil være. Slike hensyn ligger til grunn for mindretallets dissens vedrørende utkastet § 11, men gjør seg altså ikke gjeldende på samme måte for utkastet § 12.
5.7.4 Uberettiget befatning med tilgangsdata, jf. utkastet § 10
Utkastet § 10 første ledd lyder:
«For ulovlig befatning med tilgangsdata straffes den som uberettiget anskaffer, innfører, fremstiller, besitter, markedsfører eller gjør tilgjengelig for andre passord, adgangskode, krypteringsnøkkel eller lignende som kan gi tilgang til data, databasert informasjon eller datasystem.»
Det sentrale uttrykket er «tilgangsdata [...] som kan gi tilgang til data, databasert informasjon eller datasystem». Tilgangsdata er kjennetegn som for eksempel tegnstrenger (passord) eller et digitalisert fingeravtrykk. Data, databasert informasjon og datasystemer er legaldefinert i utkastet § 1. I kontekst av utkastet § 10 forutsettes det at de nevnte objekter er tilgangskontrollert slik at utnyttelsen krever bruk av tilgangsdata.
De befatningsformer som er nevnt dekker alle alternativ etter datakrimkonvensjonen artikkel 6, straffeloven §§ 145b, 262 første ledd, åndsverkloven § 53a annet ledd og § 53c.
Begrunnelsen for straffebudet er, foruten de folkerettslige forpliktelser som det tidligere er redegjort for, at en tilgangskode bare har verdi for den berettigete dersom den er hemmelig. Det er bare da den kan fungere som sikkerhet for konfidensialitet og som mekanisme for autentisering (det vil si at den kan bekrefte identiteten til brukeren, se kapittel 4.6.2 om autentisering).
Det at tilgangskoder blir kjent for andre og eventuelt spredt, har store skadevirkninger for rette innehaver av tilgangskoden og for datasystemets eier. Dermed svekkes også tilliten til datasystemene, se om hensynene til tillit og pålitelighet i kapittel 4.6.1. Dette tilsier at konfidensialitetshensynet understøttes med et straffebud som utkastet § 10.
Det ses ikke at et forbud mot befatning med tilgangskoder vil gå ut over hensynene til læring, forskning og kreativitet, jf. kapittel 4.5.4. Muligheten for å foreta analyse av dataprogram er viktig for den teknologiske utvikling og denne retten rammes ikke. Dersom man under analysen av et dataprogram kommer over tilgangsdata som er implementert i programmet, kan man tenkes å falle inn under anskaffelsesalternativet i utkastet § 10 rent objektivt, men en slik anskaffelse vil ikke være rettsstridig dersom analysen ellers skjer på lovlige vilkår, slik dette følger av reglene i åndsverkloven §§ 39h og 39i. Imidlertid kan den fortsatte besittelse av tilgangsdataene være straffbar, jf. besittelsesalternativet i utkastet § 10. Det samme gjelder en eventuell spredning av tilgangsdataene. Poenget er at retten til å analysere dataprogram er begrunnet i ønsket om å tilrettelegge for at man kan sette seg inn i de ideer og prinsipper som programmet er bygget på.
Det kan vises til fortalen i programvaredirektivet hvor det blant annet står:
«For at det ikke skal oppstå tvil må det presiseres at det bare er et datamaskinprograms uttrykksform som er beskyttet, og at de ideer og prinsipper som ligger til grunn for de enkelte delene av programmet, herunder de som ligger til grunn for programmets grensesnitt, ikke er opphavsrettslig beskyttet etter dette direktiv.
I samsvar med dette prinsippet om opphavsrett og i den utstrekning logikk, algoritmer og programmeringsspråk utgjør ideer og prinsipper, er ikke disse ideene og prinsippene beskyttet i henhold til dette direktiv. »
Analyseretten kan følgelig ikke gi rett til å avdekke tilgangskoder. Kodene er konkrete uttrykk og ikke ideer eller prinsipper. Dertil kommer at slike tilgangskoder er ment å være hemmelige og dette er en nødvendig egenskap for at de skal fungere effektivt. Man kan derfor ikke skyte seg inn bak analyseretten dersom hensikten først og fremst er å avdekke tilgangskodene.
Dette skillet mellom vernet om ideer og prinsipper og vernet om tilgangskoder antas å være i samsvar med Kerckhoffs prinsipp, som anses å være grunnleggende innen kryptosikkerhet og teknisk analyse. Prinsippet går blant annet ut på at kryptosikkerhet ikke skal være avhengig av hemmelighold av algoritmen som et program er bygget på, men være basert på hemmelighold av tilgangskoden. Selve algoritmen skal være åpen og kunne la seg analysere, og i dette ligger et vesentlig bidrag til teknologisk utvikling. Algoritmen kan sies å være uttrykk for de ideer og prinsipper som ligger til grunn for dataprogrammet, i motsetning til tilgangskoden som altså er et konkret uttrykk som både kan og bør ha et lovfestet konfidensialitetsvern.
Avdekking av tilgangskoder som skjer som ledd i analyse av dataprogram kan være straffbar etter utkastet § 10, dersom avdekking skjer forsettlig og analysen kunne vært lagt opp slik at avdekking av koden kunne vært unngått. Avdekking som skjer uforsettlig vil ikke være straffbar. Derimot vil forsettlig besittelse etter at koden uforsettlig er avdekket være straffbar etter utkastet § 10. For å unngå å komme i straffansvar må man i slike tilfeller følgelig slette tilgangskoden.
Av hensyn til behovet for hemmelighold av tilgangskoder straffes også den som «fremstiller» slike koder. Tilgangskoder kan for eksempel gjettes ved maskinell passordknekking. Dette omfattes av fremstillingsalternativet. Det vises for øvrig til spesialmotivene for kommentarer til de enkelte alternativ i gjerningsbeskrivelsen, se kapittel 9.10.
5.7.5 Skadelig dataprogram og utstyr, jf. utkastet § 11
Innledning
Utkastet § 11 første ledd lyder:
«For ulovlig befatning med skadelig dataprogram straffes den som uberettiget anskaffer, fremstiller, modifiserer, besitter, markedsfører eller tilgjengeliggjør dataprogram som er særlig egnet til å begå handlinger som er straffbare etter §§ 4-8, 10 eller 13-14 i dette kapitlet. Liknende befatning med utstyr som er særlig egnet til tilsvarende formål straffes på samme måte.»
Historikk
Lovgiver har tidligere valgt å avstå fra å kriminalisere befatning med skadelig dataprogram og utstyr. Datakrimutvalget drøftet problemstillingen i delutredning I (NOU 2003: 27) på side 18 flg., og konkluderte med at det ikke var tilrådelig å innføre noe slikt straffebud. Det ble vist til at de generelle regler om forsøk og medvirkning stort sett ville være tilstrekkelige. Videre ble det antatt at et slikt straffebud i stor grad måtte basere seg på vilkår av subjektiv art, det vil si gjerningspersonens hensikt med befatningen. Slik «sinnelagsstrafferett» ville bryte med norsk strafferettslig tradisjon. Utvalget hadde dessuten i utgangspunktet besluttet å fremme et minimumsforslag, det vil si bare det som var nødvendig for å ratifisere datakrimkonvensjonen. Også av denne grunn valgte man å anbefale at Norge benyttet seg av reservasjonsadgangen. Datakrimutvalget anbefalte følgelig bare å kriminalisere spredning av tilgangskoder, jf. artikkel 6 nr. 1, a, ii.
I høringsrunden gjorde det seg gjeldende svært ulike syn på behovet for et straffebud om befatning med verktøy som gir ulovlig tilgang til datasystem, jf. Ot.prp. nr. 40 (2004-2005) i kapittel 3.3.4 side 16 flg. Innvendingene var i stor grad de samme som Datakrimutvalget hadde vist til. Men særlig ØKOKRIM tok til orde for innføring av et straffebud og karakteriserte slikt verktøy som «elektronisk sprengstoff» som det var grunn til å forby. ØKOKRIM fremhevet at bruken av verktøy som gir ulovlig tilgang til datasystem
«representerer et enormt samfunnsmessig problem, og det er derfor overraskende at Datakrimutvalget ikke har vurdert konvensjonen artikkel 6 mer grundig på dette punkt.»
Departementet fremmet et mer omfattende lovforslag enn Datakrimutvalget hadde foreslått og gikk inn for også å kriminalisere befatning med denne typen verktøy. Departementets utgangspunkt var at det krever en
«tungtveiende begrunnelse for å sette straff for forberedelseshandlinger. I samme retning trekker ønsket om ikke å knytte grensen for det straffbare i for stor grad til rent subjektive forhold [...]. Dette synspunktet får imidlertid mer begrenset bærekraft når den aktuelle forberedelseshandlingen i større utstrekning enn helt hverdagslige handlinger bidrar til å kaste lys over gjerningspersonens forsett.»
Departementet oppsummerte sitt syn på spørsmålet slik:
«Etter departementets syn taler både det betydelige skadepotensialet, hensynet til tilliten til elektronisk kommunikasjon som kommunikasjonsform og den tilsynelatende lave oppdagelsesrisikoen for at det bør være straffbart å besitte hackerverktøy og andre tilsvarende innretninger. En slik straffebestemmelse lar seg ikke bare forsvare ut fra de prinsippene for kriminalisering som det er redegjort for i Ot.prp. nr. 90 (2003-2004) s. 88 flg. Det vil også lette det internasjonale samarbeidet i saker som gjelder datakriminalitet, især hvor samarbeidet er betinget av at den handlingen som det er tale om, er straffbar også etter norsk rett. Departementet nevner for øvrig, uten at det har vært avgjørende, at slike handlinger allerede er straffbare etter dansk rett. [...]. Etter departementets syn har de momentene som det er vist til i drøftelsen ovenfor, minst like stor gjennomslagskraft i spredningstilfellene.»
Lovforslaget, inntatt i Ot.prp. nr. 40 (2004-2005) side 37, som ble fremmet for behandling av Stortinget, lød som følger:
«Ny §145 b skal lyde:
Den som uberettiget fremstiller, anskaffer, besitter eller gjør tilgjengelig for andre
passord eller andre data som kan gi tilgang til et datasystem, eller
dataprogrammer eller andre innretninger som er særlig egnet til å begå straffbare handlinger som retter seg mot data eller datasystemer straffes med bøter eller fengsel inntil 6 måneder eller begge deler.
Grove overtredelser straffes med fengsel inntil 2 år. Ved avgjørelsen av om overtredelsen er grov, skal det blant annet legges vekt på om dataene kan gi tilgang til sensitive opplysninger, om spredningen er omfattende og om handlingen skaper fare for betydelig skade.
Medvirkning straffes på samme måte.»
Justiskomiteen i Stortinget delte seg i synet på å gjennomføre § 145b som foreslått i lovproposisjonen, se Innst. O. nr. 53 (2004-2005) kapittel 2.
Flertallet bestående av representanter fra Arbeiderpartiet, Fremskrittspartiet og Sosialistisk Venstreparti (til sammen 6 representanter) påpekte
«at problemstillingen om å kriminalisere forberedelseshandlinger har vært gjenstand for betydelig debatt. Flertallet vil således vise til et sitat fra en av våre nestorer innen strafferetten, Johs. Andenæs, som har forklart grensen mellom straffri forberedelse og straffbart forsøk på følgende måte:
«Gjerningsmannens opptreden må vise at nå er forberedelsens og overveielsens tid forbi, nå skrider han til verket».
Flertallet er på denne bakgrunn av den oppfatning at Norge bør benytte seg av den reservasjonsadgang som er oppstilt i konvensjonens artikkel 6 nr. 3. Dette innebærer at Norge ikke forplikter seg til å kriminalisere de forhold tilknyttet nevnte problemstilling som er beskrevet i konvensjonens artikkel 6, med unntak av de handlinger som fremgår av artikkel 6 nr. 1 a) ii.»
Mindretallet oppsummerte sitt syn på følgende måte:
«Komiteens medlemmer fra Høyre og Kristelig Folkeparti er enig i at det skal sterke grunner til for å kriminalisere forberedelseshandlinger, og viser til departementets drøftelse på side 17 og 18 i proposisjonen. Disse medlemmer mener likevel det foreligger tungtveiende hensyn som taler for at Norge ikke bør benytte seg av reservasjonsadgangen i konvensjonens artikkel 6 nr. 3. De typer innretninger det her er tale om har et begrenset lovlig bruksområde, og kan brukes til å begå alvorlige straffbare handlinger. Datavirus og hackerverktøy kan volde betydelige skader og kostnader for samfunnet. De gjør det mulig å skaffe seg opplysninger av betydning for rikets sikkerhet og krenke viktige private og samfunnsmessige interesser.
Dersom Norge benytter reservasjonsretten, betyr det etter disse medlemmers syn at man i realiteten ikke vil kunne straffe en som gjør hackerverktøy tilgjengelig for andre på nettet, selv om man med sikkerhet kan si at dette verktøyet vil bli brukt til å begå ulike straffbare handlinger med lav oppdagelsesrisiko.
Disse medlemmer støtter derfor departementets syn om at det bør være straffbart å være i besittelse av passord og hackerverktøy, samt å gjøre slike innretninger tilgjengelige for andre. »
Komiteen fremmet deretter flertallets lovforslag til nytt straffebud, likelydende med straffeloven § 145b, som ble vedtatt. Flertallet hadde imidlertid på følgende måte også signalisert at man ønsket fortsatt arbeid med disse problemstillingene:
«Flertallet ber imidlertid om at arbeidet tilknyttet problemstillingen rundt forberedelseshandlinger og det å være i besittelse av «datavirus, hackerverktøy o.l» fortsetter.»
Det fremgår altså at lovgiver ønsket en fortsatt utredning av spørsmålet og at man ikke nødvendigvis ville anse seg bundet av det standpunkt som ble inntatt ved lovendringen i 2005. Problemstillingen er omfattet av mandatet, og som det har fremgått er spørsmålet nå utredet på nytt.
Flertallets syn
Utvalget har som nevnt delt seg i synet på utkastet § 11. Flertallet bestående av medlemmene Rønning, Sellæg, Gulbrandsen og Christensen begrunner sitt standpunkt på følgende måte:
Utgangspunktet er at datakrimkonvensjonen artikkel 6 legger opp til at medlemsstatene skal straffe slike handlinger. Straffetrusselen skal virke preventivt slik at tilgjengeligheten av verktøy som gir ulovlig tilgang til datasystem reduseres. Når det blir vanskeligere å få fatt i denne typen verktøy reduseres også risikoen for å bli utsatt for datakriminalitet. I hvert fall antas dette å gjelde når gjerningspersonene er såkalte «script kiddies» (se kapittel 3.3.3), siden disse står for en stor del av den registrerte datakriminaliteten. Slike personer som mangler kompetanse til å programmere er avhengig av å skaffe seg verktøy fra andre, typisk via internett. Det antas derfor at straffebudet kan få en reell preventiv effekt for denne gruppen.
Utkastet § 11 er utformet slik at de objektive gjerningsvilkår gjelder konkrete konstaterbare forhold. Det er altså ikke tale om å kriminalisere utelukkende på grunnlag av den onde hensikt, jf. betraktningene om dette i NOU 2003:27 side 19 flg. For øvrig stilles det krav om forsett som er den vanlige skyldform etter loven. De forskjellige befatningsformer skulle ikke by på problemer ved praktiseringen av bestemmelsen, det vises til kommentarene i spesialmotivene.
Flertallet mener at det er straffverdig å spre verktøy som gir ulovlig tilgang til datasystem. Etter hva man har brakt i erfaring skjer dette i stor utstrekning på internett, hvor man tilbys program som enkelt kan lastes ned og utnyttes. I tillegg kan man bestille dertil egnet utstyr via nettsteder. For å effektivisere spredningsforbudet er det også nødvendig å ramme det å fremstille, modifisere, besitte og anskaffe denne typen verktøy (jf. utkastet § 11 første ledd annet punktum).
Flertallet mener at det er lite holdepunkt for at en bestemmelse som utkastet § 11 vil ha uheldige virkninger for lovlig datarelatert virksomhet. Det være seg for aktører i sikkerhetsbransjen eller for forskning og utvikling av datateknologi og tjenester. Det vises til at straffebudet på vanlig måte inneholder en rettsstridsreservasjon. Dessuten rammer det bare verktøy som er «særlig egnet» til å begå overtredelser som nevnt. Vilkåret «særlig egnet» innebærer at verktøyet må ha funksjonalitet som er spesielt hensiktsmessig for å begå de overtredelser som er nevnt i bestemmelsen. Exploits og piratdekoderkort er eksempler på verktøy som antas å oppfylle dette kriteriet.
Forsettvilkåret innebærer at gjerningspersonen må være klar over dette. Videre innebærer rettsstridsreservasjonen at det ikke blir tale om å straffe befatning med slike verktøy i vanlig lovlig virksomhet. Det vil for eksempel ikke være straffbart å anskaffe og benytte slike verktøy på eget datasystem. Dersom straffebudet leder til en generell reduksjon i spredning av verktøy som nevnt, også slik spredning som forestås av sikkerhetsbransjen på åpne kanaler på internett, er straffebudets preventive formål et stykke på vei oppnådd. Det antas at profesjonelle aktører i denne bransjen har mulighet for å organisere distribusjon av slike verktøy seg imellom uten at det nødvendigvis må skje over allment tilgjengelige kanaler, hvor verktøyene også kommer kriminelle miljøer i hende.
Flertallet mener at i lys av alle de sikkerhetsproblemer som forårsakes på grunn av den store tilgjengeligheten av skadelig dataprogram og utstyr, er tiden inne til at lovgiver gir et klart forbud mot dette. Utkastet § 11 ligger for øvrig i forlengelsen av den nevnte straffebud i straffeloven § 262 første ledd og åndsverkloven § 53a annet ledd og § 53c. Flertallet er ikke kjent med negative virkninger av de nevnte regler, som skulle tilsi noen spesiell tilbakeholdenhet i forhold til utkastet § 11.
Mindretallets syn
Mindretallet, bestående av medlemmene Willassen og Taraldset er av den oppfatning at man ikke bør gjennomføre den nykriminalisering som utkastet § 11 innebærer. Mindretallet mener at bestemmelsen bør utgå. I stedet foreslår mindretallet at man opprettholder dagens rettstilstand ved at bestemmelsene i straffeloven § 262 første ledd og åndsverkloven § 53a annet ledd og § 53c videreføres.
Mindretallet begrunner sitt standpunkt på følgende måte:
Datakrimkonvensjonens artikkel 6 legger opp til at medlemsstatene skal straffbelegge befatning med verktøy, herunder programvare, som kan benyttes til å begå straffbare handlinger etter datakrimkonvensjonens artikler 2-5. Disse artiklene omhandler ulovlig tilgang til datasystem (artikkel 2), dataavlytting (artikkel 3), datamodifikasjon (artikkel 4 og 5) og driftshindring (artikkel 5). Befatning omfatter produksjon, salg, anskaffelse for bruk, import, distribusjon eller annen form for tilgjengeliggjøring, samt besittelse. Det er et krav for straffbeleggelse etter artikkel 6 at befatningen skjer i den hensikt at verktøyet skal benyttes til å begå en av de straffbare handlingene som nevnt. Artikkel 6 inneholder også i nr. 1, a, ii, et krav om straffbeleggelse av befatning med tilgangsdata, se kapittel 5.7.4. Med unntak av spredning av tilgangsdata, kan medlemsstatene reservere seg mot innholdet i artikkel 6. Det er således gjort valgfritt hvorvidt man ønsker å implementere en slik bestemmelse som flertallet foreslår i utkastet § 11.
I forbindelse med delutredning I (NOU 2003: 27), drøftet Datakrimutvalget problemstillingen, og kom til at det ikke var tilrådelig å innføre et slikt straffebud. Utvalget la da til grunn at det dreier seg om forberedelseshandlinger som normalt er straffrie etter norsk rett. Straff er samfunnets skarpeste reaksjon mot uønsket adferd, og bør brukes med varsomhet. Særlig varsom bør man være med å kriminalisere forberedelseshandlinger. Slike handlinger krenker normalt ikke beskyttelsesverdige interesser, og det kan være usikkert om den straffbare handlingen som forberedes, vil bli gjennomført. Mindretallet slutter seg til denne vurderingen. Ser man bort fra besittelse av særlig farlige gjenstander, for eksempel plutonium og uran (straffeloven § 152 a) eller sprengstoff (straffeloven § 161) er det normalt ikke straffbart å besitte gjenstander som kan benyttes til kriminelle formål, heller ikke om dette var hensikten med anskaffelsen. Med unntak av selvspredende dataprogram (se kapittel 5.7.6), mener mindretallet at den type verktøy som omtales i artikkel 6, neppe kan sies å være verktøy som i seg selv er spesielt skadelig eller farlige. Som det vil bli redegjort for i det følgende, er det hovedsaklig snakk om dataprogrammer som i tillegg til å kunne brukes til å begå straffbare handlinger som datainnbrudd, også kan benyttes til lovlige og nyttige formål.
Utkastet § 11 straffbelegger det å uberettiget anskaffe, fremstille, modifisere, besitte eller tilgjengeliggjøre dataprogram som er særlig egnet til å begå handlinger som er straffbare etter utkastet §§ 4-8, 10 og 13-14. For å forstå hvorfor dette blir et vidtrekkende straffebud, er det nødvendig å gå gjennom noen av de typer dataprogrammer dette gjelder.
§ 4 Ulovlig tilgang til datasystem
Programmer for å skaffe seg ulovlig tilgang til datasystem finnes i flere kategorier. Det typiske eksemplet er såkalte «exploits» (omtalt i kapittel 3.4.1). Exploits kan benyttes til å skaffe seg ulovlig tilgang til datasystem, men kan også benyttes til å verifisere om spesielle sårbarheter finnes på en datamaskin.
Programmer for fjerninnlogging kan også sies å være egnet til å begå datainnbrudd, idet slike programmer kan benyttes til å logge seg på med andre brukernavn og passord. Det er neppe tvilsomt at den lovlige bruken av slike programmer er langt mer omfattende enn den ulovlige.
§§ 5 og 6 Data- og informasjonstyveri
Programmer som er særlig egnet til å begå data- og informasjonstyveri inkluderer blant annet verktøy som avlytter nettverkstrafikk, ved å lagre dataene som passerer på nettverket. Programmet tcpdump er et eksempel på et slikt program. Dette programmet distribueres sammen med de fleste UNIX-operativsystemer (for eksempel Linux), og er mye brukt i forbindelse med utvikling av nettverksprogrammer.
§§ 7 og 13 Datamodifikasjon og driftshindring
Programmer som er særlig egnet til å begå datamodifikasjon eller driftshindring omfatter en rekke forskjellige programmer som kan kalles skadeverksprogrammer. En stor kategori av slike programmer, som utfører spesielt stor skade er programmer som sprer seg selv ved å skaffe seg ulovlig tilgang til datasystemer. Slike programmer er omtalt i kapittel 3.4.8, og befatningen foreslått kriminalisert som selvstendig straffbar handling i utkastet § 12. Mindretallets reservasjon omfatter som nevnt ikke utkastet § 12.
Ser man bort fra selvspredende programmer, kan det være tale om programmer som er spesiallaget for å gjøre modifikasjoner på en bestemt maskin (trojaner), eller det kan være programmer som er laget for å sende store datamengder mot andre datamaskiner (tjenestenektprogrammer).
§ 14 Masseutsendelse av elektroniske meldinger
Det kan finnes en rekke forskjellige programmer som vil være velegnet for masseutsendelse av elektroniske meldinger. Vanlige e-postprogrammer er eksempler på slike, men også programmer som er spesiallaget for masseutsendelse av e-post eller sms.
Etter mindretallets vurdering er det etter flertallets forslag usikkert hvilke programmer som vil rammes av den foreslåtte bestemmelsen og hvilke som ikke vil det. Hva som ligger i «særlig egnet», vil det nok herske delte meninger om. Det er ikke tvil om at det finnes mange programmer som er særlig egnet til å begå straffbare handlinger som også har nyttige funksjoner. Det er snakk om programmer som finnes åpent tilgjengelig på databaser på internett, og som i flere tilfeller følger med som en integrert del av annen programvare, for eksempel sikkerhetsprogrammer og operativsystemer.
Mindretallet frykter at en slik omfattende straffbelegging av befatning med slik programvare som flertallet legger opp til, vil ha en betydelig kjølende effekt på IT-bransjen i Norge. Dersom man engasjerer seg i utvikling av programvare som viser seg å også være særlig egnet til å begå straffbare handlinger etter datakrimkapitlet, risikerer man å bli straffet for dette. Det er ikke mulig å drive med datasikkerhetsvirksomhet uten å ha befatning med dataprogrammer som er særlig egnet til å begå datakriminalitet. Det vil være lett (for eksempel fra en konkurrent) å hevde at et datasikkerhetsverktøy også kan benyttes til å muliggjøre datainnbrudd, og at dette har vært en del av motivasjonen ved fremstillingen. Dermed vil man kunne bli mistenkeliggjort og utsatt for strafforfølgning (med rette eller urette) for å ha begått en aktivitet som samfunnet i utgangspunktet ønsker og oppmuntrer til. Det kan hevdes at bestemmelsen i realiteten pålegger datasikkerhetsbransjen en plikt til å være ekstra varsomme og å dokumentere at den virksomheten man driver med ikke på noe tidspunkt er motivert av et ønske om å muliggjøre at andre kan begå straffbare handlinger. En slik plikt kan nok føles byrdefull, såfremt konkurrentene i utlandet ikke har noen tilsvarende plikt.
Mindretallet forstår flertallets ønske om å gjøre verktøy som kan benyttes til datakriminalitet vanskeligere tilgjengelig. Det er ikke tvilsomt at når slike verktøy er lett tilgjengelig blir det lettere å begå datainnbrudd på datamaskiner som ikke er sikret mot kjente sårbarheter. Mindretallet vil imidlertid peke på at den samme tilgjengeligheten gjør det mulig for den som vil beskytte seg mot slike datainnbrudd å finne ut hvilke metoder som benyttes. Ved at verktøyene er tilgjengelige, kan datasikkerhetsbransjen avdekke hvilke sårbarheter som utnyttes og beskytte seg ved å fjerne sårbarhetene. Flertallets forslag medfører at det blir belagt med straff å tilgjengeliggjøre verktøy som benyttes til datainnbrudd. Formålet med denne straffbeleggelsen er å gjøre verktøy for datainnbrudd mindre tilgjengelig, slik at det blir vanskeligere å begå denne type handlinger. Mindretallet frykter at dette vil føre til at metodene som kriminelle bruker for å begå datainnbrudd ikke blir kjent for datasikkerhetsmiljøet, slik at man ikke kan beskytte datamaskiner mot de verktøyene som de kriminelle bruker. Resultatet kan altså bli stikk motsatt av det man ønsket å oppnå: Datasikkerheten vil bli dårligere fordi det ikke lenger vil være mulig å beskytte systemene mot de datainnbruddsmetoder som benyttes. Dermed vil det ikke lenger være mulig å beskytte datasystemer med et høyt sikkerhetsbehov mot kjente angrep, slik det er i dag.
Flertallets forslag til § 11 kriminaliserer tilgjengeliggjøring av dataprogram som er særlig egnet til å begå datakriminalitet. Enhver form for tilgjengeliggjøring rammes, enten det er massiv distribusjon eller tilgjengeliggjøring ved at man gir verktøyet videre til en annen person. Utkastet § 1 bokstav b definerer dataprogram som
«Data i form av en sekvens av instruksjoner som kan utføres i et datasystem, herunder kildekode.»
En konsekvens av flertallets forslag er dermed at også tilgjengeliggjøring av beskrivelser av virkemåten til programmer som er «særlig egnet» til å begå datakriminalitet vil rammes. Kildekode er en beskrivelse av virkemåten til et dataprogram, i en form som er lett forståelig for mennesker og som er eller kan oversettes til et kjørbart dataprogram. En slik beskrivelse er som en prosatekst som beskriver virkemåten til programmet. Teksten følger som enhver tekst grammatiske og syntaktiske regler, som i tilfelle kildekode er definert i programmeringsspråket som er benyttet. På bakgrunn av dette ønsker mindretallet å påpeke forslagets innvirkning på ytringsfriheten. Det er fare for at utkastet § 11 innebærer et utilbørlig inngrep i retten til å fremsette ytringer som inneholder beskrivelser av omgåelse av sperrer på datasystemer, i form av kildekode. Det er ikke straffbart å fremsette slike ytringer i dag. Mindretallet er bekymret for at § 11 utgjør en begrensning i ytringsfriheten. I så fall må dette begrunnes i tungtveiende hensyn som er klart definerte, jf. drøftelsen i kapittel 7.2. Mindretallet mener at det verken foreligger eller er anført slike tungtveiende hensyn. Derimot er det som nevnt tungtveiende hensyn som taler mot å straffbelegge slike ytringer.
Mindretallet er etter dette kommet til at utkastet § 11 ikke bør implementeres i straffeloven og at Norge fortsatt bør reservere seg mot datakrimkonvensjonens artikkel 6 for så vidt gjelder slike verktøy som er nevnt i artikkel 6 nr. 1, b og nr. 1, a, i. Dette er i samsvar med konklusjonen i Datakrimutvalgets delutredning I (NOU 2003: 27).
Flertallet foreslår at straffeloven § 262 første ledd og åndsverksloven § 53a annet ledd og § 53c inkorporeres i utkastet § 11. For å unngå å utvide kriminaliseringen av dataprogram og utstyr som nevnt, foreslår mindretallet at straffeloven § 262 første ledd og åndsverksloven § 53a andre ledd og § 53c, opprettholdes som egne bestemmelser. Straffeloven § 262 første ledd kan eventuelt innarbeides i datakrimkapitlet.
5.7.6 Selvspredende dataprogram
De legislative hensyn
Utvalget går enstemmig inn for å kriminalisere befatning med selvspredende dataprogram. Begrunnelsen er at selve den egenskap at det sprer seg selv er så skadelig at det bør være straffbart å fremstille, modifisere, anskaffe og spre det. Det preventive formål er med andre ord vesentlig. Den rene besittelse foreslås ikke kriminalisert siden problemets karakter nettopp består i at programmet legger seg på fremmede vertsmaskiner, slik at svært mange kommer i besittelse av denne type program, om enn ufrivillig. Det vises til de nærmere overveielser omkring besittelse nedenfor.
Den selvspredende egenskapen innebærer at spredningen ikke lar seg styre eller begrense når programmet først er tilgjengeliggjort. Det finnes neppe legitime grunner til å fremstille dataprogrammer hvor spredningen ikke lar seg kontrollere. De skadelige konsekvenser er godt dokumentert, se kapittel 3.4.8. Nødvendige beskyttelsestiltak må skje defensivt, det vil si ved å ta i bruk antivirusfiltre og programvare som er sikkerhetsmessig oppdatert, slik at datasystemet ikke skal kunne la seg infisere av det selvspredende programmet. Karakteristikken «virus» som ofte benyttes på dataprogram med selvspredende egenskap, er for så vidt dekkende for å beskrive hva slags problem dette utgjør. Bare kostnadene som følger med anskaffelse og bruk av nødvendige sikkerhetstiltak representerer enorme beløp. Dette har for så vidt skapt et stort marked for datasikkerhetsprodukter og -tjenester, men representerer egentlig unødvendige kostnader.
Dataprogram som ikke har annen egenskap enn at det ukontrollert sprer seg selv, er trafikk i nettet som bør stanses. De hensyn som gjør seg gjeldende er langt på vei de samme som kan anføres mot spam (søppelpost), nemlig at det utgjør en belastning og ikke har et selvstendig formål som begrunner eller rettferdiggjør spredningen, se merknadene om spam i kapittel 5.6.6.
Ofte har selvspredende dataprogram i tillegg slik funksjonalitet at de skaper en sårbarhet eller annen uønsket effekt på vertsmaskinen. Dette rammer systemintegriteten, noe som anses som en meget negativ effekt, se nærmere om hensynet til systemintegriteten i kapittel 4.6.2. Det har således forekommet at slike program lager «bakdør» på datasystemer. Deretter kan man ved bruk av elektronisk kartlegging identifisere hvilke datasystemer som på denne måten er blitt sårbare for inntrengning og misbruk, og utnytte dem deretter. Slik elektronisk kartleggingsvirksomhet er for øvrig foreslått kriminalisert, jf. utkastet § 2.
Det har også vært spredt selvspredende dataprogram som foruten å spre seg selv til andre datasystem, har kopiert seg selv kontinuerlig på vertsmaskinen slik at kapasiteten blir for hardt belastet og vertsmaskinen slutter å fungere. Ytterligere har det forekommet at selvspredende dataprogram har kopiert innhold fra vertsmaskinene og lagt det åpent tilgjengelig på internettservere. Disse egenskapene krenker hensynene til integritet, tilgjengelighet og konfidensialitet.
Uavhengig av om dataprogrammet har funksjonalitet utover selvspredningen, er konsekvensen at det uberettiget legger seg på en vertsmaskin og at det skjer en modifikasjon i programutrustningen eller andre data på denne. Det kan også skapes så stor belastning både på datasystemene og i selve nettet at det kan gå drastisk ut over driften. Forbudet mot selvspredende dataprogram har følgelig et nært slektskap med reglene i utkastet § 4 om ulovlig tilgang til datasystem, utkastet § 7 om datamodifikasjon og utkastet § 13 om driftshindring. Dessuten gjør til dels de samme hensyn seg gjeldende som for spam, jf. utkastet § 14.
Overveielser vedrørende de straffbare befatningsformer og skyldform
Utvalget går inn for å straffe fremstilling, modifisering, anskaffelse, tilgjengeliggjøring og initiering av spredning av selvspredende dataprogram. Det vises til merknadene i de spesielle motivene om disse alternativene. Ytterligere to befatningsformer har vært vurdert, nemlig besittelse og markedsføring, sammenlign de tilsvarende alternativene i utkastet §§ 10 og 11.
Utvalget har ikke foreslått å kriminalisere besittelse av selvspredende dataprogram. For det første er selve problemet manifestert ved at mange er i uønsket besittelse av programmet, og kanskje uten selv å være klar over det. De har mottatt programmet elektronisk uten å ha foretatt noen aktiv handling. Det kan synes betenkelig å sette straff for den vanligste befatningsformen, hvor det hele da avhenger av skyldkravet. Dessuten kan det tenkes å oppstå tilfeller hvor det virker urimelig å anvende straff når årsaken til at besittelsen har oppstått ikke har sammenheng med noen straffverdig handling hos innehaveren av vertsmaskinen. Besittelse som følge av aktive handlinger som fremstilling og anskaffelse, rammes uansett indirekte ved at de nevnte forutgående handlinger er gjort straffbare. Grunnleggende sett vil besittelsen i de tilfelle den har oppstått ufrivillig ikke kunne anses å være rettsstridig. Det synes heller ikke å foreligge noe større behov for å anvende straff i slike tilfelle.
Det foreslås heller ikke straff for å markedsføre selvspredende dataprogram, siden det karakteristiske ved programmet er at det sprer seg selv. Verken markedsføring i seg selv eller det å kriminalisere eventuell markedsføring, ses å tjene noe fornuftig formål.
Utvalget har sett nøye på de straffalternativ som gjelder spredning av selvspredende dataprogram. Et slikt program kan spres fra et sted til et annet uten at den selvspredende funksjonen nødvendigvis er iverksatt. I et slikt tilfelle er det tale om spredning uten at det selvspredende dataprogrammet er startet opp. Som eksempel kan man tenke seg en programmerer som lager et selvspredende dataprogram som han lagrer på en cd-plate. Dersom han gir cd-platen til en kollega er programmet spredt, men selvspredningen er ikke iverksatt fordi det krever at programmet startes opp. Det å starte programmet leder med nødvendighet til at den selvspredende egenskapen aktiviseres, det vil si at man mister kontroll med spredningen. Denne handlingen kan kalles å initiere spredning.
Utvalget mener at begge de nevnte handlinger bør være straffbare. Det skadeligste er å starte opp et program med selvspredende funksjonalitet siden man da må regne med å miste kontrollen over det. I det minste er risikoen for tap av kontroll svært stor. Utvalget mener derfor at det må kreves stor grad av aktsomhet i omgang med slikt dataprogram og at det å starte det opp bør være straffbart også i sin grovt uaktsomme form.
I denne sammenheng er det naturlig å nevne hensynet til forskning. Det er et viktig rettspolitisk hensyn at forskningen ikke skal bli skadelidende følge av den strafferettslige regulering. Dette hensynet tillegges derfor generelt stor vekt ved rettsstridsvurderingen. Men for så vidt gjelder selvspredende dataprogram er skadevirkningen av spredning så stor og veldokumentert at det er vanskelig å se hensyn som gjør det legitimt å fremstille eller initiere slikt program, selv om det skjer i et forskningsmiljø. Det at en aktivitet er eller kaller seg forskning, er i dette henseende ikke nødvendigvis fritakende for straff.
Utvalget går ikke inn for å anvende grov uaktsomhet som skyldform for andre befatningsformer enn initiering av spredning. Dette har sammenheng med et annet rettspolitisk utgangspunkt, nemlig at straffebudene skal verne om den alminnelige borgers behov for beskyttelse og at man må unngå å utforme reglene slik at de blir urimelig byrdefulle for borgerne. Imot dette kan det fremholdes at ved å anvende en skjerpet skyldform kunne man oppnå en viss preventiv effekt og redusere det omfattende virusproblemet. Utvalget mener imidlertid at det er fare for at et vilkår om grov uaktsomhet vil kunne få for stor slagvidde for alternativene anskaffelse og tilgjengeliggjøring av selvspredende dataprogram.
Overfor fremstillingsalternativet er grov uaktsomhet uansett lite praktisk, siden man vanskelig kan tenke seg at en programmerer uforvarende skulle skrive kildekode som inneholdt instruksjoner om selvspredning. Anskaffelse og tilgjengeliggjøring (spredning) derimot, kan skje uforvarende dersom man ikke har sikret seg mot å bli utsatt for datavirus. Dette krever at man tar i bruk antivirusprogrammer og sørger for jevnlig oppdatering av programutrustningen. Borgerne er i stor grad avhengig av profesjonelle tjenesteytere for å kunne sikre seg. Utvalget mener at ansvar for å tilrettelegge for sikker bruk av datatjenester og elektronisk kommunikasjon først og fremst bør påhvile de profesjonelle aktører. Utvalget deler således ikke Sikkerhetsutvalgets utgangspunkt om at det påhviler et eget ansvar for den enkelte bruker med hensyn til dette problemet, jf. uttalelser og anbefalinger i utredningen i NOU 2006: 6 «Når sikkerheten er viktigst» side 108. Utvalget går derfor inn for å anvende forsett som skyldform for alle straffalternativene i utkastet § 12, med unntak av det å initere spredning av selvspredende dataprogram.
Gjerningsbeskrivelsen i utkastet § 12 er fordelt på to ledd, hvor de forsettlige overtredelsesformer er plassert i første ledd, mens det å initiere spredning av selvspredende dataprogram er plassert i annet ledd. Initieringsalternativet foreslås altså å være straffbart både i forsettlig og grovt uaktsom form, se også utkastet § 17.
Strafferammer
Som nevnt legges det til grunn at den selvspredende egenskapen i seg selv er tilstrekkelig grunn for kriminalisering. Den ordinære strafferammen for straffbar befatning med denne typen selvspredende dataprogram foreslås satt til bøter eller fengsel inntil 1 år. Dersom programmet har annen skadelig funksjonalitet i tillegg er det grunn til å anvende strengere straff, og det foreslås at strafferammen for slike tilfeller øker til fengsel inntil 3 år. For grov overtredelse foreslås strafferammen satt til fengsel inntil 6 år.
5.8 Databedrageri og kontomisbruk
5.8.1 Innledning
Utvalget har vurdert databedrageribestemmelsen. Etter datakrimkonvensjonen artikkel 8 er Norge forpliktet til å ha straffebud som rammer forsettlig handling som
«påfører andre tap av eiendom gjennom
innlegging, endring, sletting eller utilgjengeliggjøring av elektroniske data,
inngrep som forstyrrer et datasystems drift, i den svikaktige eller uredelige hensikt å skaffe seg eller andre urettmessig økonomisk vinning.»
I delutredning I konkluderte Datakrimutvalget med at den gjeldende bestemmelsen i straffeloven § 270 første ledd nr. 2 alene oppfyller hele forpliktelsen etter artikkel 8, og foreslo følgelig ikke noen endring i bestemmelsen. Alternativet i artikkel 8 b, anses å ha liten selvstendig betydning ved siden av alternativet i bokstav a. Uansett forutsettes det at det skjer forstyrrelser i prosessene på datasystemet. Dette dekkes av alternativene i den gjeldende databedrageribestemmelsen.
I delutredning VII kapittel 9.18 side 380, foreslås bedrageribestemmelsen videreført i utkastet § 32-1 om bedrageri. Det opplyses kort at man foreslår «videreført her både den tradisjonelle bestemmelsen om bedrageri og straffebudet mot databedrageri». Utformingen av databedrageribestemmelsen er ikke kommentert.
5.8.2 Hjemmel og historikk
Datakrimutvalget har sett på databedrageribestemmelsen på nytt, i lys av erfaringene med bruken av bestemmelsen og sammenhengen med de øvrige bestemmelsene i lovforslaget.
Databedrageribestemmelsen lyder som følger, jf. straffeloven § 270 første ledd nr. 2:
«For bedrageri straffes den som i hensikt å skaffe seg eller andre en uberettiget vinning [...]
2) ved bruk av uriktig eller ufullstendig opplysning, ved endring i data eller programutrustning eller på annen måte rettsstridig påvirker resultatet av en automatisk databehandling, og derved volder tap eller fare for tap for noen.»
Databedrageribestemmelsen ble tatt inn i straffeloven i forbindelse med lovrevisjonen om datakriminalitet i 1987. Bestemmelsen var begrunnet i et behov for å dekke tapsvoldende manipulasjoner av datasystem som ble begått i vinnings hensikt. Man mente at manipulasjonen var beslektet med et ordinært bedrageri. Men siden bedrageribestemmelsen oppstiller krav om «villfarelse», det vil si en subjektiv tilstand som bare kan oppstå hos et menneske, kunne den ikke anvendes overfor manipulasjon av datasystemer. Det var derfor behov for en særlig bestemmelse som rammet dette.
5.8.3 Problemstillinger
Straffeloven § 270 første ledd nr. 2 angir tre alternative misbruksformer, henholdsvis:
«ved bruk av uriktig eller ufullstendig opplysning»,
«ved endring i data eller programutrustning»,
«eller på annen måte».
I tillegg kreves det at handlingen «rettsstridig påvirker resultatet av en automatisk databehandling» og derved volder økonomisk tap eller fare for tap.
Alternativene er delvis overlappende, men det typiske er at første alternativ overtres ved å tilføre datasystemet opplysninger det ikke hadde fra før, annet alternativ ved å foreta endringer i data eller programutrustning som allerede er på datasystemet, og tredje alternativ, for eksempel ved å slette data, se Bratholm og Matningsdal: Straffeloven kommentarutgave side 724. Misbruk av kredittkort vil derfor kunne rammes etter første eller tredje alternativ. Til illustrasjon av bestemmelsen kan det vises til saksforholdet i noen Høyesterettsavgjørelser.
Rt. 1990 side 955. Domfelte hadde bokført fiktive bilag som leverandørgjeld i arbeidsgiverens databaserte regnskapssystem, samtidig som de ble bokført som utgående moms. Fakturaene kom til utbetaling over domfeltes lønnskonto.
Rt. 1991 side 532 (BBS-dommen). Dommen gjaldt forsøk på databedrageri. De to domfelte hadde endret kontoopplysninger i datasystemet til Bankenes Betalingssentral, ved å erstatte kontonumrene til lokale trygdekontorer med sine egne konti. Den månedlige overføringen fra Rikstrygdeverket til de lokale trygdekontorene ble derfor i stedet styrt til de domfeltes konti i utlandet. Gjennomføringen lyktes ikke siden varslingssystemet i BBS ba om kontroll på en meget stort delbeløp (kr. 512 millioner) som inngikk i det totale beløpet som var til overføring (kr. 889 millioner), med den følge at bedrageriforsøket ble oppdaget.
Rt. 1994 side 740. Domfelte var ansatt i en bank som kunderådgiver med bevilgningsfullmakt. Hun åpnet fem spesifiserte konti med seg selv som tilskriveradressat, og på en sjette konto endret hun tilskriveradressen med seg selv som adressat. Hun innvilget kreditter og overtrekkslimiter på kontiene. Ved girobelastninger, kontouttak og overføringer disponerte hun kontoene slik at det oppsto betydelig negativ saldo. Banken led tap eller fare for tap for et tilsvarende beløp.
Rt. 1995 side 1872 (pinkodekjennelsen). Domfelte hadde skaffet seg adgang til og aktivisert dataprogrammer i telefonselskaper eller deres abonnenters datamaskiner. De ble derved påført tap i form av uriktig tellerskrittbelastning. Dermed påvirket han resultatet av en automatisk databehandling.
5.8.4 Behovet for en ny lovbestemmelse
De mest praktiske tilfeller av databedrageri er uberettiget bruk av andres kredittkort eller debetkort i situasjoner hvor slike kort eller kortinformasjon benyttes i maskinelle prosesser og kortet ikke kontrolleres av mennesker. Det fremgår imidlertid ikke uttrykkelig av lovteksten at disse situasjonene faller inn under bestemmelsene om databedrageri.
For å klargjøre dette, foreslår utvalget en ny lovbestemmelse om kontomisbruk. Bestemmelsen omfatter imidlertid langt mer enn misbruk av kort. Når det er utstedt et kort, foreligger det i alle profesjonelle tilfeller et kontoforhold som er knyttet til kortet. Det er således den uberettigede bruken av kontoen om representerer databedrageriet. Utvalget foreslår derfor en generell lovbestemmelse som skal ramme alle former for misbruk av konto – uavhengig av om det er knyttet kort eller annen representasjon til kontoforholdet eller ikke.
Bruk av stjålet kort eller kortopplysninger rammes i dag av databedrageribestemmelsen første alternativ om «bruk av uriktig eller ufullstendig opplysning». Dette kan synes noe kunstig fordi opplysningene som avgis, kredittkortnummeret og sikkerhetskoden, isolert sett er riktige. Derimot forties det ikke uvesentlige forhold at man ikke er berettiget til å bruke kortet. Man har dog muligheten for å anvende det siste alternativet i straffeloven § 270 første ledd nr. 2, nemlig «på annen måte». I rettspraksis presiseres det ikke bestandig hvilket alternativ som er anvendt i det konkrete tilfellet. Det antas imidlertid at det kan være klargjørende med et eget straffebud som tar sikte på slike former for misbruk. Det er en krenkelse som forekommer hyppig og som med fordel kan komme klarere til uttrykk i loven.
Det kan reises spørsmål om de tre straffalternative i straffeloven § 270 nr. 2, dekkes av andre straffebestemmelser. Uberettigete endringer på datasystemer m.v. kan rammes som dataskadeverk, jf. straffeloven § 291, og som datamodifikasjon jf. utkastet § 7. Endringer kan også etter omstendighetene rammes som uberettiget bruk av datasystem, jf. straffeloven §§ 261 og 393, og utkastet § 8. Dette poenget er også fremhevet i Explanatory Report til datakrimkonvensjonen, punkt 87, hvor det står: «The elements of ’input, alteration, deletion or suppression’ have the same meaning as in the previous articles». Det er imidlertid klart at misbruk i form av avgivelse av uriktige opplysninger til datasystem ikke omfattes av utkastet §§ 7 og 8. Ofte gis informasjonen på en måte som i utgangspunktet er rettmessig, for eksempel ved at webskjemaer fylles ut og sendes til en nettbutikk. Innholdet som formidles er imidlertid uriktig idet brukeren ved å sende inn skjemaene utgir seg for å ha rett til å bruke andres konti. I slike situasjoner kan ikke bestemmelsene om datamodifikasjon og uberettiget bruk av datasystem benyttes. Det vil derfor være behov for en bestemmelse som knytter seg til det sentrale element i handlingen, nemlig misbruk av andres konto.
5.8.5 Kontomisbruk
Kontomisbruk foreligger når noen uberettiget benytter en konto som tilhører en annen.
Hva er en konto?
En konto foreligger når noen har bestemte rettigheter hos andre basert på et avtaleforhold. Begrepet konto er søkt definert i utkastet § 16 annet punktum. Etter definisjonen er det et vilkår at informasjon om rettighetene er lagret elektronisk. Det er her tenkt på at lagringen skjer i datasystemer som den forpliktede har rådighet over. Slik elektronisk lagring skjer i praktisk talt alle profesjonelle forhold i dag, så denne delen av definisjonen innebærer knapt noen praktisk begrensning i slike forhold.
Rettighetene det er snakk om, er rettigheter av økonomisk art. Det kan være tale om et innskudd av penger som kan benyttes til for eksempel varekjøp eller annet. Et eksempel på en slik konto vil være en bankkonto. Det kan videre være tale om en rett til kreditt. Kredittavtale med et kredittkortselskap er et praktisk eksempel på en slik konto. Det samme gjelder konti som faller inn under lov om e-pengeforetak av 13. desember 2002 § 1 (for eksempel en PayEx-konto). Rettighetene kan imidlertid bestå av annet enn penger, for eksempel rett til å motta tjenester. Et eksempel på en slik rettighet er retten til en flyreise. Når en elektronisk flybillett kjøpes mot forskuddsbetaling, vil det foreligge en rett til reisen for kjøperen som er lagret i flyselskapets datasystem. Også dette er en konto. Andre slike konti er konti som gir rett til et visst antall bussreiser eller et visst antall passeringer av veibommer. I praksis finnes det et stort antall varianter av slike konti. For at de skal falle inn under lovutkastet, er imidlertid kravet at rettighetene som er knyttet til kontoforholdet har økonomisk verdi.
En konto på en nettside som tilbyr gratis tjenester og hvor alle kan registrere seg som brukere, faller dermed utenfor definisjonen. Denne tjenesten har ikke økonomisk verdi. Motsatt forholder det seg med en konto på et betalingsbelagt nettsted som tilbyr informasjonssamfunnstjenester, for eksempel rett til å gjøre oppslag i et elektronisk leksikon. Ytes det betaling i tilknytning til bruken, har bruksrettigheten økonomisk verdi. Det karakteristiske er her at det leveres en tjeneste mot betaling knyttet til et løpende kontoforhold.
Kontoforhold er som regel knyttet til en navngitt fysisk eller juridisk person. Et kontoforhold med et kredittkortselskap med tilknyttet kredittkort er alltid knyttet til en bestemt rettighetshaver. Det kan imidlertid også tenkes anonyme konti som bare er knyttet til for eksempel en nummeridentifikasjon, pinkode eller et ihendehaverbevis. Et eksempel på slike konti er anonyme PayEx-konti (som kan kjøpes anonymt for et begrenset beløp). Også de anonyme konti er ment omfattet av utvalgets lovforslag.
Noen kontoforhold er løpende og andre gjelder engangsforhold. Et løpende kontoforhold er for eksempel en konto som gir løpende rett til kredittkjøp på en netthandel. En engangskonto kan for eksempel være retten til en bestemt flyreise på en bestemt dato. Begge typer konti er i utgangspunktet ment omfattet av lovforslaget.
Det er ofte knyttet fysiske representasjoner til slike konti. De mest typiske eksemplene på dette er kredittkort eller debetkort. De mest typiske eksemplene på kontomisbruk er derfor misbruk av andres kredittkort eller debetkort. Det er imidlertid intet krav at det skal være fysiske representasjoner knyttet til kontoforholdet.
I noen tilfeller er all informasjon om rettighetenes omfang og bruk lagret i en fysisk representasjon som innehaveren besitter. Det føres da ikke separat regnskap for innholdet og bruken av rettighetene andre steder. Armbånd med elektronisk brikke som gir rett til ytelser inntil et visst beløp, eventuelt adgang til visse steder eller begivenheter, er ofte i denne kategorien. Slike armbånd brukes i dag blant annet som oppgjørsmetode i svømmehaller og på festivaler. Det samme gjelder visse former for reisekort, for eksempel kort som gir adgang til et visst antall reiser med t-banen. Misbruk kan i så fall «tømme» representasjonen for verdi. Det karakteristiske er da at representasjonen ikke er knyttet til person og gir begrensede økonomiske rettigheter. Det er i slike tilfeller mest nærliggende å anvende bestemmelsene om tyveri og underslag på tredjemanns rettsstridige borttakelse eller tilegnelse av slike representasjoner. Det er derfor avgrenset mot slike tilfeller i forslaget til § 16 annet ledds annet punktum.
Hva er misbruk?
Misbruk vil foreligge dersom noen benytter en konto som tilhører en annen. Lovforslaget tar ikke sikte på bruk av egen konto i strid med avtaleforholdet. Bruken av kontoen må være uberettiget og skje forsettlig. Bruken må skje ved at det avgis opplysninger til et datasystem. Videre er det, i likhet med det som gjelder for bedrageribestemmelsene, i forslaget et vilkår at det voldes tap eller fare for tap for noen. Det er uten betydning om dette er den som kontoen er opprettet hos (for eksempel kredittkortselskapet), kontoinnehaveren, den som kontorettighetene søkes anvendt hos (for eksempel nettbutikken hvor kontoen søkes benyttet til betaling) eller andre. Som det fremgår, er det etter forslaget intet vilkår at det har oppstått tap. Det er tilstrekkelig at det forelå fare for tap.
Plassering av lovforslaget.
Utvalgets lovforslag er satt inn som § 16 i datakrimkapitlet. I motsetning til § 15 i forslaget, gjelder § 16 mange forhold som ikke spesielt er knyttet til data og datasystemer, selv om det som nevnt ovenfor er et vilkår i lovforslaget at informasjon om rettighetene er lagret elektronisk og at misbruket skjer ved at det avgis opplysninger til et datasystem. Det er derfor mulig at bestemmelsen alternativt kan plasseres sammen med bedrageribestemmelsene i straffeloven.
Særlig om bruk av stjålet kort eller kortopplysninger
Bruk av stjålet kredittkort blir ofte kalt kredittkortbedrageri. Språkbruken er ikke helt treffende. Ved bruk av kortet skjer en belastning som leder til at medkontrahenten i utgangspunktet får oppgjør ved at vedkommende får en fordring mot kredittkortselskapet. Den som bruker kortet pretenderer uriktig at han er rette innehaver av kortet, eller i det minste er berettiget til å bruke det. Denne pretensjonen har neppe betydning for medkontrahenten ved rent automatiserte oppgjør, som det her ofte er tale om, for eksempel når kortet benyttes på internett. Sikkerhetsmekanismen i transaksjonen er bruk av sikkerhetskode, og denne skal forutsetningsvis bare rette innehaver kunne disponere. Det kan for eksempel være en pinkode (noe han vet) eller et autogenerert passord (noe han har). Bruk av stjålet kort er en krenkelse overfor rette innehaver av kortet, eventuelt kortselskapet, men også medkontrahenten kan lide tap, dersom kortselskapet nekter å gjennomføre oppgjøret, til tross for at medkontrahenten allerede har levert ytelsen. Det kan også tenkes at kortselskapet fremsetter tilbakebetalingskrav (såkalt «charge back»). Også i dette tilfellet vil medkontrahenten lide tap. Misbruket av kortet vil derfor være til ulempe for alle de tre impliserte.
Bruk av falsk kort skal etter lovforslaget bedømmes på samme måte som bruk av stjålet kort. Bruk av stjålet eller falsk kort innebærer krenkelse av autentiseringsrutiner og kan anses som en økonomisk form for identitetstyveri (Dette tilfellet faller ikke inn under utkastet § 15, se kapittel 5.6.7).
Slikt kortmisbruk kan også utøves uten at kortet besittes av gjerningspersonen rent fysisk. Det er tilstrekkelig at gjerningspersonen har de opplysninger som fremgår av kortet. Ved transaksjoner på internett er det tilstrekkelig å avgi opplysning om kortnummer, navn på innehaver, utløpsdato og sikkerhetskode. Slike opplysninger kan versere i kriminelle miljøer og misbrukes. Den som er direkte utsatt for «bedrageriet» er medkontrahenten, siden aksepten av transaksjonen skjer på hans side. Men også kortinnehaverens og kortselskapets interesser er krenket på straffverdig måte.
Når urette vedkommende benytter debetkort eller andre representasjoner eller informasjon som er nødvendig for å misbruke en konto knyttet til representasjonen, blir problemstillingen den samme som beskrevet ovenfor i forhold til kredittkort.
Forholdet til gjeldende rett
Et straffebud om kontomisbruk bør komme til anvendelse uansett hva motytelsen består i. Etter gjeldende rett skal kortsvindel bare bedømmes som databedrageri når motytelsen består i noe annet enn kontanter eller varer. Når motytelsen består i gjenstander som kan «borttas» kommer nemlig tyveribestemmelsen til anvendelse i stedet. Dette følger i dag av sikker rett, se blant annet Rt. 1997 side 1771 med henvisninger til forarbeider og rettspraksis. Det vises også til Sunde 2006 «Lov og rett i cyberspace» kapittel 5.6.4 om disse problemstillingene. Utvalgets forslag innebærer derfor en endring i forhold til gjeldende rett.
Hvilken form motytelsen har, om det er et dataprodukt eller en nyhetstjeneste levert over internett, kontanter fra minibank eller bensin fra en bensinautomat, bør ikke ha noen betydning i forhold til et nytt straffebud om kontomisbruk. Det karakteristiske ved handlingen er det økonomiske identitetstyveriet. Karakteren av motytelsen er i så henseende uvesentlig. Det er imidlertid en forutsetning at kortet er benyttet og «akseptert» direkte av en datamaskin. Dersom et stjålet kort benyttes i en butikk eller drosje og kontrolleres av et menneske, skal den alminnelige bedrageribestemmelsen fortsatt anvendes, jf. straffeloven § 270 første ledd nr. 1.
Overbelastning av eget kort eller konto
En annen form for kortmisbruk består i at rette innehaver uberettiget overbelaster kortet. Dersom ytelsen består i kontanter eller varer som kan borttas, skal handlingen etter gjeldende rett bedømmes som tyveri, jf. Rt. 1982 side 1816, Rt. 1990 side 17 og Rt. 1995 side 1652. Utvalgets forslag omfatter ikke slike former for misbruk, og det foreslås her ingen endringer i gjeldende rett.
5.8.6 Bør straffeloven § 270 første ledd nr. 2 videreføres?
Slik databedrageribestemmelsen i dag er utformet, fremstår den som komplisert og relativt lite brukt. Videre er det spørsmål om hvor hensiktsmessig det er å anvende vilkåret om å påvirke «resultatet av en automatisk databehandling», som iblant kan by på tvil.
Ved en eventuell gjennomføring av reglene i lovforslaget vil betydningen av databedrageribestemmelsen uansett reduseres vesentlig. Det er imidlertid mulig å finne eksempler på tilfeller som ikke dekkes av reglene i lovforslaget. Dette indikerer et behov for databedrageribestemmelsen også i fremtiden. Man kan for eksempel tenke seg at kostbare varer påføres klistrelapper med falske strekkoder med lavere pris enn den ordinære. Dette fører i sin tur til at det blir beregnet en lavere pris enn det som er korrekt. Strekkodene leses deretter automatisk inn i et datasystem hvoretter oppgjør skjer automatisk basert på uriktige priser uten mellomkomst av mennesker. Et annet eksempel er at et datasystem tilføres uriktig informasjon som pretenderer å være et gyldig kontonummer, i forbindelse med en helautomatisert bestillingsprosess. I begge tilfellene tilføres datasystemet uriktige opplysninger, jf. første alternativ i databedrageribestemmelsen. Utvalget foreslår derfor ikke § 270 første ledd nr. 2 opphevet.
Det antas at den ovennevnte løsning oppfyller forpliktelsen etter datakrimkonvensjonen artikkel 8.
5.8.7 «Tellerskrittsaker»
Såkalte «tellerskrittsaker» er en merkelapp på handlinger av nokså ulik karakter, men som har det til felles at de resulterer i en rettsstridig belastning av tellerskritt. Dette er en økonomisk vinning for gjerningspersonen. Man kan i det minste sortere disse handlingene i fire kategorier:
Fysisk omkobling
Det kan for eksempel være tale om omkobling av ledninger i en telefonsentral eller på telefonlinjen til naboen. Til illustrasjon kan det vises til saksforholdene i tellerskritt-dommene i Rt. 1989 side 980 og i Rt. 1992 side 790. Også den eldre metode «blue boxing» er i denne kategorien, dvs. at det kobles til et apparat til telefonen som simulerer langdistanse telefonsignaler, som utnyttes for gjerningspersonens eget telefonbehov. Denne metoden er gått ut av bruk etter at telefonsentralene ble digitalisert. Tapet påføres i det siste tilfellet telefonselskapet, mens i de andre er det avhengig av hvordan omkoblingen har skjedd. Tapet kan da enten falle på abonnenten eller direkte på telefonselskapet. Etter gjeldende rett anses dette som rettsstridig bruk av løsøregjenstand og er straffbart etter straffeloven §§ 261 og 393. Fremgangsmåtene vil kunne rammes av utkastet § 8, jf. alternativet som gjelder misbruk av elektronisk kommunikasjonsnett.
Endring som skjer i datasystemet til telefonsentralen
Her tenkes det på endring som foretas i datasystemet til telefonsentralen for å sørge for å kunne ringe uten at bruken blir registrert på en selv. Denne fremgangsmåte forutsetter regulært at gjerningspersonen også har skaffet seg uberettiget tilgang til datasystemet, noe som etter gjeldende rett rammes av straffeloven § 145 annet ledd. Etter rettsoppfatningen i pinkodekjennelsen i Rt. 1995 side 1872, ble endringene ansett som databedrageri. Etter lovforslaget vil slike handlinger være straffbare som ulovlig tilgang til datasystem, jf. utkastet § 4, og datamodifikasjon, jf. utkastet § 7.
Misbruk av en annens telefonkort
Misbruk av en annens telefonkort rammes i utgangspunktet som tyveri eller underslag (borttagelsen eller tilegnelsen av kortet er avgjørende), og lovforslaget gjør ingen endring i dette.
Misbruk av en annens telefonabonnement
Misbruk av en annens telefonabonnement oppnås for eksempel ved avgivelse av en pinkode. I så fall står man overfor et tilfelle av kontomisbruk, jf. utkastet § 16. Det samme gjelder ved bruk av såkalte «klonede» mobiltelefoner, en metode som ble benyttet på eldre mobiltelefoner (NMT-teknologi). Dette gikk ut på å benytte falsk abonnementsidentifikasjon som belastet bruken på andre lovlige abonnementer. Tilfellet kan sammenlignes med bruk av falske kredittkort som er fremstilt på grunnlag av skimming. Også dette er kontomisbruk, jf. utkastet § 16.
For de handlemåter som er regulert i lovforslaget er det adgang til å ta hensyn til vinningen og tapet i forbindelse med vurderingen av om lovbruddet er grovt, jf. utkastet § 18.
5.9 Elektronisk dokumentfalsk
5.9.1 Gjeldende rett
De viktigste reglene om dokumentfalsk finnes i dag i straffeloven §§ 179-186. Begrepet «dokument» er definert i § 179. Definisjonen gjelder både form og innhold. I innhold er et dokument en tilkjennegivelse som er av betydning som bevis for en rett, en forpliktelse eller en befrielse fra en forpliktelse eller som fremtrer som bestemt til å tjene som bevis. I form er et dokument en gjenstand som i skrift eller på annen måte har et slikt innhold som nevnt.
Reglene gjelder både helt falske og forfalskede dokumenter, men ikke uriktig innhold i ekte dokumenter. Straffeloven § 182 og § 183 er straffebud som retter seg mot bruken av et falsk eller forfalsket dokument. Straffeloven § 185 gjelder selve forfalskningen eller anskaffelsen av falsk dokument og § 186 gjelder forberedelse.
Det er uklart i hvilken utstrekning data og databasert informasjon skal regnes som dokument og faller inn under reglene om dokumentfalsk. I diskusjonen om dette har begrepet «elektronisk dokument» vært lansert. I den såkalte BBS-dommen i Rt. 1991 side 532, hvor de domfelte blant annet ble dømt for overtredelse av straffeloven § 183, bemerket Høyesterett:
«Det er i og for seg klart at uberettigede endringer av data etter omstendighetene kan rammes som benyttelse av falsk dokument, jf. drøftelsen i NOU-1985-31 side 11-12.»
Når man i denne sammenheng anser data som en gjenstand, er det ved å anvende det funksjonelle gjenstandsbegrep, som er nærmere omtalt i kapittel 5.5.1. og 5.6.3.
For øvrig vises det til Andenæs og Bratholm: «Spesiell strafferett», 3. utg side 283-321, se særlig side 300, Sunde: «Elektronisk dokumentfalsk», Økokrims skriftserie nr. 9, 1995: «Datakriminalitet» side 202-210, NOU 1985: 31 side 11-12 og Schjølberg: «Cybercrime» side 60-64.
I motivene til nåværende straffelov er reglene om dokumentfalsk betegnet som en forbrytelse mot offentlig tillit (publica fides). Dette er tenkt videreført i ny straffelov, jf. NOU 2002: 4 side 374, hvor reglene foreslås videreført under kapitlet om «Vern av tilliten til dokumenter og penger». Dette innebærer at reglene kan anvendes i konkurrens med andre bestemmelser som verner andre goder, for eksempel datakrimbestemmelsene.
5.9.2 Datakrimkonvensjonen artikkel 7
Datakrimkonvensjonen artikkel 7 lyder slik i norsk oversettelse:
«Artikkel 7 - Datarelatert falsk
Hver part skal vedta de lover og andre tiltak som eventuelt er nødvendige for å fastslå som straffbare handlinger etter nasjonal rett, forsettlig, urettmessig tilførsel, endring, sletting eller fjerning av elektroniske data som fører til ugyldige data, i den hensikt at de skal anses som eller brukes i rettslig sammenheng som om de var ekte, enten de er direkte lesbare og forståelige eller ikke. En part kan stille som vilkår at det må foreligge svikaktig eller annen uredelig hensikt før straffansvar pådras.»
I NOU 2003: 27 viste Datakrimutvalget til straffeloven § 182 sammenholdt med Rt. 1991 side 532, og konkluderte med at det ikke var nødvendig med endringer i norsk rett for å oppfylle konvensjonens krav.
5.9.3 Straffelovkommisjonens syn
I NOU 2002: 4 har Straffelovkommisjonen forelått at reglene om dokumentfalsk skal videreføres i kapittel 31 i ny straffelov i betydelig forenklet form. Kapitlet har overskriften «Vern av tilliten til dokumenter og penger». Kommisjonen går inn for at straffebudet først og fremst skal rette seg mot forfalskningen. Bare dersom den som bruker det falske dokumentet ikke kan straffes for forfalskningen eller anskaffelsen av dokumentet, forelås bruken gjort straffbar som selvstendig overtredelse.
Kommisjonen uttaler at det ikke er innlysende at begrepet «dokument» bør videreføres. Begrunnelsen for dette er at begrepet i dag også anvendes på bevismidler som er fjernt fra ordets betydning i alminnelig språkbruk, blant annet på elektronisk lagret informasjon.
5.9.4 Datakrimutvalgets syn
Det faller utenfor Datakrimutvalgets mandat å utrede nye regler om dokumentfalsk. Dette har imidlertid en side mot datakriminalitet som fordrer klargjøring: I hvilken utstrekning skal falske data bedømmes etter de samme regler som falske papirdokumenter. I denne forbindelse har Datakrimutvalget valgt å presentere en skisse til enkelte regler i dokumentfalskkapitlet. Mer enn en skisse er det imidlertid ikke tale om, siden utvalget bare går inn på enkelte sider ved reglene om dokumentfalsk.
I prinsippet foreligger det flere alternative løsninger. En løsning kan være å ta inn en egen paragraf i datakapitlet som er bygget på samme lest som datakrimkonvensjonen artikkel 7 og utelate elektronisk lagret informasjon fra kapitlet om dokumentfalsk. Dette kan imidlertid skape tvil om hvor enkelte varianter skal henføres, for eksempel epost og sms-meldinger.
En annen løsning er å regulere dette i kapitlet om dokumentfalsk som i dag. I så tilfelle er det nødvendig å foreta endringer i definisjonene som i dag finnes i straffeloven § 179 for å klargjøre det presise anvendelsesområdet for bestemmelsene.
Begrepsmessig foreligger det to mulige løsninger. Den ene er å foreta en abstraksjon og lansere et nytt begrep som trer istedetfor begrepet dokument. Det nye begrepet må være videre enn det gamle dokumentbegrepet. En mulig betegnelse på et slikt begrep er «bevisbærer». Alternative begreper er «bevismidler» eller «bevisrepresentasjoner». En annen løsning er å lansere en underkategori under begrepet «dokument», som kalles «elektronisk dokument». Datakrimutvalget har blitt stående ved at den første typen løsning vil være enklest. Betegnelsen «elektronisk dokument» vil nok i utgangspunktet ha en kjerne som er lett å knytte til begrepet, for eksempel epost, lagrede tekstfiler m.v., men vil i andre tilfeller virke anstrengt i forhold til det som er ment rammet, for eksempel innhold i databaser og datalogger. Det synes derfor unødvendig kompliserende å anvende begrepet «elektronisk dokument». Anvender man et samlebegrep, er det heller ikke nødvendig å ta stilling til i hvilken underkategori det enkelte tilfelle skal henføres.
5.9.5 Elektroniske sertifikater og signaturer
Elektroniske sertifikater og signaturer er omhandlet ovenfor i kapittel 3.2.5. Esignaturloven har straffebestemmelser i § 21. Disse reglene gjelder imidlertid leverandører som unnlater å oppfylle sine plikter etter loven. Straffebestemmelsene der tar ikke sikte på misbruk av elektroniske signaturer eller sertifikater.
I forarbeidene til esignaturloven (Ot.prp. nr. 82 (1999-2000)) uttales det i kapittel 3.5:
«Den tekniske utviklingen på området går raskt og en elektronisk signatur som er sikker i dag, er neppe like sikker mot forfalskninger om noen år. Det bør overveies hvorvidt dokumenter, hvor det er behov for å identifisere undertegneren på en sikker måte også etter at sertifikatets gyldighetstid har utløpt, egner seg for elektronisk kommunikasjon, f. eks. avtaler som gjelder over lang tid eller testament. [...] NTNU uttaler at man ikke bør bruke elektroniske signaturer på dokumenter som skal være gyldige i mer enn ti år, på grunn av risikoen for at tilbakedaterte dokumenter kan signeres og dateres med et tidspunkt da signaturen var gyldig, dersom noen skulle klare å urettmessig tilegne seg signaturfremstillingsdataene.»
Det er på denne bakgrunn ingen tvil om at det er behov for å ta inn bestemmelser som rammer fremstilling av falske og forfalskede elektroniske signaturer og sertifikater i straffeloven. Utvalget har kommet til at det mest naturlige stedet å regulere slike tilfeller i straffeloven er i tilknytning til straffelovens regler om dokumentfalsk.
Et forhold påkaller særskilt oppmerksomhet: En vanlig underskrift vil alltid være falsk hvis den ikke er skrevet av rette vedkommende. En falsk elektronisk signatur kan imidlertid påføres av uvedkommende men likevel være ekte. Dette vil være tilfelle hvis signaturen påføres ved hjelp av tekniske hjelpemidler. Det er imidlertid åpenbart at dette bør være straffbart. Forutsetningen for dette er imidlertid at det er gjort uberettiget. Om sjefen for eksempel ber sekretæren påføre et elektronisk dokument sjefens elektroniske signatur, vil ikke dette være uberettiget. Forholdet skal da naturligvis heller ikke være straffbart.
Som nevnt inneholder esignaturloven og forskrift om krav til utsteder av kvalifiserte sertifikater m.v. straffebestemmelser. Disse straffebestemmelsene knytter seg til de strukturelle forholdene og beskytter selve PKI-strukturen. Datakrimutvalget ser derfor ingen grunn til å fremme noe forslag på dette området.
5.9.6 Datakrimutvalgets skisse til definisjonsparagraf
Datakrimutvalget foreslår følgende skisse til definisjonsparagraf:
Ǥ 31-1 Definisjoner
Med bevisbærer menes i dette kapitlet skriftlig dokument, trykt skrift, merke, data eller annet som etter sin art er beregnet på eller egnet til å tjene som bevis.
§ 31-2 Særregler for elektronisk signatur
Når elektronisk signatur er benyttet, anses objektet alltid som bevisbærer. Elektronisk signatur som uberettiget er påført av uvedkommende, regnes alltid som falsk bevisbærer.»
5.9.7 Kommentarer til forslaget
Ved utformingen av definisjonen av ordet «bevisbærer» er det sett hen til det tilsvarende begrepet «informasjonsbærer» i ny straffelov § 76. Forslaget inneholder som tidligere både definisjon av form og innhold.
Når det gjelder innhold , omfatter forslaget dispositive utsagn, erklæringer, logger og annet så fremt det er beregnet på eller egnet til å tjene som bevis. Hovedsakelig tenker en her på bevis som kan anvendes i rettslig sammenheng, men en har ikke funnet grunn til å avgrense til dette i lovteksten. En attest fra tidligere arbeidsgiver bør for eksempel falle inn under definisjonen uavhengig av om den er aktuell å benytte i rettslig sammenheng eller ikke. Bevisene kan gjelde både rettslige og faktiske forhold, men det er naturlig å holde utenfor det som gjelder rene faktiske forhold som er uten betydning i rettslig sammenheng. Utvalget finner ikke grunn til å gå nærmere inn på definisjonen av innholdet, da denne må vurderes uavhengig av formen. Det foreligger her ingen spesielle hensyn i forhold til teknologien.
For så vidt angår definisjonen av formen , vises det til definisjonen av begrepet «data» i datakrimkapitlet § 1. Enhver representasjon av informasjon som ikke er lesbar uten bruk av teknisk utstyr anses som data. Dette vil for eksempel omfatte informasjon som er lagret i magnetstripe eller en integrert krets på et kort. Definisjonen omfatter data som ved maskinlesing fremtrer skriftlig, visuelt eller auditivt som definert i ny straffelov § 76.
Forslaget innebærer at e-post, tekstmeldinger, websider og lignende anses som bevisbærer så fremt innholdet er av en slik art at det faller inn under definisjonen. Det samme gjelder andre former for elektroniske publikasjoner, for eksempel tekster beregnet på nedlasting og tekstfiler beregnet for lesing på datamaskin, PDA etc, herunder elektroniske bøker. Innholdet i skjemaer som overføres over internett, for eksempel bestillingsformularer som brukes i nettbutikker, er også inkludert i definisjonen av bevisbærer. Slike skjemaer inneholder ofte moderne former for dispositive utsagn, som ligger i kjerneområdet for det som vernes etter bestemmelsene i kapitlet om dokumentfalsk. En skriftlig bestilling eller en bestilling på e-post omfattes tilsvarende av reglene. Bekreftelser sendt over internett i form av pinkode, for eksempel bekreftelse av elektronisk selvangivelse eller lignende, omfattes også av definisjonen.
Et bankkort eller et kredittkort er fysisk manifestert ved et plastkort som inneholder en mikrochip, en magnetstripe eller begge deler. Om man vil kalle plastkortet for et dokument eller en gjenstand, kan bero på skjønn. Magnetfeltet eller mikrochipen vil være en elektronisk representasjon. I begge sammenhenger faller dette under begrepet «bevisbærer».
Også data som er lagret i en database faller inn under begrepet, dog avhengig av innholdet. Dette vil for eksempel gjelde data som er lagret i en offisiell database i en forvaltningsetat over personer som er tilstått drosjebevilling, eller et elektronisk eksamensregister ved en skole eller et universitet.
Datalogger er typiske eksempler på representasjoner som er egnet til bruk som bevis blant annet i rettslig sammenheng, for eksempel som bevis for ulovlig tilgang til datasystem eller for nedlasting av seksualiserte skildringer av barn. Det er derfor viktig at forfalskning av datalogger faller inn under bestemmelsene om dokumentfalsk.
Følgende fysiske representasjoner, som normalt også har elektronisk innhold, er som regel maskinlesbare og vil være typiske bevisbærere:
Kredittkort, debetkort og tilsvarende kort. Dette gjelder også de deler av kortet som inneholder magnetstripe, mikrochips, mikroprosessor eller liknende.
Elektroniske reisekort (alle deler av kortet).
Andre fysiske representasjoner som benyttes som betalingsmidler, for eksempel armbånd eller smartkort som registrerer elektroniske betalinger, elektroniske billetter og alle tenkelige former for tilsvarende funksjonalitet i fremtiden.
Elektroniske adgangskort.
Kodekort for betalings-tv.
Maskinlesbare strekkoder for innlesing av vareidentitet og priser ved handel.
Elektroniske ringekort.
Elektroniske gavekort.
Kodegenerator.
Elektroniske sertifikater vil være et typisk eksempel på data som er beregnet på å tjene som bevis, og faller inn under definisjonen i utkastet til § 31-1.
Når det gjelder elektronisk signaturer, er det føyd til en særregel i forslaget til § 31-2. Dette klargjør at filer som inneholder slike signaturer alltid skal anses som bevisbærere. Dessuten er det føyd til en regel om at filer som inneholder elektroniske signaturer som påføres av urette vedkommende alltid skal anses som falsk bevisbærer. Elektroniske signaturer er et system som skal sikre at man kan stole på at noe virkelig kommer fra den det utgir seg for, og bør derfor være strafferettslig beskyttet uavhengig av innhold.
Utvalget antar at datakrimkonvensjonen artikkel 7 vil være dekket med den skisserte lovbestemmelsen. Utvalget finner det klart at data som bare finnes i maskinlesbar form også omfattes av den foreslåtte bestemmelsen så fremt innholdet faller inn under lovens definisjon. Det er derfor ikke nødvendig å presisere dette i lovteksten av hensyn til artikkel 7.
Endringer av data vil kunne være straffbart både etter bestemmelsen om falsk bevisbærer og etter reglene om datamodifikasjon i utkastet § 7. Bestemmelsene tar sikte på ulike sider av det straffbare forholdet, og kan anvendes i konkurrens. Tilsvarende kan bestemmelsene om dokumentfalsk etter omstendighetene anvendes i konkurrens med utkastet § 15 om identitetstyveri.
5.10 Skyldkravet
Forsett er den vanlige skyldform etter straffeloven, jf. § 40, og dette vil også være hovedregelen for fremtiden, jf. ny straffelov § 21, som lyder:
«Straffelovgivningen rammer bare forsettlige lovbrudd med mindre annet er bestemt».
Datakrimutvalget har lagt dette til grunn for bestemmelsene i datakrimkapitlet. Utgangspunktet er således at det må foreligge forsett med hensyn til de enkelte vilkår i straffebudene for at skyldkravet skal være oppfylt. Hva som skal til for å konstatere forsett er angitt i ny straffelov § 22.
I visse typer lovbrudd hvor skadepotensialet er særlig stort, har imidlertid utvalget funnet behov for å foreslå at også grovt uaktsomme handlinger anses straffbare, jf. utkastet § 17. Dette gjelder lovbrudd som beskrevet i utkastet §§ 7, 9, 10, 12 annet ledd og 13. Det er nærmere redegjort for overveielsene knyttet til grov uaktsomhet for de nevnte lovbrudd i kapittel 6.1 og 9.17.
Tre av straffebudene i datakrimkapitlet stiller spesielle krav til det subjektive: Dette er:
Utkastet § 2, hvor det kreves at den elektroniske kartleggingen må skje «for å kartlegge sårbarheter».
Utkastet § 3, hvor det kreves at den ulovlige anbringelsen skjer for å begå handlinger som nevnt i § 3 første ledd bokstav a og b.
Ukastet § 16, hvor det kreves at kontomisbruket skjer «med forsett om vinning».
5.11 Medvirkningsansvaret
Den nye straffeloven § 15 bestemmer at medvirkning er straffbart med mindre annet følger av det enkelte straffebud. Utvalget har ikke funnet grunn til å foreslå noe unntak fra medvirkningsansvaret i straffebudene i lovforslaget. Straff for medvirkning forutsetter at medvirkeren oppfyller alle straffebetingelsene selvstendig sett. For så vidt gjelder skyldform betyr det at medvirkning må skje forsettlig, jf. ny straffelov § 21, med mindre det er tilstrekkelig med grov uaktsomhet, jf. utkastet § 17.
Ved datakriminalitet er det av interesse å belyse medvirkningsreglene for noen grupper av aktører som peker seg ut som særlig sentrale. Problemstillingene gir ikke foranledning til å foreslå konkrete lovtiltak, men de peker på områder hvor det er grunn til å forvente en vesentlig rettslig utvikling som myndighetene dermed bør rette oppmerksomheten mot. De grupper aktører som utvalget særlig har tenkt på er tjenesteytere, betalingsformidlere og utviklere og leverandører av dataprogrammer.
5.11.1 Tjenesteyterne
Tjenesteytere av informasjonssamfunnstjenester som definert i ehandelsloven § 1 annet ledd bokstav a og b, kan deles i to grupper i forhold til medvirkningsreglene. De tilbyderne som omfattes av ehandelsloven § 3 bokstav a, jf. § 1 annet ledd bokstav b, er tilbydere av «tjenester som består i å gi tilgang til, eller å overføre informasjon over, et elektronisk kommunikasjonsnett, eller i å være nettvert for data som leveres av tjenestemottakeren». For slike tjenesteytere er det etablert regler som griper inn i det alminnelige strafferettslige medvirkningsansvaret, jf. ehandelsloven §§ 15-18.
For tjenesteytere av andre informasjonssamfunnstjenester enn de ovenfor nevnte, jf. ehandelsloven § 3 bokstav a, jf. § 1 annet ledd bokstav a, gjelder det ikke slike ansvarsfrihetsregler, så for disse gjelder i utgangspunktet de ordinære regler om strafferettslig medvirkningsansvar.
Ansvarsfrihetsreglene etter ehandelsloven §§ 16 og 17 gjelder for tilbydere av tilgang og ren videreformidling. For handlinger som består i slik tjenesteyting skal det mye til for at det skal bli tale om noe strafferettslig medvirkningsansvar.
Ansvarsfrihetsregelen i ehandelsloven § 18 som gjelder for nettverter, antas å kunne få større betydning. Det vesentligste er vilkåret om at medvirkningsansvar bare kan gjøres gjeldende dersom det foreligger forsett. Straff for medvirkning som skjer uaktsomt – eller som i lovforslaget – grovt uaktsomt, kan ikke gjøres gjeldende overfor nettverten qua nettvert. Det betyr at de lovbrudd som er straffbare også ved grov uaktsomhet, jf. utkastet § 18, ikke kan anvendes overfor nettverten i rollen som nettvert. Dette gjelder utkastet §§ 7, 9, 10, 12 annet ledd og § 13. For nettverten som hovedmann gjelder det ingen ansvarsbegrensning.
Det kan reises spørsmål ved medvirkningsansvaret for tilbydere av pekere til andre nettsteder, herunder tilbydere av søketjenester, når pekeren eller søket retter seg mot nettsteder med straffbart innhold. I den såkalte Napsterdommen, Rt. 2005 side 41, ble eieren av et norsk nettsted dømt til å betale erstatning til en gruppe plateselskaper og artister, jf. åndsverkloven § 55, for å ha medvirket til å ha tilgjengeliggjort musikkfiler via internett i strid med opphavsmannens enerett. Nettstedet hadde lagt lenker til musikkfiler på andre nettsteder hvor musikken var opplastet uten rettighetshavernes samtykke. Høyesterett fant at medvirkningshandlingene fra saksøkte var forsettlige og meget klanderverdige.
Det antas at et strafferettslig ansvar må bedømmes på samme måte etter åndsverkloven § 54 – også etter de lovendringer som er gjort etter at forholdene som er omhandlet i dommen fant sted. Det antas videre at resultatet blir det samme også utenfor åndsverklovens område der det er bestemmelser om straffansvar for medvirkning. «Tilgjengeliggjøring» er imidlertid et vidt begrep som forholdsvis lett lar seg knytte opp til en medvirkende handling. Rekkevidden av medvirkningsansvaret kan være annerledes ved andre regler eller straffebud som anvender snevrere formuleringer. Utvalget har ikke hatt tilstrekkelig tid til å kunne utrede dette problemfeltet.
Det kan også være tvilsomt hvilken status tilbydere av søkemotor har i forhold til reglene i ehandelsloven, både om de er en tjenesteyter av en informasjonssamfunnstjeneste, og i så fall hvilket alternativ i ehandelsloven § 1 annet ledd bokstav a og b, som gjelder. Dette er avgjørende i forhold til reglene om ansvarfrihet. Hvis søkemotoren ikke regnes som en informasjonssamfunnstjeneste etter § 1 annet ledd bokstav b, gjelder ikke ansvarsfrihetsreglene, og det er dermed aktuelt å anvende de alminnelige medvirkningsreglene også for uaktsomme handlinger, når dette er en relevant skyldform etter straffebudet. Det er blant annet tilfelle både for overtredelse av reglene i åndsverkloven og reglene om spredning av seksualiserte skildringer av barn, jf. åndsverkloven § 54 og straffeloven § 204a. Utvalget nøyer seg her bare med å peke på problemstillingene uten å ta stilling til rettstilstanden de lege lata.
5.11.2 Betalingsformidlere
For så vidt gjelder betalingsformidleres mulige strafferettslige medvirkningsansvar, så er også dette et lite utredet område. Utvalget er ikke kjent med at det finnes ansvarsfrihetsregler for denne gruppen lik de som gjelder for tjenesteyterne. Det anses heller ikke som tvilsomt at betalingsformidlere kan holdes strafferettslig ansvarlig for medvirkning til ulovlig virksomhet dersom de vitende om virksomheten stiller sine tjenester til rådighet. I mange tilfeller er oppgjørsmekanismen instrumentell for at det kan skje en lovovertredelse, for eksempel ved salg av seksualiserte skildringer av barn på internett. I så fall foreligger også utvilsomt medvirkning, dersom de subjektive vilkår er oppfylt. I praksis oppstår problemer med strafforfølgning fordi betalingsformidlingsbransjen opererer internasjonalt og det er lett å innrette seg slik at tjenestene ytes til brukersteder i land hvor risikoen for rettsforfølgning er liten.
En effektivisering av bekjempelse av den profittmotiverte internettkriminaliteten antas å kalle på flere tiltak, for eksempel ved å lempe på skyldkravet for betalingsformidlere (uaktsomhet som skyldform ved flere overtredelser) og økt kontrollplikt (noe som korresponderer med et strengere aktsomhetskrav). Det kan for øvrig også vises til at Justiskomiteen i Stortinget har vært opptatt av betalingsformidleres mulige strafferettslige ansvar. Særlig med tanke på å demme opp for seksuelt misbruk av barn har komiteen bedt regjeringen om å utrede mulighetene for å stoppe bruk av kredittkort på nettsteder som tilbyr seksualiserte skildringer av barn. Det vises til Innst. O. nr.66 (2004-2005) kapittel 2. Det kan videre vises til lignende betraktninger hos Goldsmith og Wu 2006 side 65-85. Ytterligere kan det vises til Sunde 2006 «Lov og rett i cyberspace» kapittel 8.2, 8.6 og 8.7 om medvirkningsspørsmål for tjenesteytere og betalingsformidlere.
5.11.3 Programutviklere og leverandører
Programutviklere og leverandører av slike programmer står selvsagt i en helt sentral rolle for utviklingen i det elektroniske miljøet, og det er av største betydning at programmene holder god kvalitet. En programmerer kan for eksempel forsettlig legge inn sårbarheter i et operativsystem som skaper sårbarhet i alle de maskiner som tar det i bruk. I slike tilfeller kan han rammes etter bestemmelsen om datamodifikasjon, jf. utkastet § 7, og eventuelt grov økonomisk utroskap overfor arbeidsgiver, jf. straffeloven §§ 275, jf. 276. Et annet spørsmål er om han kan rammes for medvirkning til den inntrengning som skjer når sårbarheten oppdages og utnyttes, dvs. medvirkning til overtredelse av utkastet § 4. Ulovlig tilgang er jo en påregnelig følge av handlingen, men det antas at det også må stilles visse krav til tidens, stedets og forsettets enhet, dvs. til adekvans. Dersom programmereren implementerer sårbarheten i forståelse med den som senere skal misbruke den, kan han straffes for medvirkning. Men han kan neppe straffes for medvirkning til det senere generelle misbruket.
Programmereren kan også benytte sin kompetanse til å skape skadelig kode. Dette rammes som en selvstendig straffbar handling, jf. fremstillingsalternativet i utkastet §§ 11 og 12. Vedkommende vil også kunne straffes for å ha spredt og ha markedsført den skadelige koden, jf. tilgjengeliggjøringsalternativet i de nevnte bestemmelsene og markedsføringsalternativet i § 11. Hvorvidt han i tillegg kan straffes for andres utnyttelse av programmet til straffbart bruk, må løses etter de ovenfor nevnte retningslinjer. Det er neppe rimelig å anvende medvirkningsansvar for den generelle bruk, i lys av at handlingen allerede kan straffes som et selvstendig straffbart forhold.
5.12 Rettighetstap, inndragning og vilkår for betingede dommer
Rettighetstap og inndragning er reaksjoner som ilegges i forhold til en lovbryter ved dom. Det kan derfor gå lang tid fra et lovbrudd blir begått til en slik reaksjon kan iverksettes. I mellomtiden er det mulig å anvende straffeprosessuelle tvangsmidler. Utvalget går imidlertid ikke nærmere inn på dette, da det faller utenfor utvalgets mandat.
5.12.1 Rettighetstap
Ny straffelov § 56 gjelder rettighetstap. Etter § 56 vil den som har begått en straffbar handling som viser at vedkommende er uskikket til å utøve en aktivitet, kunne fradømmes retten til for fremtiden å utøve denne aktivitet. Dette kan bare skje når allmenne hensyn tilsier det. Bestemmelsen er en kan-bestemmelse, som gir domstolen rom for skjønn. Ved et slikt skjønn, antas det at domstolen må foreta en vurdering av om reaksjonen står i et rimelig forhold til den straffbare handlingen som er begått.
Etter annet ledd må det antas at rettighetstapet kan begrenses til forbud mot visse deler av aktiviteten. Det kan også gis påbud om å utøve aktiviteten på bestemte vilkår.
Rettighetstap kan ilegges som eneste straff hvis det ikke er fastsatt en minstestraff på fengsel i ett år eller mer for handlingen. Det følger av § 58 at rettighetstap ilegges for en bestemt tid, maksimalt inntil 5 år.
Det synes klart at aktuelle eksempler på rettighetstap etter denne bestemmelsen er fradømmelse av retten til å bruke datamaskin og fradømmelse av retten til å bruke internett. Rettighetstapet kan også begrenses til for eksempel forbud mot å bruke chattekanaler på internett; se Ot.prp. nr. 90 (2003-2004) side 454.
Et individualpreventivt tiltak kan for eksempel være å forby personer som er domfelt for hacking adgang til internett for en periode.
Datakrimutvalget bemerker at reaksjoner av denne typen av og til kan være hensiktsmessige i datakrimsaker. Vedtatte lovhjemler er her tilstrekkelige, og utvalget finner ikke grunn til å fremme forslag om nye bestemmelser på dette punktet. Denne typen reaksjon er aktuell ikke bare ved den rene datakriminalitet, men ved all kriminalitet hvor datautstyr har vært benyttet som middel for å begå kriminaliteten, for eksempel ved befatning med seksualiserte skildringer av barn.
Reaksjoner av denne typen er vel kjent fra utlandet. Det vises til Smith, Grabosky og Urbas: «Cyber Criminals on Trial», Cambridge University Press (Australia) 2004 side 119-120 samt side 182, 197, 198, 205, 212, 219 og 223. I USA har det i slike saker vært flere anker som har vært begrunnet med at totalforbud mot bruk av datamaskiner eller totalforbud mot bruk av internett har vært en for omfattende reaksjon. I enkelte tilfeller har anke på dette grunnlag ført frem, og overordnet domstol har fastsatt mindre inngripende restriksjoner.
Det har også vært fastsatt vilkår om monitoring (overvåking) av datamaskin- eller internettbruk. Slike vilkår synes forenelig med ny straffelov § 56 annet ledd.
Problemene som knytter seg til denne typen restriksjoner er for det første kontroll. Det er vanskelig å kontrollere om domfelte innretter seg i samsvar med det idømte rettighetstapet. Det vil alltid være muligheter til å låne en datamaskin, benytte en internettkafé osv. Dette gjør at tiltak av denne typen lett kan bli et slag i luften.
For enkelte typer rettighetstap, for eksempel totalforbud mot bruk av internett, vil også vedkommende få vanskeligheter blant annet med kommunikasjon med offentlige myndigheter, som ønsker mest mulig elektronisk kommunikasjon med borgerne. Domfelte vil også kunne bli utestengt fra å handle på nettet og foreta lovlige transaksjoner som er mulig for alle andre. Slike forhold må imidlertid, etter utvalgets oppfatning, bli en del av domstolenes konkrete vurdering i den enkelte sak.
5.12.2 Inndragning av redskapet til en straffbar handling
Ny straffelov § 69 gir hjemmel for å inndra «ting» som har vært brukt eller er bestemt til bruk ved en straffbar handling. Det følger av annet ledd at som «ting» regnes også bl.a. elektronisk lagret informasjon.
Det er etter dette klart at datautstyr som har vært benyttet til å begå en straffbar handling kan inndras. For eksempel kan en inndra en datamaskin hos en person som har skaffet seg ulovlig tilgang til et datasystem, eller hos en som dømmes for befatning med seksualiserte skildringer av barn over internett. Andre eksempler på fysiske ting som kan inndras vil være tastetrykksregistrator (key stroke logger) og libanesisk slynge (Lebanese loop). Disse begrepene er det gjort nærmere rede for i kapittel 5.4.3 og 3.5.4.
Også elektronisk lagret informasjon regnes altså som ting. Dette vil for eksempel kunne gjelde en liste over kredittkortnumre som har vært brukt eller kan brukes i forbindelse med databedrageri. Et annet eksempel er en liste over passord som har vært brukt til eller kan brukes til å skaffe seg ulovlig adgang til andres datasystemer.
Også dataprogrammer kan være redskaper for å begå straffbare handlinger. Et eksempel på slike programmer er såkalte exploits, som er programmer beregnet på å utnytte sårbarheter i datasystemer og som kan muliggjøre ulovlig inntrengning. Spørsmålet er om dataprogrammer omfattes av begrepet «elektronisk lagret informasjon». For å gjøre dette utvilsomt, foreslår Datakrimutvalget at § 69 annet ledd endres til å lyde slik:
«Som ting regnes også rettigheter, fordringer og elektronisk lagret informasjon, herunder dataprogrammer.»
Siden elektronisk informasjon ikke er en fysisk gjenstand, oppstår spørsmålet om hvordan inndragning skal gjennomføres. Dette kan enten skje ved at det fysiske mediet de er lagret på (for eksempel harddisken i en datamaskin) blir inndratt, eller ved at informasjonen slettes. En sikker sletting er imidlertid ikke lett å gjennomføre, så den første måten er å anbefale. Dette kan gjennomføres ved at domstolen i inndragningsdommen, eventuelt politiet i inndragningsforelegget, gir anvisning på at både det konkrete lagringsmediet og dets innhold skal inndras. Inneholder lagringsmediet også elektronisk informasjon som ikke er gjenstand for inndragning, bør domfelte kunne få en kopi av denne informasjonen for videre bruk.
Bestemmelsen suppleres med straffeloven § 76, som gir særregler for inndragning av informasjonsbærere. Bestemmelsen er ikke en selvstendig inndragningshjemmel. Det fremgår klart av forarbeidene (Ot.prp. nr. 90 (2003-2004) side 465) at for eksempel harddisker og cd-er er å anse som informasjonsbærere.
Det følger av den nye straffeloven § 76 annet ledd at den som må tåle inndragningen kan kreve informasjonsbæreren tilbakelevert etter at det ulovlige innholdet er fjernet. Vedkommende må i tilfelle dekke utgiftene. Hvis inndragningen gjelder data, er det, som det fremgår ovenfor, ikke tilstrekkelig å slette det ulovlige innholdet. Dette kan lett gjenopprettes av kyndige personer etter en vanlig sletting. I slike tilfeller må politiet i tilfelle benytte spesialutviklede programmer for å foreta en effektiv sletting. En enklere fremgangsmåte, som neppe kan være i strid med loven, er at domfelte mot å dekke utgiftene får en kopi av det lovlige innholdet som fantes på lagringsmediet slik det er nevnt ovenfor.
Det foreslås derfor at § 76 annet ledd endres slik:
«Ved inndragning av informasjonsbærer skal det angis hvilke deler av innholdet som begrunner inndragning. Den som må tåle inndragningen, kan mot å dekke utgiftene kreve informasjonsbæreren tilbakelevert etter at det ulovlige innholdet er fjernet. Gjelder inndragningen data, kan påtalemyndigheten likevel mot at den som må tåle inndragningen dekker utgiftene, istedenfor å tilbakelevere informasjonsbæreren, gi vedkommende en kopi av de data som fantes på informasjonsbæreren og som ikke omfattes av inndragningen. »
Det følger av den nye straffeloven § 71 at inndragning etter § 69 skal foretas overfor lovbryteren. Kreves det inndragning av ting som ikke tilhører lovbryteren, reises kravet mot eieren, jf. ny straffelov § 74 første ledd. Et eksempel på dette er at datautstyr inndras fra foreldrene selv om det er barna som har benyttet det til straffbare handlinger. Ny straffelov § 74 annet ledd åpner for at inndragning kan skje overfor besitteren dersom eieren eller rettighetshaveren er ukjent eller ikke har kjent oppholdssted i Norge. Om verken lovbryteren eller besitteren har kjent oppholdssted i Norge, kan inndragning skje uten at noen gjøres til saksøkt, jf. § 74 tredje ledd.
Inndragning etter disse bestemmelsene kan ha varierende effekt. Inndras det en datamaskin, vil lovbryteren lett kunne anskaffe eller låne en ny. Dette blir imidlertid ikke annerledes enn i andre tilfeller av inndragning, for eksempel av innbruddsverktøy.
5.12.3 Stengning av nettsteder, konto hos tjenesteyter m.v.
Det synes klart at et nettsted kan stenges etter bestemmelsene i straffeloven § 69. Et nettsted er representert ved elektronisk lagret informasjon, og kan inndras hvis det har vært brukt eller er bestemt til bruk ved en straffbar handling. Eksempler på slike er nettsider som inneholder seksualiserte skildringer av barn eller hvor det foregår fildeling med mulighet til for eksempel ulovlig nedlasting av musikk m.v. Også et nettsted som er opprettet for å begå bedrageri i forhold til kundene kan inndras etter denne bestemmelsen. Et typisk eksempel på dette er en såkalt phishing-nettside, se kapittel 3.5.12. På dette området suppleres § 69 av § 76, som er en særregel om inndragning av informasjonsbærere. Det er klart at en webserver er en informasjonsbærer etter definisjonen i første ledd. § 76 er nærmere omtalt ovenfor.
I de fleste tilfeller eier ikke den som er innehaver av nettsidene webserveren selv. Vedkommende har isteden konto hos en tjenesteyter. Stengning av nettstedet må da kunne skje ved at leverandøren (tjenesteyteren) pålegges å stenge nettstedet istedenfor at man inndrar nettleverandørens (ISP-ens) server. Det vil her være tale om å stenge en konto og krever ikke inndragning av hele serveren. Dette fremgår imidlertid ikke klart av loven.
Ehandelsloven inneholder regler som i en viss utstrekning garanterer straffrihet for en tjenesteyter, herunder en isp (internet service provider), jf. ehandelsloven § 16. Inndragning er ikke straff, men en strafferettslig reaksjon. Etter utvalgets oppfatning vil da ikke ehandelsloven være til hinder for at inndragning i visse tilfeller kan ha en tjenesteyter som prosessuell motpart. I alle fall presiserer ehandelsloven § 20 at bestemmelsene i ehandelsloven ikke er til hinder for at en domstol krever at tjenesteyteren bringer en overtredelse til opphør eller hindrer den.
I tilnytning til ny straffelov § 71, jf. også § 74, kan det oppstå noen spørsmål om hvem som skal gjøres til motpart i sak om inndragning i disse tilfellene. For å klargjøre dette i de tilfellene hvor eieren av nettsidene benytter seg av en konto hos en tjenesteyter for å publisere nettsidene sine, fremmer utvalget forslag om en ny § 76a i straffeloven. Denne paragrafen gjelder imidlertid ikke bare webservere, men også andre tilfeller hvor det benyttes konto hos andre (tjenesteyter) for datadrift og/eller oppbevaring av data. Blant annet gjelder det når adgang til internett kjøpes gjennom en tjenesteyter.
En datamaskin kan benyttes for fildeling på peer-to-peer basis. Dette innebærer at to eller flere datamaskiner koblet til internett kan dele filer. Et nettverk for fildeling mellom datamaskinene kan etableres ved at man benytter dertil egnet programvare. Har man for eksempel ulovlig delt musikkfiler på denne måten, vil de involverte datamaskinene kunne inndras. I slike tilfeller kunne det være et alternativ å stenge gjerningspersonenes internettforbindelse ved pålegg til tilbyderen av internettilgangen. § 76 inneholder ikke hjemmel for dette, men her kan man gå frem etter bestemmelsene om rettighetstap, som er omtalt ovenfor. Datakrimutvalgets forslag til ny § 76a vil også åpne for denne muligheten. Forskjellen mellom denne fremgangsmåten og rettighetstap, vil være at rettighetstap også vil hindre at domfelte oppretter en ny konto hos en annen tilbyder. De to tiltakene kan eventuelt kombineres.
Det kan også i andre tilfeller være aktuelt å foreta inndragning ved å stenge en konto. Dette kan for eksempel være en konto på en side som viser bilder til medlemmer, tillater medlemmer å opprette en blogg, lukkede chattekanaler m.v. Det kan også være tale om å inndra rettighetene til å benytte ip-telefoni eller adgangen til å benytte ulike direkte kommunikasjonskanaler.
For å klargjøre dette, foreslår utvalget en ny § 76a, som kan lyde slik:
«§ 76a Særregler for inndragning av konto på datasystem.
Ved inndragning av en konto på et datasystem kan tjenesteyteren pålegges å stenge domfeltes tilgang til datasystemet og å slette innhold som tilhører domfelte.
Inndragning etter første ledd foretas overfor rettighetshaveren til kontoen. Er vedkommende ukjent eller ikke har kjent oppholdssted i Norge, foretas inndragning overfor tjenesteyteren eller besitter av datasystemet såfremt det finnes rimelig av hensyn til rettighetshaveren til kontoen. Inndragning kan foretas overfor andre enn rettighetshaveren til kontoen selv om vedkommende var i god tro. Rettighetshaveren til kontoen skal så vidt mulig gis varsel om saken. Er verken rettighetshaveren til kontoen eller tjenesteyteren kjent eller har oppholdssted i Norge, kan tingretten beslutte inndragning på de vilkår som er nevnt i annet punktum uten at noen er gjort til saksøkt.»
Reglene i bestemmelsen er så godt som mulig harmonisert med reglene i § 74. En konto kan ha vært benyttet av andre enn den som er rettighetshaver til kontoen. Utvalget ser det ikke som nødvendig å komplisere reglene med at også en slik person må gjøres til part i inndragningssak. Inndragning etter denne bestemmelsen er ment å kunne gjennomføres i forhold til tjenesteyter selv om tjenesteyter ikke kan klandres for det straffbare forholdet. Dette er klargjort i annet ledd tredje punktum. Dette synes nødvendig av hensyn til bestemmelsene i ny straffelov § 71 tredje ledd sammenholdt med § 69 første ledd bokstav c. Begrepet «tjenesteyter» er benyttet på samme måte som i ehandelsloven, jf. definisjonen i ehandelsloven § 3 bokstav a.
Ny straffelov § 70 gjelder forebyggende inndragning. Første ledd tredje punktum begrenser denne regelens rekkevidde i forhold til informasjonsbærere. Informasjonsbærere kan bare inndras etter denne bestemmelsen når det er fare for uopprettelig skade. Datakrimutvalget ser ingen innvendinger mot å opprettholde denne begrensningen ved forebyggende inndragning.
I en avgjørelse fra dansk Højesteret (sak 49/2005) ble en internettilbyder pålagt å stanse overføringen fra to internettservere som tilgjengeliggjorde et stort antall musikkfiler. Det var ikke kjent hvem som eide serverne. Internettilbyder anførte at forbudet i realiteten medførte at abonnentenes internettforbindelse måtte stenges, og at et slikt forbud ville være et uforholdsmessig inngrep. Højesterett la imidlertid til grunn at innehaverne av serverne hadde foretatt omfattende krenkelser av opphavsrettigheter til musikkverker, og at også internettilbyderen hadde foretatt handlinger som stred mot rettighetshavernes rettigheter, og nedla forbud overfor internettilbyderen mot å overføre slikt innhold fra de nevnte servere. Højesteret fant at det ikke var grunnlag for å fastslå at forbudet ville medføre skade eller ulempe som sto i åpenbart misforhold til rettighetshavernes interesse i nedleggelse av forbudet.
Også ved inndragning etter norske regler skal det foretas en forholdsmessighetsvurdering, jf. ny straffelov § 69 tredje ledd.
5.12.4 Vilkår for betingede dommer
Bestemmelsene om vilkår for dommer på betinget fengsel finnes i ny straffelov § 34 sammenholdt med §§ 35-38. Etter § 37 bokstav j kan retten som særvilkår for fullbyrdingsutsettelse pålegge den domfelte å oppfylle særvilkår som retten finner hensiktsmessig. Det fremgår av Ot.prp. nr. 90 (2003-2004) side 439 at slike vilkår må ha som formål å fremme den domfeltes resosialisering eller bidra til å bøte på skaden ved den straffbare handling.
Datakrimutvalget antar at det for eksempel kan settes som vilkår at domfelte for en periode ikke skal benytte internett eller være underkastet restriksjoner om begrenset bruk av internett.
Vilkår av denne art kan således fastsettes både i medhold av straffeloven § 56 og § 37. Fordelen med å benytte § 37 vil være at bruk av datautstyr i strid med vilkårene vil representere brudd på vilkårene og sanksjoneres overensstemmende med dette.
I utlandet har en benyttet blant annet vilkår om overvåking av domfeltes datamaskinaktivitet og uanmeldte inspeksjoner av datautstyr. Det vises til Smith, Grabosky og Urbas: «Cyber Criminals on Trial» side 121.
Datakrimutvalget finner at bestemmelsen i den form den er vedtatt gir hjemmel for relevante strafferettslige reaksjoner i forbindelse med datakriminalitet, og finner det ikke nødvendig å foreslå endringer på dette punkt. Det presiseres at effekten av slike vilkår kan være begrenset, i og med at det kan være vanskelig å føre effektiv kontroll med om vilkårene overholdes. De øvrige motforestillinger som er beskrevet ovenfor både i forhold til rettighetstap og inndragning, gjelder også ved vilkår i betingede dommer. Det er likevel slett ikke utelukket at slike vilkår kan være hensiktsmessige i enkelte saker.
5.13 Filtrering
5.13.1 Problemstilling
Problemstillingen gjelder filtrering av utenlandske nettsteder som tilgjengeliggjør informasjon som er ulovlig etter norske regler. Her kan ikke reglene om inndragning anvendes. Filtrering går ut på å iverksette tiltak som hindrer at norske tjenestemottakere kan motta slik informasjon eller utnytte ulovlige tjenester. Informasjonen eller virksomheten kan bli distribuert fra jurisdiksjoner som har andre regler enn Norge, for eksempel såkalte «data havens» eller land som det i praksis er vanskelig å samarbeide med og som mangler myndigheter som håndhever reglene effektivt. Det kan også være land som har andre materielle strafferegler enn Norge. For eksempel er spill om penger (for eksempel poker) i utgangspunktet både forbudt og uønsket i Norge, mens det er fullt legalt og vanlig i mange andre land. Spørsmålet er om filtrering bør tas i bruk som et ensidig nasjonalt tiltak for å hindre norske borgere i å motta slik utenlandsk informasjon eller tjenester, som er straffbart etter norske regler. Filtrering vil gi samme effekt for norske tjenestemottakere på internett, som når en server eller et nettsted inndras slik at den ikke lenger kan tilgjengeliggjøre den ulovlige informasjon.
Utvalget har her delt seg, slik at kun et mindretall går inn for å foreslå filtrering. I det følgende gis først en beskrivelse av hva man tenker på som filtrering.
5.13.2 Filtreringsmetoder
Filtrering kan skje på nasjonalt nivå eller på tilbydernivå.
Et land som bruker filtrering på nasjonalt nivå er Kina. På denne måten har kinesiske myndigheter skaffet seg kontroll over innbyggernes bruk av internett. Norge har ikke infrastruktur som muliggjør filtrering på nasjonalt nivå og det antas heller ikke å være aktuelt å bygge ut en slik omfattende mulighet.
Filtrering kan også skje på tilbydernivå; gjennom de enkelte internettleverandørene. Dette gjøres i Norge gjennom filtre som fanger opp sider inneholdende seksualiserte skildringer av barn. I stedet for å få opp kjente nettsteder med denne typen innhold, får man ved surfing fra Norge opp en plakat fra Kripos som forteller at nettstedet er blokkert og at bruk av nettstedet vil være straffbar. Ordningen er innført ved et samarbeid mellom norske myndigheter og internettleverandørene. Ordningen er frivillig, og de fleste internettleverandørene deltar. Så vidt utvalget kjenner til, deltar ikke alle internettleverandørene i dette samarbeidet, og filtreringsordningen er derfor bare delvis effektiv. I forbindelse med at Stortinget behandlet forslaget til ny lovbestemmelse om seksualiserte skildringer av barn, uttalte Justiskomiteen i Innst. O. nr. 66 (2004-2005):
«Komiteen har merket seg at Telenor som internettilbyder har utviklet et filter for å stenge tilgang til nettsteder som inneholder fremstillinger av seksuelle overgrep mot barn og/eller fremstillinger som seksualiserer barn. Dette filteret er utviklet etter initiativ fra justisminister Odd Einar Dørum, og i samarbeid med KRIPOS og Redd Barna. Filteret stopper nettsider som KRIPOS anbefaler at skal filtreres bort. Nettsteder som innholder materiale som nevnt bidrar for det første til å gjøre barnepornografisk materiale tilgjengelig for interesserte, og bidrar slik til nyrekruttering til dette markedet. For det andre er disse nettstedene inngangsportaler til mer alvorlig barnepornografisk materiale, og bidrar på denne måten til spredning av dette.
Komiteen er klar over at et filter som ovenfor nevnt kun vil stenge tilgang til nettstedene, og ikke vesentlig bidra til å begrense spredning av barnepornografisk materiale gjennom andre kanaler. Komiteen mener likevel at det vil ha en begrensende virkning på tilgangen, spesielt for nye interesserte.
Komiteen mener at alle internettilbydere i Norge bør ha et slikt filter, og ber Regjeringen påvirke bransjen for å oppnå dette. Det bør etter komiteens mening etableres en ordning med felles oversikt over nettsteder som det skal nektes tilgang til. Ansvaret for en slik ordning bør tillegges egnet nivå hos justismyndighetene i samarbeid med internettilbyderne. Komiteen ber Regjeringen følge utviklingen i bransjen nøye. Dersom ikke internettilbyderne i Norge har et filter som nevnt innen utgangen av 2006, ber komiteen Regjeringen fremme forslag for Stortinget som påbyr dette.»
Filtering har svakheter ved at det verken er fullstendig effektivt eller treffsikkert. Filtreringstiltak kan omgås og det kan også finnes tjenesteytere som ikke gjennomfører filtrering. Dette vil være tilfelle enten en slik ordning er avtalebasert eller lovpålagt. Videre kan det være et problem at filtrering blokkerer materiale som ikke er ment å blokkeres («falske positiver»). Problemet er vanskelig å unngå fordi filtrering skjer mot den datamaskin (målvert) som sender materialet og ikke direkte mot det ulovlige materialet. Dersom maskinen også sender lovlig materiale, blokkeres også dette. Til tross for svakhetene kan det hevdes at filtrering er et egnet virkemiddel fordi det tross alt kan stanse en viss andel av den ulovlige trafikken. Hvor stor andel som stanses er det likevel vanskelig å ha noen sikker formening om, i hvert fall uten å ta i bruk store ressurser for å kartlegge tjenestemottakernes nettbruk.
5.13.3 Flertallets syn
Flertallet, Gulbrandsen, Sellæg, Taraldset og Willassen finner ikke grunn til å foreslå en slik lovhjemmel. Flertallet mener at hensynet til ytringsfriheten taler mot å sensurere utenlandske nettsider for norske brukere. EMK artikkel 10 beskytter i utgangspunktet alle typer ytringer, uansett form og innhold.
Det faktum at bruk av de eksisterende filtreringsmetoder, innholdskontroll ved søketermer og blokkering av bestemte målverter, samtidig innebærer en stor mulighet for såkalte «falske positive», det vil si at også legitim trafikk stoppes av filteret, tilsier at hensynet til ytringsfriheten bør veie tungt i denne sammenheng. Risikoen for falske positive er særlig et problem ved blokkering av bestemte målverter fordi det er vanlig at innhold fra mange forskjellige aktører er samlet på samme server som tilhører én tjenesteyter. Flertallet legger stor vekt på at det er vanskelig å forutsi omfanget av hvilket inngrep i ytringsfriheten slike filtreringsmetoder faktisk vil innebære. Et krav om filtrering vil videre rette seg mot en mellommann, tilbyderen av internettforbindelsen, og ikke den som faktisk står bak det uønskede innholdet. Etter flertallets oppfatning, bør strafforfølgningen som hovedregel rette seg mot dem som faktisk gjør noe straffbart og ikke mot tjenestetilbyderen som kun tilrettelegger for kommunikasjon. Flertallet er enig med mindretallet i at det bør gjelde tilsvarende regler for ytringer som fremsettes på internett som for ytringer som fremsettes på annen måte. Det store problemet i denne sammenheng er at også lovlig fremsatte ytringer vil bli stoppet i et slikt filter. Flertallet er derfor av den oppfatning at man ved innføring av slik filtrering, i stor grad vil gå på tvers av prinsippene om frihet og åpenhet på internett. Flertallet oppfatter dessuten datakrimkonvensjonen dit hen at målet er ensartet lovgivning hos de ratifiserende stater, med det siktemål at kriminaliteten kan stoppes i opprinnelseslandet. Metoder som filtrering vil på denne bakgrunn heller ikke fremstå som nødvendig.
Etter EMK artikkel 10 andre ledd må et inngrep i ytringsfriheten være i samsvar med lov, ivareta nærmere oppregnede legitime formål og være nødvendig i et demokratisk samfunn. I følge rettspraksis fra den europeiske menneskerettighetsdomstolen, som beskrevet i Erik Møse: «Menneskerettigheter» side 100 er det avgjørende at «staten kan påvise at inngrepet tilsvarer et tvingende samfunnsmessig behov, om det står i forhold til det legitime formål som skal ivaretas, og om de grunner som anføres av de nasjonale myndigheter, er relevante og tilstrekkelige». Flertallet kan ikke se at vilkårene for unntak fra ytringsfrihetene vil være oppfylt all den tid filtrering også medfører store muligheter for at også materiale som ikke er ulovlig faktisk blir stoppet.
Flertallet mener at effekten av en slik ordning vil være begrenset i en slik grad at det i seg selv taler imot ordningen. Det vil være så mange muligheter for å omgå slike filtre at nytteeffekten vil bli sterkt begrenset. Flertallet mener videre at filtreringen i praksis er så unøyaktig at også dette tilsier at man ikke bør gå inn på en slik ordning.
Bruk av filtrering kan for øvrig berøre EØS-avtalen og forbudet mot diskriminering av varer og tjenester innenfor det indre marked, da resultatet kan bli at man, etter en avgjørelse fra domstolen, faktisk sperrer for næringsvirksomhet som er tillatt i andre deler av EØS-området.
Når det gjelder seksualiserte skildringer av barn på internett, er flertallet av den oppfatning at denne type materiale står i en særstilling i forhold til annet uønsket materiale. Det vises i den sammenheng til den frivillige filtreringsordningen for tjenestetilbydere som er beskrevet tidligere. Ordningen innebærer at tilbyderne implementerer et filter som vanskeliggjør tilgang til nettsteder som inneholder seksualiserte skildringer av barn etter anvisning fra Kripos. Ordningen har således som formål å forhindre tilfeldig tilgang og vanskeliggjøre tilsiktet tilgang til slike seksualiserte skildringer av barn for norske borgere. En forutsetning for at denne ordningen skal fungere, er at det går kort tid fra det avdekkes ulovlig materiale til tilgangen til dette er blokkert. Flertallet er av den oppfatning at tilbyderne vil ønske domstolskontroll ved filtrering dersom det vedtas en lovbestemmelse om dette. På denne måten mener flertallet at en eventuell lovhjemmel faktisk kan svekke en allerede fungerende ordning. Flertallet mener videre at det vil være svært upraktisk og kostnadskrevende om påtalemyndigheten skulle gå via domstolene med begjæring om filtrering for hvert tilfelle som avdekkes av slikt materiale.
Vedtagelse av en lovhjemmel om filtrering vil trolig medføre økte kostnader for både tjenestetilbydere, påtalemyndigheten og domstolene. Alle tjenestetilbydere vil måtte innføre og administrere et teknisk system for å følge opp eventuelle pålegg om filtrering. All den tid filtreringspålegget vil rette seg mot tjenestetilbyderen som en mellommann og ikke gjerningspersonen, fremstår det ikke umiddelbart som naturlig at kostnadene skal dekkes av disse.
5.13.4 Medlemmet Willassens særmerknad
Medlemmet Willassen mener at mindretallets forslag om filtrering har så vidtrekkende konsekvenser at medlemmet finner grunn til å kommentere det nærmere. Slik dette medlemmet ser mindretallets forslag, innebærer det en sensur av innholdet på internett i statlig regi. Denne sensuren skal gjennomføres ved at påtalemyndigheten fremmer begjæring om filtrering av bestemte internettsteder til domstolene. Domstolene kan så beslutte at filtrering skal finne sted dersom de finner at vilkårene er til stede. Som et alternativt forslag foreslår mindretallet at sensuren skal gjennomføres av et statlig sensurorgan, med mulighet for etterfølgende domstolskontroll. Når det foreligger en beslutning, skal alle norske internettleverandører etter mindretallets forslag pålegges å blokkere de sensurerte internettstedene, slik at norske brukere ikke kan nå dem.
Dette medlem forstår ønsket om å innføre filtrering av internettrafikk for å hindre at straffbart materiale når norske borgere via internett, men mener at problemet er at slik filtrering neppe vil utgjøre noen vesentlig forskjell for de fleste typer straffbart materiale. Det er eksempelvis kjent at utveksling av seksualiserte skildringer av barn (ofte kalt barnepornografi) i stor grad utveksles på internett. Produksjon, besittelse og spredning av slike bilder er straffbart i de fleste land. Utveksling av slike bilder skjer derfor i stor grad i det skjulte. Utfordringen er derfor primært å finne ut hvem som sprer materialet, ikke å hindre at det når norske borgere. I den grad man klarer å avdekke hvor slikt materiale spres fra, er det i de fleste tilfeller uproblematisk å få myndighetene i det aktuelle land til å gripe inn. Det samme vil være tilfelle for andre typer ulovlig innhold, slik som for eksempel opphavsrettslig beskyttet materiale. Siden slikt materiale er ulovlig i de fleste land, foregår spredningen av dette i stor grad i det skjulte. Slik spredning vil det ikke være mulig å filtrere med den foreslåtte fremgangsmåten. Det man da står igjen med som kan filtreres er innholdstyper som er ulovlig i Norge, men lovlig i andre land, slik som for eksempel spilltjenester med pengeinnsats og gevinst.
Etter dette medlemmets syn er det ikke mulig å gjennomføre effektiv filtrering av internett på tilbydernivå. Den filtrering som er praktisk mulig å gjennomføre er blokkering av bestemte IP-adresser i utlandet. Men slik blokkering er ikke vanskelig å omgå. Utenlandske tilbydere av innhold kan omgå filtereringen ved å skifte IP-adresse raskere enn sensurorganet klarer å følge med på. Dette trenger ikke være spesielt raskt, dersom filtrering krever at påtalemyndigheten reiser sak i hvert enkelt tilfelle. Videre kan norske borgere omgå filtreringen ved å benytte utenlandske servere for videresending (såkalte «proxy-servere»). Det kan hevdes at sistnevnte er for vanskelig å gjennomføre for majoriteten av norske brukere, men dette gjelder bare inntil noen (i Norge eller utlandet) tilbyr dette som en kommersiell tjeneste, for eksempel for å skaffe norske brukere lett tilgang til internettsteder for spill. Det står derfor klart for dette medlemmet at selv for innhold som er ulovlig i Norge, men lovlig i andre land, vil filtreringen være lite effektiv. Det er sannsynlig at det vil oppstå et marked for tjenester som omgår filtreringssystemet og at slike tjenester vil bli benyttet av dem som ønsker å få tilgang til internettspill og annet som er filtrert.
Slik dette medlemmet ser det, handler dette i bunn og grunn om hva vi ønsker med internett. Internett fremstår som et unikt verktøy for å fremme samkvem og samhandel mellom nasjonene. Det er i dag en av de fremste mekanismene for å bringe verdens innbyggere tettere sammen og dermed legge grunnlaget for en fredeligere verden. Å innføre statlig sensur og kontroll med hva borgerne i en enkelt stat gjør på internett passer ikke inn i dette mønsteret. Den åpne infrastrukturen som utgjør internett ville bli ødelagt dersom hver enkelt stat skulle innføre sine egne grenseposter i nettet. Dette medlem kan vanskelig se hvorfor Norge som det eneste land i den vestlige verden skulle innføre en slik grensepost. Man vil med en slik grensepost ikke oppnå målet om å hindre at ulovlig materiale tilflyter norske borgere. Det man derimot oppnår er å sende et signal om at Norge ønsker å stå utenfor det åpne informasjonssamfunnet, og ikke ønsker å ta del i internettøkonomien. Et slikt signal tror dette medlemmet neppe Norge ønsker å sende.
5.13.5 Mindretallets syn
Mindretallet, Christensen og Rønning, mener at en hjemmel for filtrering bør inntas i straffeloven.
Mindretallet viser til Justiskomiteens merknader i Innst. O. nr. 66 (2004-2005), og konstaterer at det i 2007 ikke er alle internettilbydere som deltar i det frivillige filtreringsamarbeidet mot seksualiserte skildringer av barn. For å følge opp Justiskomiteens innstilling bør det derfor foreslås en hjemmel som gir kompetanse til å pålegge resterende internettilbydere å innføre slikt filter.
Foruten seksualiserte skildringer av barn kan det være aktuelt å filtrere andre sider med ulovlig innhold for norske brukere. Mindretallet mener at en hjemmel for filtrering bør utformes generelt, slik at den gir kompetanse til å filtrere annen straffbar virksomhet i tillegg til seksualiserte skildringer av barn. Eksempler på sider med straffbart innhold kan være sider som tilbyr ulovlig pengespill. Mindretallet viser til at flere land planlegger filtrering på dette området. Det kan i enkelte tilfeller også være grunn til å beskytte norske brukere mot nettsteder som forsøker å svindle brukerne, samt mot nettsteder som sprer skadelig programvare. Filtrering kan også tenkes å være et virkemiddel mot nettsider som sprer innhold i strid med rettighetshavers enerett etter åndsverkloven. Dette gjelder både utenlandske nettsteder som selger musikk i strid med de opphavsrettslige regler som gjelder her i landet og i tilfeller hvor musikk kan lastes ned ved hjelp av fildelingsprogrammer.
Mindretallet er enig med flertallet i at et tiltak av denne typen ikke vil gi 100 prosent effekt, pga. tekniske omgåingsmuligheter. Det gjelder imidlertid også alle andre tiltak på datakriminalitetens område. Selv om effekten ikke vil bli 100 prosent ved en filtreringsordning, vil den kunne bli betydelig. Kan man stanse størsteparten av den ulovlige trafikken ved bruk av filter, vil mye være oppnådd.
Når det gjelder nettsider som gir uttrykk for uønskede meninger, vil hensynet til ytringsfriheten begrense hvilke tiltak som kan treffes. Mindretallet er ikke enige med flertallet i at hensynet til ytringsfriheten taler mot å sensurere utenlandske nettsider med straffbart innhold for norske brukere. Mindretallet er også opptatt av at en filtreringsbestemmelse ikke skal sette nye skranker for ytringsfriheten utover ytringsfrihetens eksisterende grenser i Norge. Mindretallet mener imidlertid at det bør gjelde tilsvarende regler for ytringer som fremsettes på internett som for ytringer som fremstilles på annen måte. Mindretallet viser i denne sammenheng til den internasjonale diskusjonen i Internet Governance samarbeidet, der saken også er diskutert. Selv om det fra ulikt hold i Internet Governance samarbeidet har blitt hevdet at filtreringsbestemmelser er problematiske i forhold til ytringsfriheten, er det en nokså samlet oppfatning på myndighetssiden (også fra land vi mener å kunne sammenligne oss med), at det ikke kan være andre regler på internett enn på andre medier. Det må være mulig å forsøke å hindre for eksempel terrorisme, oppfordring til folkehat / rasisme, seksualiserte skildringer av barn og annen ulovlig aktivitet på internett. Mindretallet ser ikke en avgrenset filtreringsbestemmelse som noe vesentlig inngrep i ytringsfriheten, da det utelukkende vil være aktuelt å blokkere innhold som er straffbart etter norsk lov.
Mindretallet ser denne filtreringen som en forlengelse av de hjemler vi har for stengning av innenlandske nettsteder med lovstridig innhold, jf. kapittel 5.12.3. Når det gjelder nettsteder utenfor Norge, vil ikke slike kunne stenges av norske myndigheter på samme måten som nettsteder innenfor rikets grenser. Filtreringshjemmelen vil kunne brukes for å oppnå samme effekt for utenlandske nettsteder. Det er imidlertid viktig at regler om filtrering ikke virker diskriminerende i forhold til utenlandske nettsteder.
Mindretallet tenker seg ikke at en bestemmelse om filtrering skal brukes i stor utstrekning. Etter mindretallets mening skal hjemmelen bare nyttes etter at det er foretatt en proporsjonalitetsvurdering i det enkelte tilfellet mellom det som kan oppnås ved innføring og ulemper (økonomiske og andre kostnader) ved innføring av den konkrete filtreringsordningen. Dette gjelder ikke minst fordi det er fare for at filtreringstiltak kan komme til å ramme mer enn det som er meningen (såkalte falske positive, jf. flertallets merknader).
Mindretallet legger vekt på at reglene om filtrering skal være så lik reglene om inndragning som mulig, og har utformet sitt lovforslag i samsvar med dette, og foreslår bestemmelsen inntatt som § 76 b i ny straffelov.
Bestemmelsen er utformet slik at den ikke bare omfatter websider, men også datamaskiner med fast IP-adresse som tilbyr ulovlig innhold, for eksempel uautorisert deling av musikkfiler, nedlasting av exploits m.v. Ved henvisningen til § 69 tredje ledd, er det gitt anvisning på at det skal foretas en forholdsmessighetsvurdering. Mindretallet mener at den prosessuelle fremgangsmåten må være den samme som ved stengning av nettsteder etter inndragningsbestemmelsene. Det viser til det som er sagt om saksbehandling og partsforhold i kapittel 5.12.3. Særlig vil bestemmelsene i utvalgets forslag til ny § 76a om partsforholdet være av betydning. Før en slik bestemmelse kan tre i kraft, er det kanskje nødvendig med noen mindre justeringer av straffeprosessloven, men mindretallet utformer ikke konkret forslag om dette nå.
Det kan ta noe tid før en slik sak kommer opp for domstolene. I mellomtiden må straffeprosessuelle tvangstiltak kunne brukes på samme måte som ved inndragning. Dette vil etter mindretallets mening sikre at saken om nødvendig kan behandles raskt.
Mindretallet mener at en filtreringsbestemmelse alternativt kan inntas i en eventuell regulering av innhold som sendes over elektronisk kommunikasjonsnett (inkludert kringkasting) og forvaltes av en egnet myndighet, for eksempel Medietilsynet som i dag arbeider med tilgrensende problemstillinger. Siden filtrering berører sentrale verdier som ytringsfrihet, mener mindretallet at slike vedtak, på samme måte som ved inndragning, i siste instans må kunne bringes inn for domstolene. Dersom vedtak om filtrering skal fattes av et tilsyn bør vedtaket derfor kunne være gjenstand for etterfølgende domstolskontroll. Både den som blir pålagt å foreta filtrering og den som eier nettsiden som blir gjenstand for filtrering må ha anledning til å bringe saken inn for domstolene.
Som ny § 76b foreslår mindretallet:
«Tjenesteyter kan pålegges å blokkere tilgangen til bestemte steder på internett for sine brukere dersom innholdet ville kunne medføre straffansvar utover bøter i Norge. § 69 tredje ledd og § 76a gjelder tilsvarende. De øvrige regler om inndragning gjelder tilsvarende så langt de passer.»
Mindretallet foreslår at bestemmelsen tas inn i inndragningskapittlet, kapittel 13. Dette fordrer at kapitteloverskriften endres til «Inndragning m.v.».
5.14 Om straffeloven § 390 a
Straffeloven § 390 a lyder:
«Den som ved skremmende eller plagsom opptreden eller annen hensynsløs atferd krenker en annens fred eller som medvirker hertil straffes med bøter eller fengsel inntil 2 år.
Offentlig påtale finner bare sted når det begjæres av fornærmede og finnes påkrevet av almene hensyn».
I Delutredning VII er bestemmelsen foreslått videreført i utkastet til § 26-10 Hensynsløs atferd i kapittel 26 om Vern av den personlige frihet og fred, side 339 flg.
Som det er redegjort for i kapittel 3.5.14 og 5.6.7, er straffeloven § 390 a praktisk for å ramme ytringer på internett som krenker en annens fred. Utvalget mener derfor at det er et klart behov for et slikt straffebud og støtter forslaget om å videreføre bestemmelsen. Utvalget antar imidlertid at den nye bestemmelsen bør ha en ordlyd som tydelig tilkjennegir at den kommer til anvendelse også for handlinger som begås ved elektronisk kommunikasjon. I Ot.prp. nr. 18 (2006-2007) Om lov om endringer i straffeloven m.v. (straffebud om å møte et barn med forsett om å begå seksuelt overgrep m.v.) har regjeringen forslått å innta et nytt annet ledd i straffeloven § 201, som gjør det klart at de handlemåter som er beskrevet i nevnte bestemmelse første ledd bokstav a-c, også er straffbar når de begås ved bruk av elektronisk kommunikasjon m.v. Nytt annet ledd i straffeloven § 201 er således foreslått å lyde:
«Atferd som nevnt i første ledd bokstav b og c anses forøvet overfor noen også når den er forøvet gjennom bruk av telefon, internett eller annen elektronisk kommunikasjon».
Datakrimutvalget antar derfor at det straffebudet i ny straffelov som viderefører straffeloven § 390 a bør inneholde en tilsvarende bestemmelse, og foreslår at følgende setning inntas:
«Atferd som nevnt i første ledd anses forøvet overfor noen også når den er forøvet gjennom bruk av telefon, internett eller annen elektronisk kommunikasjon».
Dette supplementet kan også inntas i straffeloven § 390 a og lovforslaget utformes i henhold til dette.