2 Vern av informasjon og informasjonsutveksling
2.1 Innledning
Straffeloven 1902 inneholder ikke noe eget kapittel eller en sammenstilling av straffebestemmelser som beskytter retten til informasjon og informasjonsutveksling, herunder bestemmelser om såkalt datakriminalitet. Det finnes imidlertid enkeltbestemmelser i loven som beskytter informasjon og kommunikasjon, jf. for eksempel § 145 annet ledd (uberettiget tilgang til data eller programutrustning), § 145 a (teknisk avlytting) og § 145 b (spredning av tilgangsdata). Til nå har man i hovedsak anvendt generelle bestemmelser om tyveri, underslag, utroskap, skadeverk, ulovlig bruk og lignende, også mot skadelige handlinger som knytter seg til moderne datateknologi. Enkelte lovendringer har imidlertid rettet seg særskilt mot datakriminalitet som faller utenfor de alminnelige bestemmelsene, jf. for eksempel de nevnte §§ 145-145 b og § 270 nr. 2 om databedrageri.
Informasjonslagring og informasjonsutveksling får stadig større betydning i samfunnslivet, og gjør det mulig å lagre, få tilgang til og utveksle store mengder informasjon. Samtidig gjør denne utviklingen samfunnet mer sårbart for angrep. I likhet med Straffelovkommisjonen ser departementet nå et behov for å samle og videreutvikle straffebestemmelsene som verner informasjon og informasjonsutveksling i et eget kapittel. Formålet er her som ellers i arbeidet med en ny straffelov å gjøre det lettere å se sammenhengen mellom beslektede bestemmelser, skape bedre oversikt og gjøre grensen for det straffbare tydeligere. I tillegg er det behov for å ta i bruk straff på nye områder for å demme opp for nye, straffverdige handlinger som den tekniske utviklingen har åpnet for. Forslaget om en egen bestemmelse som rammer den som krenker en annens identitet, er ett eksempel på det.
2.2 Bakgrunnen for lovforslagene
2.2.1 Straffelovkommisjonen og Datakrimutvalgets utredning (NOU 2007: 2)
Straffelovkommisjonen foreslår i delutredning VII et kapittel 23 om vern av informasjon og informasjonsutveksling. Kapitlet inneholder bestemmelser om datakriminalitet, men også bestemmelser til vern av informasjon og informasjonsutveksling som ikke knytter seg til datateknologi.
Regjeringen oppnevnte ved kongelig resolusjon 11. januar 2002 et utvalg for å utrede lovtiltak mot datakriminalitet ( Datakrimutvalget). Utvalget fikk i oppdrag først å avgi en delutredning om og deretter utrede andre lovendringer for best mulig å kunne bekjempe datakriminalitet.
Den første delutredningen, NOU 2003: 27 Lovtiltak mot datakriminalitet, gjaldt gjennomføringen av Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi. Utredningen ble fulgt opp i Ot.prp. nr. 40 (2004-2005), og resulterte i lov 8. april 2005 nr. 16 som trådte i kraft straks.
Formålet med den neste delutredningen, NOU 2007: 2 Lovtiltak mot datakriminalitet, var å utarbeide forslag til straffebestemmelser mot datakriminalitet som kunne inngå i departementets arbeid med en ny straffelov. Utvalget gir uttrykk for at dagens regler er utilstrekkelige, og fremmer forslag om en rekke bestemmelser som utvider området for det straffbare og presiserer rettstilstanden der det i dag hersker tvil om rekkevidden av generelle straffebestemmelser.
Departementet har tatt utgangspunkt i Straffelovkommisjonens skisse til kapittel om vern av informasjon og informasjonsutveksling, og supplert det med Datakrimutvalgets utkast til bestemmelser om datakriminalitet. I de tilfellene departementet viser til Datakrimutvalgets forslag og ikke også til Straffelovkommisjonen, skyldes det at kommisjonen ikke foreslår noen tilsvarende bestemmelse. I andre tilfeller er det kun Straffelovkommisjonen som departementet viser til, typisk under behandlingen av straffebestemmelser som verner informasjon, men som ikke spesifikt retter seg mot datakriminelle handlinger. Dette gjelder for eksempel forslaget til bestemmelse om straff for brudd på taushetsplikt.
2.2.2 Høringen
Enkelte høringsinstanser har uttalt seg om Straffelovkommisjonens skisse til kapittel om vern av informasjon og informasjonsutveksling. Departementet kommer tilbake til disse uttalelsene i tilknytning til de enkelte lovforslagene.
Datakrimutvalgets utredning ble sendt på høring 22. februar 2007 med frist 25. mai 2007.
Utredningen ble sendt til følgende adressater:
Departementene
Høyesterett
Lagmannsrettene
Oslo tingrett
Asker og Bærum tingrett
Bergen tingrett
Stavanger tingrett
Trondheim tingrett
Nord-Troms tingrett
Moss tingrett
Domstoladministrasjonen
Riksadvokaten
Statsadvokatembetene
Politidirektoratet
Politiets sikkerhetstjeneste
ØKOKRIM
Sivilombudsmannen
Generaladvokaten
Barneombudet
Forbrukerombudet
Datatilsynet
Konkurransetilsynet
Kredittilsynet
Post- og teletilsynet
Amnesty International (Norsk avdeling)
Det juridiske fakultet, Universitetet i Bergen
Det juridiske fakultet, Universitetet i Oslo
Det juridiske fakultet, Universitetet i Tromsø
Den Norske Advokatforening
Den Norske Dataforening
Den norske Dommerforening
Den norske Revisorforening
Det kriminalitetsforebyggende råd (KRÅD)
Det norske Menneskerettighetshuset
Forbrukerrådet
Forsvarergruppen av 1977
IKT Norge (IKT-næringens interesseorganisasjon)
Institutt for rettsinformatikk, UiO
Juridisk rådgivning for kvinner (JURK)
Juss Hjelpa i Nord-Norge
Juss-Buss
Jussformidlingen i Bergen
Kontor og Datateknisk Landsforening
Kommunenes Sentralforbund (KS)
Landsorganisasjonen i Norge (LO)
Likestillings- og diskrimineringsombudet
NetCom GSM AS
Norges Juristforbund
Norges Lensmannslag
Norsk forening for Jus og EDB
Norsk forening for kriminalreform (KROM)
Norsk Senter for Menneskerettigheter, UiO
Norsk Tele- og Informasjonsbrukerforening
Næringslivets Hovedorganisasjon (NHO)
Politiembetsmennenes Landsforening
Politiets Fellesforbund
Rettspolitisk forening
Redd Barna
Statsadvokatenes forening
Straffedes organisasjon i Norge (SON)
Telenor ASA
Tele2 Norge AS
Ved brev 11. april 2007 ble utredningen også sendt på høring til Finansnæringens hovedorganisasjon, Sparebankforeningen og Norges Bank. Ved brev 23. april 2007 ble høringsbrevet sendt til ISACA Norway Chapter.
Følgende instanser har realitetsmerknader:
Arbeids- og inkluderingsdepartementet
Barne- og likestillingsdepartementet
Fornyings- og administrasjonsdepartementet
Forsvarsdepartementet
Finansdepartementet
Kultur- og kirkedepartementet
Nærings- og handelsdepartementet
Samferdselsdepartementet
Agder lagmannsrett
Asker og Bærum tingrett
Moss tingrett
Riksadvokaten
Oslo statsadvokatembeter
Politidirektoratet
Generaladvokaten
Barneombudet
Forbrukerombudet
Datatilsynet
Kredittilsynet
Post- og teletilsynet
Den Norske Advokatforening
Det kriminalitetsforebyggende råd (KRÅD)
Forbrukerrådet
IKT Norge
Kommunenes Sentralforbund (KS)
Landsorganisasjonen i Norge (LO)
Norsk Senter for Menneskerettigheter, UIO
Næringslivets Hovedorganisasjon (NHO)
Politiets Fellesforbund
Redd Barna
Telenor ASA
Finansnæringens hovedorganisasjon
Sparebankforeningen
Norges Bank
ISACA Norway Chapter
Etter foreleggelse fra Politidirektoratet har også Oslo politidistrikt, Troms politidistrikt, Kripos og Politihøgskolen avgitt høringssvar med merknader til realiteten. Forsvarsdepartementet har forelagt høringsbrevet for Nasjonal sikkerhetsmyndighet (NSM), Forsvarsstaben, Forsvarets forskningsinstitutt og Etterretningstjenesten. Nasjonal sikkerhetsmyndighet (NSM) har avgitt høringssvar. Vedlagt Finansdepartementets høringsuttalelse er uttalelse fra Skattedirektoratet. Fiskeridepartementet har forelagt høringsbrevet for Havforskningsinstituttet og Fiskeridirektoratet som begge har avgitt uttalelser. Vedlagt høringsuttalelsen til Arbeids- og inkluderingsdepartementet er uttalelse fra Arbeids- og velferdsdirektoratet (NAV). Næringslivets hovedorganisasjon har forelagt høringsbrevet for Næringslivets sikkerhetsråd (NSR) som har avgitt uttalelse. I tillegg har IFPI Norge, Elektronisk Forpost Norge (EFN), Norsk Videogramforening (NVF), Scandinavian Tv Organisations against Piracy (STOP Nordic) og TONO uttalt seg. I tillegg har departementet mottatt uttalelser fra et par privatpersoner.
Innholdet i høringsuttalelsene blir behandlet i tilknytning til de enkelte lovforslagene. Hovedinntrykket etter høringen er at høringsinstansene er positive til en mer utførlig regulering og en viss grad av nykriminalisering på området for datakriminalitet, selv om de er delt i synet på flere av straffebudene, avgrensningen av dem og dermed også grensen for det straffbare. Enkelte høringsinstanser mener mer generelt at utvalgets forslag til øvre strafferammer er for strenge.
2.3 Plassering, utforming og gradering av straffebestemmelsene
2.3.1 Et eget kapittel om datakriminalitet?
2.3.1.1 Hva er datakriminalitet?
Den alminnelige forståelsen er at begrepet datakriminalitet omfatter både kriminalitet som er rettet mot data og datasystemer, og kriminalitet hvor datautstyr benyttes som verktøy for å begå mer tradisjonell kriminalitet. Datakrimutvalget har ikke sett behov for å gi begrepet en rettslig definisjon, men lar det omfatte regler om kriminalitet som har sammenheng med bruk og utnytting av datateknologi (IKT), jf. utredningen side 42. Justisdepartementet slutter seg til dette, men vil samtidig understreke at begrepet «datakriminalitet» ikke har noen rettslig betydning. Det er imidlertid hensiktsmessig å benytte begrepet når man drøfter kriminalisering av denne typen handlinger.
2.3.1.2 Hva bør kapitlet regulere?
Straffelovkommisjonen går som nevnt inn for å samle de mest sentrale reglene om datakriminalitet i et eget kapittel (kapittel 23) sammen med andre bestemmelser til vern av informasjon og informasjonsutveksling, som for eksempel straffebud om brudd på taushetsplikt og brudd på bedriftshemmelighet.
Tre høringsinstanser uttaler seg om Straffelovkommisjonens skisse.
Agder lagmannsrett mener at kommisjonens skisse til kapittel bygger på en inndeling på tvers av hovedkriteriene ellers, og samler forhold med svak indre sammenheng og splitter handlinger som naturlig hører sammen. Det vises blant annet til at noen av bestemmelsene i kapitlet har et personvernaspekt og kan passe i kapitlet om vern av den personlige frihet og fred. Reglene om brudd på informasjonsbeskyttelse, om overvåking og om brevbrudd kan også passe inn i kapitlet om vern av den offentlige ro og orden, alt ettersom man vektlegger det allmenne eller individuelle aspektet. Domstolen viser også til andre eksempler på at det fremstår som noe tilfeldig hvor enkelte av bestemmelsene er plassert.
Datatilsynet gir sin tilslutning til Straffelovkommisjonens skisse til kapittelinndeling, og viser til at et eget kapittel om vern av informasjon og informasjonsutveksling gjør det lettere å se sammenhengen mellom beslektede bestemmelser. Også Finansnæringens hovedorganisasjon (FNH) støtter skissen til systematisering.
Under overskriften: «Et eget kapittel om datakriminalitet?» i NOU 2007: 2 på side 42-43 drøfter Datakrimutvalget om det skal gis særlige straffebestemmelser om datakriminalitet, eller om alternativer som rammer slike handlinger bør inkorporeres i de øvrige, generelle straffebestemmelsene. Utvalget viser til at krenkelser av data og datasystemer reiser så mange særlige spørsmål at man er best tjent med en særregulering. Utvalget antar at utbygging av andre straffebud med alternativer som dekker datakriminalitet vil kunne gjøre dem svært kompliserte. I tillegg mener utvalget at en selvstendig regulering bedre får frem de legislative hensynene som gjør seg gjeldende ved beskyttelse av data, utover dem som gjelder formuesgoder mer spesielt, og at et eget kapittel om datakriminalitet gjør det enklere å tilpasse bestemmelsene til den teknologiske utviklingen. Men i motsetning til Straffelovkommisjonen går Datakrimutvalget inn for at bare dataspesifikke bestemmelser inntas i samme kapittel, og at de øvrige bestemmelsene i kommisjonens skisse til kapittel 23 følges opp andre steder i ny straffelov. Som begrunnelse viser utvalget til pedagogiske hensyn og hensynet til oversikt og sammenheng.
Av høringsinstansene som har uttalt seg om Datakrimutvalgets forslag til systematikk, er det et flertall som støtter forslaget om et eget kapittel om datakriminalitet. Andre reiser spørsmål om sammenhengen med den øvrige straffelovgivningen går tapt dersom straffebestemmelsene om datakriminalitet samles i et eget kapittel. Oslo statsadvokatembeter trekker spesielt frem at det ikke er grunnlag for å benytte spesielle straffebud alene fordi datateknologi har vært benyttet som verktøy ved gjennomføringen av lovbruddet - eksempelvis ved tradisjonell vinningskriminalitet.
Departementet har tidligere lagt til grunn at det som utgangspunkt ikke bør vedtas særregler for handlinger som begås ved hjelp av moderne teknologiske hjelpemidler når handlingene rammes av allerede eksisterende straffebud mot tyveri, utroskap, dokumentfalsk mv., jf. Ot.prp. nr. 35 (1986-87) side 13. På den bakgrunn har man tidligere avstått fra å samle bestemmelsene om datakriminalitet i et eget kapittel i straffeloven. Departementet fastholder dette utgangspunktet også her. Selv om midlet til å utføre en straffbar handling eller målet for den straffbare handlingen kan være annerledes her enn ved andre lovovertredelser, er ikke det i seg selv tilstrekkelig til å begrunne særbehandling. Departementet har for eksempel ikke funnet grunn til å foreslå et eget straffebud om dataskadeverk, se punkt 2.15.5.1. Selv om departementet mener at straffansvaret for uberettiget endring av data mv. bør presiseres, bør det skje i den alminnelige skadeverkbestemmelsen, jf. lovforslaget § 351 annet ledd. Også ulovlig bruk av andres datasystemer skal ifølge forslaget fortsatt rammes av bestemmelsen om ulovlig bruk av løsøregjenstand, jf. lovforslaget §§ 343 og 344 og nedenfor i punkt 2.13.4. Det samme gjelder systemskadeverk eller driftshindring som departementet mener fortsatt bør rammes av den alminnelige skadeverkbestemmelsen, se punkt 2.15.5.2. I disse tilfellene gjør det seg ikke gjeldende forskjeller i straffbarhetsvilkårene eller strafferammene som begrunner en særskilt regulering. Departementet foreslår imidlertid en egen bestemmelse som rammer handlinger som medfører fare for avbrudd eller vesentlig hindring av driften av et datasystem, jf. forslaget til § 206. Siden bestemmelsen utelukkende retter seg mot datasystemer, hører den naturlig hjemme i kapitlet om vern av informasjon.
Departementet foreslår dessuten egne bestemmelser om straff for visse handlinger som knytter seg til datakriminalitet, og som i dag bare i begrenset utstrekning er kriminalisert. Det gjelder enkelte forberedelseshandlinger, jf. forslaget § 201 om uberettiget befatning med tilgangsdata, dataprogram mv. og § 202 om identitetskrenkelse (se punkt 2.8 og 2.9).
Departementet har i forslaget til ny straffelov spesiell del for en stor del lagt til grunn Straffelovkommisjonens forslag til kapittelinndeling, jf. Ot.prp. nr. 8 (2007-2008) side 17-18, og går inn for at bestemmelser som tar sikte på å beskytte informasjon og informasjonsutveksling fortrinnsvis samles i ett kapittel. Det betyr at kapitlet ikke er forbeholdt typisk «datakriminelle» handlinger, men omfatter også handlinger som generelt truer informasjon og informasjonsutveksling i samfunnet, også når handlingene skjer uten bruk av teknologiske virkemidler og heller ikke retter seg mot datasystemer eller elektroniske kommunikasjonsnett. Dette er likevel ikke gjennomført fullt ut i tilfellene hvor straffebudet også verner om andre interesser som gjør det mer naturlig å la bestemmelsen høre inn under et annet kapittel i straffeloven 2005. For eksempel er Straffelovkommisjonens skisse til § 23-2 om offentliggjøring av private forhold, plassert i kapittel 24 om vern av den personlige frihet og fred.
Bestemmelsene i forslaget til kapittel 21 har det til felles at de først og fremst verner om informasjon og informasjonsutveksling. Men også de øvrige kapitlene i straffelovens spesielle del inneholder enkeltbestemmelser som har en side til vern av informasjon og kommunikasjon.
Datakrimutvalget har i utformingen av straffebestemmelsene lagt til grunn prinsippet om teknologi- og innholdsnøytralitet. Hvilket IKT-system det er tale om og hva slags innhold dataene har, er ikke relevant for virkeområdet. Departementet slutter seg til denne tilnærmingen. Hvor straffverdig en handling er, beror normalt ikke på hvilket teknologisk utstyr som er benyttet eller hvilken teknologisk innretning som er gjenstand for den straffbare handlingen. Der det har vært mulig, har departementet strukket prinsippet om teknologisk nøytralitet enda lenger, slik at enhver informasjon og informasjonsutveksling - uavhengig av om den er elektronisk eller ikke - i utgangspunktet nyter samme vern. Et eksempel er forslaget til § 202 om identitetskrenkelse. Etter forslaget gjelder bestemmelsen uavhengig av om utnyttelsen av en annens identitet skjer ved hjelp av elektronisk utstyr eller på annen måte, for eksempel i bankskranken eller per brev.
Et annet lovteknisk spørsmål har vært om de nye bestemmelsene i forslaget til kapittel 21 bør utformes i henhold til dagens teknologi eller om det, så langt som det er mulig, bør anvendes mer generelle formuleringer som tar høyde for fremtidens teknologiske utvikling. Departementets utgangspunkt er at utformingen av straffebestemmelsene bør ta høyde for den fremtidige utviklingen så langt det er mulig, slik at de kan virke effektivt over tid. En annen sak er at det ikke alltid er mulig å utforme «tidsnøytrale» bestemmelser. Det skyldes i hovedsak at bestemmelsene ved dette kan bli for unyanserte og generelle, eller at den teknologiske utviklingen er vanskelig å forutse.
2.3.2 En egen bestemmelse med legaldefinisjoner?
Datakrimutvalget går inn for en definisjonsbestemmelse innledningsvis i utkastet til kapittel om datakriminalitet, jf. utredningen side 59-62. Her defineres de sentrale begrepene som går igjen i de fleste bestemmelsene, som for eksempel «datasystem», «dataprogram» og «data».
Ti høringsinstanser har uttalt seg om forslaget. Det gjelder Fornyings- og administrasjonsdepartementet, Politidirektoratet, Oslo politidistrikt, Moss tingrett, Post- og teletilsynet, Datatilsynet, Nasjonal sikkerhetsmyndighet, Advokatforeningen, Scandinavian Tv Organisations against Piracy (STOP Nordic) og Fiskeridirektoratet. Selv om flere av instansene, deriblant Oslo politidistrikt og Advokatforeningen, støtter forslaget, spør flere om definisjonene er presise nok eller favner for vidt. Enkelte etterlyser også større grad av harmonisering med tilsvarende begreper i andre lover. Andre høringsinstanser er mer skeptisk til å oppstille legaldefinisjoner, deriblant Fornyings- og administrasjonsdepartementet og Moss tingrett. Fornyings- og administrasjonsdepartementet uttaler:
«Ord som "data" og "datasystemer" benyttes i en rekke situasjoner med svært forskjellig meningsinnhold. Det er derfor viktig at det defineres klart hvilken forståelse som legges til grunn i loven. Det vises særlig til definisjonen av "data" hvor det fremgår at det kun omfatter informasjon som behandles elektronisk. På en rekke andre felter benyttes data som synonym til informasjon eller opplysning, uavhengig av elektronisk behandling. Et eksempel er "persondata" som synonym til "personopplysning". Enkelte av definisjonene er vanskelige å forstå. Definisjonene av "dataprogram" og "elektronisk kommunikasjonsnett" inneholder for eksempel en del ord som også med fordel kunne vært definert (kildekode, svitsjer, kommunikasjons- og radioutstyr).»
Moss tingrett viser til at det er ingen tradisjon for at ord og uttrykk i straffeloven defineres i større ustrekning enn det som er gjort i straffeloven 2005 kapittel 2 om legaldefinisjoner, og mener utkastet § 1 ikke naturlig hører hjemme i straffeloven.
Justisdepartementet er etter høringen styrket i sin oppfatning om at kapitlet ikke bør inneholde en definisjonsbestemmelse. Selv om flere av instansene peker på at hensynet til klarhet og tilgjengelighet taler for legaldefinisjoner, viser høringen at det er vanskelig å utforme presise og dekkende definisjoner som samtidig er føyelige nok. Enkelte av definisjonene fremstår som så vidt kompliserte at også enkeltord i beskrivelsen fortjener en forklaring. Da reduseres hensikten med bestemmelsen. Riktignok kan det hevdes at behovet for definisjoner gjør seg sterkere gjeldende ved datakriminalitet enn på andre områder i strafferetten. Departementet mener imidlertid at begrepene ikke bør «låses» i en legaldefinisjon, men i den grad det er nødvendig og mulig forklares i motivene og utvikles i takt med teknologien. I tillegg kommer at departementets forslag til kapittel også inneholder andre bestemmelser enn bare dem som knytter seg til datakriminalitet, jf. punkt 2.3.1.2. Det gjør det mindre naturlig å ta inn en paragraf med legaldefinisjoner som retter seg mot bestemmelsene om datakriminalitet spesielt.
2.3.3 Rettsstridsreservasjonen
Bortsett fra i ett av Datakrimutvalgets utkast til straffebud, er området for det straffbare avgrenset ved bruk av vilkåret om at handlingen må være uberettiget. Hva som skal regnes som «uberettiget» skal ifølge utvalget avgjøres på bakgrunn av normer utenfor strafferetten, som spesiallovgivning, avtale, kutyme, retningslinjer, instrukser og lignende, jf. utredningen side 62 annen spalte. Også kutymer for kommunikasjon på internett (såkalt nettvett) vil ifølge utvalget kunne ha relevans for innholdet i rettsstridsreservasjonen.
Den ulovfestede rettsstridsreservasjonen i strafferetten er normalt en relativt snever unntaksregel om innskrenkende tolkning, som angir når en ellers straffbar handling vil være straffri, jf. Ot.prp. nr. 8 (2007-2008) side 21-22. I Datakrimutvalgets utkast er utgangspunktet motsatt: Vilkåret «uberettiget» er det sentrale straffbarhetsvilkåret som angir når handlinger som normalt er lovlige, regnes som ulovlige.
Seks høringsinstanser uttaler seg generelt om utvalgets bruk av rettsstridsreservasjonen «uberettiget» i utkastet til lovbestemmelser. Skattedirektoratet, Datatilsynet, Finansnæringens Hovedorganisasjon (FNH), Sparebankforeningen og Elektronisk Forpost Norge (EFN) er alle kritiske til måten utvalget har utformet straffebudene på. Hovedinnvendingen er at straffebudene blir for upresise og lite forutsigelige når de ikke klarere gir uttrykk for hvilke handlinger som er gjort straffbare. Skattedirektoratet uttaler:
«Under punkt 5.3 gis det anvisning på at meningsinnholdet i kvalifikasjonsnormer «uberettiget» skal bestemmes på grunnlag av normer utenfor strafferetten. Man viser til « ... spesiallovgivning, avtale, kutyme, retningslinjer, instrukser og lignende ...». Det understrekes videre at normen må tolkes i den kontekst den opptrer og at innholdet vil variere i tråd med dette. Med tanke på at bestemmelsene vil få stor praktisk betydning for den jevne borgers handlinger er det betenkelig at kravet til slik breddekunnskap er så omfattende. De generelle forutsetninger og bakgrunnskunnskaper på området forslaget regulerer antas å være langt svakere enn hva vi ser på andre områder, og dermed blir det problematisk å forutsette slik kunnskap ved tolkningen av de enkelte straffebudene.»
Moss tingrett synes å være positiv til bruk av rettsstridsreservasjonen slik utvalget går inn for.
Etter departementets syn er det ikke til å unngå at enkelte bestemmelser må utformes slik at de etter sin ordlyd etter omstendighetene kan favne noe for vidt, uten at det på forhånd er mulig å snevre inn virkefeltet på en tilstrekkelig presis og fleksibel måte. Derfor er det hensiktsmessig å ta i bruk rettsstridsreservasjoner også i straffeloven 2005. Spesielt for bestemmelsene om datakriminalitet er at de gjerne beskriver handlinger som i seg selv ikke er straffverdige eller uønskede. Det er en dagligdags og lovlig handling å skaffe seg tilgang til datasystemer, disponere over databasert informasjon eller besitte tilgangsdata som passord og lignende. Det kan også være legitime årsaker til at en person benytter seg av andres datasystem eller sletter andres data. Det er de nærmere omstendighetene som avgjør om handlingen er straffverdig og bør kriminaliseres, for eksempel av hvem og under hvilke forutsetninger handlingen er utført. På den bakgrunn gjør utvalget bruk av rettsstridsreservasjoner for å tydeliggjøre at virkefeltet til straffebestemmelsene må innsnevres. Av hensyn til forutsigelighet ser departementet imidlertid grunn til å konkretisere gjerningsbeskrivelsen i straffebudene så langt det lar seg gjøre, og i noen grad mer enn i Datakrimutvalgets forslag. Men der det ikke lar seg gjøre å snevre inn virkefeltet på en tilstrekkelig presis og fleksibel måte, er det også i departementets forslag tatt i bruk spesielle rettsstridsreservasjoner. Reservasjonen som er benyttet i forslagene er «uberettiget». Departementet har i Ot.prp. nr. 8 (2007-2008) lagt til grunn at reservasjonen «uberettiget» skal benyttes i de tilfellene det er behov for en noe bredere henvisning enn det som naturlig følger av ordet «ulovlig». «Ulovlig» viser vanligvis til underliggende rettsforhold i henhold til lov eller forskrift. «Uberettiget» viser for eksempel også til handlinger som er i strid med privatrettslige avtaler eller instrukser eller som er i strid med akseptabel atferd på et bestemt livsområde. Denne forståelsen av begrepet ligger også til grunn for forslaget her.
For øvrig gjelder den alminnelige og ulovfestede rettsstridsreservasjonen - at handlingen må være utilbørlig etter en sosialetisk vurdering - her som ellers i strafferetten.
2.3.4 Gradering av straffebudene
Datakrimutvalget omhandler gradering av straffebud på side 126-127 i utredningen. Utvalget foreslår at det skilles mellom liten, vanlig og grov overtredelse for alle lovbruddene, jf. utkastet §§ 18 og 19.
Departementet går gjennomgående inn for lavere strafferammer enn Datakrimutvalget, og ser derfor ikke grunn til å ha egne bestemmelser om grove overtredelser. Strafferammene i straffebestemmelsene for ordinære overtredelser er tilstrekkelig vide til også å omfatte de grove tilfellene.
2.4 Kriminalisering av grovt uaktsom overtredelse av straffebud til vern av informasjon og informasjonsutveksling
Skyldkravene i gjeldende straffebestemmelser som berøres av forslaget til nye straffebud til vern om informasjon og informasjonsutveksling, er nevnt under redegjørelsene for gjeldende rett. Som hovedregel forutsetter straff at det er utvist forsett.
Datakrimkonvensjonen oppstiller bare plikt til å strafflegge handlinger som er omfattet av kriminaliseringsforpliktelsene i konvensjonen og som er begått forsettlig.
Straffelovkommisjonen går inn for å videreføre grov uaktsomhet som skyldform i sin skisse til § 23-1 om brudd på taushetsplikt. Også grovt uaktsomt grovt skadeverk på elektronisk lagret informasjon foreslås straffet, jf. skissen til § 23-12. For øvrig foreslår kommisjonen at forsett skal være skyldkravet i straffebudene om vern av informasjon og informasjonsutveksling.
Datakrimutvalget har også hatt som utgangspunkt at straff forutsetter at det er utvist forsett med hensyn til de enkelte ledd i straffebudenes gjerningsbeskrivelser, se utredningen side 114. For enkelte typer lovbrudd har utvalget likevel foreslått å kriminalisere også grovt uaktsomme overtredelser, jf. utkastet § 17. Dette gjelder for § 7 om datamodifikasjon, § 9 om etterfølgende befatning med ulovlig tilegnet data og databasert informasjon, § 10 om uberettiget befatning med tilgangsdata, § 12 annet ledd om initiering av spredning av selvspredende dataprogram, og § 13 om driftshindring. Utvalgets begrunnelse for å kriminalisere også enkelte grovt uaktsomme overtredelser er at skadepotensialet er særlig stort ved visse typer lovbrudd.
Bare noen få høringsinstanser har uttalt seg om Datakrimutvalgets utkast til § 17 om grovt uaktsomt datalovbrudd. Moss tingrett viser til at datakrimkonvensjonen bare krever at forsettlige lovbrudd straffes, og mener norsk rett bør være i samsvar med dette. Næringslivets hovedorganisasjon (NHO) stiller spørsmål generelt ved det å kriminalisere grov uaktsom overtredelse på et teknologisk område i stadig endring. NHO hevder at endringene gjør det vanskelig å definere aktsomhetsnormen og dermed skille mellom grov og simpel uaktsomhet. Kredittilsynet ber om at det klargjøres hva som må anses som «grov uaktsomhet» og stiller særlig spørsmål om når man grovt uaktsomt har medvirket til straffbar datakriminalitet. Oslo politidistrikt synes det er «uvant at temaene grov uaktsom overtredelse og hva som anses som grove overtredelser, fremgår til slutt i kapitlet om datakriminalitet.»
Departementet viser til drøftelsen av kravene til subjektiv skyld i Ot.prp. nr. 90 (2003-2004) side 111 flg., hvor det konkluderes med at idømmelse av straff som utgangspunkt bør være betinget av at handlingen er begått forsettlig, noe som er i samsvar med departementets grunnsyn om varsomhet med bruk av straff (side 113). Dette utgangspunktet gjelder også når departementet skal vurdere hvilken skyldform som skal gjelde for straffebestemmelsene i kapitlet om vern av informasjon og informasjonsutveksling. Den konkrete vurderingen av om grovt uaktsom overtredelse skal kriminaliseres, foretar departementet i tilnytning til det aktuelle straffebudet, se punkt 2.8.3.7 og 2.19.5.2. Departementet går ikke inn for å kriminalisere grovt uaktsom overtredelse med mindre det er nødvendig for at det aktuelle forbudet skal virke tilstrekkelig effektivt.
2.5 Strafferammer
Ved fastsetting av forslaget til strafferammer tar Datakrimutvalget utgangspunkt i handlingenes straffverdighet, jf. utredningen side 125, og uttaler:
«Til dels har utvalget tatt utgangspunkt i andre straffebestemmelser i gjeldende straffelov som man anser har tilsvarende straffverdighet. For andre handlinger - som vanskelig kan sammenlignes med bestemmelser i gjeldende straffelov - har utvalget på mer fritt grunnlag gitt et forslag til strafferamme. På tradisjonell måte har utvalget valgt å foreslå relativt vide strafferammer for å fange opp den ulike straffverdighet handlinger som faller innenfor samme straffebestemmelse, kan ha.
Utvalget har sett hen til synspunktene for fastsetting av strafferammer i Ot.prp. nr. 90 (2003-2004) kapittel 11.2-11.4. Videre har utvalget tatt hensyn til prosessuell betydning av strafferammene; særlig er det da vilkårene for når ransaking kan skje en har tenkt på, jf. straffeprosessloven § 192, idet ransaking og beslag er meget aktuelt i saker om datakriminalitet.»
Relativt få høringsinstanser har uttalt seg om forslagene til strafferammer. De fleste uttalelsene knytter seg til det enkelte lovforslaget. To instanser har imidlertid uttalt seg mer generelt om strafferammene i utvalgets forslag. Det gjelder Politidirektoratet og Politihøgskolen.
Politidirektoratet uttaler at forslaget til straffenivå synes velfundert, selv om lovgivningsteknikken er uvant.
Politihøgskolen mener strafferammene i utvalgets forslag gjennomgående ligger for høyt, og fortsetter:
«Først og fremst er dette tilfelle for strafferammene knyttet til ordinær overtredelse som i stor utstrekning ligger på 3 år. Det er imidlertid ikke mulig å ha noen godt begrunnet oppfatning om hvorvidt dette er for høyt, uten å ha tilgang til hvilke strafferammer som vil bli foreslått for tilsvarende lovbrudd knyttet til andre installasjoner og objekter. Etter vår oppfatning bør det ikke være forskjeller mellom strafferammene i datakrimkapitlet og for eksempel bestemmelsene om innbrudd, ulovlig bruk, skadeverk og tyveri ut over det som kan begrunnes i at angrep rettet mot datasystemer m.v. har et større skadepotensial. Utvalget har i § 18 foreslått at nettopp skadepotensialet skal tillegges vesentlig vekt ved avgjørelsen av om lovbruddet kan regnes som grovt. Politihøgskolen er enig i dette, men reiser da samtidig spørsmålet om ikke strafferammene for ordinære overtredelser - hvor jo skadepotensialet må være vesentlig mindre - da har blitt liggende noe høyt. Datakrimutvalget sier på side 125 at de har sett hen til behovet for å kunne benytte straffeprosessuelle tvangsmidler ved fastsetting av strafferammene. Selv om det er vanskelig å se om og i tilfelle hvor dette har påvirket de foreslåtte strafferammer, finner Politihøgskolen grunn til å påpeke at strafferammen skal avspeile handlingens straffverdighet. Normalt vil det ikke være noen klar sammenheng mellom handlingers straffverdighet og den omstendighet at etterforsking av den fordrer bruk av særskilte midler og metoder. I den grad det ved etterforsking av datakriminalitet er behov for å ha tilgang til særskilte midler og metoder, bør det åpnes for dette gjennom en egne bestemmelser i tilknytning til det aktuelle tvangsmiddel (slik det for eksempel er gjort for overtredelse av eksportkontrolloven), og ikke gjennom å la prosessuelle hensyn ha en inflatorisk virkning på strafferammene. Et motiv for å legge strafferammene forholdsvis høyt kan også ha vært prioriteringshensyn innad i politiet. En kombinasjon av at bestemmelsene nå samles i straffeloven og at de gis en forholdsvis høy strafferamme, kan tenkes å motvirke eventuelle holdninger om dette ikke er "ordentlig" kriminalitet. I den grad dette er et problem, er det Politihøgskolens oppfatning at dette er et ledelses- og styringsproblem som må få sin løsning på andre måter enn gjennom unødvendig høye strafferammer.»
Det blir tatt stilling til den konkrete strafferammen i tilknytning til drøftelsen av det enkelte lovforslaget. Departementet har likevel funnet grunn til å knytte noen generelle kommentarer til utvalgets forslag til strafferammer.
Utvalget har valgt å foreslå relativt vide strafferammer for å fange opp handlinger som rammes av det samme straffebudet, men som kan ha ulik straffverdighet. Etter departementets vurdering har imidlertid utvalget lagt strafferammen på et gjennomgående for høyt nivå. Ved utarbeidingen av ny straffelov legger departementet til grunn at en fortsatt skal ha et generelt sett moderat straffenivå, hvor man etter forholdene og i lys av straffens formål gjør minst mulig bruk av frihetsstraff, jf. Ot.prp. nr. 90 (2003-2004) side 128. I Innst. O. nr. 72 (2004-2005) sluttet justiskomiteen seg til dette, se side 25. Dette bør prege de strafferammer som fastsettes, også for bestemmelsene om datakriminalitet. Det skal ikke fastsettes uforholdsmessige eller urealistisk høye strafferammer. Det bør dessuten i utgangspunktet bare være forskjeller på strafferammene i bestemmelsene om datakriminalitet og for eksempel bestemmelsene om innbrudd, ulovlig bruk, skadeverk og tyveri, hvis det kan begrunnes særskilt.
Ved sitt forslag til strafferammer legger utvalget betydelig vekt på at angrep rettet mot datasystemer har et stort skadepotensial.Når det samme forholdet står sentralt i vurderingen av om handlingen er grov, er departementet enig med Politihøgskolen i at den øvre strafferammen for ordinær overtredelse blir for høy i Datakrimutvalgets forslag. Selv om den øvre strafferammen bør legges høyt nok til at den fanger opp mer graverende overtredelser, bør den likevel gjenspeile handlingstypens alminnelige straffverdighet. Flere av bestemmelsene i forslaget til kapittel 21 vil dessuten kunne anvendes sammen med andre straffebestemmelser (i konkurrens). På den måten vil en kunne gå utover strafferammen for den aktuelle lovovertredelsen. Det taler for å utvise et visst måtehold. En for vid ramme kan dessuten utilsiktet drive opp straffenivået, noe som ikke er ønskelig. Muligheten til å anvende prosessuelle tvangsmidler er i utgangspunktet ikke et hensyn som bør tillegges større vekt i valget av den øvre strafferammen, jf. Ot. prp. nr. 90 (2003-2004) side 131, og får uansett bare begrenset betydning for bestemmelsene i kapittel 21. For ransaking er det tilstrekkelig at det foreligger skjellig grunn til mistanke om en handling som etter loven kan medføre frihetsstraff, jf. straffeprosessloven §§ 192 flg. Adgangen til å ta beslag er i utgangspunktet ikke avhengig av reaksjon og strafferamme, jf. straffeprosessloven § 202. På denne bakgrunn foreslår departementet en generell nedjustering av strafferammene i forhold til utvalgets forslag.
Departementet finner grunn til i denne sammenheng å peke på at EUs såkalte datalagringsdirektiv (direktiv 2006/24), som gjelder plikt for tilbydere av offentlige kommunikasjonsnett eller -tjenester om å lagre trafikkdata mv. i inntil to år, overlater til nasjonale myndigheter å fastsette regler om politiets tilgang til lagrede data. Samtidig viser direktivet i sin formålsbestemmelse til at hensynet er å sikre at informasjon er tilgjengelig for oppklaring av alvorlig kriminalitet ("serious crime"). I arbeidet med disse spørsmålene i Norge bør lovgiverne, ved en eventuell fastsetting av de krav som skal gjelde for politiets tilgang, for eksempel i form av konkrete strafferammekrav, se hen til strafferammene i særlig relevante straffebud, herunder bestemmelsene om datakriminalitet.
Forberedelseshandlinger bør straffes mildere enn forsøk, og begrunner i utgangspunktet en lav strafferamme, jf. særlig § 201 om uberettiget befatning med tilgangsdata, dataprogram mv.
Det vises for øvrig til Ot. prp. nr. 8 (2007-2008) side 23-25 om fastsetting av strafferammer i straffeloven 2005.
I omtalen av strafferammene vil departementet avslutningsvis peke på at lovbrudd som retter seg mot informasjon reiser et spesielt behov for å bruke straffeprosessloven § 216 b. Departementet har imidlertid ikke funnet grunn til å foreslå strafferammer som aktualiserer hovedregelen i straffeprosessloven § 216 b første ledd bokstav a. Departementet foreslår i stedet å føye til en henvisning til straffeloven kapittel 21 i bestemmelsen, jf. endringen i straffeprosessloven § 216 b og merknaden til denne.
2.6 Harmonisering av åndsverkloven §§ 53 a og 53 c, straffeloven 1902 § 262 og straffeloven 1902 §§ 145 annet ledd og 145 b
Uberettiget tilgang til data og handlinger som tilrettelegger for uberettiget tilgang, straffes i dag etter tre ulike regelsett i åndsverkloven og straffeloven. Uberettiget tilgang straffes etter åndsverkloven § 53 a første ledd og straffeloven 1902 §§ 145 annet ledd og 262 annet ledd, mens tilrettelegging for uberettiget tilgang straffes etter åndsverkloven §§ 53 a annet ledd og 53 c og straffeloven 1902 §§ 145 b og 262 første ledd. Forskjellen mellom disse straffebestemmelsene er at mens åndsverkloven §§ 53 a og 53 c verner åndsverk og straffeloven § 262 beskytter såkalte vernede tjenester, er straffeloven §§ 145 annet ledd og 145 b generelle bestemmelser om straff for henholdsvis spredning av tilgangsdata til «datasystem» og for den som skaffer seg uberettiget adgang til «data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler.» Vilkårene for straff, herunder skyldkravet, og strafferammen er forskjellig etter de ulike bestemmelsene, se nærmere punkt 2.8.3.2, 2.11.1 og 2.12.1.1.
Datakrimutvalget mener det er behov for å harmonisere bestemmelsene i åndsverkloven og straffeloven som gjelder uberettiget tilgang til data og tilrettelegging for uberettiget tilgang til data, se utredningen side 55, jf. også side 93-98. Harmoniseringsforslaget berører utvalgets utkast § 4 (ulovlig tilgang til datasystem), § 10 (ulovlig befatning med tilgangsdata), og § 11 (skadelig dataprogram og utstyr). Utvalget begrunner forslaget særlig med at det vil gi et mer oversiktlig lovverk, og fortsetter:
«Dette oppnås ved å påse at reglene om uberettiget tilgang til data gis lik strafferettslig behandling uansett hvilket innhold dataene bærer. Per i dag fremstår de ovennevnte regler og grensesnittet mellom dem som så uoversiktlige at de er vanskelige å praktisere. Folkerettslige forpliktelser synes ikke å være til hinder for å integrere reglene i åndsverkloven § 53a og § 53c i datakrimkapitlet i den nye straffeloven (se kapittel 4.3.3 og 4.4.3). Forpliktelsene oppfylles ved at loven har et straffesanksjonert forbud mot omgåelse av tekniske beskyttelsessystemer som også gjelder digitaliserte vernede verk. Det er ikke noen betingelse at disse reglene står i åndsverkloven.»
Utvalget er imidlertid delt i synet på om harmonisering bør skje allerede som ledd i oppfølgingen av utvalgets utredning, eller om spørsmålet først bør utredes mer. Utvalgets flertall (medlemmene Willassen, Sellæg, Gulbrandsen og Taraldset) går inn for at harmonisering foretas i forbindelse med datakrimkapitlet i ny straffelov ved at det vesentlige av innholdet i åndsverkloven §§ 53 a og 53 c implementeres i straffeloven. Flertallet legger vekt på behovet for samordning, som vil lette praktiseringen av reglene, og at samordningen ikke er ment å innebære materielle endringer. Utvalgets mindretall (medlemmet Christensen og lederen Rønning) viser til den nære sammenheng mellom åndsverkloven § 53 a og øvrige bestemmelser i loven, og spør om § 53 a egentlig bør flyttes ut av åndsverkloven. Mindretallet ser også behovet for å vurdere forholdet mellom de ulike bestemmelsene, men forutsetter at dette gjøres i forbindelse med Kultur- og kirkedepartementets varslede revisjon av åndsverkloven.
Elleve høringsinstanser har uttalt seg om harmoniseringsspørsmålet. Ni er enige med utvalget i at bestemmelsene i henholdsvis åndsverkloven og straffeloven om ulovlig tilgang og tilrettelegging for ulovlig tilgang bør harmoniseres. De to siste instansene, Fornyings- og administrasjonsdepartementet og Nærings- og handelsdepartementet, mener også at det er behov for å se nærmere på forholdet mellom bestemmelsene i åndsverkloven og straffeloven, uten - slik Justisdepartementet oppfatter det - å konkludere med at harmonisering bør skje. Høringsinstansene er imidlertid delt i synet på når og hvordan samordningen eventuelt bør skje. Fire høringsinstanser, Advokatforeningen, Næringslivets sikkerhetsråd, ISACA Norway Chapter og Politihøgskolen, støtter uttrykkelig flertallets forslag. Også Kommunenes Sentralforbund, Scandinavian Tv Organisations against Piracy (STOP Nordic) og TONO har sympati for utvalgsflertallet. IFPI Norge,Fornyings- og administrasjonsdepartementet, Nærings- og handelsdepartementet og Kultur- og kirkedepartementet, støtter utvalgets mindretall. Kultur- og kirkedepartementet, som forvalter åndsverkloven, uttaler at det er behov for å utrede nærmere forholdet mellom bestemmelsene som omfattes av harmoniseringsforslaget. I motsetning til Datakrimutvalgets flertall mener Kultur- og kirkedepartementet at utvalgets utkast på flere punkter endrer gjeldende rett. Dette departementet opplyser avslutningsvis i sin uttalelse at det «vil foreta en gjennomgang av hele åndsverkloven frem mot 2009. Et av målene ... er å gjøre åndsverkloven mer oversiktlig og lettere tilgjengelig for brukerne, i lys av den teknologiske utviklingen. Det vil være naturlig å ta opp disse spørsmålene i den sammenheng.»
Justisdepartementet er enig med utvalget og høringsinstansene i at det er et behov for å gjennomgå og eventuelt samordne bestemmelsene om henholdsvis uberettiget tilgang til og tilrettelegging for uberettiget tilgang til data i åndsverkloven og straffeloven. Det fremstår imidlertid som mest hensiktsmessig at denne gjennomgåelsen foretas i forbindelse med Kultur- og kirkedepartementets revisjon av åndsverkloven, og ikke i forbindelse med arbeidet med ny straffelov. For Justisdepartementet veier det tungt at Kultur- og kirkedepartementet som ansvarlig for åndsverkloven uttaler at det er behov for å utrede forholdet mellom åndsverkloven og straffelovens bestemmelser nærmere, og mener at utvalgets utkast til harmoniseringsbestemmelser innebærer materielle endringer av gjeldende bestemmelser i åndsverkloven.
Departementet mener at det i forlengelsen av dette også er mest hensiktsmessig å utsette samordningen mellom straffelovens generelle bestemmelser og straffeloven 1902 § 262 om vernede tjenester. Dette er i samsvar med utvalgsflertallets anbefaling for det tilfelle at åndsverklovens bestemmelser om ulovlig tilgang og tilrettelegging for ulovlig tilgang ikke integreres i straffeloven 2005, jf. utredningen side 56 femte avsnitt. Straffeloven 1902 § 262 foreslås derfor i proposisjonen her videreført med bare mindre endringer, se lovforslaget § 203 og punkt 2.10.
At samordningen med straffeloven 1902 § 262 og åndsverklovens bestemmelser utstår, medfører at lovforslaget § 201 om uberettiget befatning med tilgangsdata, dataprogram mv., § 204 om innbrudd i datasystem og § 205 om krenkelse av retten til privat kommunikasjon inntil videre får et noe begrenset virkeområde, idet åndsverkloven §§ 53 a og 53 c og lovforslaget § 203 vil være spesialregler for henholdsvis åndsverk og vernede tjenester.
2.7 Jurisdiksjon - handling som anses foretatt på flere steder
2.7.1 Gjeldende rett, folkerettslige forpliktelser
Straffeloven 1902 § 12 regulerer det geografiske virkeområdet for norsk straffelov. Ifølge § 12 nr. 1 får norsk straffelov anvendelse på handlinger som er foretatt i riket (territorialprinsippet). Ifølge § 12 nr. 3 kan norske statsborgere i visse tilfeller strafforfølges for handlinger som er begått i utlandet (nasjonalitetsprinsippet). Også for handlinger begått av utlendinger i utlandet kan straffeloven på visse vilkår få anvendelse, jf. § 12 nr 4, blant annet i tilfellene der handlingen forøvet i utlandet er straffbar også etter gjerningsstedets rett (dobbel straffbarhet). Av § 12 annet ledd går det frem at i tilfeller hvor en handlings straffbarhet avhenger eller påvirkes av en inntrådt eller tilsiktet virkning, betraktes handlingen som foretatt også der hvor virkningen er inntrådt eller tilsiktet fremkalt. For en grundigere fremstilling av gjeldende rett vises til Ot.prp. nr. 90 (2003-2004) side 173 flg.
Bestemmelsene om jurisdiksjon i straffeloven 2005 er i §§ 4-7. Bestemmelsene er i stor utstrekning en videreføring av gjeldende rett, selv om det på en del punkter er realitetsendringer. Bestemmelsen i straffeloven 1902 § 12 annet ledd er imidlertid videreført med bare språklige endringer, jf. § 7.
Datakrimkonvensjonen artikkel 22 regulerer jurisdiksjon. På bakgrunn av Datakrimutvalgets første delutredning, NOU 2003: 27 ble det ved lov 8. april 2005 nr. 16 gjort en endring i § 12 første ledd nr. 3 for å bringe bestemmelsen i samsvar med konvensjonen.
2.7.2 Datakrimutvalgets forslag, delutredning I og II
I sin delutredning I pekte Datakrimutvalget på at rekkevidden av straffeloven 1902 § 12 annet ledd er usikker, og viste i den forbindelse til en underrettsavgjørelse i RG 2001 side 219 som gjaldt pornografisk materiale på internett, jf. NOU 2003: 27 side 52. Departementet gikk ikke inn for noen endring i bestemmelsen på dette punktet i Ot.prp. nr. 40 (2004-2005), eller senere i forbindelse med arbeidet med straffeloven 2005, jf. Ot.prp. nr. 90 (2003-2004) side 173 flg.
I sin andre delutredning foreslår Datakrimutvalget en tilføyelse til straffeloven 2005 § 7 (straffeloven 1902 § 12 annet ledd). Tilføyelsen er ment å presisere rettstilstanden for hvor en handling under kapitlet om datakriminalitet som er begått i utlandet, skal anses å ha funnet sted, jf. utredningen side 139-146. Utvalget foreslår å føye til at dersom et datasystem eller elektronisk kommunikasjonsnett i Norge er rammet eller forsøkt rammet av en handling som er straffbar etter datakrimkapitlet, anses virkningen som inntrådt i Norge.
2.7.3 Høringsinstansenes syn
Seks høringsinstanser har uttalt seg om forslaget. Politidirektoratet, Kripos og Forbrukerombudet synes å være positive til en slik presisering, mens Oslo statsadvokatembeter og Moss tingrett mener presiseringen er unødvendig. Oslo statsadvokatembeter uttaler:
«En saklig avgrensning som forslagets annet punktum viser til ved henvisningen til kapitlet om «Vern av data, databasert informasjon og informasjonssystemer» vil kunne virke begrensende og skape behov for utilsiktede og unødvendige grensedragninger ved anvendelse av straffebestemmelsene.»
ISACA Norway Chapter etterlyser på sin side en nærmere klargjøring av rettstilstanden ved det som kalles «offshoring» - det vil si der en virksomhet i Norge kjøper outsourcingtjenester fra et internasjonalt konsulentselskap som på sin side benytter leverandør av IT-tjenester fra et lavkostland som for eksempel India. Dersom en straffbar handling blir begått mot datasystemet i India og gjerningspersonen ikke befinner seg i Norge, reises spørsmålet om det er tilstrekkelig for norsk jurisdiksjon at handlingen (også) har virkning i Norge.
2.7.4 Departementets vurdering
Departementet er enig med utvalget i at spørsmålet om jurisdiksjon har stor betydning for datakriminalitet på grunn av dens grenseoverskridende karakter. Handlingen kan være begått på tvers av landegrenser eller i samvirke mellom personer i flere land til samme tid. Ofte vil gjerningspersonen oppholde seg i ett land, mens datasystemet som rammes, befinner seg i et annet.
Departementet forstår utvalgets forslag som en presisering av rettstilstanden slik den følger av jurisdiksjonsbestemmelsene i straffeloven 2005, og legger til grunn at utvalget ikke har ment å foreslå realitetsendringer.
I Ot.prp. nr. 90 (2003-2004) ble straffeloven 1902 § 12 annet ledd vurdert, men departementet fant ikke grunn til å foreslå utfyllende presiseringer i straffeloven 2005 § 7. Departementet fastholder dette syn. Slik straffeloven 1902 § 12 annet ledd og straffeloven 2005 § 7 er formulert, går det etter departementets syn tilstrekkelig klart frem hvilke tilfeller som gir norsk jurisdiksjon, også ved typisk datakriminelle handlinger der mer enn ett land er involvert. Bestemmelsene er ikke knyttet til noen bestemt kategori av straffebud, men må kunne anvendes når den inntrådte eller tilsiktede virkning knytter seg til en handling foretatt i et annet land, jf. Rt. 1996 side 654 og Rt. 2003 side 1770. Oppholder gjerningspersonen seg i England, og der fremstiller tilgangsdata med sikte på å begå datatyveri i Norge, kan ikke befatningen med tilgangsdata (jf. lovforslaget § 201) strafforfølges i Norge fordi den straffbare handlingen ikke avhenger eller påvirkes av en virkning - i Norge eller noe annet sted - for å være straffbar. Annerledes vil det stille seg om grensen for forsøk på datatyveri fra et norsk datasystem er overskredet. Her kan bestemmelsen i prinsippet gi norsk jurisdiksjon i forhold til datatyveriet ettersom handlingen avhenger av en virkning som var tilsiktet inntrådt i Norge.
Dette stiller seg ikke annerledes ved såkalt offshoring enn for andre straffbare handlinger der flere land er involvert. Det blir opp til påtalemyndigheten og domstolene å vurdere konkret om handlingens straffbarhet påvirkes eller avhenger av en virkning, og om denne virkningen kan anses for å ha funnet sted i Norge.
2.8 Strafflegging av handlinger som forbereder datarelatert kriminalitet
Kriminalisering av forberedelseshandlinger ble drøftet i Ot.prp. 90 (2003-2004) side 104 flg. Departementet ga her uttrykk for at forberedelseshandlinger bare bør kriminaliseres når det er et særskilt behov for det. Departementet går i tråd med dette ikke inn for noen generell kriminalisering av forberedelser til datarelatert kriminalitet, men foreslår å sette straff for enkelte typer forberedelseshandlinger.
Datarelaterte straffbare handlinger er som nevnt ofte grenseoverskridende: De begås ved hjelp av en datamaskin eller et datasystem som befinner seg i ett land, men kan berøre fysiske og juridiske personer i andre land. Å bekjempe slik kriminalitet krever derfor samarbeid på tvers av landegrenser. Departementet mener følgelig det bør ses hen til både folkerettslige reguleringer, særlig Europarådets datakrimkonvensjon, og andre lands rett, særlig rettstilstanden i de øvrige nordiske landene, når man skal vurdere strafflegging av forberedelseshandlinger til datarelaterte lovbrudd.
Av høringsinstansene er det flere som har kommet med generelle merknader om kriminalisering av handlinger som forbereder datarelatert kriminalitet. Fiskeridirektoratet ser et klart behov for slik kriminalisering. Det samme gjør Finansnæringens hovedorganisasjon og Sparebankforeningen. Moss tingrett foreslår en særskilt bestemmelse om forberedelseshandlinger som skal ramme enhver befatning med data i et datasystem som er særlig egnet til å anvendes som hjelpemiddel til å begå en straffbar handling. Norsk senter for menneskerettigheter peker på at det er betenkeligheter ved å straffe forberedelseshandlinger. Riksadvokaten uttrykker skepsis til nykriminalisering generelt. Næringslivets Sikkerhetsråd savner på sin side en prinsipiell diskusjon om kriminalisering av forberedelseshandlinger.
I det følgende drøftes nykriminalisering av tre typer handlinger som kan lede frem til annen datakriminalitet: elektronisk kartlegging, ulovlig anbringelse av utstyr, og befatning med skadelig dataprogram, herunder selvspredende dataprogram, og utstyr. I tillegg drøftes utvidelse av straffebudet mot ulovlig spredning av tilgangsdata i straffeloven 1902 § 145 b. Også utvalgets forslag til bestemmelse om identitetskrenkelse kan i hovedsak ses som en handling som forbereder annen kriminalitet, og drøftes i punkt 2.9 nedenfor.
2.8.1 Elektronisk kartlegging
Elektronisk kartlegging av datasystemer, herunder såkalt portskanning, innebærer bruk av kartleggingsprogrammer over nettet for å undersøke datasystemer. Kartleggingen kan typisk gi opplysninger om sårbarheter ved datasystemet, dets egenskaper, og tilgjengelige tjenester. Som Datakrimutvalget nevner, kan slik kartlegging ha ulike formål. For det første brukes slike programmer av internt systemansvarlige for å avdekke svakheter eller feil ved datasystemet, slik at disse kan utbedres og gjøre datasystemet mer sikkert. For det annet foretas elektronisk kartlegging for å forberede inntrengning i et datasystem gjennom avdekking av svakheter og muligheter for misbruk.
2.8.1.1 Gjeldende rett
Straffeloven 1902 har ingen egen bestemmelse om elektronisk kartlegging. Slik kartlegging har i rettspraksis vært vurdert opp mot bestemmelsene om ulovlig bruk i straffeloven 1902 §§ 261 og 393. Elektronisk kartlegging innebærer kommunikasjon med og aktivering av systemet som kartlegges, og problemstillingen har vært om denne aktiveringen er å anse som ulovlig bruk av løsøregjenstand. Straffeloven 1902 §§ 261 og 393 er behandlet i punkt 2.13.1, jf. lovforslaget §§ 343 og 344. Dersom oppdagelsen av eksempelvis sårbarheter utnyttes eller forsøkes utnyttet, vil handlingen etter omstendighetene kunne straffes som for eksempel innbrudd i datasystem eller skadeverk eller forsøk på dette.
Høyesteretts dom i Rt. 1998 side 1971 gjaldt en dataingeniør og et dataselskaps oppkobling mot datamaskiner ved Universitetet i Oslo som forberedelse til et NRK-program om sikkerhetsproblemer ved bruk av internett. Høyesteretts flertall tok ikke stilling til om det å forespørre en datamaskin som er koblet til internett om hvilke opplysninger den har å tilby, var bruk av løsøregjenstand. Flertallet fant at det uansett ikke var snakk om uberettiget bruk:
«Etter min oppfatning må den som har koblet sin datamaskin til Internett, og har valgt å la den svare på forespørsler, anses å ha gjort maskinen til en del av det informasjonssystem som Internett representerer. Ved å koble maskinen til Internett har datamaskineieren akseptert at det blir rettet forespørsler til maskinen om hvilken informasjon den har å tilby, og den aktivitet som skjer når maskinen svarer på slike forespørsler, kan da etter mitt syn ikke anses som uberettiget bruk av maskinen.
Det A har gjort, er å undersøke hvilke porter som var tilgjengelige, og om maskinene stod åpne for brukere uten konto («guest» eller «anonymous»). Universitetet hadde valgt å la maskinene besvare forespørsler om hvilke porter som var tilgjengelige, men hadde ikke åpnet mulighet for brukere uten konto å komme inn på maskinene. Etter min mening må de undersøkelser som A har foretatt, ligge innenfor det som er berettiget å gjøre av henvendelser til datamaskiner som er tilkoblet Internett.»
Mindretallet på to dommere fant at As handlinger ble rammet av straffeloven 1902 § 393 som rettsstridig ulovlig bruk av løsøregjenstand.
Datakrimutvalget holder det åpent om fjerningen av beskyttelsesvilkåret i straffeloven 1902 § 145 annet ledd i 2005 gjør at elektronisk kartlegging rammes av forbudet mot å skaffe seg adgang til data, forutsatt at adgangen til de opplysninger på datasystemet som kan kartlegges, anses å være uberettiget, se utredningen side 67. Utvalget viser til Sunde: Lov og rett i cyberspace, Bergen 2006, side 138-39 og side 148. Sunde legger (side 147) vekt på Stortingets uttalte ønske om å styrke vernet om data, og mener det i lys av dette er mest naturlig at datainnbruddsbestemmelsen nå rammer elektronisk kartlegging uten gyldig samtykke.
Departementet ser det for sin del som tvilsomt om Stortingets fjerning av beskyttelsesvilkåret i datainnbruddsbestemmelsen gir grunnlag for å tolke bestemmelsen slik at den også rammer elektronisk kartlegging.
2.8.1.2 Folkerettslige forpliktelser, andre nordiske lands rett
Datakrimkonvensjonen pålegger ikke noen plikt til å kriminalisere elektronisk kartlegging.
Dansk straffelov kriminaliserer forberedelseshandlinger av alle slag som straffbart forsøk dersom gjerningspersonen har utvist forsett. Kartlegging straffes følgelig hvis det kan bevises at gjerningspersonen på tidspunktet for kartleggingen hadde besluttet å begå eksempelvis datainnbrudd. Svensk rett har ikke et særskilt straffebud mot elektronisk kartlegging. De forberedelseshandlinger som er straffbare i Sverige, synes heller ikke å omfatte slik kartlegging. Veiledende rettspraksis savnes. Heller ikke Finland har et eget straffebud mot elektronisk kartlegging.
2.8.1.3 Straffelovkommisjonens skisse, Datakrimutvalgets forslag
Straffelovkommisjonen har ikke foreslått noen egen bestemmelse om straff for uberettiget elektronisk kartlegging. Kommisjonen har imidlertid i tilknytning til skissen til ny § 30-14 om ulovlig bruk av løsøregjenstand stilt spørsmål ved om grensen for det ulovlige bør gå der hvor Høyesterett har trukket den i Rt. 1998 side 1971. Kommisjonen uttaler at «en kartlegging av postene i et fremmed datasystem står sentralt ved forberedelse av datainnbrudd, og vil som regel gjøre det nødvendig for offeret å foreta nærmere undersøkelser. Det bør vurderes om en lovendring er nødvendig for å fange opp slik kartlegging.»
Datakrimutvalget foreslår et eget straffebud som skal ramme den som uberettiget registrerer egenskaper på et datasystem for å kartlegge sårbarheter (utkastet § 2). Utvalget mener det er vanskelig å se at det foreligger aktverdige grunner for å foreta kartlegging uten etter ønske fra datasystemets eier. Elektronisk kartlegging hevdes å være mer nærgående og dermed farligere enn for eksempel det å foreta observasjoner av inngangspartiet til et hus man ønsker å gjøre innbrudd i, fordi kartlegging forutsetter kontakt med datasystemet som er objekt for handlingen. Kartleggingsprogramvare kan også bygges ut med såkalte exploits som automatisk utnytter sårbarheter som avdekkes, noe som hevdes å gjøre veien mellom kartlegging og misbruk kort.
Utvalget erkjenner at et argument mot kriminalisering er at kartlegging kan være vanskelig å forfølge på grunn av anonymiseringsteknikker og fordi det ofte vil kreve etterforskning i utlandet. Bruk av ressurser på etterforskning kan være vanskelig å forsvare hvis ikke kartleggingen har resultert i andre straffbare handlinger. På den annen side mener utvalget at det er liten grunn til å akseptere atferden, og at et straffebud kan virke holdningsskapende. Utvalget antar at mye av kartleggingsvirksomheten skyldes fravær av et forbud, og at dette kan ha åpnet for kartlegging preget av nysgjerrighet.
2.8.1.4 Høringsinstansenes syn
Elleve høringsinstanser har kommentert utvalgets forslag til straffebud om elektronisk kartlegging. Tre instanser, Politidirektoratet, Kripos og ISACA Norway Chapter, er positive til utkastet til § 2 fra Datakrimutvalget. Både Politidirektoratet og ISACA Norway Chapter fremhever et forbuds allmennpreventive virkning. ISACA Norway Chapter uttaler samtidig at det vil være nødvendig å følge effekten av et forbud nøye for å etterprøve den allmennpreventive effekten, og at mye kan tyde på at et eventuelt forbud mot elektronisk kartlegging bør koordineres bedre med lovgivning i andre land. Politidirektoratet peker dessuten på behovet for en avklaring av rettstilstanden.
Næringslivets Hovedorganisasjon, Elektronisk Forpost Norge, Havforskningsinstituttet og Politihøgskolen er negative til forslaget. Næringslivets sikkerhetsråd er også skeptisk. Riksadvokaten, som uttrykker generell skepsis til nykriminalisering, trekker frem utkastet § 2 som et eksempel på en bestemmelse som innebærer vide rammer for straffansvar. Elektronisk Forpost Norge (EFN) uttaler:
«Det finnes en lang rekke legitime grunner til at man ønsker å kartlegge andres datasystemer. Å forby dette, selv om forbudet kun gjelder såkalt uberettiget bruk, vil komplisere arbeidsdagen unødig for IT-administrasjonspersonell da de vil måtte innhente juridiske vurderinger hver gang behovet for dette vil oppstå, for eksempel i forbindelse med problemløsningssituasjoner. Det kan argumenteres med at man kan innhente samtykke fra de som er ansvarlige for datasystemet du skal feilsøke mot på forhånd, men i mange situasjoner er dette uaktuelt - enten fordi det er vanskelig å vite hvem som faktisk er ansvarlig for datasystemet som skaper problemer, eller fordi man opererer med veldig korte tidsfrister. I mange tilfeller vil hvert minutt med nedetid medføre et betydelig økonomisk tap.»
Politihøgskolen påpeker blant annet at
«en kriminalisering i seg selv vil skape en forventing om at politi og påtalemyndighet rent faktisk også etterforsker slike kartleggingshandlinger. I en vanskelig ressurssituasjon vil politiet åpenbart velge å prioritere de handlinger hvor det rent faktisk er gjort skade enten i form av at datasystemets integritet er brutt eller ved at data eller informasjon er stjålet. Den selvstendige kriminalisering av kartleggingsvirksomheten etter utkastets § 2, vil derfor i liten grad gi noen "added value" i kriminalitetsbekjempelsen, men tvert i mot ha den negative konsekvens at politiet og påtalemyndigheten kommer i miskreditt for ikke å ha fulgt opp anmeldelser.»
Næringslivets sikkerhetsråd uttrykker bekymring for forslaget om strafflegging av elektronisk kartlegging sammenholdt med de andre forslagene med tanke på kapasiteten og kompetansen hos de rettshåndhevende myndigheter.
2.8.1.5 Departementets vurdering
Elektronisk kartlegging medfører fare for skade i form av eksempelvis innbrudd på datasystem eller skadeverk. Kriminalisering av slik kartlegging ville derfor i og for seg være i samsvar med skadefølgeprinsippet, selv om man i disse tilfellene nok nærmer seg yttergrensen for hvilke handlinger det er rimelig å strafflegge ut fra prinsippet. Kartlegging kan også i seg selv medføre ulemper for den som utsettes for den, typisk ved at systemet må gjennomgås i etterkant for å avklare om uvedkommende har vært inne på det. Som nevnt innledningsvis er imidlertid departementets utgangspunkt at man skal være tilbakeholden med å kriminalisere handlinger på stadiet før forsøk.
Departementet er kommet til at det per i dag ikke er gode nok grunner til å sette straff for forberedelse i form av elektronisk kartlegging. Den mulige allmennpreventive effekten av en straffebestemmelse - både for kartleggingsvirksomheten og for etterfølgende kriminalitet - er ikke et tilstrekkelig tungtveiende argument for å anvende samfunnets strengeste reaksjon på handlingen. De tilfeller hvor kartleggingen faktisk viser seg å være forberedelse til andre kriminelle handlinger, vil kunne straffes etter andre straffebestemmelser, typisk bestemmelsen om innbrudd i datasystem. At eksempelvis innbruddet har vært forberedt ved forutgående kartlegging, kan vektlegges i skjerpende retning ved straffutmålingen.
Departementet legger også vekt på at et flertall av høringsinstansene er negative til forslaget. Datakrimkonvensjonen pålegger heller ingen plikt til å sette straff for elektronisk kartlegging, og det er ikke gjort verken i Sverige eller Finland. Danmark står i en særstilling i nordisk sammenheng ettersom den danske straffeloven på generell basis kriminaliserer alle typer forberedelseshandlinger som straffbare forsøk, forutsatt at vilkåret om fullbyrdelsesforsett er oppfylt.
Endelig har departementet lagt vekt på at en straffebestemmelse mot kartlegging nok ville være blant dem som politi og påtalemyndighet i en presset ressurssituasjon ikke vil ha mulighet for å følge opp. I en slik situasjon, som ikke er upraktisk, vil det være nærliggende for politi og påtalemyndighet å prioritere etterforskning og strafforfølging av handlinger som har ført til skade, eksempelvis innbrudd i datasystem. Departementet ser det som viktig at man ikke uten å være sikker på behovet kriminaliserer handlinger som det er usikkert om vil bli strafforfulgt, jf. Ot. prp. nr. 90 (2003-2004) side 93 annen spalte.
Departementet har på denne bakgrunn valgt ikke å følge opp Datakrimutvalgets forslag om et eget straffebud mot elektronisk kartlegging. At forslaget om kriminalisering ikke følges opp, innebærer at elektronisk kartlegging som utgangspunkt ikke vil være straffbar. Det kan likevel tenkes at enkelte tilfeller av slik kartlegging kan straffes etter andre straffebud, som straffebudet mot ulovlig bruk av løsøregjenstand.
2.8.2 Ulovlig anbringelse av utstyr som er egnet til å bli brukt for å gjennomføre datakriminalitet mv
2.8.2.1 Innledning
Datakrimutvalget definerer ulovlig anbringelse av utstyr som det å plassere utstyr eller programvare på eller i tilknytning til et datasystem eller elektronisk kommunikasjonsnett for å skaffe seg informasjon man ikke er berettiget til, jf. utredningen side 68. Eksempler på slik anbringelse er plassering av videokamera eller «falske fronter» på bankautomater for å skaffe pinkoder, og plassering av avlyttings- eller tappingsutstyr i tilknytning til elektronisk kommunikasjon.
Departementet nytter betegnelsen slik at den også omfatter ulovlig anbringelse av utstyr for avlytting eller opptak av samtale mv. uten tilknytning til et datasystem eller elektronisk kommunikasjonsnett, se nærmere om dette nedenfor.
2.8.2.2 Gjeldende rett, folkerettslige forpliktelser, andre nordiske lands rett
Selve plasseringen av utstyr er i dag som hovedregel en straffri forberedelseshandling. Det vil imidlertid være en noe glidende og uklar grense mellom straffri forberedelse og straffbart forsøk på eksempelvis datainnbrudd.
Forberedelse til telefon- og romavlytting ved plassering av lytteapparat, lydbånd eller annen teknisk innretning er dessuten straffbar etter straffeloven 1902 § 145 a første ledd nr. 3. Også medvirkning til og forsøk på forberedelser til telefon- og romavlytting straffes. Skyldkravet er forsett, og strafferammen er bot eller fengsel inntil seks måneder. Første ledd nr. 1 som setter straff for hemmelig avlytting av telefonsamtale eller annen samtale mellom andre eller forhandlinger i lukket møte som vedkommende ikke selv deltar i og nr. 2 som rammer hemmelig opptak ved hjelp av lydbånd av samtaler som nevnt i nr. 1 mv., behandles nedenfor i punkt 2.12 om krenkelse av retten til privat kommunikasjon.
Datakrimkonvensjonen omhandler ikke og krever ikke kriminalisert ulovlig anbringelse av utstyr mm.
Dansk straffelov kriminaliserer som nevnt forberedelseshandlinger av alle slag, jf. ovenfor punkt 2.8.1.2. Svensk rett straffer anbringelse av hjelpemiddel for å bryte post- eller telehemmelighet eller for å foreta ulovlig avlytting, se brottsbalken 4 kap. 9 b §. Tilsvarende er «dataintrång» kriminalisert på forberedelsesstadiet (4 kap. 9 c § jf. 4 kap. 10 §). Finsk straffelov setter straff for den som plasserer anordning for forberedelse til ulovlig avlytting eller ulovlig observasjon, se 24 kap. 7 §.
2.8.2.3 Datakrimutvalgets forslag, Straffelovkommisjonens skisse, høringsinstansenes syn
Datakrimutvalget foreslår å kriminalisere uberettiget anbringelse av utstyr og installering av dataprogrammer med det formål å begå informasjons- og datatyveri eller for ulovlig å tilegne seg tilgangsdata (forslaget § 3 jf. §§ 5, 6 og 10), se utredningen side 68-70 og 150-151. Begrunnelsen er først og fremst et ønske om å gi grunnlag for å gripe inn på et tidlig stadium, før eksempelvis tyveriet eller tilegnelsen har skjedd. Strafferammen for vanlig overtredelse foreslås satt til bot eller fengsel inntil ett år, og for grov overtredelse bot eller fengsel inntil tre år.
Straffelovkommisjonen foreslår ikke noe straffebud som tilsvarer Datakrimutvalgets utkast § 3 om ulovlig anbringelse. Kommisjonen reiser spørsmålet om ikke straffeloven 1902 § 145 første ledd nr. 3 om anbringelse av utstyr for ulovlig avlytting og opptak, uansett er straffbart etter den alminnelige bestemmelsen om forsøk. Den går likevel inn for å videreføre bestemmelsen i skissen til § 23-8 om overvåking. Kravet om hensikt foreslår kommisjonen erstattet med et krav om forsett om at innretningene gjerningspersonen anbringer vil bli brukt til overvåking. Det foreslås en strafferamme i det lavere sjikt, det vil si bot eller fengsel inntil ett år eller lavere, eventuelt bare bot. Kommisjonen stiller for øvrig spørsmål om de forholdene som omtales i straffeloven 1902 § 145 første ledd nr. 3, vil være straffbare etter kommisjonens forslag til alminnelig bestemmelse om forsøk.
Flere høringsinstanser har kommentert Datakrimutvalgets forslag til straffebud mot ulovlig anbringelse av utstyr. Finansnæringens hovedorganisasjon, Sparebankforeningen i Norge, Politidirektoratet og Moss tingrett stiller seg positive. Politidirektoratet mener det utvilsomt er behov for å kriminalisere ulovlig anbringelse av utstyr med det formål å skaffe seg pinkode eller å foreta ulovlig avlytting, tapping eller lignende. Finansnæringens hovedorganisasjon og Sparebankforeningen påpeker i sin felles uttalelse:
«Ellers er de nærmest manuelle metodene fortsatt svært vanlig når det gjelder å få tilgang til noens bank- eller kortkonto. For eksempel ved å legge minimal manipulering av minibanken med tape (libanesisk slynge) slik at kortet ikke kommer ut igjen, får den kriminelle tilgang til kortet. Tilgang til koden kan vedkommende få ved å kikke over skulderen, ekstraordinær «hjelpsomhet» eller ved pudder på tastaturet. Det står ikke i lovforslaget om det anbrakte «utstyret» må være elektronisk utstyr. Vi antar ellers at det klart vil være en nedre grense for hva som kan anses som «utstyr», om tapebiten og pudderet kan karakterise[re]s som «utstyr» er uklart. Vi mener imidlertid at også denne type manipulering av minibanken (et datasystem) bør være straffbar.»
Ingen instanser uttrykker seg klart imot forslaget, men Næringslivets sikkerhetsråd uttrykker skepsis.
Ingen høringsinstanser har uttalt seg om Straffelovkommisjonens forslag om å videreføre straffeloven 1902 § 145 første ledd nr. 3 i straffebudet om overvåking.
2.8.2.4 Departementets vurdering
Kriminalisering av forberedelseshandlinger krever en særlig begrunnelse. Datakrimutvalget begrunner forslaget spesielt med at strafflegging er nødvendig for å kunne gripe inn på et tidlig stadium. For departementet er ikke dette noe avgjørende argument. Politiet har allerede hjemmel i politiloven § 7 første ledd til å gripe inn for å avverge eller stanse lovbrudd og kan i den forbindelse bortvise, fjerne eller anholde personer, jf. § 7 annet ledd. Både straffeloven 1902 § 37 b og straffeloven 2005 § 70 hjemler dessuten inndragning av ting i forebyggende øyemed. Det politiet ikke kan gjøre så lenge forsøksgrensen ikke er overtrådt, er å pågripe, fengsle, ransake og strafforfølge for anbringelse av utstyr mv.
Ulovlig anbringelse av utstyr og andre lignende handlinger medfører fare for andre lovbrudd, som ulovlig avlytting, ulovlig tilegnelse av tilgangsdata, og i neste omgang, bedrageri. Strafflegging av slike forberedelseshandlinger er slik sett forenlig med kriminaliseringsprinsippene som er lagt til grunn i Ot. prp. nr. 90 (2003-2004). Departementet går likevel ikke inn for en særskilt straffebestemmelse om ulovlig anbringelse av utstyr. Forholdene som omtales i tilknytning til utvalgets forslag om ulovlig anbringelse av utstyr, vil ofte være straffbare etter den alminnelige bestemmelsen om forsøk, jf. straffeloven 2005 § 16. De subjektive kravene til skyld (fullbyrdelsesforsett) vil være oppfylt, og på den objektive siden vil gjerningspersonen gjerne ha kommet så langt i hendelsesforløpet at grensen for forsøk er overtrådt. Når først utstyret er plassert, vil det normalt ikke kreves mer av gjerningspersonen for at forberedelseshandlingen utgjør et forsøk på fullbyrdet tilegnelse av tilgangsdata (lovforslaget § 201 jf. § 16) eller forsøk på å krenke retten til privat kommunikasjon (lovforslaget § 205 jf. § 16). Består forberedelseshandlingen i at det monteres et videokamera i nærheten av en minibank for å filme tastetrykk, vil man, så fremt kameraet også er aktivert, raskt gå fra forberedelse til fullbyrdet tilegnelse av tilgangsdata i det øyeblikk en person stiller seg foran minibanken for å ta ut penger. En særskilt straffebestemmelse mot ulovlig anbringelse virker i denne sammenheng unødvendig, og det kan reises spørsmål ved hva man oppnår ved å kriminalisere anbringelsen. Departementet har derfor ikke funnet grunn til å foreslå et eget straffebud mot ulovlig anbringelse av utstyr.
Departementet mener de samme hensyn som anført ovenfor gjør seg gjeldende også for anbringelse av lytteapparat, lydbånd eller annen teknisk innretning som nevnt i straffeloven 1902 § 145 a første ledd nr. 3. Som Straffelovkommisjonen også er inne på, må det antas at forsøkslæren i all hovedsak vil være dekkende for de tilfellene som bør kriminaliseres, jf. lovforslaget § 205 bokstav a og straffeloven 2005 § 16. Departementet går derfor ikke inn for å videreføre bestemmelsen.
2.8.3 Uberettiget befatning med tilgangsdata, dataprogram mv.
2.8.3.1 Folkerettslige forpliktelser. Straffelovkommisjonens skisse. Datakrimutvalgets første delutredning og oppfølgingen av den
Datakrimkonvensjonen artikkel 6 oppstiller som utgangspunkt en plikt til å sette straff for en rekke ulike former for forsettlig befatning med dataprogrammer og andre innretninger og med tilgangsdata, dersom hensikten er å begå andre nærmere angitte straffbare handlinger som omfattes av konvensjonen. Dataprogram som omfattes, vil typisk være hackerprogramvare. Det er imidlertid åpnet for at statene kan ta forbehold for artikkel 6, med unntak for så vidt gjelder spredning av tilgangsdata. Artikkelen har overskriften «Misbruk av innretninger og tilgangsdata» og lyder i uoffisiell norsk oversettelse:
«1. Hver part skal vedta de lover og andre tiltak som eventuelt er nødvendige for å fastslå følgende forsettlige og urettmessige handlinger som straffbare handlinger etter nasjonal rett
produksjon, salg, erverv for bruk, import, distribusjon eller tilgjengeliggjøring på annen måte av:
en innretning, herunder et dataprogram, utviklet eller tilpasset hovedsakelig med det formål å begå en av de straffbare handlingene fastslått i samsvar med artikkel 2 til 5,
et passord, adgangskode eller liknende data som gir tilgang til hele eller deler av et datasystem, i den hensikt å bruke det til å begå en av de straffbare handlingene fastslått i artikkel 2 til 5, og
besittelse av utstyr og adgangskoder omhandlet i bokstav a) i) eller ii) ovenfor i den hensikt å bruke det for å begå de straffbare handlingene fastslått i artikkel 2 til 5. En part kan i sin nasjonale rett stille vilkår om besittelse av slikt utstyr eller slike adgangskoder i et visst omfang før det får strafferettslige følger.
2. Denne artikkel skal ikke tolkes slik at produksjon, salg, erverv for bruk, import, distribusjon eller tilgjengeliggjøring på annen måte eller besittelse omhandlet i nr. 1 i denne artikkel medfører strafferettslig ansvar når det ikke skjer i den hensikt å begå en straffbar handling fastslått i samsvar med artikkel 2 til 5 i denne konvensjon, som autorisert testing og beskyttelse av et datasystem.
3. Hver part kan forbeholde seg retten til ikke å anvende nr. 1 i denne artikkel, forutsatt at forbeholdet ikke gjelder salg, distribusjon eller tilgjengeliggjøring på annen måte av utstyret og adgangskodene omhandlet i nr. 1 bokstav a) ii).»
Straffelovkommisjonen gikk i delutredning VII inn for at Norge bare skulle oppfylle minimumsforpliktelsen i artikkel 6, se kommisjonens skisse til § 23-7 om videreformidling av passord mv., som det ble foreslått en strafferamme i det lavere sjikt for (det vil si bot eller fengsel inntil ett år eller lavere, eventuelt bare bot). I Datakrimutvalgets delutredning I ble det også foreslått at Norge skulle benytte adgangen til å reservere seg mot å straffe befatning med visse dataprogrammer og utstyr mv. og at man begrenset seg til å strafflegge spredning av tilgangsdata, se NOU 2003: 27 side 19-21. Blant høringsinstansene var det delte meninger om reservasjonsadgangen burde benyttes, se Ot.prp. nr. 40 (2004-2005) side 17.
Departementet foreslo i Ot.prp. nr. 40 (2004-2005) å strafflegge befatning med «dataprogrammer og andre innretninger som er særlig egnet til å begå straffbare handlinger som retter seg mot data eller datasystemer.» Forslaget gikk også ut på å strafflegge både det å fremstille, anskaffe, besitte og spre tilgangsdata. Forslaget innebar at det ikke ville være nødvendig å ta forbehold for konvensjonen artikkel 6.
Under behandlingen i Stortinget gikk imidlertid flertallet i justiskomiteen inn for å benytte seg av reservasjonsadgangen, i samsvar med anbefalingene i Datakrimutvalgets forslag i delutredning I. Flertallet viste til diskusjonen omkring kriminalisering av forberedelseshandlinger. Flertallet ba imidlertid «om at arbeidet tilknyttet problemstillingen rundt forberedelseshandlinger og det å være i besittelse av «datavirus, hackerverktøy o.l.»», fortsatte. For mer om historikken vises til Datakrimutvalgets andre delutredning side 100-103.
Stortinget fulgte komitéflertallets syn. Etter gjeldende rett er følgelig bare minimumsforpliktelsen i datakrimkonvensjonen artikkel 6 oppfylt, jf. neste punkt.
2.8.3.2 Gjeldende rett
Straffeloven 1902 § 145 b første ledd setter straff for den som gjør tilgjengelig for andre passord eller andre data som kan gi tilgang til et datasystem. Strafferammen er bot eller fengsel inntil seks måneder eller begge deler, eller fengsel inntil to år dersom spredningen av tilgangsdata er grov. Ved avgjørelsen av om spredningen er grov, skal det særlig legges vekt på om dataene kan gi tilgang til sensitive opplysninger, om spredningen er omfattende, og om handlingen for øvrig skaper fare for betydelig skade, jf. annet ledd. Skyldkravet er forsett. Forsøk er straffbart etter § 49, og medvirkning er straffbar etter § 145 b tredje ledd.
Det strafferettslige vernet om tilgangsdata i straffeloven § 145 b suppleres av straffeloven 1902 § 262 og åndsverkloven §§ 53 a og 53 c, som på nærmere vilkår straffer ulike former for befatning med dekodingsinnretninger, herunder PIN-koder og andre tilgangsdata, som kan benyttes til å skaffe seg uberettiget tilgang til vernede tjenester og vernede verk. Strafferammen for overtredelse av straffeloven 1902 § 262 er bot eller fengsel inntil ett år, og for overtredelse av åndsverklovens bestemmelser bot eller fengsel inntil tre måneder. Skyldkravet etter straffeloven 1902 § 262 er forsett, mens åndsverkloven setter straff for både forsettlig og uaktsom overtredelse.
Er tilgangsdata eller innretninger som nevnt i straffeloven 1902 § 262 eller åndsverkloven §§ 53 a og 53 c fremskaffet ved en straffbar handling, kan befatning med dataene eller innretningen straffes som heleri etter straffeloven 1902 § 317. I tillegg kan befatning med tilgangsdata i enkelte tilfeller straffes som forsøk på eller medvirkning til eksempelvis datainnbrudd, jf. straffeloven 1902 § 145 annet ledd.
Befatning med skadelig dataprogram og utstyr er etter gjeldende rett som hovedregel en straffri forberedelseshandling. Grensen for forsøk på eksempelvis skadeverk eller datainnbrudd vil først være overtrådt for eksempel idet et exploitprogram aktiveres. Befatning i form av spredning eller tilgjengeliggjøring av skadelig dataprogram og utstyr kan imidlertid rammes som medvirkning til eller forsøk på medvirkning til andre forbrytelser, som datainnbrudd og skadeverk.
2.8.3.3 Andre nordiske lands rett
Per 21. oktober 2008 har 23 land, blant disse Danmark, Finland og Island, ratifisert datakrimkonvensjonen. Av disse er det bare Norge og Ukraina som har tatt forbehold for artikkel 6. I tillegg har USA, som også har sluttet seg til konvensjonen, tatt delvis forbehold for at det i amerikansk rett stilles krav om besittelse av et visst antall elementer for anvendelse av straff for besittelse av innretninger og tilgangsdata, jf. artikkel 6 nr. 1 b.
I Danmark er det antatt at forpliktelsene i artikkel 6 oppfylles gjennom reglene om forsøk og medvirkning. I tillegg inneholder dansk straffelov særlige straffebud om urettmessig befatning med tilgangsmidler til kommersielle informasjonssystemer (§ 301 a) og ikke-kommersielle informasjonssystemer (§ 263 a). For straff etter § 301 a kreves det at man enten har utvist aktivitet for å skaffe seg tilgangsmidlet, eller har videreformidlet det til andre. Besittelse i seg selv er ikke nok. Straff etter § 263 a forutsetter at det er tale om ervervsmessig salg, distribusjon til en videre krets eller videresending av et større antall adgangskoder. Begge bestemmelser har som vilkår for straff at informasjonssystemet er beskyttet med kode eller annen særlig adgangsbegrensning.
I finsk rett dekkes kriminaliseringsforpliktelsene i artikkel 6 av to bestemmelser i strafflagen 34 kap. om allmänfarliga brott; 9 a § om orsakande av fara for informationsbehandling, og 9 b § om innehav av hjälpmedel vid nätbrott. For øvrig anses artikkel 6 som oppfylt.
Sverige har ikke ratifisert datakrimkonvensjonen. I en ekspertutredning som behandler spørsmålet om Sveriges tiltredning til og gjennomføring av konvensjonen, er det imidlertid antatt at svensk rett gjennom bestemmelsen om forberedelse til dataintrång, brottsbalken 4 kap. 9 c § jf. 10 §, samt bestemmelsen i brottsbalken 23 kapittel 2 § om forberedelseshandlinger, jf. 4 kap. 10 §, i det alt vesentlige (med unntak av forberedelse til «ringa dataintrång») allerede oppfyller forpliktelsene i artikkel 6 (se promemorian «Brott och brottsutredning i IT-miljö; Europarådets konvention om IT-relaterad brottslighet med tilläggsprotokoll» (Ds 2005:6) punkt 6.7). Reservasjonen «i det vesentlige» refererer seg til at forberedelse til lite datainnbrudd ikke er straffbar, se brottsbalken 4 kap. 10 §.
2.8.3.4 Datakrimutvalgets forslag
Datakrimutvalget har, i tråd med justiskomiteens henstilling etter stortingsbehandlingen av lovforslaget i Ot.prp. nr. 40 (2004-2005), på nytt vurdert om datakrimkonvensjonen artikkel 6 bør gjennomføres fullt ut i norsk rett. Et enstemmig utvalg foreslår en egen bestemmelse om ulovlig befatning med tilgangsdata som skal ramme uberettiget anskaffelse, innførsel, fremstilling, besittelse, markedsføring eller tilgjengeliggjøring av tilgangsdata, det vil si passord, adgangskode, krypteringsnøkkel eller lignende som kan gi tilgang til data, se utkastet § 10. Strafferammen foreslås satt til bot eller fengsel inntil ett år, og bot eller fengsel inntil tre år for grov overtredelse. Begrunnelsen for forslaget er, jf. NOU 2007: 2 side 99:
«foruten de folkerettslige forpliktelser som det tidligere er redegjort for, at en tilgangskode bare har verdi for den berettigete dersom den er hemmelig. Det er bare da at den kan fungere som sikkerhet for konfidensialitet og som mekanisme for autentisering [...].
Det at tilgangskoder blir kjent for andre og eventuelt spredt, har store skadevirkninger for rette innehaver av tilgangskoden og for datasystemets eier. Dermed svekkes også tilliten til datasystemene [...]. Dette tilsier at konfidensialitetshensynet understøttes med et straffebud som utkastet § 10.»
Også grovt uaktsom befatning med tilgangsdata foreslås kriminalisert, jf. utkastet § 17 jf. § 10. Dette begrunnes med skadepotensialet, særlig ved spredning, se Datakrimutvalgets utredning side 170. I tillegg mener utvalget det er behov for å ramme tilfeller hvor forsettskravet er vanskelig å bevise (skjult forsett), se side 126.
Et flertall av utvalget, bestående av medlemmene Rønning, Sellæg, Gulbrandsen og Christensen, foreslår at også ulovlig befatning med skadelig dataprogram og utstyr strafflegges, jf. utkastet § 11. Flertallet anfører at datakrimkonvensjonen legger opp til kriminalisering, og legger vekt på at et straffebud antas å ville virke preventivt ved at verktøy som gir ulovlig tilgang (datainnbrudd) blir mindre tilgjengelig, jf. Datakrimutvalgets utredning side 101-102. For å effektivisere spredningsforbudet mener flertallet at det også er nødvendig å ramme andre befatningsformer, og anfører at det er få holdepunkter for at et forbud vil ha uheldige virkninger for lovlig datavirksomhet. Det vises også til at forslaget ligger i forlengelsen av eksisterende straffebestemmelser i straffeloven og åndsverkloven (jf. punkt 2.8.3.2 om gjeldende rett).
Flertallets forslag rammer den som uberettiget anskaffer, fremstiller, modifiserer, besitter, markedsfører eller tilgjengeliggjør dataprogram som er særlig egnet til å begå bestemte handlinger som er straffbare etter andre bestemmelser i samme kapittel. Liknende befatning med utstyr med tilsvarende egenskaper og formål skal også straffes. Med «særlig egnet» mener flertallet å ramme programmer og utstyr som i første rekke er utviklet eller anskaffet med tanke på å begå straffbare handlinger, eller som har sin viktigste funksjon i denne sammenheng. Det foreslås samme strafferammer som i utkastet § 10.
Mindretallet, Willassen og Taraldset, går imot den nykriminalisering som utkastet § 11 innebærer. De legger vekt på at bestemmelsen setter straff for handlinger som normalt er straffrie etter norsk rett, og at det, med unntak for selvspredende dataprogram (jf. punkt 2.8.4), vil omfatte verktøy som i seg selv ikke er spesielt skadelige eller farlige. Mindretallet mener også at det foreslåtte straffebudet vil bli vidtrekkende, at det vil ramme programmer som også har nyttige funksjoner, og at det er fare for at kriminalisering «vil ha en betydelig kjølende effekt på IT-bransjen i Norge» dersom man risikerer straff for å utvikle programvare som også er særlig egnet til å begå straffbare handlinger. I tillegg uttrykkes bekymring for at kriminalisering vil føre til at de kriminelles metoder for å begå datainnbrudd ikke blir kjent for datasikkerhetsmiljøet. Mindretallet mener endelig at det er fare for at flertallets utkast til § 11 utilbørlig vil gripe inn i retten til å fremsette ytringer med beskrivelser av omgåelse av sperrer på datasystemer i form av kildekode.
En oppfølging av utvalgets utkast § 10 og flertallets utkast § 11 vil innebære at reservasjonen med hensyn til datakrimkonvensjonen artikkel 6 nr. 1 kan trekkes tilbake.
2.8.3.5 Høringsinstansenes syn på forslaget om utvidelse av straffebestemmelsen mot spredning av tilgangsdata (utvalgets utkast § 10)
Syv høringsinstanser har uttalt seg om Datakrimutvalgets utkast § 10. Politihøgskolen og Forbrukerombudet gir klar støtte til forslaget. Forbrukerombudet uttaler:
«Mye av datakriminaliteten som i dag rammer forbrukere, består i at kriminelle forsøker å skaffe seg uberettiget aksess til tilgangsdata. Utbredelsen av forsøk på slike handlinger har økt eksplosivt de seneste årene. Som et ledd i utviklingen av denne trenden ser man at de kriminelle i mange tilfelle ikke begrenser seg til å forsøke å stjele bare en bestemt type informasjon, for eksempel tilgangsdata for nettbankkunder. Det blir mer og mer vanlig at all mulig tilgangsdata som kan tenkes lagret på en datamaskin forsøkes samlet inn, for så senere å bli utnyttet på forskjellige måter av de kriminelle. I tillegg til tilgangsdata for nettbank, kan dette dreie seg om tilgangsdata for auksjonstjenester på Internett, for abonnementstjenester for film og musikkoverføring og for adgang til online dataspill. Det er derfor viktig å ha et klart forbud i straffelovgivningen mot uberettiget innsamling av tilgangsdata. [...]
I forlengelsen av dette, vil jeg også si meg enig med utvalget i at det er viktig å utforme bestemmelsen slik at flere forskjellige former for ulovlig befatning med tilgangsdata rammes av lovforbudet. Slik utviklingen har gått, hvor ulovlig befatning med tilgangsdata har blitt lukrativ forretning for ulike grupper på nettet, ser man at det i mange tilfelle er flere aktører med forskjellige roller som har befatning med dataene. En person kan ha stått for anskaffelse eller fremstilling mens en annen står for markedsføring og tilgjengeliggjøring. Det er derfor viktig at lovforbudet rammer alle disse formene for ulovlig befatning.»
Datatilsynet og Skattedirektoratet går imot forslaget. Begge mener forslaget favner for vidt. For det tilfellet at det følges opp, ber Datatilsynet departementet å vurdere å begrense straffen til bot. Skattedirektoratet peker i tillegg på flere gjeldende straffebestemmelser som kan ramme forberedelseshandlinger.
2.8.3.6 Høringsinstansenes syn på forslaget om kriminalisering av ulovlig befatning med skadelig dataprogram og utstyr (utvalgets utkast § 11)
Et flertall av høringsinstansene er sterkt kritiske til forslaget til § 11. Det gjelder Advokatforeningen, ISACA Norway Chapter, Kredittilsynet, Politihøgskolen, Fornyings- og administrasjonsdepartementet,Datatilsynet, Forbrukerrådet, Næringslivets sikkerhetsråd og Oslo politidistrikt. ISACA Norway Chapter tror straffebudet
«kan medføre mindre åpenhet rundt de trusler som finnes og hvilke standardverktøy som er tilgjengelig for å utnytte disse. Lovforbudet kan bidra til at skadelig programvare og utstyr i større grad spres i mer lukkede nettverk enn det som er tilfelle per i dag. Samlet tror vi dette kan telle negativt med tanke på beskyttelse mot datakriminelle. ISACA Norway Chapter tror et forbud mot å spre slik programvare kan trekke i retning av et mindre oversiktlig trusselbilde enn i dag.»
Advokatforeningen uttrykker tilsvarende bekymring, og støtter også mindretallets uttalelse om at utkastet § 11 kan krenke ytringsfriheten. Næringslivets sikkerhetsråd fremhever besittelsesalternativet som særlig problematisk, og mener for øvrig at uttrykket «særlig egnet» ikke er entydig nok. Oslo politidistrikt mener bestemmelsen, slik den er utformet, kan bli vanskelig å praktisere.
En innvending som også går igjen hos flere av dem som er imot forslaget, er at det kan ramme bruk av dataprogrammer og utstyr for nyttige og beskyttelsesverdige formål, og hindre utvikling og bruk av programvare som er ment å øke datasikkerheten.
Forbrukerombudet, Moss tingrett, Kripos, Finansnæringens Hovedorganisasjon og Sparebankforeningen er positive til forslaget om å kriminalisere befatning med skadelig dataprogram og utstyr. Forbrukerombudet foreslår likevel å unnta fremstilling av skadelige dataprogrammer. Politidirektoratet er også for å straffe spredning, men er mer i tvil om det er nødvendig å straffe andre befatningsformer. Kripos gir uttrykk for at en bør være tilbakeholdende med å innføre forbud mot å inneha programvare, men støtter likevel utvalgets flertall, blant annet under henvisning til at en uten et slikt lovforbud risikerer at Norge og norske nettsteder «kan bli et internasjonalt friområde for spredning av hackerverktøy, som andre land har satt restriksjoner på spredning av.»
Fornyings- og administrasjonsdepartementet mener straffebudet kan gjøres enklere ved å utelate referanser til ulike teknologiske løsninger.
2.8.3.7 Departementets vurdering
Departementet mener fortsatt det er et særskilt behov for å strafflegge befatning med skadelig dataprogram og utstyr, samt ulike former for befatning med tilgangsdata. Lovforslaget § 201 svarer i det vesentlige til forslaget i Ot.prp. nr. 40 (2004-2005) til ny § 145 b i straffeloven 1902. Selv om det foreslås en felles lovbestemmelse, drøfter departementet i det følgende utvidelse av straffebudet mot spredning av tilgangsdata og kriminalisering av befatning med innretninger og dataprogrammer hver for seg.
Departementet drøfter først spørsmålet om utvidelse av straffebudet mot spredning av tilgangsdata.
Departementet legger til grunn at andres anskaffelse, fremstilling eller besittelse av tilgangsdata i seg selv skaper problemer, selv om opplysningene (ennå) ikke er benyttet til å skaffe tilgang til et datasystem. At ikke andre enn den eller de berettigede får kjennskap til slik informasjon, er essensielt for å unngå uberettiget tilgang til datasystemer. Som Datakrimutvalget fremhever i sin begrunnelse for utkastet § 10, er det bare når slike opplysninger er hemmelige at de kan gi sikkerhet for konfidensialitet og brukes til autentisering. I tillegg representerer uberettigedes befatning med tilgangsdata en fare for skade i form av innbrudd i datasystem, kontomisbruk, ulovlig bruk mv.
Datakrimutvalget går enstemmig inn for å utvide det eksisterende straffebudet i straffeloven 1902 § 145 b om spredning av passord mv. Heller ikke blant høringsinstansene er det noen større motstand mot en slik utvidelse. Fraværet i høringen av sterke innvendinger mot utkastet § 10 utover en viss generell og fornuftig skepsis mot kriminalisering av forberedelseshandlinger, bekrefter etter departementets vurdering at strafflegging av ulike former for befatning med andres tilgangsdata ikke vil være til hinder for lovlige og nyttige aktiviteter. Departementet antar at det som den store hovedregel ikke er noen grunn til at andre enn den som tilgangsdataene tilhører skal ha befatning med disse.
Forbrukerombudet har dessuten i sin høringsuttalelse pekt på en utvikling i kriminelle miljøer i retning av profesjonalisering av befatningen med tilgangsdata som indikerer et særskilt behov for strafflegging også av andre befatningsformer enn spredning. Personer som samler inn og besitter tilgangsdata for å videreformidle disse til andre kriminelle, men uten at forsøksgrensen for spredning er overtrådt, vil ikke kunne straffes uten en egen straffebestemmelse. Besittelse og anskaffelse vil i seg selv ikke være medvirkning til andres kriminelle handlinger. Slik befatning vil følgelig ikke kunne straffes selv om omstendighetene, så som mengde og type innsamlede data, klart indikerer at de innsamlede data er ment å spres til og benyttes av andre. Dersom politiet i forbindelse med datarelatert kriminalitet avdekker besittelse av andres tilgangsdata, er denne rettstilstanden lite tilfredsstillende. I tillegg kommer at hensynet både til nordisk og europeisk rettsenhet tilsier at også Norge kriminaliserer fremstilling, anskaffelse og besittelse av tilgangsdata, jf. nedenfor i tilknytning til drøftelsen av spørsmålet om kriminalisering av befatning med skadelig dataprogram og utstyr. Departementet vil også understreke at ettersom ulike befatningsformer med tilgangskoder til vernede verk og vernede tjenester allerede er strafflagt, må lovforslaget § 201 antas å innebære en relativt beskjeden nykriminalisering. Lovforslaget innebærer at uberettiget befatning med andres tilgangsdata strafferettslig behandles likt uavhengig av hva opplysningene kan gi tilgang til.
Utvalget har foreslått at også grovt uaktsom befatning med tilgangsdata skal være straffbar. Eksempelet som utvalget bruker for å begrunne forslaget er en systemadministrator som sender ut passordene til alle brukerne i klartekst til et nyhetsforum. Skadepotensialet ved en slik handling er så stort at dette etter utvalgets syn begrunner strafflegging også av grovt uaktsom overtredelse.
Etter gjeldende rett er det bare befatning med tilgangskoder til vernede verk som straffes også i sin uaktsomme form. De øvrige nordiske landenes straffelover kriminaliserer ikke uaktsom eller grovt uaktsom befatning med tilgangskoder, og datakrimkonvensjonen stiller bare krav om kriminalisering av forsettlige handlinger. I følge Ot. prp. nr. 90 (2003-2004) side 111 flg. er det i utgangspunktet bare forsettlige overtredelser som skal rammes. Departementet kan per i dag ikke se at det er påvist noe behov for å kriminalisere også grovt uaktsom befatning med tilgangskoder. Det vises blant annet til fraværet av klare uttalelser fra politifaglig hold og fra påtalemyndigheten som underbygger et slikt behov. Departementet foreslår derfor ikke å følge opp utvalgets utkast § 17 jf. § 10 på dette punktet.
Departementet går så over til å drøfte befatning med dataprogram eller annet særlig egnet til å begå andre straffbare handlinger.
Både behandlingen i Stortinget av forslaget i Ot.prp. nr. 40 (2004-2005) om strafflegging av befatning med dataprogrammer mv. særlig egnet til å begå andre straffbare handlinger, Datakrimutvalgets delte syn i utredningen, og flere av høringsinstansenes innvendinger mot utkastet § 11 om skadelig dataprogram og utstyr, viser at kriminalisering av slike forberedelseshandlinger ikke er uproblematisk. Departementet mener imidlertid at det er tungtveiende argumenter for kriminalisering, og at ordlyden som departementet foreslår gjør at det er liten fare for at straffebestemmelsen vil ramme utilsiktet vidt (jf. lovforslaget § 201 bokstav b).
For så vidt gjelder innvendingen om at Datakrimutvalgets utkast § 11 rammer forberedelseshandlinger, viser departementet til drøftelsen i Ot.prp. nr. 40 (2004-2005) side 17 flg. Etter først å ha redegjort for de generelle betenkelighetene ved å straffe forberedende handlinger og etter å ha konkludert med at slik kriminalisering krever en tungtveiende begrunnelse, uttalte departementet den gang:
«Dette synspunktet får imidlertid mer begrenset bærekraft når den aktuelle forberedelseshandlingen i større utstrekning enn helt hverdagslige handlinger bidrar til å kaste lys over gjerningspersonens forsett. Det vil eksempelvis kunne være tilfelle dersom en person anskaffer seg et dataprogram eller en annen innretning som har et meget begrenset lovlig bruksområde. Mens en tapetkniv og andre verktøy har et vell av lovlige bruksområder, er situasjonen en annen når det gjelder ulike former for hackerverktøy mv. som er særlig egnet til å begå straffbare handlinger. Et straffebud som retter seg mot det å besitte slike innretninger, vil dermed være mer treffsikkert enn et straffebud som retter seg mot mer dagligdagse handlinger. [... ]
Også andre momenter gjør det forsvarlig å kriminalisere de forberedelseshandlingene som omfattes av artikkel 6. Innretninger av den type som det her er tale om, kan brukes til å begå alvorlige straffbare handlinger. Den som sprer et datavirus kan lett forvolde betydelig skade, især dersom det sprer seg ukontrollert. Den som benytter et passord eller et hackerverktøy til å begå et datainnbrudd, vil i prinsippet kunne skaffe seg tilgang til opplysninger av betydning for rikets sikkerhet, eller til datasystemer av betydning for samfunnets energiforsyning, samferdsel eller muligheter for elektronisk kommunikasjon. Også i andre tilfeller kan et datainnbrudd krenke viktige samfunnsmessige eller private interesser, uavhengig av om det ledsages av et etterfølgende skadeverk eller av andre straffbare handlinger. Et datainnbrudd overfor en virksomhet eller en tilfeldig privatperson kan avsløre bedriftshemmeligheter eller sensitive personopplysninger. Og selv om inntrengeren logger seg av straks innbruddet er fullbyrdet, vil selve inntrengningen kunne gjøre det nødvendig å gjennomgå hele eller deler av datasystemet av sikkerhetsmessige grunner, som i sin tur vil legge beslag på ressurser hos den fornærmede. Som allerede disse eksemplene viser, knytter det seg et betydelig skadepotensiale til det å besitte innretninger av denne type.
De skadevirkningene som departementet hittil har pekt på, berører ikke utelukkende dem som rammes av den straffbare handlingen, men har også en side mot folks tillit til og bruk av elektronisk kommunikasjon. Dersom det fester seg et inntrykk av at elektronisk kommunikasjon er mindre trygt enn det reelt sett er, vil det i sin tur kunne få forskjellige negative konsekvenser, bl.a. for fremveksten av e-handelen og for annen teknologiavhengig verdiskaping i samfunnet.
Departementet viser videre til at oppdagelsesrisikoen ved datainnbrudd og annen datakriminalitet foreløpig ser ut til å være relativt lav. Dette har antakelig ikke bare sammenheng med at etterforskningen av disse sakene kan være teknisk komplisert, men også at politiet vil kunne ha behov for opplysninger og bistand fra andre lands politimyndigheter. Det forekommer også at handlingen er begått fra utlandet. Mange datainnbrudd blir for øvrig aldri oppdaget, mens andre blir ikke anmeldt - enten fordi den fornærmede ikke finner det bryet verd, eller av frykt for tap av omdømme. Disse forholdene bidrar til å svekke den preventive virkningen av eksisterende straffebud.»
Departementet mener bekymringen hos Datakrimutvalgets mindretall og hos enkelte av høringsinstansene om at kriminalisering vil hindre beskyttelsesverdig bruk av innretninger og programvare og utvikling av sikkerhetsprogramvare, er overdrevet.
For det første avgrenses straffebestemmelsen ved at dataprogrammet eller innretningen må være «særlig egnet» som middel til å begå bestemte straffbare handlinger, jf. nærmere om dette i punkt 2.8.3.8. Lovforslaget § 201 vil dessuten, i likhet med utvalgsflertallets utkast § 11, bare ramme uberettiget befatning med dataprogram eller annet som er særlig egnet som middel til å begå straffbare handlinger som retter seg mot databasert informasjon eller datasystem. Bruk av formuleringer eller ord som forutsetter en nærmere vurdering av retten til å foreta visse handlinger, er en relativt vanlig måte å avgrense området for det straffbare på, se eksempelvis lovforslaget § 342 om bilbrukstyveri, § 343 om ulovlig bruk av løsøregjenstand, § 345 om besittelseskrenkelse og § 346 om ulovlig bruk av fast eiendom, som alle viderefører bruken av rettsstridsreservasjonen i tilsvarende bestemmelser i straffeloven 1902. I de fleste tilfeller hvor eksempelvis potensielt skadelig programvare anskaffes, fremstilles, besittes eller spres, vil det være klart at befatningen ikke er uberettiget. Dette vil blant annet være tilfellet hvor ansatte i henhold til avtale med arbeidsgiver disponerer og benytter programmer for fjerninnlogging, som av uvedkommende også kan benyttes til straffbart datainnbrudd. Det samme vil være tilfellet hvor potensielt skadelig programvare anskaffes fordi det følger med som integrert del av annen nyttig programvare til bruk for beskyttelsesverdige formål, for eksempel sikkerhetsprogrammer og operativsystemer omsatt på vanlig måte gjennom lovlige distribusjonskanaler. Det vil heller ikke være tvilsomt at den som driver med datasikkerhet og datasikkerhetsforskning straffritt kan befatte seg med potensielt skadelig programvare som ledd i sitt arbeid.
I tillegg må forsettet dekke alle straffbarhetsvilkårene, herunder de omstendigheter som gjør befatningen uberettiget. På bakgrunn av til dels sterk skepsis under høringen mot et straffebud som nevnt, foreslår departementet at det dessuten oppstilles et vilkår om at befatning med tilgangsdata og dataprogram som nevnt i forslaget § 201 bare er straffbart dersom gjerningspersonen har forsett om å begå en straffbar handling. For § 201 bokstav a sin del er ikke dette ment å innebære noen nevneverdig realitetsforskjell fra gjeldende § 145 b, men gjør grensen for det straffbare tydeligere. Et vilkår om subjektivt overskudd stemmer også godt overens med datakrimkonvensjonens krav i artikkel 6. For selvspredende dataprogram har departementet imidlertid sett behov for en noe avvikende regulering, jf. punkt 2.8.4 nedenfor og forslaget § 201 bokstav b annet punktum. Departementet kan på denne bakgrunn ikke se at det er grunn til noen større bekymring for at lovforslaget § 201 vil ramme utilsiktet eller være til hinder for beskyttelsesverdig befatning med programmer og innretninger som omfattes av bestemmelsen.
Departementet deler heller ikke bekymringen hos Datakrimutvalgets mindretall og Advokatforeningen for at et straffebud som kriminaliserer denne typen forberedelseshandlinger vil kunne krenke ytringsfriheten, se Datakrimutvalgets utredning side 104. Som beskrevet ovenfor er straffebudets anvendelsesområde avgrenset gjennom krav til dataprogrammets egenskaper, rettsstridsreservasjonen og forsettskravet. Særlig kravet om at befatningen må være uberettiget, gjør at beskyttelsesverdig spredning av kildekoder ikke rammes. Det inngrep i friheten til å gjøre tilgjengelig kildekoder som bestemmelsen likevel representerer, lar seg etter departementets vurdering forsvare ut fra behovet for vern av data, datasystemer og databasert informasjon.
Enkelte av høringsinstansene er bekymret for at straffebudet vil virke mot sin hensikt. Departementet er, i likhet med utvalgsflertallet, ikke kjent med uheldige virkninger av straffebudene mot befatning med tilgangskoder til vernede verk og vernede tjenester.
Departementet vil igjen også fremheve at mye tyder på at eksisterende straffebud som straffeloven 1902 § 145 annet ledd om datainnbrudd har en begrenset preventiv effekt, jf. drøftelsen i Ot.prp. nr. 40 (2004-2005) sitert ovenfor. Statistikk som Kripos har innhentet fra Statistisk Sentralbyrå (SSB) over anmeldt IKT-kriminalitet for 2000-2006, slik Kripos definerer begrepet, viser at det i 2006 ble anmeldt 76 tilfeller av inntrengning i dataanlegg/system. For årene 2000 til 2005 var tallene henholdsvis 55, 70, 70, 58, 61 og 61. Mørketallsundersøkelsen 2006, gjennomført i regi av Næringslivets Sikkerhetsråd (NSR) i mai 2006, hadde som formål å belyse omfanget av datakriminalitet og andre uønskede IT-hendelser som norske virksomheter utsettes for. Basert på opplysninger i undersøkelsen og SSBs statistikk over næringsstrukturen i Norge, har NSR beregnet at norske virksomheter ble utsatt for nærmere 3900 datainnbrudd de foregående 12 måneder forut for undersøkelsen. Tallene fra undersøkelsen har vært kritisert som for høye, og en slik beregning kan bare ses på som et usikkert anslag. Departementet antar like fullt at mørketallene er store når det gjelder datakriminalitet, slik også undersøkelsen konkluderer med.
For departementet er det dessuten et tungtveiende argument for å følge opp utkastet § 11 at Norge uten et slikt straffebud risikerer å bli stående som eneste nordiske land som ikke kriminaliserer slike forberedelseshandlinger. Etter at Stortinget behandlet forslaget i Ot.prp. nr. 40 (2004-2005) i februar 2005, har både Island og Finland, i tillegg til Danmark, ratifisert datakrimkonvensjonen uten forbehold for artikkel 6. Også gjeldende svensk rett antas i det vesentlige å oppfylle forpliktelsene i artikkel 6. Departementet frykter at dersom Norge opprettholder reservasjonen for artikkel 6, vil dette kunne vanskeliggjøre nordisk samarbeid på et område hvor kriminaliteten typisk er grenseoverskridende. Fortsatt forbehold for artikkel 6 vil også kunne vanskeliggjøre samarbeidet med land utenfor Norden som oppstiller straff for slike forberedelseshandlinger.
2.8.3.8 Utforming av bestemmelsen, strafferammer
Departementet holder fast ved at sammenhengen mellom de ulike elementene i datakrimkonvensjonen artikkel 6 og pedagogiske hensyn taler for ett straffebud som dekker forpliktelsene i artikkelen. Det er også ordningen i Finland, som riktignok har skilt ut besittelse i et eget straffebud med lavere strafferamme, se finsk straffelov 34 kap. 9 a § og 9 b §.
Lovforslaget § 201 rammer fremstilling, anskaffelse, besittelse eller tilgjengeliggjøring av passord eller andre opplysninger som kan gi tilgang til databasert informasjon eller et datasystem (bokstav a) og dataprogram eller annet som er særlig egnet som middel til å begå straffbare handlinger som retter seg mot databasert informasjon eller datasystem (bokstav b). Med databasert informasjon mener departementet både informasjon som har et meningsinnhold (som ikke bare kan «leses» av en datamaskin eller annet teknisk utstyr) og informasjon som krever teknisk utstyr for å kunne benyttes (det Datakrimutvalget kaller «data»). Departementet ser ingen grunn til å sondre mellom disse i lovbestemmelsen. Befatningsformene dekker forpliktelsen i datakrimkonvensjonen artikkel 6. Departementet mener for øvrig at alle disse befatningsformene er straffverdige, i tillegg til at kriminalisering av fremstilling, anskaffelse og besittelse er nødvendig for å hindre spredning, som er den befatningsformen som medfører størst fare for skade. I motsetning til Datakrimutvalgets utkast §§ 10 og 11 har departementet valgt å utelate innføring, markedsføring og modifisering i den objektive gjerningsbeskrivelsen. Innføring rammes som anskaffelse, mens markedsføring og modifisering vil i det vesentlige rammes som tilgjengeliggjøring, besittelse og/eller fremstilling, eventuelt forsøk på fremstilling. Tilføyelse av disse befatningsformene må eventuelt vurderes dersom de ulike regelsettene om tilrettelegging for ulovlig tilgang skal samordnes, jf. punkt 2.6 om harmoniseringsspørsmålet.
Vilkåret i forslagets annet ledd om at dataprogrammet eller innretningen må være «særlig egnet» som middel til å begå straffbare handlinger rettet mot data eller datasystemer, innebærer at denne egenskapen må fremstå som programmets eller innretningens mest fremtredende, jf. Ot.prp. nr. 40 (2004-2005) side 33. Hensikten med kriminalisering er - som utvalget har uttrykt det - å kunne straffe «befatning med programmer og utstyr som i første rekke er utviklet eller anskaffet med tanke på å begå straffbare handlinger eller som har sin viktigste funksjon i denne sammenheng.»
Departementet mener det er mer hensiktsmessig at ordlyden henviser til straffbare handlinger rettet mot data eller datasystemer generelt, fremfor å spesifisere hvilke lovbrudd programmet eller innretningen må være egnet som hjelpemiddel til å begå. Dette gjør bestemmelsen noe mer fleksibel, samtidig som det ikke medfører nevneverdig realitetsforskjell fra utvalgets forslag.
Paragraf 201 bokstav b annet punktum oppstiller en særregel om straff for besittelse av selvspredende dataprogram, se punkt 2.8.4.
Departementet foreslår at skyldkravet skal være forsett. Dette innebærer for bokstav b at gjerningspersonen må vite eller holde det for overveiende sannsynlig at dataprogrammet eller annen innretning er særlig egnet til å begå straffbare handlinger rettet mot data, databasert informasjon eller et datasystem, jf. straffeloven 2005 §§ 21 og 22. I tillegg er det ifølge forslaget et vilkår at gjerningspersonen har forsett om å begå en straffbar handling.
Departementet foreslår at straffen for uberettiget befatning med tilgangsdata, dataprogram mv. settes til bot eller fengsel inntil ett år. Det gjenspeiler at den handling som straffes, er en forberedelseshandling på stadiet før forsøk. Med en strafferamme på ett år følger det av straffeloven 2005 § 16 at forsøk på uberettiget befatning med tilgangsdata, dataprogram mv. er straffbart.
Departementet foreslår ikke egne bestemmelser om grov eller mindre overtredelse. For de mindre overtredelsene vil bot være aktuelt, og for de grovere antas det at en strafferamme på fengsel inntil ett år er tilstrekkelig. Det vil være naturlig å anvende den øvre delen av strafferammen dersom skadens omfang eller skadepotensialet er stort, og dersom gjerningspersonen har eller kunne ha skaffet seg eller andre en uberettiget vinning.
2.8.4 Særlig om selvspredende dataprogram
Selvspredende dataprogram er program som sprer seg selv til andre maskiner og systemer når programmet først er aktivert, og uten at spredningen lar seg styre eller begrense. Slike programmer betegnes også som datavirus. Selvspredende dataprogrammer kan, foruten å være konstruert slik at de sprer seg selv ukontrollert og belaster nettverk og andre datasystemer, også ha andre skadelige funksjoner, som for eksempel automatisk sletting eller endring av data på maskinene eller systemene som programmet spres til.
2.8.4.1 Gjeldende rett, folkerettslige forpliktelser, andre nordiske lands rett
Gjeldende straffelovgivning har ingen bestemmelse om selvspredende dataprogram. Fremstilling, anskaffelse og besittelse av slik programvare er straffrie forberedelseshandlinger. Aktivering av slike programmer kan imidlertid rammes som skadeverk eller forsøk på skadeverk, jf. straffeloven 1902 §§ 291, 292 og 391, se nærmere om skadeverkbestemmelsene punkt 2.15.1. At programmet legger seg på andre maskiner, innebærer en tilføyelse og en endring av de opprinnelige data på maskinen som rammes av skadeverkbestemmelsen. Spredning kan straffes som medvirkning til skadeverk eller forsøk på dette. I tillegg kan det tenkes at andre egenskaper ved slike programmer utover evnen til å spre seg selv, kan medføre at det å aktivere et slikt program kan straffes som uberettiget bruk av løsøregjenstand, datainnbrudd, bedrageri, eller forsøk på dette.
Datakrimkonvensjonen omhandler ikke selvspredende programmer særskilt. I den grad programmer med selvspredende funksjon er utviklet eller tilpasset hovedsakelig i den hensikt å begå en handling som kreves kriminalisert i henhold til artikkel 2 til 5 i konvensjonen, vil imidlertid befatning med programmet for å bruke det til å begå en handling som nevnt, omfattes av forpliktelsen i artikkel 6. I tillegg forutsetter den forklarende rapporten til konvensjonen (merknad 61) at tilførsel av skadelige koder, herunder virus, omfattes av kriminaliseringsforpliktelsen i artikkel 4 om straff for inngrep i dataenes integritet. Artikkel 6 nr. 1 bokstav b gjør det klart at besittelse av tilgangsmidler eller innretninger som nevnt i bokstav a (i) og (ii) rammes dersom hensikten er å begå en av de straffbare handlingene som er nevnt i artikkel 2 til 5.
Verken i dansk, svensk eller finsk rett har man egne bestemmelser om straff for selvspredende programmer.
2.8.4.2 Datakrimutvalgets forslag, høringsinstansenes syn
Et enstemmig Datakrimutvalg foreslår en egen bestemmelse om uberettiget befatning med selvspredende dataprogram, se utkastet § 12. Begrunnelsen er at den selvspredende egenskapen i seg selv er så skadelig at det bør være straffbart å fremstille, modifisere, anskaffe og spre slike programmer. Det preventive formålet med et slikt straffebud fremheves som vesentlig. Utvalget fremholder at det neppe finnes legitime grunner til å fremstille slike programmer. En felles bestemmelse for handlingene omfattet av utkastet §§ 11 og 12 antas å ville bli så komplisert at det av den grunn er hensiktsmessig med to bestemmelser. Selvspredende programmer foreslås definert i straffebestemmelsen, se utkastet § 12 tredje ledd.
Utvalget foreslår ikke å straffe besittelse av selvspredende programmer. Det vises til at problemet med slike programmer typisk er at mange kommer i besittelse av dem ufrivillig, og at «det kan synes betenkelig å sette straff for den vanligste befatningsformen, hvor det hele da avhenger av skyldkravet». Utvalget mener også at det kan være urimelig å straffe besittelse som ikke skyldes noen straffverdig handling. Det vises til at besittelse som følge av fremstilling eller anskaffelse rammes indirekte ved at fremstilling og anskaffelse er gjort straffbart. Heller ikke markedsføring foreslås straffet, ettersom programmene karakteriseres ved at de sprer seg selv.
Utvalget foreslår et annet ledd i utkastet § 12 som setter straff også for den som initierer spredning, det vil si den som starter opp programmet og dermed aktiverer programmets selvspredende egenskap. Forslaget begrunnes med at det er behov for at initieringshandlingen er straffbar i tillegg til spredningshandlingen. Også grovt uaktsom initiering av spredning foreslås straffet med den begrunnelse at det må kreves stor grad av aktsomhet i omgang med slikt dataprogram. For straff for andre former for befatning kreves forsett.
Straffen for befatning med selvspredende programmer foreslås satt til bot eller fengsel inntil ett år, men inntil tre år dersom programmet også har andre skadelige egenskaper. Grov overtredelse foreslås straffet med fengsel inntil seks år.
Tre høringsinstanser har uttalt seg om forslaget til en egen bestemmelse om selvspredende dataprogram. Moss tingrett synes utkastet § 12 fremstår som unødig kompliserende og antar at selvspredende programmer vil være omfattet av en bestemmelse tilsvarende departementets forslag til § 145 b i Ot.prp. nr. 40 (2004-2005). Næringslivets sikkerhetsråd er positiv til bestemmelsen, men er skeptisk til forslaget om å kriminalisere også grovt uaktsom initiering av spredning:
«NSR mener at kompetansen i norsk næringsliv er svært varierende og vi er redd for at den enkelte bruker uforvarende kan komme i en situasjon som ligger nær grensen for straffbarhet. Et eksempel kan være manglende kontroll av minnepennen eller liknende innretning før den settes inn i en datamaskin som står i nettverk.»
Forbrukerombudet støtter utvalgets utkast § 12.
2.8.4.3 Departementets vurdering
Departementets målsetting med oppfølgingen av Datakrimutvalgets utredning er særlig å sørge for at data og datasystemer har et tilstrekkelig strafferettslig vern. For å oppnå dette, er det behov for enkelte egne straffebestemmelser for typisk datakriminelle handlinger, jf. punkt 2.3.1.2. Samtidig ønsker ikke departementet å fjerne seg mer enn nødvendig fra tradisjonen med straffebestemmelser som formuleres ved hjelp av generelle begreper som er felles for vedkommende lovbruddstype.
Departementet er enig med Datakrimutvalget i at befatning med selvspredende programmer bør være straffbar. Departementets vurdering er imidlertid at behovet for strafflegging av befatning med slike programmer kan og bør ivaretas av mer generelle straffebestemmelser, særlig lovforslaget § 201 om uberettiget befatning med tilgangsdata, dataprogram mv., § 206 om fare for driftshindring og § 351 om skadeverk. Også bestemmelsen om dataskadeverk, jf. forslaget § 351 annet ledd, kan være aktuell. De selvspredende dataprogrammer som utvalget tar sikte på å ramme med utkastet § 12, vil være programmer som er særlig egnet til å begå andre straffbare handlinger, spesielt dataskadeverk. Følgelig vil fremstilling, anskaffelse, tilgjengeliggjøring og i utgangspunktet også besittelse av slike programmer rammes av lovforslaget § 201. Det Datakrimutvalget betegner som initiering av spredning av selvspredende dataprogram - det vil si oppstart eller aktivering av slikt program - rammes av skadeverkbestemmelsene, jf. lovforslaget §§ 206 og 351. Tilføyelsen av et program innebærer i seg selv en endring av de opprinnelige data, noe som rammes av skadeverkbestemmelsen uavhengig av det selvspredende programmets øvrige egenskaper. Er skadeverket grovt, vil også den som har utvist grov uaktsomhet kunne straffes, jf. lovforslaget § 352 tredje ledd. Innebærer spredningen bare vanlig skadeverk, bør terskelen for straff ikke være lavere enn ved skadeverk på fysiske gjenstander. Initiering av spredning som ikke skjer forsettlig, kan og bør etter departementets vurdering, som også fremhevet av Næringslivets sikkerhetsråd, primært hindres ved bevisstgjøring og kompetanseheving.
Strafflegging av selve initieringshandlingen ville innebære at politi- og påtalemyndighet ikke må bevise at aktiveringen av et selvspredende program faktisk har ført til skade, noe som er et vilkår for domfellelse etter skadeverkbestemmelsen. Ved slik aktivering - som kan føre til at programmet installeres på datamaskiner og -systemer over hele verden - kan det være krevende å bevise at spredningen har ført til skade og omfanget av skaden. Departementet mener likevel at disse problemene ikke begrunner en særskilt regulering av denne befatningsformen. Aktivering av selvspredende programmer forutsetter besittelse, som kan straffes etter lovforslaget § 201 dersom vilkårene for øvrig er oppfylt. Dersom ikke skade, eventuelt kun et begrenset skadeomfang, kan bevises, vil dette måtte få betydning for straffutmålingen, enten gjerningspersonen domfelles for besittelse av skadelig dataprogram eller etter en egen bestemmelse om initiering av spredning av selvspredende dataprogram.
For å kunne straffes for besittelse etter lovforslaget § 201 må gjerningspersonen ha utvist forsett, jf. straffeloven 2005 § 21 jf. § 22. Vedkommende må altså ha vært klar over eller ansett det for overveiende sannsynlig at han eller hun innehar eller har innehatt et dataprogram som er særlig egnet som middel til å begå for eksempel dataskadeverk. I tillegg er det et vilkår at gjerningspersonen ved en slik besittelse har forsett om å begå en straffbar handling. Den som ikke er klar over at han eller hun har vært utsatt for eksempelvis et virusangrep og ikke har forsett om å begå en straffbar handling, vil ikke ha oppfylt skyldkravet for besittelse og skal i utgangspunktet heller ikke dømmes for slik befatning. Den som derimot vet at han har vært utsatt for et datavirus, vil normalt også være klar over at han er i besittelse av et selvspredende dataprogram. Da vil spørsmålet om straff måtte bero på om det kan føres bevis for at vedkommende har forsett om å begå en straffbar handling. Dersom besittelsen av et selvspredende dataprogram skyldes uberettiget fremstilling eller anskaffelse av programmet, bør besittelsen etter departementets syn være straffbar også om det ikke kan føres bevis for at gjerningspersonen har forsett om å begå en straffbar handling, jf. forslaget § 201 bokstav b annet punktum. På dette punktet går departementet lenger enn datakrimkonvensjonen forplikter oss til. Departementet mener det her er grunn til å skille mellom selvspredende dataprogram og andre dataprogram som er egnet til å begå straffbare handlinger, for eksempel såkalte exploits. Besittelse av eksempelvis virusprogrammer innebærer en betydelig risiko for spredning og derved skadeforvoldelse. Kan det føres bevis for at besittelsen skyldes uberettiget fremstilling eller anskaffelse av programmet, er det ingen grunn til å beskytte besittelsen.
Departementet antar, som utvalget, at markedsføring av selvspredende dataprogram er lite praktisk. Slik forslaget til § 201 lyder, er det imidlertid ikke behov for unntak fra straffansvaret for denne typen befatning for så vidt gjelder selvspredende programvare.
Hva som ligger i begrepet selvspredende dataprogram er beskrevet i merknadene til § 201 bokstav b. Departementet ser ikke grunn til å definere begrepet i loven.
2.9 Identitetskrenkelse
2.9.1 Innledning
Identitetskrenkelse, eller uberettiget bruk av uriktig identitet, kan være et problem innenfor all kommunikasjon - både den elektroniske og den mer tradisjonelle. Som Datakrimutvalget viser til, kan formålene med bruk av uriktig identitet være flere, som eksempelvis å oppnå en økonomisk vinning for seg eller andre, å påføre tap eller ulempe for andre og å komme i kontakt med barn med tanke på senere å utnytte dem seksuelt. Formålet kan også være legitimt, for eksempel å skjule egen identitet ved kommunikasjon («chatting») på internett.
Så langt departementet kjenner til, foreligger ingen autonom forståelse av begrepet identitetskrenkelse («identity theft») selv om det anvendes mye både nasjonalt og internasjonalt. Datakrimutvalget lar det omfatte uberettiget bruk av både stjålet og fiktiv identitet.
2.9.2 Gjeldende rett, folkerettslige forpliktelser
Uberettiget bruk av uriktig identitet ved bruk av pass og andre legitimasjonspapirer rammes i dag av straffeloven 1902 § 372 annet ledd, men bestemmelsen retter seg ikke generelt mot den som ikler seg en annens identitet. Etter omstendighetene kan slik atferd rammes av straffeloven 1902 § 390 a om krenkelse av privatlivets fred. Bruk av uriktig identitet kan også være ledd i et bedrageri eller forsøk på dette.
Datakrimkonvensjonen omhandler ikke og stiller ikke krav om kriminalisering av identitetskrenkelse.
Justisdepartementet er kjent med at det i EU er til vurdering om det er behov for et forslag til EU-lovgivning om «identity theft», jf. Communication from the Commission to the European Parliament, the Council and the Committee of the regions «Towards a general policy on the fight against cyber crime» 22. mai 2007 (KOM (2007) 267). Det er særlig misbruk av andres identitet i kommunikasjon med datasystemer, for eksempel ved å oppgi en annen persons kredittkortnummer, som er gjenstand for oppmerksomhet.
2.9.3 Andre nordiske lands rett
Verken svensk eller dansk rett har egne bestemmelser om uriktig bruk av andres identitet ved elektronisk kommunikasjon.
I Danmark vurderte det såkalte Brydensholt-utvalget i sin åttende delbetenkning kriminalisering av falske avsenderbetegnelser i e-postmeldinger (betænkning nr. 1417 2002 side 109-110). Utvalget konkluderte med at det ikke var tilstrekkelig klarlagt om det forelå et behov for en slik regulering, og om det i tilfelle kunne gis en presis straffebestemmelse om forholdet. Utvalget gikk derfor ikke inn for å kriminalisere.
Finsk rett har ingen bestemmelse om identitetskrenkelse som svarer til utvalgets forslag, men den finske strafflagen 37 kap 8 § kan få anvendelse dersom en identitetskrenkelse skjer som ledd i et «betalingsmiddelbedrageri». Bestemmelsens første ledd lyder:
«Den som för att bereda sig eller någon annan orättmätig ekonomisk vinning
använder ett betalningsmedel utan tillstånd av dess lagliga innehavare, med överskridande av den rätt tillståndet ger honom eller annars utan laglig rätt, eller
överlåter ett betalningsmedel eller en betalningsmedelsblankett till någon annan för att brukas utan laglig rätt,
skall för betalningsmedelsbedrägeri dömas till böter eller fängelse i högst två år.»
2.9.4 Datakrimutvalgets forslag
Utvalget foreslår en straffebestemmelse som rammer rettstridig bruk av uriktig identitet i elektronisk kommunikasjon, jf. utkastet § 15 og Datakrimutvalgets utredning side 33, 90-92 og 109-110. Utvalget synes å skille mellom elektronisk kommunikasjon mellom mennesker (brukere) og elektronisk kommunikasjon med datasystemer. Eksempel på det siste er bruk av andres tilgangskoder ved uttak av penger. Misbruket skjer ved avgivelse av koder eller kontonummer til betalingssystemet og er dermed et identitetsmisbruk i teknisk forstand. Slike tilfeller er ikke omfattet av utvalgets utkast § 15. Her kan utkastet § 4 om uberettiget adgang til datasystem eller § 10 om uberettiget befatning med tilgangsdata få anvendelse. Utkastet § 15 gjelder bare elektronisk kommunikasjon mellom mennesker, og utvalget antar bestemmelsen vil kunne fremme tilliten til nettbasert samhandling, og styrke personvernet ved at den rammer krenkelser av den personlige integritet.
Både bruk av stjålet identitet (misbruk av en annens identitet) og bruk av fiktiv identitet (bruk av identitet som ikke er ens egen, men som heller ikke tilhører noen annen) omfattes av forslaget. Utvalget peker på at det er vanskelig å trekke en skarp grense mellom de to kategoriene, for eksempel når identiteten som benyttes er forskjellig fra den reelle identiteten, men på en så ubetydelig måte at identitetene lett kan forveksles. Siden både fiktiv og stjålet identitet omfattes, er det ikke nødvendig å trekke grensen mellom dem.
Enhver opplysning som er ment å identifisere den som står bak meldingen, skal omfattes av forslagets identitetsbegrep. Som eksempler ved siden av navn og adresse som oppgis på nettsted, viser utvalget til e-postadresse, webadresse og innholdet på en nettside. Det siste kan for eksempel være aktuelt for nettsider som har et visuelt uttrykk som er egnet til å forveksles med nettsiden til en annen virksomhet (såkalt «phishing»), jf. nedenfor. Straffebestemmelsen skal gjelde for enhver type elektronisk kommunikasjon. Bruken av uriktig identitet skal bare være straffbar dersom bruken er uberettiget. Det skal ifølge utvalget tas hensyn til alminnelig nettvett, og om identiteten tillegges noen betydning i den aktuelle kommunikasjonen. Anbefalt bruk av fiktiv identitet, for eksempel i forbindelse med barns kommunikasjon på internett, er ikke ment å være omfattet.
2.9.5 Høringsinstansenes syn
Sytten høringsinstanser har uttalt seg konkret om forslaget. Ni instanser støtter forslaget eller gir slik departementet oppfatter det uttrykk for at de er positive til et straffebud mot identitetstyveri. Det gjelder Fornyings- og administrasjonsdepartementet (FAD), Kripos, Oslo statsadvokatembeter, Politidirektoratet, Oslo politidistrikt, Skattedirektoratet, Næringslivets sikkerhetsråd (NSR), Politiets Fellesforbund og Forbrukerombudet. Skattedirektoratet ser seg som et mulig mål for såkalt phishing-virksomhet, og uttaler at det er et klart behov for straffebestemmelser som fanger opp problemet. Oslo statsadvokatembeter mener bestemmelsen bør gis generell rekkevidde siden identitetskrenkelse ikke bare skjer ved hjelp av datateknologi og datamaskiner, og viser til bruk av telefon som eksempel. Også FAD uttaler seg i samme retning:
«Omtalen av identitetstyveri bærer preg av å forholde seg kun til et snevert område der bruk av uriktig identitet kan forekomme, nemlig i kommunikasjon mellom personer på Internett. Dette mener vi er en for kraftig avgrensning av problemstillingen, spesielt i lys av tiltakende trend der «stjålet» identitet benyttes til å tilegne seg økonomiske fordeler på bekostning av identitetens rettmessige eier (eks. phishing, postkassebedrageri osv.). Det kan synes som om bestemmelsen i hovedsak tar sikte på situasjoner hvor en person utgir seg for en annen på forskjellige «pratesider» og lignende. Avgrensningen har ikke fått noen særmerknad, og det er derfor vanskelig å vite hva som ligger til grunn for den. FAD anbefaler derfor at man vurderer om avgrensningen er hensiktsmessig.»
Finansnæringens hovedorganisasjon, Sparebankforeningen og Moss tingrett mener man bør avvente behandlingen av spørsmålet i EU før man tar stilling til hvordan en eventuell norsk bestemmelse bør utformes.
Datatilsynet går imot bestemmelsen og mener identitetstyveri ikke bør være ulovlig og straffbart i seg selv. Hovedinnvendingen er at forslaget til straffebestemmelse kan bidra til usikkerhet knyttet til bruk av pseudonymer og kallenavn som spesielt barn og unge sterkt oppfordres til å bruke ved kommunikasjon på internett. Selv om bruk av uriktig identitet kan krenke personvernet, mener tilsynet at slik bruk er utbredt og i de fleste sammenhenger bør anses som legitim. Tilsynet foreslår at bruk av uriktig identitet eventuelt kan vurderes som et straffskjerpende moment ved annen kriminell aktivitet.
De øvrige instansene har synspunkter på den nærmere utformingen og avgrensningen av forslaget uten å gi klart uttrykk for om de støtter kriminalisering av identitetstyveri eller ikke. Det gjelder Nærings- og handelsdepartementet, Post- og teletilsynet, Forbrukerrådet og Norsk senter for menneskerettigheter.
Riksadvokaten uttrykker generell skepsis til nykriminalisering.
2.9.6 Departementets vurdering
Departementet går inn for å videreføre straffansvaret som i dag følger av straffeloven 1902 § 372 annet ledd, og å utvide straffansvaret slik at bestemmelsen setter straff for den som uberettiget setter seg i besittelse av en annens identitetsbevis, eller opptrer med en annens identitet eller en identitet som er lett å forveksle med en annens identitet, med det forsett å oppnå en uberettiget vinning for seg eller en annen, eller å påføre en annen tap eller ulempe, jf. forslaget til § 202. Departementet følger utviklingen i EU nøye, men ser ikke grunn til å vente med å kriminalisere identitetskrenkelse til etter at EU har truffet en beslutning. Uttalelsen fra kommisjonen tyder dessuten på at det spesielt er bruk av andres identitet ved elektronisk kommunikasjon med datasystemer, for eksempel bruk av andres pinkoder, som for tiden står sentralt i EU. Disse tilfellene er ikke sammenfallende med «identitetskrenkelse» i forslaget til § 202, men omfattes av straffebestemmelsen om uberettiget befatning med tilgangsdata, dataprogram mv. (lovforslaget § 201).
Flere av tilfellene som kan rammes av forslaget til bestemmelse om identitetskrenkelse, vil i dag kunne rammes som forsøk på (data)bedrageri. Det betyr at det kan være en glidende overgang og delvis overlapping mellom hva som vil utgjøre en fullbyrdet identitetskrenkelse og hva som vil være forsøk på andre straffbare forhold. Sett i sammenheng med den eksisterende straffebestemmelsen i straffeloven 1902 § 372 annet ledd, vil lovforslaget innebære en relativt beskjeden grad av nykriminalisering. Selv om flere handlinger som kan tenkes omfattet av straffebudet om identitetskrenkelse i dag er straffbare som forsøk på andre forbrytelser, er det likevel et behov for bestemmelsen. Identitetskrenkelse kan krenke menneskers integritet og sikkerhet uavhengig av om den rent faktisk fører til videre lovbrudd eller ikke. Det vil også være enklere å bevise identitetskrenkelse enn (forsøk på) den fullbyrdete bedragerihandlingen.
Skal også bruk av fiktiv identitet kriminaliseres, må det la seg forene med prinsippene for kriminalisering, jf. Ot.prp. nr. 90 (2003-2004) side 82 flg. Bruk av fiktiv identitet er i mindre grad egnet til å medføre skade eller fare for skade enn bruk av stjålet identitet. Handlingen er ikke i seg selv integritetskrenkende fordi den ikke rammer noen som er rettmessig «eier» av identiteten. Av hensyn til sikkerhet og personvern er bruk av fiktiv identitet ved elektronisk kommunikasjon endog anbefalt i mange sammenhenger. Det er da også utvalgets forslag om kriminalisering av fiktiv identitet som har gitt opphav til de sterkeste innvendingene under høringen.
Utvalgets begrunnelse for å sette straff for fiktiv identitet synes først og fremst å være «gråsonen» mellom fiktiv og stjålet identitet, jf. Datakrimutvalgets utredning side 33-34, 90-92 og 109-110 lest i sammenheng. Ved å sette straff for fiktiv identitet, unngår man å trekke grensen mellom fiktiv og uriktig identitet. Utvalget illustrer problemet med saksforholdet i Kværner-kjennelsen inntatt i Rt. 2003 side 825. Saken gjaldt et tilfelle av forvekslbare identiteter og spørsmålet om det forelå brudd på straffeloven 1902 § 405 a om bedriftshemmelighet, jf. Datakrimutvalgets utredning side 92 annen spalte. De to tiltalte hadde lagt til rette for at e-post skulle feilsendes dem ved å registrere domenenavnet Kvearner.com som var forvekslbart med Kvaerner.com - firmaet Kværners domenenavn. Dette førte til at en bedriftshemmelighet kom på avveie da den ble sendt til en sekretær med navnet Kvearner i e-postadressen. Høyesterett kom til at bestemmelsen ikke rammet den som tilfeldig kommer over bedriftshemmeligheter. Ettersom de to tiltalte hadde lagt til rette for at e-post skulle feilsendes dem, ble imidlertid kunnskapen ansett for å være skaffet til veie på urimelig måte.
For en datamaskin er det opplagt at Kvaerner og Kvearner representerer to ulike navn med den følge at Kvearner vil anses som en fiktiv og ikke stjålet identitet. Utvalgets utkast gjelder imidlertid bruk av uriktig identitet overfor mennesker, og for mennesker er navnene lettere å forveksle. Er identiteten som benyttes, lett å forveksle med en annens identitet, bør det ikke gjøre noen forskjell for straffbarheten om den ikke er helt identisk med den andres identitet. For å gjøre det tilstrekkelig klart at også slike tilfeller er omfattet av straffebudet, foreslår departementet at det i forslaget til § 202 presiseres at straffansvaret også gjelder den som uberettiget opptrer med en identitet som er lett å forveksle med en annens identitet. Holder gjerningspersonen det for sikkert eller overveiende sannsynlig at identiteten lett kan forveksles med en annen, foreligger straffansvar. Det kan nok tenkes enkelttilfeller som vil by på tvil med hensyn til om en identitet skal anses for å være lett å forveksle med en annen. Departementet antar likevel at det i de fleste sammenhenger vil være enkelt å fastslå.
Utvalget begrunner forslaget om å sette straff for bruk av fiktiv identitet også med hensynet til sikker kommunikasjon og tilliten til nettbasert kommunikasjon. Departementet ser ikke i dag et behov for å kriminalisere bruk av fiktiv identitet på et slikt grunnlag, og går ikke inn for å strafflegge bruk av fiktiv identitet utover de tilfellene der identiteten lett kan forveksles med en annens identitet. Straff vil være uproporsjonalt, og eventuelle problemer knyttet til bruk av fiktiv identitet på nettet bør løses utenfor strafferetten, eksempelvis ved kutymer og regler for nettvett. Dersom fremtiden skulle vise at generell bruk av fiktiv identitet skaper omfattende problemer for nettbasert kommunikasjon, vil departementet ta forslaget opp til ny vurdering.
Høringen viser dessuten at utvalgets utkast skaper et behov for å klargjøre i lovteksten når bruk av fiktiv identitet skal være straffbar og ikke. Denne usikkerheten bortfaller ved departementets forslag. Departementets forslag er også ment å gjøre det tydeligere at nødvendig personvernfremmende teknologi som bidrar til ulik grad av anonymitet på internett, blant annet ved kjøp og salg av varer, ikke omfattes.
Lovforslaget er avgrenset til tilfeller der forsettet dekker det å oppnå en uberettiget vinning for seg eller en annen (bokstav a) eller å påføre en annen tap eller ulempe (bokstav b). Departementet har ikke funnet grunn til å ta med bruk av uriktig identitet for å oppnå kontakt med barn under 16 år med sikte på seksuell omgang. I slike tilfeller er det mest praktisk at gjerningspersonen benytter fiktiv identitet uten forsett om at identiteten skal være lett å forveksle med noen annens identitet. Å la bestemmelsen om identitetskrenkelse omfatte tilfeller der forsettet dekker handlingen beskrevet i § 201 a må uansett antas å innebære en marginal utvidelse av det som allerede er straffbart etter forsøkslæren.
Identitetskrenkelse kan også skje som ledd i gjennomføring eller forsøk på gjennomføring av andre straffbare forhold (eksempelvis bedrageri, og krenkelse av andres personlige frihet og fred).
Det skal ikke være et vilkår for straffansvar at identitetskrenkelsen rent faktisk har hatt en virkning som nevnt i straffebudet. Det avgjørende er om formålet omfattes av gjerningspersonens forsett. I praksis antar departementet at det på dette punktet vil være liten forskjell mellom departementets og Datakrimutvalgets forslag. Den bruk av stjålet identitet som utvalget anser som uberettiget, må i de fleste tilfeller antas å falle innenfor ett av alternativene i bokstav a eller b. Departementets forslag er imidlertid mer i samsvar med utgangspunktet om ikke å kriminalisere mer enn nødvendig, og målsettingen om en mer brukervennlig og informativ straffelov.
Departementet mener det ikke er tilstrekkelig grunn til å la bestemmelsen beskytte en tredjepersons integritet i tilfellene der gjerningspersonen får samtykke av rette eier til å opptre med den uriktige identiteten for å villede en annen. Det må antas at bruk av en annens identitet uten samtykke er det største problemet i praksis. Skal bestemmelsen ikke bare beskytte integriteten til eieren av identiteten, men også den som blir villedet, vil det dessuten tøye grensene for bruk av straff. For å gjøre det klart at disse tilfellene ikke omfattes, er det nødvendig å presisere i lovteksten at det bare er den som «uberettiget» opptrer med en annens identitet som rammes. Tilfellene som nevnt vil etter omstendighetene kunne rammes av andre straffebestemmelser, som for eksempel bedrageri.
Uberettiget bruk av en annens identitet kan oppleves integritetskrenkende og medføre skade for den det gjelder uavhengig av om kommunikasjonen er nettbasert eller ikke. Under høringen har spørsmålet kommet opp om ikke bestemmelsen bør utvides til å omfatte også annen kommunikasjon enn den elektroniske. Departementets tilnærming er at forslaget til kapittel 21 bør omfatte handlinger som generelt truer informasjon og informasjonsutveksling i samfunnet, også når handlingene skjer uten bruk av teknologiske virkemidler og heller ikke retter seg mot datasystemer eller elektroniske kommunikasjonsnett, jf. punkt 2.3.1.2. Et eksempel på identitetskrenkelse uten bruk av elektronisk kommunikasjon kan være omadressering av en annens brevpost ved å oppgi vedkommendes navn, fødselsnummer og bostedsadresse. Det er vanskelig å se grunner for at kommunikasjon som gjør bruk av nettbaserte løsninger, skal gis et bedre vern enn annen kommunikasjon. Datakrimutvalgets mandat var knyttet til en vurdering av om data og datasystemer har et tilstrekkelig strafferettslig vern etter dagens regler. Når departementet fremmer forslag om vern av informasjon og informasjonsutveksling, er det naturlig å vurdere behovet for et strafferettslig vern mot bruk av uriktig identitet på et generelt grunnlag.
Departementet foreslår at bestemmelsen også rammer den som uberettiget setter seg i besittelse av en annens identitetsbevis med forsett om å utnytte det til å skaffe seg en uberettiget vinning eller å påføre andre skade eller ulempe. Slike handlinger kan oppleves integritetskrenkende og skape stor usikkerhet hos offeret, og bør omfattes av en bestemmelse om identitetskrenkelse. Departementet har derfor kommet til at bestemmelsen bør gjelde generelt. «Identitetsbevis» omfatter både papirbaserte og elektroniske identitetsbevis.
Med «identitet» menes navn, fødselsnummer, organisasjonsnummer, e-postadresse og andre opplysninger som, alene eller sammen med annen informasjon, kan identifisere en fysisk eller juridisk person. Også webadresser og innholdet på en nettside kan omfattes. Det avgjørende må være om den fornærmede lar seg identifisere ved hjelp av midlet som benyttes eller om webadressen eller nettsiden lett kan forveksles med den fornærmedes webadresse eller nettside. Det må bero på en totalvurdering av hvert enkelt tilfelle.
Slik departementets forslag er formulert, vil identitetskrenkelse i forbindelse med «phishing» i utgangspunktet omfattes. Phishing er en relativt ny form for svindel på internett som baserer seg på identitetstyveri og som kan få store følger for den som rammes. Et eksempel på slik virksomhet er en nettside som utformes slik at den har et visuelt uttrykk som er lett å forveksle med den virkelige nettsiden til en bank. Besøkende av nettsiden forledes til å gi fra seg kredittopplysninger til det som uriktig fremstår som deres egen bank. Kredittopplysningene kan senere benyttes for å tappe kontoen for penger eller til annen kriminalitet. I den seneste tiden har vi sett eksempler på slik virksomhet rettet mot banker i Norden. Departementet mener lovforslaget kan bidra til å demme opp for tendensen til økt phishing-aktivitet i Norge, selv om slik virksomhet i stor grad må antas å være straffbar også i dag som bedrageri eller forsøk på dette.
Departementet foreslår at straffen for identitetskrenkelse settes til bot eller fengsel inntil to år. Forslaget gjenspeiler at handlingen som strafflegges ofte er en forberedelseshandling på stadiet før forsøk, og strafferammen er lavere enn utvalgets forslag. Uberettiget bruk av en annens identitet, uavhengig om handlingen er forberedelse til videre straffbar virksomhet eller ikke, kan imidlertid i stor grad være integritetskrenkende og belastende for den det gjelder. På den bakgrunn har departementet funnet det passende å foreslå en øvre strafferamme på fengsel inntil to år, mot fengsel inntil fem måneder i straffeloven 1902 § 372 annet ledd. Forslaget til strafferamme innebærer at forsøk vil være straffbart, jf. straffeloven 2005 § 16.
Departementet vil ikke foreslå en egen bestemmelse om grov identitetskrenkelse. Handlingen vil som nevnt ofte være en forberedelseshandling til annen kriminalitet. Forslaget til strafferamme for den ordinære overtredelsen er tilstrekkelig høy til at den også favner om de mer grove overtredelsene.
Departementet ser heller ikke behov for en egen bestemmelse om mindre identitetskrenkelse. Det må antas at bøtestraff er den mest nærliggende reaksjonen i de mindre alvorlige sakene.
2.10 Beskyttelse av fjernsynssignaler mv.
2.10.1 Gjeldende rett
Bestemmelsen i straffeloven 1902 § 262 skal beskytte lovlige tilbydere av visse vernede tjenester mot at andre får tilgang til tjenestene, for eksempel et kodet fjernsynssignal, på ulovlige måter. Bestemmelsen ble inntatt i straffeloven i 1995 (ved lov 7. april 1995 nr. 15) som et vern utelukkende mot kodede radio- og fjernsynssignaler, etter et sterkt ønske fra aktører i satellitt-tv-bransjen som distribuerte kodede tv-kanaler over satellitt og som ble hardt rammet av utbredelsen av såkalte piratdekodere. Før 1995 var slike forhold bare i liten grad straffbelagt. Mangelen på rettslig beskyttelse ble bekreftet av Høyesterett i Rt. 1994 side 1610, hvor de tiltalte hadde produsert og omsatt dekodere som gjorde det mulig å ta inn fjernsynssendinger fra betal-TV-kanalen TV1000 uten samtykke fra rettighetshaverne. Høyesterett frifant for overtredelse av straffeloven § 145, da bestemmelsen ikke rammet det foreliggende tilfellet. Retten fant at det ikke var naturlig å forstå begrepet «data» slik at det omfattet fjernsynsprogrammer.
I 2001 ble virkeområdet for § 262 utvidet til også å gjelde såkalte informasjonssamfunnstjenester.
Dagens utforming av paragrafen er først og fremst et resultat av denne omfattende omredigeringen som fant sted i 2001 (ved lov 15. juni 2001 nr. 57). Endringene sikret norsk gjennomføring av Europaparlaments- og rådsdirektiv 98/84/EF 20. november 1998 om rettslig vern av tilgangskontrollerte og tilgangskontrollerende tjenester i norsk rett. Direktivet setter krav til medlemsstatene om å sikre leverandørene et vern mot utstyr og programvare (piratutgaver) som kan gi gratis tilgang til de vederlagsbelagte tjenestene. Direktivet krever derfor at forretningsdrift knyttet til slikt utstyr gjøres forbudt. Direktivet gir den enkelte stat valget om den ønsker å forby privat innehav og bruk av slikt utstyr.
Til tross for utvidelsen av bestemmelsen i 2001 til også å gjelde «informasjonssamfunnstjenester» fant departementet i 2001 ikke grunn til å bruke dette begrepet i lovteksten, jf. Ot. prp. nr. 51 (2000-2001) på side 13. Den norske definisjonen fremgår av straffeloven 1902 § 262 fjerde ledd bokstav b.
Paragraf 262 første ledd bokstav a og b omfatter ulike handlinger som kan være med på å gi uberettiget (uautorisert) tilgang til en vernet tjeneste. Bokstav a rammer den som framstiller, innfører, distribuerer, selger, leier ut, besitter, installerer, vedlikeholder eller skifter ut en dekodingsinnretning. Bokstav b retter seg mot den som mer indirekte bidrar ved å annonsere for eller på annen måte reklamere for slik innretning. Endelig finnes i bokstav c en bestemmelse som rammer den som «søker å utbre dekodingsinnretning». Med «å utbre» menes å gjøre den tilgjengelig for en større krets av personer. På hvilken måte dette gjøres, har ikke betydning. Forsøk likestilles med fullbyrdet handling.
Både i bokstav a og b er det et vilkår at aktiviteten er utført med vinnings hensikt, mens bokstav c ikke har et slikt krav. Bokstav c vil typisk dekke et tilfelle der noen sprer dekoderinnretninger i form av programvare via internett. En slik handling vil rammes like fullt om den har karakter av en vennetjeneste som ved en mer kommersielt motivert handling.
Det følger også av første ledd at det uansett er et vilkår for å straffe at formålet med aktivitetene i bokstav a til c har vært å «skaffe[r] seg selv eller en annen uberettiget tilgang til en vernet tjeneste». Dermed skapes det ikke tvil om at berettiget eller autorisert tilgang ikke er straffbart.
Strafferammen for overtredelse av første ledd er bot eller fengsel inntil ett år. Medvirkning er straffbar.
Annet ledd retter seg mot bruk av ulovlige dekoderinnretninger som leder til uuberettiget tilgang til den vernede tjenesten. Bruken kan medføre vinning ved at man oppnår en innsparing ved å få muligheten til å se en film på TV som man ellers ville ha måttet betale ekstra for. Det fritar ikke for straff at man ikke ville ha kjøpt filmen dersom man måtte betalt penger til den lovlige distributøren. Den rammer også tilfeller der den berettigede blir påført et tap. Strafferammen er bot eller fengsel inntil seks måneder. Medvirkning er ikke straffbar.
Tredje og fjerde ledd gir definisjoner av begrepene dekodingsinnretning og vernet tjeneste.
I femte ledd går det frem at offentlig påtale ikke finner sted uten begjæring fra fornærmede, med mindre allmenne hensyn krever påtale.
2.10.2 Andre nordiske lands rett
I dansk rett reguleres beskyttelse av fjernsynssignaler i lov om radio- og fjernsynsvirksomhed § 91, med en tilhørende straffebestemmelse i § 94. Etter denne loven er det forbudt å fremstille, importere, omsette, inneha eller endre dekodere eller annet dekodingsutstyr dersom formålet er å gi uautorisert tilgang til innholdet i en radio- eller fjernsynsutsending. Det er også forbudt å inneha slike innretninger rent privat. Samme paragraf setter også forbud mot annonsering og annen reklame for slike innretninger. Strafferammen for ordinær overtredelse er bot.
Bruk i «erhvervsmæssig øjemed» gjør at straffen kan økes til fengsel inntil to år, jf. § 94. Skjerpende omstendigheter som nevnes i lovteksten er «udbredelse m.v. i en videre kreds» og overtredelse under omstendigheter der det er særlig risiko for «omfattende overtrædelser». Også utenfor næringsvirksomhet kan fengselsstraff idømmes, særlig ved spredning av koder, passord og lignende fra internett. Skyldkravet er forsett eller grov uaktsomhet.
I svensk rett er det lagen 2000:171 om förbud beträffande viss avkodningsutrustning som er aktuell. Selve forbudsbestemmelsen er tatt inn i 5 §, der det heter at «Avkodningsutrustning får inte yrkesmässigt eller annars i förvärvssyfte tillverkas, importeras, distribueras, säljas, hyras ut, innehas, installeras, underhållas eller bytas ut i syfte att göra en tjänst som omfattas av lagen tillgänglig i tolkningsbar form utan tjänsteleverantörens godkännande.» Dette medfører at verken det å inneha slikt utstyr eller privat bruk av det er straffbart. Strafferammen er bot eller fengsel inntil to år, jf. 6 §.
I Finland ble det i 2001 vedtatt en egen lov om «förbud mot vissa avkodningssystem» som opphevet den tidligere reguleringen i telemarknadslagen. Selve straffebestemmelsen er imidlertid plassert i den finske strafflagen. I følge lag om förbud mot vissa avkodningssystem 3 § er det forbudt å uberettiget «inneha, använda, tillverka, importera, saluföra, hyra ut, distribuera, främja försäljningen av samt installera och underhålla avkodningssystem». For straffbestemmelser om overtredelse av denne loven henviser loven i 6 § til den finske strafflagen 38 kapittel 8b §. Her straffes overtredelse av 3 § dersom handlingen er foretatt med vinnings hensikt eller den er egnet til å forårsake skade for rettighetshaveren til de beskyttede tjenestene.
Strafferammen er bot eller fengsel inntil ett år for den som «tillverkar, importerar, saluför, hyr ut eller distribuerar ett avkodningssystem eller gör reklam för, installerar eller underhåller ett sådant».
2.10.3 Straffelovkommisjonens forslag og høringsinstansenes syn
Straffelovkommisjonen foreslår en bestemmelse i den nye straffeloven som i hovedsak viderefører § 262, jf. delutredning VII side 323. Det blir foreslått å plassere bestemmelsen i kapitlet om vern av informasjon og informasjonsutveksling, jf. utkastet til kapittel 23. Kommisjonen foreslår også noen mindre innholdsmessige endringer. Det foreslås å endre den særlige regelen som fremgår av første ledd bokstav c, jf. «søker å utbre», som slår fast at bestemmelsen er overtrådt allerede ved forsøk på utbredelse av dekodingsinnretningen. I stedet ønsker kommisjonen at bestemmelsen skal følge hovedregelen om forsøkshandlinger i straffeloven 2005 § 16.
I forslaget fra Straffelovkommisjonen foreslås også å erstatte kravet om vinnings hensikt i første ledd bokstav a og b med et krav om forsett om vinning. Videre foreslås også å gjøre om kravet om hensikt når det gjelder å skaffe noen uautorisert tilgang til en vernet tjeneste, til et vanlig krav om forsett.
Kun én høringsinstans har uttalt seg om innholdet i forslaget til bestemmelse om brudd på beskyttelse av fjernsynssignaler. Agder lagmannsrett uttaler at straffebudet har klare likhetstrekk med de øvrige formuesforbrytelsene og heller burde vært plassert i kapitlet om tyveri, underslag, ran og utpressing mv.
2.10.4 Departementets vurdering
Departementet er enig i at det er et behov for å videreføre bestemmelsen om beskyttelse av fjernsyns- og radiosignaler og andre informasjonssamfunnstjenester, og kan ikke se behov for store endringer. I lys av prinsippene for bruk av straff som er lagt til grunn i arbeidet med den nye straffeloven, har departementet vurdert en innsnevring av straffansvaret etter svensk modell, noe EU-direktivet gir anledning til. Departementet har imidlertid funnet det mest hensiktsmessig å opprettholde straffansvaret slik det er i dag, jf. forslaget til § 203. En avkriminalisering av privat bruk kunne blitt tolket som om samfunnet så på dette som en akseptabel atferd, noe som ville være et uheldig signal.
Paragraf 262 har en noe komplisert utforming, blant annet fordi det i tredje og fjerde ledd utelukkende gis definisjoner av begreper som brukes i paragrafen. På samme måte som i 2001 har departementet vurdert det slik at det ikke kan gjøres på noen annen måte dersom man ønsker den nødvendige grad av presisjon i bestemmelsen, samtidig som innholdet skal inn i én enkelt paragraf i straffeloven. Det foreslås imidlertid enkelte lovtekniske forenklinger.
Kommisjonens forslag om å endre utformingen av § 262 første ledd bokstav c slik at den ikke lenger likestiller forsøk med fullbyrdet forbrytelse, medfører at tilbaketreden fra forsøk vil være mulig også etter § 262. Departementet slutter seg til synspunktet fra kommisjonen om at forsøk på overtredelse bør følge hovedregelen om forsøk i straffeloven 2005 § 15.
Departementet slutter seg også til forslaget om å erstatte kravet til vinnings hensikt i første ledd bokstav a og b med et krav om forsett om vinning. Dette er i tråd med de generelle synspunktene kommisjonen legger til grunn om i størst mulig grad å begrense antallet bestemmelser som krever hensikt, se nærmere delutredning VII på side 170 flg. Det vil da være tilstrekkelig for straff etter første ledd om det kan bevises at gjerningspersonen måtte se det som mest sannsynlig at vinning ville bli oppnådd gjennom det han eller hun gjorde.
Likeledes slutter departementet seg til forslaget om å endre også kravet om hensikt til et krav om forsett når det gjelder å skaffe noen uuberettiget tilgang til vernet formidlingstjeneste i første ledd.
I stedet for betegnelsen «uautorisert tilgang» velger departementet å benytte «uberettiget tilgang». Det er ikke tilsiktet noen realitetsendring ved dette.
Departementet har ikke funnet det hensiktsmessig å gradere straffebudet ytterligere etter overtredelsens grovhet. En strafferamme på bot eller fengsel inntil ett år vil fange opp både de mindre grove og de mer alvorlige overtredelsene. Nivået er også rimelig sammenlignet med våre naboland, jf. ovenfor. Departementet foreslår å samle første og annet ledd i straffeloven 1902 § 262 i ett felles ledd i den nye bestemmelsen. Det fører til at den øvre strafferammen for tilfeller som i dag er regulert i annet ledd, heves fra fengsel inntil seks måneder til fengsel inntil ett år, uten at det med dette er meningen å signalisere en skjerpet straffutmålingspraksis.
Nåværende § 262 er nært knyttet til enkelte andre bestemmelser i lovverket. I første rekke gjelder dette straffeloven 1902 § 145 annet ledd, § 145 b og åndsverkloven §§ 53 a og c. Datakrimutvalget pekte i sin utredning på at det kunne være hensiktsmessig å samordne disse i en felles bestemmelse for å gi et mer oversiktlig regelverk. Det var noe uenighet om tidspunktet for når en slik vurdering burde foretas. Det fremstår som hensiktsmessig å avvente en slik samordning inntil den planlagte revisjonen av åndsverkloven er ferdig, og dermed bør også samordning av bestemmelsene i straffeloven utstå.
Straffeloven 1902 § 262 femte ledd regulerer spørsmålet om påtalebegjæring. Uten fornærmedes begjæring reises det ikke offentlig påtale, såfremt det ikke foreligger allmenne hensyn. Stortinget har etter forslag i Ot. prp. nr. 90 (2003-2004) side 62 vedtatt å oppheve ordningen med påtalebegjæring fra fornærmede som formelt vilkår for å strafforfølge. Regelen i femte ledd om dette vil derfor ikke bli videreført. Med den foreslåtte strafferammen på bot eller fengsel inntil ett år, vil overtredelser bare påtales dersom allmenne hensyn tilsier det.
2.11 Innbrudd i datasystem (datainnbrudd)
2.11.1 Gjeldende rett og historikk, folkerettslige forpliktelser, andre nordiske lands rett
Straffeloven 1902 § 145 annet ledd rammer den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller tekniske hjelpemidler - såkalt datainnbrudd. Å skaffe seg adgang til data som er under overføring vil kunne være aktuelt ved avlytting. Uttrykket «data» favner vidt og omfatter all slags maskinlesbar informasjon, for eksempel om personlige, tekniske eller økonomiske forhold. Det kreves ikke at informasjonen i seg selv er av konfidensiell art, jf. Ot.prp. nr. 35 (1986-87) side 20 og Ot.prp. nr. 40 (2004-2005) side 12. Med «programutrustning» menes instruksjonene til en datamaskin, det vil si dataprogrammer, som i og for seg også omfattes av begrepet «data.»
Det er ikke et vilkår for straff at gjerningspersonen har gjort seg kjent med dataene eller programutrustningen - det er tilstrekkelig at vedkommende har skaffet seg adgang til dem.
Strafferammen er bot eller fengsel inntil seks måneder eller begge deler, jf. straffeloven 1902 § 145 første ledd. Voldes skade ved erverv eller bruk av uberettiget kunnskap, eller foreligger vinnings hensikt, er straffen fengsel inntil to år, jf. tredje ledd. Skyldkravet er ellers forsett. Forsøk er straffbart. Medvirkning er også straffbar, jf. fjerde ledd.
Straffeloven § 145 annet ledd inneholdt tidligere et vilkår om at adgangen til dataene eller programutrustningen måtte oppnås ved å bryte en beskyttelse eller lignende. I høringsbrevet forut for Ot.prp. nr. 40 (2004-2005) om blant annet samtykke til ratifikasjon av datakrimkonvensjonen, ba Justisdepartementet høringsinstansene om å vurdere om det fremdeles burde være et vilkår for straff at det forelå et beskyttelsesbrudd. De fleste høringsinstansene som uttalte seg om spørsmålet, mente at beskyttelsesbrudd ikke lenger burde være et vilkår for straff.
Departementet foreslo i proposisjonen likevel ikke å fjerne beskyttelsesvilkåret. Det ble antatt at det ikke var noe påtrengende behov for å fjerne vilkåret, og det ble ansett som en fordel om problemstillingen ble vurdert i en bredere sammenheng i Datakrimutvalgets utredning. Stortinget valgte likevel å fjerne beskyttelsesvilkåret, se Innst. O. nr. 53 (2004-2005) side 5, hvor justiskomiteen viser til høringsuttalelsen fra ØKOKRIM. Etter lovendring 8. april 2005 nr. 16 er det følgelig ikke lenger et vilkår for overtredelse av § 145 annet ledd at adgangen er oppnådd ved å bryte en beskyttelse eller lignende.
Straffeloven § 262 annet ledd er en spesialregel om straff for uautorisert tilgang til en vernet tjeneste som fjernsyns- og radiosignaler. Strafferammen er bot eller fengsel inntil seks måneder. Bestemmelsen er nærmere omtalt under punkt 2.10.1.
Ulovlig tilgang til vernede verk straffes etter åndsverkloven. Etter § 53 a første ledd, jf. § 54 første ledd, straffes den som omgår «effektive tekniske beskyttelsessystemer som rettighetshaver eller den han har gitt samtykke benytter for å kontrollere eksemplarfremstilling eller tilgjengeliggjøring for allmennheten av et vernet verk». Skyldkravet er forsett eller uaktsomhet. Strafferammen er bot eller fengsel inntil tre måneder.
Da åndsverkloven § 53 a første ledd ble innført ved lov 17. juni 2005 nr. 97, unnlot man å foreslå straff for omgåelse av tilgangskontroll for dataprogram, jf. Ot.prp. nr. 46 (2004-2005) side 122. I de alminnelige merknadene (side 114) og i merknaden til ny § 53 c er det uttalt at denne bestemmelsen er en ren videreføring av gjeldende rett (dagjeldende § 54 a første ledd). Løsningen er begrunnet med at opphavsrettsdirektivet artikkel 6, som § 53 a gjennomfører, ikke vil gjelde for denne verkstypen (det vil si datamaskinprogrammer). I de alminnelige merknadene (side 122) er det uttalt av Kultur- og kirkedepartementet at man ikke anså det «som aktuelt at de regler som her foreslås innført til vern for tekniske beskyttelsessystemer skal foreslås gjort gjeldende også for datamaskinprogrammer.»
Straffeloven § 145 annet ledd oppfyller forpliktelsen i datakrimkonvensjonenartikkel 2 om å oppstille straff for ulovlig tilgang til datasystem og artikkel 3 om ulovlig oppfanging av data. Artikkel 2 pålegger konvensjonspartene å sette straff for den som rettsstridig skaffer seg tilgang til hele eller deler av et datasystem, uavhengig av om vedkommende har gjort seg kjent med innholdet av de data som datainnbruddet har gitt tilgang til. Straffansvaret kan gjøres avhengig blant annet av at en beskyttelse er brutt. Artikkel 3 krever at det settes straff for urettmessig oppfanging av elektroniske data med tekniske hjelpemidler i forbindelse med ikke offentlig tilgjengelige overføringer til, fra eller innenfor et datasystem. Konvensjonsforpliktelsene er nærmere beskrevet i Ot.prp. nr. 40 (2004-2005) side 12.
Svensk og finsk rett har egne bestemmelser om datainnbrudd («dataintrång»), se brottsbalken 4 kap. 9 c § og finsk strafflag 38 kap. 8 §. I en svensk ekspertutredning (Brott- og brottsutredning i IT-miljø, Europarådets konvention om IT-relaterad brottslighet med tilläggsprotokoll - Ds 2005:6) slås det fast at det er nødvendig med lovendringer skal kravene i artikkel 3 oppfylles, jf. side 7. I dansk rett er datainnbrudd regulert i den danske straffeloven kapittel 27 om freds- og ærekrenkelser: Paragraf 263 stk. 2 straffer den som uberettiget «skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem.»
2.11.2 Straffelovkommisjonens skisse, Datakrimutvalgets forslag
Straffelovkommisjonen foreslår at straffeloven 1902 § 145 annet ledd skilles ut i en egen bestemmelse om brudd på informasjonsbeskyttelse, se skissen til § 23-3 (første ledd om åpning av brev foreslås videreført dels i § 23-10 om åpning eller hindring av brev og dels i § 26-11 om ulovlig inntrenging eller opphold). Kommisjonen mener det avgjørende for straffbarheten bør være om det foreligger brudd på beskyttelse, og at det ikke skal være et vilkår at informasjonen gjerningspersonen skaffer seg tilgang til benyttes, eller at adgangen benyttes til sletting eller lignende. Vilkåret om at gjerningspersonen ikke er berettiget til å skaffe seg adgang til data eller programutrustning, foreslås endret til et vilkår om at det forutgående bruddet på informasjonsbeskyttelse er uberettiget. For så vidt gjelder informasjon som overføres, ved teleks, telefaks og liknende, mener kommisjonen at dette skal rammes av skissen til § 23-8 om overvåking. Kommisjonen foreslår en strafferamme i det lavere sjikt, det vil si bot eller fengsel inntil ett år eller lavere, eventuelt bare bot.
Kommisjonen foreslår også en egen bestemmelse om grovt brudd på informasjonsbeskyttelse, se skissen til § 23-4. Hvorvidt bruddet er grovt skal bero på en helhetsvurdering. Ved angivelsen av veiledende momenter foreslår kommisjonen at det tas utgangspunkt i forholdene nevnt i § 145 tredje ledd, men slik at vilkåret om vinnings hensikt endres til vinnings forsett. I tillegg foreslår kommisjonen enkelte andre momenter som bør nevnes i lovteksten. Straffen for grovt brudd på informasjonsbeskyttelse foreslås satt til bot eller fengsel inntil to år.
Datakrimutvalget foreslår en egen bestemmelse om ulovlig tilgang til datasystem, se utkastet § 4, som skal ramme den som uberettiget skaffer seg tilgang til et helt eller en del av et datasystem. Utkastet dekker straffeloven 1902 § 145 annet ledd for så vidt gjelder data som er lagret, mens data under overføring er ment omfattet av utkastet §§ 5 og 6. Selve tilegnelsen av data som er lagret, typisk i form av kopiering, er også ment rammet av utkastet §§ 5 og 6 om informasjons- og datatyveri.
Bestemmelsen er av utvalgsflertallet ment å samordne 1) straffeloven 1902 § 145 annet ledd - for så vidt gjelder lagrede data, 2) straffeloven 1902 § 262 annet ledd - i den grad bestemmelsen gir vern for data som er lagret eller som behandles på et datasystem, og 3) åndsverkloven § 53 a første ledd, jf. § 54 første ledd. Bestemmelsen omfattes dermed av flertallets harmoniseringsforslag, se punkt 2.6.
Utvalget har foreslått en strafferamme på bot eller fengsel inntil tre år for ulovlig tilgang. For grov og liten overtredelse foreslås strafferammer på henholdsvis fengsel inntil seks år og bot eller fengsel inntil seks måneder.
2.11.3 Høringsinstansenes syn
Nasjonal sikkerhetsmyndighet (NSM) har uttalt seg om Straffelovkommisjonens forslag til bestemmelsen om brudd på informasjonsbeskyttelse. NSM støtter forslaget om å knytte straffbarheten for brudd på informasjonsbeskyttelse opp til selve bruddet på beskyttelsen, uavhengig av om man er berettiget til selve informasjonen.
Ti høringsinstanser har kommentert Datakrimutvalgets utkast til § 4 om ulovlig tilgang. Det er Finansdepartementet, Skattedirektoratet, Moss tingrett, Politihøgskolen, Fiskeridirektoratet, Næringslivets Sikkerhetsråd (NSR),Elektronisk Forpost Norge,Telenor, Finansnæringens hovedorganisasjon og Sparebankforeningen. Flere av instansene har kommentarer til at forslaget ikke inneholder noe vilkår om beskyttelsesbrudd. Blant disse er Elektronisk Forpost Norge (EFN), som også mener det er uheldig at straffansvaret avgjøres av om tilgangen er «uberettiget»:
«Som det fremgår av disse forarbeidene var Stortingets intensjon ved endringen å gi databasert informasjon like god beskyttelse som mediebundet informasjon i forhold til tyveri. Vernet mot uberettiget kopiering bør etter vårt skjønn adresseres særskilt og medienøytralt [...] Dersom det innføres et tilstrekkelig vern av informasjonsgoder, eksempelvis ved en egen bestemmelse om vern mot uberettiget kopiering, bør man kunne gjeninnføre kravet til beskyttelsesbrudd i bestemmelsen om ulovlig tilgang til data, tilsvarende utkastet til § 4. Derved vil bestemmelsen igjen speile brevbruddsbestemmelsen i § 145, hvilket vi finner rimelig.»
Politihøgskolen mener de foreslåtte strafferammene er for høye, og ber departementet vurdere om ikke strafferammen for ulovlig tilgang bør settes slik at det markeres at handlingen blir vesentlig mer alvorlig hvis tilgangen benyttes til tyveri eller ødeleggelse av data eller datainformasjon.
2.11.4 Departementets vurdering
Departementet er enig med både Straffelovkommisjonen og Datakrimutvalget i at det å skaffe seg tilgang til lagrede data og data under overføring bør reguleres i ulike straffebud i straffeloven 2005. Å skaffe seg tilgang til data under overføring har en annen karakter enn det å skaffe tilgang til lagrede data. En slik oppdeling er også i samsvar med datakrimkonvensjonens systematikk. Når straffebestemmelsen bare skal omfatte uberettiget tilgang til lagrede data og ikke data under overføring, mener departementet at «datainnbrudd» ikke lenger er den mest hensiktsmessige og informative betegnelsen, og foreslår isteden «innbrudd i datasystem».
Datakrimutvalgets forslag om ikke å oppstille beskyttelsesbrudd som vilkår for straff for ulovlig tilgang er i samsvar med gjeldende rett etter lovendring 8. april 2005 nr. 16, jf. ovenfor under punkt 2.11.1. Selv om det i proposisjonen her foreslås et utvidet vern av informasjonen som et innbrudd i et datasystem kan gi tilgang til, er det ikke grunnlag for å gjeninnføre vilkåret om beskyttelsesbrudd. Det vises til Datakrimutvalgets drøftelse og konklusjon i utredningen side 78, som tiltres av departementet. Men selv om beskyttelsesinnbrudd ikke gjeninnføres som et nødvendig vilkår for straff, ønsker departementet likevel å fremheve at beskyttelsesbrudd vil være det mest praktiske, jf. lovforslaget § 204.
Departementet foreslår, i samsvar med Datakrimutvalgets forslag, en noe annen begrepsbruk enn i straffeloven 1902 § 145 annet ledd. «Adgang» foreslås erstattet med «tilgang», se lovforslaget § 204. Tilgang vurderes som mer dekkende språklig sett og samsvarer med ordbruken i straffeloven 1902 § 145 b, jf. lovforslaget § 201. «Data eller programutrustning» i straffeloven 1902 § 145 annet ledd foreslås erstattet av «datasystem eller del av det». Begrepsbruken er for øvrig i samsvar med datakrimkonvensjonen artikkel 2, jf. også den finske datainnbruddsbestemmelsen som rammer innbrudd i «datasystem». Den endrede ordbruken er ikke ment å innebære realitetsendringer.
Departementet viser til at bestemmelsen bare verner informasjon indirekte ved å hindre tilgang til informasjonen, mens det som direkte straffes er den uautoriserte inntrenging i systemet. Den umiddelbare følgen av innbruddet vil riktignok være at man får tilgang til informasjonen på systemet.
Rettsstridsreservasjonen «uberettiget» videreføres fra straffeloven 1902 § 145 annet ledd. Rettspraksis om grensen mellom berettiget og uberettiget tilgang vil fortsatt være relevant.
Straffen for innbrudd i datasystem foreslås satt til bot eller fengsel inntil to år. Forsøk vil dermed fortsatt være straffbart, jf. straffeloven 2005 § 16. Forslaget til strafferamme innebærer en oppjustering i forhold til gjeldende rett som bringer norsk rett mer på linje med de øvrige nordiske lands rett. En strafferamme på to år gjenspeiler også at et innbrudd i et datasystem er en handling som, i motsetning til forberedelseshandlinger, har ført til skade. Forhøyelsen av strafferammen innebærer også at bestemmelsen er ment å dekke mer alvorlige tilfeller av innbrudd i et datasystem. En egen bestemmelse om grov overtredelse anses derfor ikke nødvendig.
Departementet mener det ikke er behov for en egen bestemmelse om lite innbrudd i datasystem. Strafferammen som foreslås for ordinær overtredelse er så vidt lav at det ikke fremstår som naturlig med en slik bestemmelse. Heller ikke svensk, dansk eller finsk rett har egne strafferammer for de minst alvorlige tilfellene av datainnbrudd.
Bestemmelsen om innbrudd i datasystem har berøringspunkter med en rekke andre bestemmelser. Bestemmelsen rammer selve den handling som skaffer tilgang til datasystemet. Videre bruk av systemet, eksempelvis søk etter og kartlegging av informasjon som finnes på en datamaskin, vil kunne rammes som ulovlig bruk. Endring eller sletting av data og informasjon som finnes på systemet kan rammes av skadeverkbestemmelsene (se forslaget til § 206 og § 351).
Siden departementet har valgt ikke å samordne de ulike bestemmelsene om ulovlig tilgang i åndsverkloven og straffeloven, jf. punkt 2.6, vil åndsverkloven § 53 a første ledd og straffeloven 2005 § 203 første ledd (som viderefører straffeloven 1902 § 262 annet ledd) fortsatt gjelde for det å skaffe seg ulovlig tilgang til henholdsvis vernede verk og vernede tjenester.
2.12 Krenkelse av retten til privat kommunikasjon
2.12.1 Uberettiget tilgang til informasjon under overføring
2.12.1.1 Gjeldende rett, folkerettslige forpliktelser
Straffeloven 1902 § 145 annet ledd om datainnbrudd rammer både det å skaffe seg tilgang til lagrede data og til data under overføring, for eksempel ved avlytting. Bestemmelsen er nærmere beskrevet i punkt 2.11.1.
Straffeloven 1902 § 262 annet ledd setter straff for den som ved bruk av dekodingsinnretning skaffer seg tilgang til en vernet tjeneste, det vil si betalingsbelagte tilgangskontrollerte radio- og kringkastingstjenester og informasjonssamfunnstjenester. Bestemmelsen overlapper og går foran straffeloven § 145 annet ledd for vernede tjenester. Det vises for øvrig til punkt 2.10.1.
Straffeloven 1902 § 145 a verner den muntlige utveksling av tanker, følelser og opplysninger. Første ledd nr. 1 setter straff for avlytting ved bruk av hemmelig lytteapparat av telefonsamtale eller annen samtale mellom andre eller forhandlinger i lukket møte som vedkommende ikke selv deltar i, mens nr. 2 rammer hemmelig opptak ved hjelp av lydbånd av samtaler som nevnt i nr. 1 mv. Nr. 3, som rammer forberedelse til avlytting og opptak, er behandlet i punkt 2.8.2.2 i tilknytning til forslaget om en egen straffebestemmelse om ulovlig anbringelse av utstyr. Skyldkravet er forsett. Medvirkning er straffbar, jf. annet ledd. Forsøk er også straffbart § 49.Straffen er bot eller fengsel inntil seks måneder.
Datakrimkonvensjonen artikkel 3 krever at det oppstilles straff for urettmessig oppfanging av elektroniske data med tekniske midler i forbindelse med ikke offentlig tilgjengelige overføringer til, fra eller innenfor et datasystem (dataavlytting).
2.12.1.2 Andre nordiske lands rett
Dansk straffelov § 263 stk. 1 nr. 2 straffer den som ved hjelp av et apparat hemmelig avlytter eller gjør opptak av uttalelser fremsatt i enerom, telefonsamtaler eller annen samtale mellom andre, eller forhandlinger i lukket møte som han ikke selv deltar i eller som han uberettiget har skaffet seg tilgang til. Straffen er bot eller fengsel inntil seks måneder, men fengsel inntil seks år under særlig skjerpende omstendigheter. I tillegg omfatter bestemmelsen i § 263 stk. 2 uberettiget tilgang til opplysninger som overføres.
Svensk rett har en bestemmelse om ulovlig avlytting i brottsbalken 4 kap. 9 a § som i hovedsak svarer til de tilsvarende danske og norske bestemmelser om ulovlig avlytting. Straffen er bot eller fengsel inntil to år. Bestemmelsen supplerer straffebudet om brudd på post- og telehemmelighet. Brottsbalken 4 kap. 9 c § om datainnbrudd rammer blant annet det å skaffe seg ulovlig tilgang til opplysninger under elektronisk overføring. Straffen er bot eller fengsel inntil to år. En svensk ekspertutredning (Brott- og brottsutredning i IT-miljø, Europarådets konvention om IT-relaterad brottslighet med tilläggsprotokoll - Ds 2005:6) slår fast at det er nødvendig med lovendringer skal kravene i artikkel 3 oppfylles, jf. side 7.
Finsk rett har en bestemmelse om ulovlig avlytting og opptak av samtale mv. i strafflagen 24 kap. om freds- og integritetskrenkelser og ærekrenking (5 §). I tillegg rammer 38 kap. 3 § om krenkelse av kommunikasjonshemmelighet blant annet den som skaffer opplysninger om innholdet i samtale, telegram, tekst-, bilde- eller dataoverføringer eller annen tilsvarende telemeddelelse som formidles gjennom telenettet, eller sending og mottak av slike meddelelser. Straffen for overtredelse av begge disse bestemmelsene er bot eller fengsel inntil ett år. Grov krenkelse av kommunikasjonshemmelighet straffes likevel med fengsel inntil tre år, jf 4 §. Også den finske datainnbruddsbestemmelsen omfatter det å skaffe seg uberettiget tilgang til data under overføring. Den anvendes imidlertid ikke dersom strengere straffebestemmelser eller andre bestemmelser som straffer like strengt, for eksempel bestemmelsen om krenkelse av kommunikasjonshemmelighet, kommer til anvendelse.
2.12.1.3 Straffelovkommisjonens skisse, Datakrimutvalgets forslag
Straffelovkommisjonen foreslår at tilegnelse av informasjon som overføres, og som i dag rammes av datainnbruddsbestemmelsen i straffeloven 1902 § 145 annet ledd, skal rammes av § 23-8 om overvåking. Overvåkingsbestemmelsen skal i tillegg omfatte slik ulovlig avlytting, opptak og forberedelse til avlytting og opptak som straffes etter straffeloven 1902 § 145 a første ledd. Kommisjonen mener bestemmelsen dessuten bør ramme tilfeller hvor gjerningspersonen overvåker produksjonen av data på en fremmed datamaskin eller et datasystem. Fjernsynsovervåking regulert i personopplysningsloven foreslås holdt utenfor.
Kommisjonen foreslår endringer i gjerningsbeskrivelsen i straffeloven 1902 § 145 a første ledd. Det avgjørende for straff bør etter kommisjonens vurdering være at avlyttingen, tappingen, avlesingen eller kopieringen av informasjon er hemmelig, og at handlingene foretas ved bruk av tekniske hjelpemidler. Det foreslås en strafferamme i det lavere sjikt, det vil si bot eller fengsel inntil ett år eller lavere, eventuelt bare bot. I tillegg foreslås en bestemmelse om grov overvåking etter samme mønster som andre bestemmelser om grov overtredelse. Straffen for grov overvåking foreslås satt til bot eller fengsel inntil to år.
Datakrimutvalget foreslår at uberettiget tilegnelse av data og databasert informasjon under overføring skal rammes av utkastet §§ 5 og 6 om informasjons- og datatyveri, jf. utvalgets utredning side 72-73. Utvalget mener at for data som overføres, er det vanskelig å skille mellom selve tilgangen og tilegnelsen, noe som i større grad er mulig for lagrede data. Kopiering av signalstrømmen til et lagringsmedium skal rammes som datatyveri, se utkastet § 6. Slik kopiering innebærer tilegnelse av data, som kan transformeres til databasert informasjon - av utvalget definert som meningsinnholdet i data, se utkastet til definisjonsparagraf i § 1. Selve tilegnelsen av den databaserte informasjonen er ment rammet av utkastet § 5. Informasjons- og datatyveribestemmelsene kan også overtres samtidig, eksempelvis ved at dataene kopieres til et lagringsmedium (datatyveri) samtidig som gjerningspersonen lytter til eller ser på overføringen (informasjonstyveri). Piratdekoding av fjernsynssignaler, som etter gjeldende rett straffes etter straffeloven 1902 § 262 og som omfattes av utvalgsflertallets harmoniseringsforslag (se om dette i punkt 2.6), nevnes også som et eksempel på at data- og informasjonstyveri kan begås samtidig: Dekodingen, som innebærer at man skaffer seg tilgang, fører til fremvisning av programmet på tv-skjermen, noe som innebærer tilegnelse av informasjon.
For overtredelse av utkastet §§ 5 og 6 foreslår Datakrimutvalget strafferammer på bot eller fengsel inntil tre år for ordinær overtredelse, fengsel inntil seks år for grov overtredelse, og fengsel inntil seks måneder for liten overtredelse.
2.12.1.4 Høringsinstansenes syn
Nasjonal sikkerhetsmyndighet (NSM) har uttalt seg om Straffelovkommisjonens forslag til egne straffebestemmelser om overvåking. NSM uttaler at det er åpenbart at straffbarheten må være avhengig av at det er avlyttingen, tappingen, kopieringen eller lignende som må være hemmelig, og ikke selve redskapet som benyttes. NSM støtter den foreslåtte endringen, og minner om at det er viktig å finne teknologinøytrale formuleringer.
Høringsinstansenes syn på Datakrimutvalgets utkast §§ 5 og 6 er referert i tilknytning til drøftelsen av behovet for et strafferettslig vern om informasjon, se punkt 2.16.4.
2.12.1.5 Departementets vurdering
Departementet foreslår en bestemmelse som skal erstatte straffeloven 1902 § 145 a første ledd nr. 1 og 2 om ulovlig avlytting og opptak og § 145 annet ledd for så vidt gjelder vern av data under overføring, jf. lovforslaget § 205 bokstav a og b. Departementet har funnet grunn til å la bestemmelsen også omfatte uberettiget åpning eller hindring av brev mv., se bokstav c og d og punkt 2.12.2 nedenfor. Bestemmelsen tilsvarer Straffelovkommisjonens skisse til § 23-8 om overvåking, og ivaretar kriminaliseringsforpliktelsen i datakrimkonvensjonen artikkel 3 om ulovlig oppfanging av data.
Departementet foreslår at straffebudet kalles krenkelse av retten til privat kommunikasjon. Med privat kommunikasjon menes ikke at kommunikasjonen må være av fortrolig eller hemmelig karakter, men at kommunikasjonen i utgangspunktet er gjerningspersonen uvedkommende. Begrepet overvåking, som er foreslått av Straffelovkommisjonen, har den svakhet at det lett kan føre til sammenblanding med straffeprosesslovens regler om kommunikasjonskontroll, og passer dårlig når bestemmelsen skal omfatte bl.a. brevbrudd.
Datakrimutvalgets forslag om å la det å skaffe seg tilgang til data og informasjon under overføring rammes av bestemmelsene om data- og informasjonstyveri, som også er ment å gi et generelt vern om data og databasert informasjon, gir etter departementets vurdering en for lite informativ regulering. Både hensynet til brukerne av loven og hensynet til våre folkerettslige forpliktelser, i dette tilfellet datakrimkonvensjonen artikkel 3, jf. også den europeiske menneskerettskonvensjon artikkel 8, tilsier en egen og tydelig straffebestemmelse mot uberettiget å skaffe seg adgang til data og informasjon som overføres.
Lovforslaget § 205 bokstav a og b er teknologinøytralt. Departementet er enig med Straffelovkommisjonen i at straffeloven 1902 § 145 a første ledd nr. 1 og 2 benytter uttrykk som passer dårlig på moderne kommunikasjonsmidler og i for stor grad fokuserer på lydsignaler og telefoni.
Etter bokstav a straffes den som uberettiget og ved bruk av teknisk hjelpemiddel hemmelig avlytter eller gjør opptak av telefonsamtale eller annen kommunikasjon mellom andre, eller av forhandlinger i lukket møte som han ikke selv deltar i eller som han uberettiget har skaffet seg tilgang til. Straffebestemmelsen er avgrenset til slik avlytting mv. som skjer ved hjelp av tekniske hjelpemidler. Lytting ved dørene vil dermed i seg selv fortsatt ikke være straffbar. Etter forslaget skal det ikke lenger være et vilkår at det tekniske hjelpemidlet er hemmelig, men selve avlyttingen. Bestemmelsen retter seg først og fremst mot avlytting og opptak av lyd, men gjennom uttrykket «annen kommunikasjon» gjøres det klart at kombinasjonen av lyd og bilde også rammes dersom det kan anses som kommunikasjon. Det gir liten mening å la bare lyddelen av et videoopptak omfattes av straffebudet dersom bildet som følger (av mennesker som kommuniserer) må oppfattes som del av kommunikasjonen.
I Ot.prp. nr. 56 (1989-90) la Justisdepartementet til grunn at hemmelig opptak av samtaler man selv deltar i, ikke bør strafflegges. Mot et opptaksforbud ble det særlig anført at det i visse situasjoner er et så sterkt praktisk behov for å kunne gjøre lydbåndopptak uten å orientere samtaleparten om det, at hensynet til samtaleparten må vike. Dette gjelder spesielt i forbindelse med etterforsking og bevissikring. Etter anmodning fra Stortinget, jf. vedtak 22. februar 1991, sendte departementet 12. mars 1996 på høring et notat om hvorvidt hemmelige opptak av samtale man selv deltar i, bør strafflegges. Et stort flertall av høringsinstansene ønsket ikke en slik straffebestemmelse. På den bakgrunn avsto departementet fra å foreslå noen endring av straffeloven 1902 § 145 a. Ved lov 3. desember 1999 nr. 82 ble det i straffeprosessloven 22. mai 1981 nr. 25 tilføyd et kapittel 16 b som blant annet gir politiet adgang til å avlytte eller gjøre opptak av telefonsamtale eller annen samtale med den mistenkte dersom politiet enten selv deltar i samtalen eller har fått samtykke fra en av samtalepartene, jf. § 216 l. Departementet fastholder at hemmelig opptak av samtaler man selv deltar i, og offentliggjøring av slike, ikke bør strafflegges. Selv om et hemmelig opptak som regel vil representere et tillitsbrudd overfor den annen part og slik sett kan sies å være straffverdig, er det i visse situasjoner et sterkt praktisk behov for å kunne gjøre opptak uten å måtte informere den annen part. Det gjelder for eksempel i saker om telefonsjikane og telefontrusler. Etterforskningen blir vanskeligere dersom man må opplyse at samtalene tas opp på bånd. Opptak av samtaler kan også ha en aktverdig grunn, eksempelvis ved innringing til nødnummer. Det er heller ikke alltid praktisk å opplyse om at opptaket skjer, for eksempel av hensyn til tiden. Et forbud mot hemmelig opptak kan følgelig ikke være absolutt. En presisering i loven om når hemmelig opptak kan godtas og når det skal være straffbart, er vanskelig. Et opptaksforbud vil også kunne være vanskelig å håndheve.
Det praktiske behov for unntaket er nok blitt noe mindre etter at straffeprosessloven § 216 l ble innført. Departementet mener imidlertid at det også i andre sammenhenger kan være behov for å kunne gjøre opptak av samtaler man selv deltar i, for eksempel i forbindelse med beredskapskommunikasjon. På den bakgrunn foreslår departementet å videreføre gjeldende rett hva gjelder opptak av samtale gjerningspersonen selv deltar i. Det er imidlertid klart at politiets lovhjemlede adgang etter straffeprosessloven kapittel 16 a til å foreta telefonkontroll i narkotikasaker, vil falle utenfor virkeområdet for forslaget til § 205 bokstav a.
Forslaget til § 205 bokstav a viderefører i all hovedsak straffeloven 1902 §§ 145 a første ledd nr. 1 og 2.
Bokstav b er formulert som et forbud mot å bryte en beskyttelse eller på annen uberettiget måte skaffe seg tilgang til informasjon som kan overføres ved elektroniske eller andre tekniske hjelpemidler. Alternativet viderefører straffetrusselen i straffeloven 1902 § 145 annet ledd for så vidt gjelder data under overføring, og oppfyller forpliktelsen i datakrimkonvensjonen artikkel 3.
Departementet ser ikke grunn til å straffe både den handling som består i å skaffe seg tilgang til data og informasjon, og den etterfølgende tilegnelsen dersom denne bare består av tilegnelse i form av sansebruk, slik utvalget har lagt opp til i utkastet §§ 5 og 6. Slik tilegnelse bør etter departementets syn anses omfattet av straffen for handlingen som gir ulovlig tilgang. Se nærmere om departementets vurderinger i punkt 2.16.5.
Forslaget til strafferamme er bot eller fengsel inntil to år. Departementet går ikke inn for et eget straffebud om grov overtredelse. Strafferammen må anses tilstrekkelig vid til å fange opp de grovere overtredelsene.
Skyldkravet er forsett.
Det å skaffe seg tilgang til såkalte vernede formidlingstjenester, straffes etter lovforslaget § 203, jf. drøftelsen av harmoniseringsspørsmålet i punkt 2.6.
2.12.2 Åpning og hindring av brev mv.
2.12.2.1 Gjeldende rett, andre nordiske lands rett
Straffeloven 1902 § 145 første leddførste straffalternativ setter straff for den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet. Skyldkravet er forsett. Forsøk og medvirkning straffes, jf. henholdsvis straffeloven 1902 § 49 første ledd og § 145 fjerde ledd. Strafferammen er bot eller fengsel inntil seks måneder, men fengsel inntil to år dersom erverv eller bruk av kunnskapen medfører skade eller dersom gjerningspersonen har hatt vinnings hensikt, jf. tredje ledd.
Etter straffeloven 1902 § 146 første ledd straffes den som ved å tilintetgjøre, skjule eller holde tilbake «en til nogen anden rettet skriftlig meddelelse,» hindrer at meddelelsen kommer frem til rette vedkommendes kunnskap eller forårsaker at den kommer frem for sent. Skyldkravet er forsett. Medvirkning er straffbar, jf. første ledd. Forsøk er også straffbart. Straffen er som utgangspunkt bot eller fengsel inntil seks måneder, men fengsel inntil tre år dersom handlingen har skadefølge eller dersom gjerningspersonen har handlet i vinnings hensikt, jf. annet ledd.
I svensk rett straffes blant annet den som ulovlig skaffer seg tilgang til postforsendelse etter brottsbalken 4 kap. 8 §. Etter 9 § om intrång i förvar straffes den som i andre tilfeller ulovlig bryter brev mv. eller skaffer seg tilgang til noe som oppbevares forseglet. Straffen er i begge tilfeller bot eller fengsel inntil to år. Etter dansk straffelov § 263 nr. 1 straffes den som bryter eller unndrar noen brev, telegram eller annen lukket meddelelse eller opptegnelse, eller gjør seg kjent med innholdet. Straffen er bot eller fengsel inntil seks måneder, men fengsel inntil seks år under særlig skjerpende omstendigheter. I finsk rett straffes uberettiget åpning av brev eller annen lukket meddelelse etter bestemmelsen om krenkelse av kommunikasjonshemmelighet, se finsk strafflag 38 kap. 3 § nr. 1. Straffen er bot eller fengsel inntil ett år. Grov krenkelse av informasjonshemmelighet straffes med fengsel inntil tre år.
2.12.2.2 Straffelovkommisjonens skisse, høringsinstansenes syn, departementets vurdering
Straffelovkommisjonen foreslår en bestemmelse om åpning eller hindring av brev mv. som skal erstatte straffeloven 1902 § 145 første ledd første alternativ og § 146 første ledd, se skissen til § 23-10. Etter kommisjonens forslag vil elektroniske «brev» eller skriftlige meddelelser vernes av utkastene til bestemmelser om brudd på informasjonsbeskyttelse og om skadeverk på elektronisk lagret informasjon. Paragraf 145 første ledd om å bane seg adgang til en annens låste gjemmer foreslår kommisjonen å videreføre i skissen til § 26-11 om ulovlig inntrengning eller opphold. Kommisjonen foreslår for straffebudet om åpning og hindring av brev mv. en strafferamme i det lavere sjikt, det vil si bot eller fengsel inntil ett år eller lavere, eventuelt bare bot. Straffskjerpelsen i § 146 annet ledd foreslås ikke videreført.
Ingen høringsinstanser har uttalt seg om forslaget.
Selv om det er tale om relativt sjeldne overtredelser som nok blir stadig mindre aktuelle, mener departementet likevel det er behov for et strafferettslig vern om skriftlig kommunikasjon og informasjonsformidling i brevs form, og at det derfor fortsatt bør være straffbart å åpne brev som er adressert til en annen eller hindre at slike brev kommer frem. Hensynet til privatlivets fred og samfunnets behov for en ordning som gjør det mulig å utveksle lukket informasjon, taler for å videreføre gjeldende rett. Gjerningsinnholdet i straffeloven 1902 § 145 første ledd første straffalternativ og § 146 første ledd foreslås videreført i den generelle bestemmelsen om krenkelse av retten til privat kommunikasjon, jf. § 205 bokstav c og d. Departementet er enig med Straffelovkommisjonen i at selv om straffeloven 1902 §§ 145 første ledd første straffalternativ og 146 første ledd rammer ulike typer handlinger, bør strafftrusselen for både åpning og hindring av brev kunne inntas i samme bestemmelse.
Formuleringen av gjerningsbeskrivelsen i lovforslaget § 205 bokstav c og d er noe endret sammenlignet med straffeloven 1902 §§ 145 første ledd og 146 første ledd. Endringene innebærer i hovedsak ikke realitetsendringer, bortsett fra at det etter forslaget ikke lenger skal være et vilkår at meddelelsen som hindres eller forsinkes, er skriftlig. Utviklingen tilsier at avgrensningen som i gjeldende § 146 første ledd blir for snever. Forslaget innebærer at for eksempel sletting av en innlest melding på en annens telefonsvarer vil omfattes av bestemmelsen dersom vilkårene for øvrig er oppfylt.
Medvirkningsalternativene i de gjeldende bestemmelser er utelatt som overflødige ved siden av straffeloven 2005 § 15.
Forslaget til strafferamme blir den samme som for informasjon under overføring, det vil si to år. Det er viktig å understreke at departementet ved dette ikke mener å oppjustere straffenivået for ordinært brevbrudd mv. For overtredelse av bokstav c eller d skal normalt den nedre delen av strafferammen benyttes, men likevel slik at grove overtredelser kan betinge høyere fengselsstraff.
Departementet slutter seg til Straffelovkommisjonens forslag om ikke å innføre en egen bestemmelse for grov overtredelse. Forslaget innebærer på dette punktet en reduksjon i strafferammen holdt opp mot straffeloven 1902 § 146. En strafferamme på fengsel inntil tre år for hindring av brev antas som for høy sett hen til hvor lang straff det er realistisk at domstolene vil idømme for et slikt lovbrudd, og da er det ikke grunn til å opprettholde strafferammen, jf. Ot. prp. nr. 90 (2003-2004) side 126 flg. og Ot.prp. nr. 8 (2007-2008) side 24. Misbruk av informasjon som skaffes til veie ved et brevbrudd kan for øvrig straffes som heleri som har en strafferamme på to år, men vesentlig høyere dersom heleriet er grovt, jf. lovforslaget § 333.
2.13 Ulovlig bruk av datasystem mv.
2.13.1 Gjeldende rett, folkerettslige forpliktelser, andre nordiske lands rett
Straffeloven 1902 har ingen særlige regler om ulovlig bruk av datasystem. Ettersom et datasystem er en løsøregjenstand, kan imidlertid bruk av systemet rammes av de alminnelige bestemmelsene om ulovlig bruk av løsøregjenstand i §§ 261 og 393. Paragraf 261, som rammer grovere former for ulovlig bruk, ble vedtatt i 1987 primært med sikte på å ramme datakriminalitet, se Ot.prp. nr. 35 (1986-87) om endringer i straffeloven (datakriminalitet) side 15-16. Virkeområdet er likevel ikke begrenset til slike lovbrudd. For domfellelse etter § 261 er det et vilkår at gjerningspersonen gjennom bruken har skaffet seg eller andre betydelig vinning eller påført den berettigede betydelig tap. Etter § 393 er det tilstrekkelig at bruken har påført den berettigede tap eller uleilighet.
Skyldkravet etter begge bestemmelser er forsett. Forsøk på overtredelse av § 261 er straffbart; forsøk på overtredelse av § 393 straffes ikke. Medvirkning er straffbar i begge tilfeller.
Straffen for overtredelse av straffeloven 1902 § 393 er bot. For overtredelse av straffeloven 1902 § 261 er strafferammen fengsel inntil tre år, men bot kan anvendes under særdeles formildende omstendigheter.
Datakrimkonvensjonen stiller ikke krav om kriminalisering av ulovlig bruk av datasystem.
Svensk rett har ikke en egen bestemmelse om ulovlig bruk av datasystem. Slik bruk må vurderes etter den alminnelige bestemmelsen om ulovlig bruk i brottsbalken 10. kap. 7 §, som også rammer urettmessig bruk av en annens dataanlegg. Det er imidlertid tvilsomt om bestemmelsen rammer bruken av selve datasystemet, fordi det er uklart om et datasystem kan anses som «annans sak». I tilfeller hvor gjerningsmannen bruker en annens datasystem via sitt eget dataanlegg, er det derfor usikkert om straffebestemmelsen kan anvendes. Det kan imidlertid foreligge overtredelse av bestemmelsen om «dataintrång».
Heller ikke i Danmark eller Finland har man særskilte straffebestemmelser mot ulovlig bruk av datasystemer. Også her må bruk av andres datasystem mv. vurderes etter de alminnelige bestemmelsene om uberettiget/ulovlig bruk, se dansk straffelov § 293 og finsk straffelov 28 kap. 7 §.
2.13.2 Straffelovkommisjonens skisse, Datakrimutvalgets forslag
Straffelovkommisjonen har ikke foreslått egne straffebud om ulovlig bruk av datasystem, men foreslår å videreføre de alminnelige bestemmelsene om ulovlig bruk. Med henvisning til Rt. 1998 side 1971 har kommisjonen imidlertid stilt spørsmål om grensen for hva som rammes som ulovlig bruk, bør justeres. Kommisjonens forslag og dommen er nærmere omtalt i punkt 8.9.
Datakrimutvalget foreslår en egen straffebestemmelse som vil ramme den som uberettiget benytter andres datasystem eller elektroniske kommunikasjonsnett (utkastet § 8), jf. NOU 2007: 2 side 84 flg. Utvalget foreslår en presisering av rettsstridsreservasjonen for så vidt gjelder bruk av andres tilgangspunkt til internett i usikret trådløst elektronisk kommunikasjonsnett. Strafferammen foreslås satt til bot eller fengsel inntil ett år for ordinær overtredelse, og bot eller fengsel inntil tre år for grov overtredelse.
2.13.3 Høringsinstansenes syn
Ni instanser har kommentert Datakrimutvalgets utkast til en egen bestemmelse om uberettiget bruk av datasystem mv. Både Finansdepartementet og Skattedirektoratet er enig i presiseringen som gjelder bruk av andres tilgangspunkt til internett, og også Politidirektoratet er enig i at slik bruk ikke bør være straffbar. Skattedirektoratet påpeker samtidig at en borger vanskelig kan avgjøre om bruk av en åpen tjeneste er uberettiget. Kripos mener det bør presiseres at bruk av andres tilgangspunkt til internett kan medføre straff etter andre bestemmelser, eksempelvis etter de generelle bestemmelsene om ulovlig bruk. Nasjonal sikkerhetsmyndighet påpeker at bruk av begrepet usikret kan medføre tolkingsproblemer, og foreslår at lovteksten heller benytter begrepet åpent trådløst nettverk. Datatilsynet mener gjerningsbeskrivelsen bør klargjøres. Også riksadvokaten trekker frem utkastet § 8 som et eksempel på at det foreslås vide rammer for straffansvar. Samferdselsdepartementet uttrykker at dersom utkastet § 8, herunder straffunntaket for bruk av andres tilgangspunkt til internett, ikke følges opp, bør forholdet til andre aktuelle bestemmelser i straffeloven klargjøres. Moss tingrett mener uberettiget bruk av elektroniske kommunikasjonsnett, og reservasjonen for så vidt gjelder bruk av andres tilgangspunkt til internett, bør reguleres i lov om elektronisk kommunikasjon.
2.13.4 Departementets vurdering
Departementet foreslår å videreføre bestemmelsene i straffeloven 1902 om ulovlig bruk av løsøregjenstand, se lovforslaget §§ 343 og 344 og punkt 8.9. Disse straffebestemmelsene vil fortsatt også ramme bruk av andres datasystem. Departementet kan derfor ikke se at det er behov for en egen bestemmelse om uberettiget bruk av datasystem mv., særlig fordi både terskelen for straff og strafferammen bør være den samme for ulovlig bruk av datasystem som for annen ulovlig bruk. Det vises til drøftelsen i punkt 2.3.1. Departementet foreslår imidlertid at det i lovforslaget § 343 om ulovlig bruk av løsøregjenstand føyes til «maskin eller anordning» for å synliggjøre at bestemmelsen også rammer bruk av andres datamaskiner, datasystemer og elektroniske kommunikasjonsnett.
Utvalgets forslag om å unnta fra straff bruk av andres tilgangspunkt til internett i usikret trådløst elektronisk kommunikasjonsnett har fått tilslutning fra flere av høringsinstansene. Som utvalget påpeker vil slik bruk av andres tilgangspunkt til nettet normalt ikke gå utover internettabonnementens egen bruk. Departementet er enig i at så lenge bruken ikke medfører tap eller ulempe for den berettigede, er det ikke grunn til å straffe den. Ettersom tap eller ulempe er et vilkår for straff for ulovlig bruk, er det imidlertid ikke nødvendig å innta noen uttrykkelig reservasjon for slik bruk i lovforslaget § 343.
2.14 Databedrageri
2.14.1 Gjeldende rett, folkerettslige forpliktelser
Straffeloven 1902 § 270 første ledd nr. 2 om databedrageri ble tilføyd ved lov 12. juni 1987 nr. 54 som ledd i bekjempelsen av datakriminalitet. Bestemmelsen setter straff for den som i hensikt å skaffe seg eller andre en uberettiget vinning ved bruk av uriktig eller ufullstendig opplysning, ved endring i data eller programutrustning eller på annen måte rettsstridig påvirker resultatet av en automatisk databehandling, og derved volder tap eller fare for tap for noen. Den alminnelige bedrageribestemmelsen i § 270 første ledd nr. 1 forutsetter at et menneske bringes i villfarelse, og kan ikke anvendes ved manipulasjon av datasystemer. Det er derfor nødvendig med en egen bestemmelse for bedragerilignende forhold der en datamaskin «forledes». Et eksempel som omfattes av bestemmelsen er manipulering med bankkort i en kortautomat, med den følge at man får overført penger til egen konto. Misbruk av bankkort til direkte uttak skal derimot straffes som tyveri, jf. Ot.prp. nr. 35 (1986-87) side 26 annen spalte.
Forsøk og medvirkning er straffbart, jf. § 49 og § 270 annet ledd annet punktum. Skyldkravet er forsett samt vinnings hensikt. Strafferammen for databedrageri er tilsvarende som for vanlig bedrageri, det vil si bot eller fengsel inntil tre år.
Datakrimkonvensjonen stiller krav om at den som forsettlig og i vinnings hensikt påfører andre tap av eiendom gjennom innlegging, endring, sletting eller utilgjengeliggjøring av elektroniske data, eller gjennom inngrep som forstyrrer datasystemets drift, skal straffes, jf. artikkel 8.
I Datakrimutvalgets delutredning I konkluderte utvalget med at den gjeldende bestemmelsen i straffeloven 1902 § 270 første ledd nr. 2 alene oppfyller forpliktelsen etter artikkel 8, og foreslo derfor ingen endring. Justisdepartementet sluttet seg til dette i Ot.prp. nr. 40 (2004-2005), se side 12. Departementet er fortsatt av den oppfatningen at gjeldende bestemmelser oppfyller datakrimkonvensjonen artikkel 8.
2.14.2 Andre nordiske lands rett
Verken dansk eller svensk rett har egne straffebestemmelser om kontomisbruk. Vurderingen av om handlingen er straffbar må skje etter bestemmelsene om bedrageri.
Dansk rett har en særbestemmelse om databedrageri i straffeloven § 279 a. Bestemmelsen rammer den som rettsstridig, og for å skaffe seg eller andre en uberettiget vinning, endrer, tilføyer eller sletter opplysninger eller programmer til elektronisk databehandling eller for øvrig rettsstridig søker å påvirke resultatet av en slik databehandling.
I svensk rett rammes databedrageri av brottsbalken 9 kap. 1 § annet ledd. Bestemmelsen omfatter ikke bare manipulasjon av datamaskiner, men også av andre lignende automatiske prosesser som bank-, vare-, telefon- og bensinstasjonautomater. En slik manipulasjon kan bestå i å mate feilaktige eller ufullstendige opplysninger inn i systemet, eller endre programmet som behandler opplysningene. Foruten disse tilfellene omfattes også det å fysisk påvirke den automatiske prosessen slik at en vinning oppnås, for eksempel å stikke en pinne inn i en automat for å tilegne seg en vare. Å bryte opp automaten regnes derimot som et tilgreppsbrott, som bedømmes etter brottsbalken 8 kap.
I finsk rett kan tilfeller av kontomisbruk tenkes omfattet både av bestemmelsen i strafflagen 36 kap. 1.2 § om databehandlingsbedrageri og 37 kap. 8 § om betalingsmiddelbedrageri. Sistnevnte vil i praksis anvendes i slike tilfeller. For betalingsbedrageri dømmes blant annet den som «för att bereda sig eller någon annan orättmätig ekonomisk vinning använder ett betalningsmedel utan tillstånd av dess lagliga innehavare, med överskridande av den rätt tillståndet ger honom eller annars utan laglig rätt».
2.14.3 Straffelovkommisjonens skisse, Datakrimutvalgets forslag
Straffelovkommisjonen går inn for å videreføre i skissen til § 32-1 både den alminnelige bestemmelsen om bedrageri og bestemmelsen om databedrageri, jf. delutredning VII side 380-381. Kravet om vinnings hensikt foreslås endret ved at hensiktskravet utgår, og erstattes av et krav om forsett om vinning.
Datakrimutvalget viser til at de mest praktiske tilfeller av databedrageri er uberettiget bruk av andres kredittkort eller debetkort i situasjoner hvor slike kort eller kortinformasjon benyttes i maskinelle prosesser, og kortet ikke kontrolleres av mennesker, se NOU 2007: 2 side 108 flg. Utvalget viser videre til at stjålet kort eller kortopplysninger rammes i dag av databedrageribestemmelsens første alternativ om «bruk av uriktig eller ufullstendig opplysning», og mener det er noe kunstig ettersom opplysningene som avgis - kredittkortnummeret og sikkerhetskoden - isolert sett er riktige. Selv om § 270 første ledd nr. 2 kan anvendes på disse tilfellene («på annen måte»), mener utvalget det vil virke klargjørende med et eget straffebud som rammer kontomisbruk, jf. utkastet til § 16. En konto foreligger når noen har bestemte rettigheter hos andre basert på et avtaleforhold, jf. annet ledd første punktum.
Selv om forslaget vil føre til at databedrageribestemmelsen i straffeloven 1902 § 270 første ledd nr. 2 får redusert betydning, går utvalget likevel inn for å videreføre den. Begrunnelsen er at det finnes tilfeller som ikke vil dekkes av utkastet § 16, men som vil rammes av § 270. Utvalget viser som eksempel til at «kostbare varer påføres klistrelapper med falske strekkoder med lavere pris enn den ordinære. Dette fører i sin tur til at det blir beregnet en lavere pris enn det som er korrekt. Strekkodene leses deretter automatisk inn i et datasystem hvoretter oppgjør skjer automatisk basert på uriktige priser uten mellomkomst av mennesker. Et annet eksempel er at et datasystem tilføres uriktig informasjon som pretenderer å være et gyldig kontonummer i forbindelse med helautomatisert bestillingsprosess. I begge tilfellene tilføres datasystemet uriktige opplysninger, jf. første alternativ i databedrageribestemmelsen.»
Utvalget peker på at utkastet § 16 gjelder mange forhold som ikke spesielt er knyttet til data og datasystemer, selv om det er et vilkår at informasjon om rettighetene er lagret elektronisk og at misbruket skjer ved at det avgis opplysninger til et datasystem. Utvalget holder det derfor åpent om forslaget bør plasseres sammen med de generelle bedrageribestemmelsene i straffeloven.
2.14.4 Høringsinstansenes syn
Ti høringsinstanser har uttalt seg om utvalgets forslag til bestemmelse om kontomisbruk. Fire instanser gir sin klare tilslutning. Det gjelder Næringslivets Sikkerhetsråd (NSR), Forbrukerombudet, Finansnæringens hovedorganisasjon og Sparebankforeningen. De to sistnevnte instansene reiser imidlertid spørsmålet om virkeområdet til bestemmelsen bør utvides til også å omfatte kontaktløse e-pengeløsninger der kortet ikke stikkes inn i betalingsterminalen, men holdes i en viss avstand. De er likevel i tvil om en slik metode vil være særlig innbringende for de kriminelle miljøene, og er derfor usikre på om metoden bør kriminaliseres. Nye teknikker kan imidlertid gi muligheter for kriminelle anslag, og høringsinstansene ber departementet om å vurdere om det saklige virkeområdet til bestemmelsen bør utvides.
Oslo statsadvokatembeter og Moss tingrett går imot forslaget om en egen bestemmelse om kontomisbruk, og mener en eventuell tilpasning bør skje i den alminnelige bedrageribestemmelsen. Moss tingrett uttaler:
«Lovutkastet har nær sammenheng med bestemmelsen om bedrageri og hvis forholdet ikke i dag rammes av straffeloven § 270 nr. 2 bør handlingsformene tilpasses bedrageribestemmelsene. Det må også reises spørsmål om å benytte begrepet «konto» i en straffebestemmelse i straffeloven.»
Politidirektoratet (POD), Oslo politidistrikt og Elektronisk Forpost Norge (EFN) gir ikke klart uttrykk for om de støtter forslaget, men kommenterer utvalgets definisjon av begrepet «konto». POD og Oslo politidistrikt mener begrepet er noe vanskelig tilgjengelig. EFN mener definisjonen er for snever, og vil ikke avgrense bestemmelsen til å gjelde rettigheter av økonomisk art knyttet til en konto. Også informasjon av annen art bør omfattes selv om den ikke kan omsettes på det frie markedet. Som eksempel nevnes personlig informasjon og data som er knyttet til rettigheter i nettbaserte samfunn og spill.
POD stiller spørsmål ved om det er hensiktsmessig å videreføre straffeloven § 270 første ledd nr. 2 uendret ettersom de fleste tilfellene av databedrageri vil omfattes av utkastet § 16.
Norsk senter for menneskerettigheter viser til Datakrimutvalgets uttalelse om at datasystemer forvalter interesser av ikke-økonomisk art som også trenger et effektivt vern mot krenkelser. Dette gjelder særlig ulike aspekter av personvernet, herunder retten til en privat sfære og til å bli latt i fred. På den bakgrunn uttaler Norsk senter for menneskerettigheter at departementet bør være oppmerksom på forholdet til retten til respekt for privatliv. Også hensynet til ytringsfriheten trekkes frem.
2.14.5 Departementets vurdering
Departementet går inn for å videreføre bestemmelsen om databedrageri som del av den alminnelige bedrageribestemmelsen, men med en tilføyelse som gjør det klart at «kredittkort-bedrageri» omfattes. Tilføyelsen er ikke nødvendig rettslig sett, siden bedrageri med kredittkort vil omfattes av gjeldende bestemmelse. Departementet er likevel enig med utvalget i at hensynet til informasjon og brukervennlighet tilsier en klargjøring på dette punktet. Det er en straffbar handling som forekommer relativt ofte, og som med fordel kan rammes klarere av loven.
Departementet finner ikke grunn til å foreslå endringer i straffebestemmelsen om databedrageri utover dette, bortsett fra at hensiktskravet utgår og erstattes med et krav om forsett om vinning. De mest praktiske tilfellene av kontomisbruk vil involvere bruk av kort. Tilfeller av bedrageri der det ikke er knyttet en fysisk representasjon til kontoforholdet, må i stor grad antas å være dekket av bedrageribestemmelsen ved alternativet «eller på annen måte». Dersom fremtiden skulle vise at det er behov for ytterligere klargjøring eller kriminalisering på dette punktet, vil departementet ta spørsmålet opp til ny vurdering.
Departementet ser det ikke som problematisk at bruk av stjålet kort på en automat for uttak av kontanter fortsatt subsumeres under tyveribestemmelsen.
Departementet ser ikke tilstrekkelig grunn til å skille ut bestemmelsen om databedrageri i et eget straffebud i kapitlet om vern av informasjon og informasjonsutveksling. Det er naturlig at bestemmelsen om databedrageri står i tilknytning til den alminnelige bestemmelsen om bedrageri slik som i 1902-loven. En slik systematisering gir best oversikt og tilgjengelighet for brukeren. Dessuten bør vanlig bedrageri og databedrageri graderes i liten og grov overtredelse, og det er hensiktsmessig at dette blir regulert sammen for begge tilfellene. Som utvalget også er inne på, regulerer bestemmelsen om databedrageri ikke bare handlinger som er spesielt knyttet til data og datasystemer, selv om det er et vilkår at informasjonen om rettighetene er lagret elektronisk og at misbruket skjer ved at det avgis opplysninger til et datasystem. Det taler også for å regulere databedrageri i tilknytning til alminnelig bedrageri. Departementet finner heller ikke grunn til å dele bestemmelsen om bedrageri i to separate straffebud om henholdsvis alminnelig bedrageri og databedrageri. Dette ble vurdert, men avvist, i forbindelse med endringsloven 12. juni 1987 nr. 54. Departementet fastholder sitt syn på dette punktet, og viser til Ot.prp. nr. 35 (1986-87) side 26 første spalte.
For å gjøre bestemmelsen om databedrageri mer tidsmessig og presis, foreslår departementet enkelte språklige endringer, jf. lovforslaget § 371 bokstav b).
2.15 Dataskadeverk og driftshindring
2.15.1 Gjeldende rett, folkerettslige forpliktelser
Straffeloven 1902 § 291 setter straff for den som rettsstridig ødelegger, skader, gjør ubrukelig eller forspiller en gjenstand som helt eller delvis tilhører en annen. Det er antatt at data i seg selv ikke er en gjenstand, jf. NOU 1985: 31 side 9 og 10 og Ot.prp. nr. 35 (1986-87) side 7 og 8. Lagringsmediet, eksempelvis et datasystem, er derimot en gjenstand, og endring i dataene på lagringsmediet anses som skadeverk på det, jf. Rt. 2004 side 1619. Om det å påvirke data som er under overføring også rammes av skadeverkbestemmelsen, er tvilsomt, se NOU 1985: 31 side 10. Den øvre strafferammen for skadeverk er bot eller fengsel inntil ett år.
Grovt skadeverk straffes etter straffeloven 1902 § 292 første ledd med bot eller fengsel inntil seks år. Lite skadeverk er en forseelse som straffes etter straffeloven 1902 § 391 med bot eller fengsel inntil tre måneder.
Skyldkravet for både skadeverk, grovt skadeverk og lite skadeverk er som utgangspunkt forsett, men grovt skadeverk straffes også dersom det er begått uaktsomt, jf. straffeloven 1902 § 391 tredje ledd. Strafferammen for uaktsomt skadeverk er som utgangspunkt bot eller fengsel inntil tre måneder, men inntil seks måneder dersom uaktsomheten er grov. Forsøk på skadeverk og grovt skadeverk er straffbart, mens forsøk på lite skadeverk ikke straffes. Medvirkning er straffbar.
Bestemmelsen om skadeverk er i all hovedsak foreslått videreført i straffeloven 2005, jf. forslaget til kapittel 28.
Datakrimkonvensjonenartikkel 4 og 5 krever at medlemsstatene setter straff for dataskadeverk («data interference») og systemskadeverk («system interference»). Dataskadeverk beskrives som inngrep i dataenes integritet ved ødeleggelse, sletting, endring osv. av data. Det fremgår av den forklarende rapporten til konvensjonen, punkt 60, at kriminaliseringsforpliktelsen bare gjelder inngrep i lagrede data, og ikke skade på data under kommunikasjon. Systemskadeverk beskrives som alvorlig stans i datasystemets drift som følge av overføring, ødeleggelse, sletting, endring osv. av data. Både Datakrimutvalget og departementet har tidligere lagt til grunn at skadeverkbestemmelsene i straffeloven 1902 oppfyller kravene i konvensjonen, jf. delutredning I (NOU 2003: 27) side 17 og Ot.prp. nr. 40 (2004-2005) side 12. Departementet opprettholder denne vurderingen.
2.15.2 Andre nordiske lands rett
I svensk rett kan dataskadeverk og driftshindring (systemskadeverk) først og fremst rammes av bestemmelsen om datainnbrudd, jf. brottsbalken 4 kap. 9 c §. Den alminnelige skadeverkbestemmelsen i 12 kap. 1 § kan få anvendelse hvis handlingen samtidig innebærer at program skades. Det er usikkert om bestemmelsen også rammer ødeleggelse av data.
I dansk rett rammes dataskadeverk av den alminnelige skadeverkbestemmelsen i straffeloven § 291, mens systemskadeverk rammes av § 293 stk. 2 om rådighetsberøvelse. I § 193 finnes dessuten en særregel for den som fremkaller «omfattende forstyrrelse i driften» av visse typer datasystemer.
Også i finsk rett straffes dataskadeverk etter den alminnelige skadeverkbestemmelsen, mens systemskadeverk straffes etter en egen bestemmelse om «systemstörning» i kapitlet om informasjons- og kommunikasjonslovbrudd, se finsk strafflag 35 kap. 1 § og 38 kap. 7 a §.
2.15.3 Straffelovkommisjonens skisse, Datakrimutvalgets forslag
I sin skisse til kapittel 23 om vern av informasjon og informasjonsutveksling har Straffelovkommisjonen nye bestemmelser om henholdsvis alminnelig, grovt og lite skadeverk på elektronisk lagret informasjon, jf. §§ 23-11 til 23-13. Etter forslaget vil slike handlinger ikke lenger være å betrakte som tradisjonelt skadeverk. Også grovt uaktsomt grovt skadeverk på elektronisk lagret informasjon foreslås gjort straffbart.
Kommisjonen drøfter i delutredning VII på side 319 om det bør gis et strafferettslig vern mot uberettiget hindring eller forstyrrelse av elektronisk overføring av informasjon. Et slikt vern reiser etter kommisjonens vurdering særlige problemer fordi det er uklart hvilke handlinger som kan bli begått og fordi det kan oppstå spørsmål om hvilke kommunikasjonsmåter som bør omfattes. Kommisjonen antar videre at det ikke er behov for å kriminalisere slike handlinger. Skissene til §§ 23-11 til 23-13 er derfor begrenset til vern av elektronisk informasjon som er lagret.
Strafferammen foreslås satt til bot eller fengsel inntil ett år. For grove overtredelser foreslås at straffen settes til bot eller fengsel inntil seks år, mens bot anses tilstrekkelig som straff for liten overtredelse.
Datakrimutvalget foreslår at uberettigete endringer av data straffes etter et eget straffebud om datamodifikasjon, jf. utkastet § 7 og NOU 2007: 2 side 81-82. «Data» er definert i utkastet § 1 som «enhver representasjon av informasjon som lagres eller behandles av et datasystem eller som overføres i elektronisk kommunikasjonsnett.» I tillegg foreslås et eget straffebud om såkalt driftshindring som setter straff for den som uberettiget overfører data under slike omstendigheter at overføringen vesentlig hindrer eller er egnet til vesentlig å hindre driften av et datasystem eller elektronisk kommunikasjonsnett, jf. utkastet § 13 og NPU 2007: 2 side 82-84. Det samme skal i følge forslaget gjelde den som initierer dataoverføring som nevnt. På samme måte foreslås det straff for den som, på annen måte enn ved overføring av data, uberettiget begår en handling som er egnet til vesentlig å hindre driften av et datasystem eller elektronisk kommunikasjonsnett.
Straffen for datamodifikasjon foreslås satt til bot eller fengsel inntil tre år for ordinær overtredelse, fengsel inntil seks år for grov overtredelse, og bot eller fengsel inntil seks måneder for liten overtredelse. Straffen for driftshindring foreslås satt til bot eller fengsel inntil seks år for ordinær overtredelse, fengsel inntil ti år for grov overtredelse, og bot eller fengsel inntil ett år dersom overtredelsen er liten. Også grovt uaktsom datamodifikasjon og grovt uaktsom driftshindring foreslås kriminalisert, jf. utkastet § 17.
Bakgrunnen for utvalgets forslag om et eget straffebud mot datamodifikasjon er et ønske om å gi data et selvstendig vern mot skadevoldende handlinger.
Forslaget til bestemmelse om driftshindring begrunnes med at tjenestenekt og overbelastningsangrep kan sette et datasystem ut av drift over lengre tid, hvis det først gjennomføres målrettet og presist. Effekten av slike angrep kan være særdeles skadelig og påføre innehaveren av datasystemet store tap. Etter utvalgets oppfatning begrunner risikoen for store skadevirkninger også en særlig høy strafferamme. I tillegg bør det være tilstrekkelig at det er begått en handling som er egnet til å forårsake driftshindring. Tanken er at eventuelle beskyttelsestiltak iverksatt av innehaveren av systemet, ikke bør få betydning for straffeskylden. Utvalget erkjenner at straffeloven 1902 § 291 om skadeverk, som foreslås videreført i straffeloven 2005, i all hovedsak fanger opp tilfellene som er ment å være omfattet av forslaget, men ser likevel grunn til å foreslå et eget straffebud om driftshindring.
2.15.4 Høringsinstansens syn
2.15.4.1 Datamodifikasjon («dataskadeverk»)
Bare Nasjonal sikkerhetsmyndighet har uttalt seg om Straffelovkommisjonens skisse til bestemmelser om skadeverk på elektronisk lagret informasjon. Høringsinstansen støtter en egen straffebestemmelse om dette, og viser til at en egen skadeverkbestemmelse vil redusere faren for feiltolkninger og ha stor pedagogisk verdi. Nasjonal sikkerhetsmyndighet er imidlertid skeptisk til å skille mellom informasjon som er under overføring og informasjon som er lagret, og viser til at det vil være teknisk vanskelig å avgjøre når informasjonen vil være omfattet og når den faller utenfor.
Når det gjelder Datakrimutvalgets utkast, mener Skattedirektoratet det bør fremgå eksplisitt av ordlyden at endring også omfatter tilføyelse. Norges Bank
«anser dette straffebudet som en viktig og nyttig utbygging av den strafferettslige beskyttelsen av våre databaserte systemer for oppgjør av betalinger. Disse er operativt sett plassert i tredjeparts - driftsleverandørens - datasentral. Kriminalisering av selve inngrepet i registrerte data for oppgjørstransaksjoner klargjør at dette er en selvstendig beskyttelsesverdig interesse, der Norges Bank som eier av data er den krenkede part.»
2.15.4.2 Driftshindring
Seks høringsinstanser har uttalt seg om Datakrimutvalgets utkast til § 13 om driftshindring. Forbrukerombudet, Elektronisk Forpost Norge (EFN) og Moss tingrett gir sin klare støtte til forslaget, selv om de har ulikt syn på den nærmere utformingen av bestemmelsen og på strafferammen. Forbrukerombudet uttaler:
«Vi har i dag en rekke tjenester som leveres via Internett som forbrukere er mer eller mindre avhengige av i hverdagen. Som eksempel kan nevnes nettbanker, offentlige tjenester som leveres via nettet og sending av e-post.
For å motvirke at slike tjenester rammes av tjenestenektangrep som gjør dem utilgjengelige for kortere eller lengre perioder, er det viktig å gjøre det straffbart å iverksette angrep mot datasystemer eller elektroniske kommunikasjonsnett som kan utgjøre driftshindring.»
Moss tingrett uttaler at de handlingsformer som bør rammes av bestemmelsen er beskrevet i datakrimkonvensjonen artikkel 5, og helt eller delvis bør inntas i straffebestemmelsen.
Skattedirektoratet og Havforskningsinstituttet etterlyser en tydeligere avgrensning av hva som faller innenfor straffebudet. Havforskningsinstituttet mener dessuten at utvalget ikke fører en overbevisende begrunnelse for hvorfor strafferammen er høyere for denne typen overtredelser enn for flere av de øvrige forslagene. Også EFN reiser spørsmål ved de høye strafferammene, og sammenligner med utkastet § 12 som regulerer overtredelser som kan forårsake like stor skade, men som har en lavere strafferamme.
2.15.5 Departementets vurdering
2.15.5.1 Dataskadeverk
Endring og sletting av data rammer dataenes integritet - dataene har ikke lenger det innhold eieren eller den berettigete brukeren har gitt dem. Dersom eieren og brukeren ikke kan stole på dataenes innhold, rammer det igjen datasystemets pålitelighet. I dagens samfunn, hvor store mengder data og informasjon kun finnes elektronisk, er det vesentlig at man kan stole på dataenes og informasjonens integritet.
Departementet er enig med Straffelovkommisjonen og Datakrimutvalget i at straffansvaret for uberettiget endring mv. av data bør klargjøres. Som uttrykt av Straffelovkommisjonen er det «mindre tilfredsstillende at man ved spørsmålet om straffbarheten av slike handlinger må basere seg på en tolking av den alminnelige skadeverkbestemmelsen som etter ordlyden slett ikke er åpenbar» (delutredning VII side 325). Også Høyesterett ga i Rt. 2004 s. 1619 uttrykk for at det ville være hensiktsmessig med lovregler spesielt utformet med tanke på datarelaterte overtredelser.
Departementet mener imidlertid at klargjøringen bør skje i den alminnelige skadeverkbestemmelsen, se lovforslaget § 351 annet ledd. Departementet er som nevnt av den oppfatning at datakriminalitet bør behandles på lik linje med andre straffbare handlinger. Selv om midlet til å utføre straffbare handlinger eller målet for den straffbare handlingen er annerledes her enn ved andre lovovertredelser, er ikke det i seg selv tilstrekkelig til å begrunne særbehandling. Det sentrale ved et skadeverk, enten objektet er en gjenstand eller data, er ubrukeliggjøringen eller forringelsen handlingen medfører for eieren eller den berettigede. Dette gjenspeiles i gjerningsbeskrivelsene for både skadeverk på gjenstander og på data. Begrepet skadeverk er etter departementets vurdering informativt og dekkende også for uberettigede endringer mv. av data. Departementet er dessuten, i likhet med Straffelovkommisjonen, av den oppfatning at strafferammene for skadeverk på gjenstander og på data bør være de samme. Fortsatt regulering i den alminnelige skadeverkbestemmelsen vil for øvrig samsvare med ordningen i Danmark og Finland.
Departementet foreslår at skadeverk på data skal omfatte det å endre, gjøre tilføyelser til, ødelegge, slette eller skjule andres data. Formuleringen innebærer ikke realitetsendringer i forhold til gjeldende rett.
Det fremgår av utvalgets bruk av begrepet «data» i utkastet § 7 sammenholdt med definisjonen av «data» i utkastet § 1 at utvalget går inn for at det strafferettslige vernet mot uberettigede endringer av data også skal omfatte data under overføring. Forslagets rekkevidde på dette punkt kan ikke ses å være drøftet eller eksemplifisert nærmere i utredningen og er heller ikke berørt i særlig grad under høringen. Straffelovkommisjonen avgrenset som nevnt ovenfor sitt forslag til bestemmelser om skadeverk på elektronisk informasjon til å omfatte lagret informasjon, med henvisning til at en utvidelse til vern også om informasjon under overføring ble ansett å reise særlige problemer. Nasjonal sikkerhetsmyndighet var skeptisk til denne avgrensningen, og henviste i sin høringsuttalelse den gang til at det kunne være vanskelig å avgjøre hva slags informasjon som ville være omfattet.
Integritetshensynet tilsier som utgangspunkt at også data under overføring gis strafferettslig beskyttelse mot uberettigede endringer. Også hensynet til tilliten til elektroniske kommunikasjonsmidler tilsier at data under overføring vernes. Endrer man destinasjonskontonummer for en betaling, bør det ikke være avgjørende for straffansvaret om nummeret er lagret på en datamaskin eller er under overføring mellom to maskiner. Så langt departementet har brakt på det rene, vil det ved overføring på datanettverk, som internett, ikke være mulig for brukeren å vite om dataene overføres via radio eller fast linje. Det samme gjelder telefon. I mange tilfeller vil dataene gå på faste linjer deler av strekningen og via radiokommunikasjon på andre. Forsettlige forstyrrelser i signalstrømmen av data under overføring er en skade som derfor bør være straffbar på lik linje med skade på lagrede data. Departementet kan ikke se avgjørende innvendinger mot en slik løsning. Også i svensk rett har «uppgift som är avsedd för automatiserad behandling» og som er under overføring, samme vern som lagrede opplysninger. Det er videre antatt at bestemmelsen om datainnbrudd kan anvendes også på endring eller sletting av opplysninger som overføres via radio, selv om selve innbruddet i opplysninger som radiooverføres ikke kan straffes på grunn av et prinsipp om at eteren er fri.
Departementet går etter dette inn for at data under overføring gis samme vern som lagrede opplysninger, også i forhold til bestemmelsen om dataskadeverk.
2.15.5.2 Driftshindring («systemskadeverk»)
Departementet har tidligere vurdert det slik at skadeverkbestemmelsene i straffeloven 1902 oppfyller våre internasjonale forpliktelser, jf. punkt 2.15.1. Handlinger som gjør datasystemer utilgjengelige vil normalt omfattes av den alminnelige skadeverkbestemmelsen som foreslås videreført i straffeloven 2005, jf. forslaget § 351. Departementet ser derfor ikke grunn til å innføre en egen bestemmelse om driftshindring som allerede dekkes av den alminnelige skadeverkbestemmelsen. Det harmonerer også best med departementets utgangspunkt ikke å skille ut driftshindring i en egen straffebestemmelse, se punkt 2.3.1.2. Departementet ser imidlertid et behov for å supplere den alminnelige skadeverkbestemmelsen med en straffebestemmelse som retter seg mot å volde fare for driftshindring, jf. forslaget til § 206, som rammer den som «ved å overføre, skade, slette, forringe, endre, tilføye eller fjerne informasjon uberettiget volder fare for avbrudd eller vesentlig hindring av driften av et datasystem».
Ifølge utvalgets utkast § 13 er det to vernede objekter; datasystem og elektronisk kommunikasjonsnett. Departementet mener det er tilstrekkelig å vise til «datasystem». Så langt departementet har brakt på det rene, kan det ses slik at når et datasystems kapasitet forbrukes på å håndtere angrepet utenfra, kan det rent teknisk også beskrives slik at det eksterne angrepet forbruker hele båndbredden inn til systemet. Siden formålet med et slikt angrep er å sette datasystemet ut av drift med tanke på den tjeneste eller det publikum den er ment å betjene, er det datasystemet som er rammet. Det gjelder enten angrepet er innrettet slik at datasystemet rammes direkte, eller indirekte ved at båndbredden er oppbrukt.
Utvalget beskriver driftstans som en svært alvorlig hendelse som kan ha store økonomiske konsekvenser. Driftshindring er skade av midlertidig karakter, men slike angrep kan gjennomføres målrettet og presist med den følge at de gjenopptas straks det angrepne systemet er satt i drift igjen. På den måten kan datasystemet som angripes settes ut av drift over lengre tid. På den bakgrunn, og som følge av vilkåret om at driftstansen må være vesentlig, er departementet enig med utvalget i at det ikke bør være avgjørende om driftshindring faktisk ble resultatet av handlingen. Det er liten grunn til å akseptere slik atferd, og et straffebud kan virke holdningskapende. Departementet går derfor inn for at også handlinger som «volder fare» for vesentlig driftshindring bør kriminaliseres. Det betyr at det ikke skal ha betydning for straffansvaret om innehaveren av datasystemet klarer å iverksette tilstrekkelige beskyttelsestiltak.
Utvalget foreslår å kriminalisere initiering av dataoverføring som kan føre til vesentlig driftshindring, og begrunner det med at overbelastningsangrep kan utføres ved å gi instrukser til et dataprogram om å iverksette et angrep på et gitt tidspunkt i fremtiden. Den straffbare handlingen skal anses fullbyrdet allerede når angrepet er tilrettelagt og automatisk vil bli utført, selv om angrepet senere blir forhindret. Departementet ser at den initiering av dataoverføring som utvalget beskriver kan føre til skade, og at handlingen vanskelig kan forveksles med forberedelse til lovlige gjøremål. Det gjør kriminalisering mindre betenkelig. På den annen side antar departementet at straffverdig initiering normalt vil overskride grensen for hva som vil regnes som forsøk på handling som «volder fare» for vesentlig driftshindring, og av den grunn er straffbar. I de tilfellene der vilkårene for forsøk ikke er oppfylt, er spørsmålet om det er særskilt behov for ytterligere kriminalisering. Departementet ser ikke tilstrekkelig tungtveiende grunner for å kriminalisere denne typen forberedelseshandlinger nå, men vil vurdere spørsmålet på nytt dersom utviklingen tilsier det. Departementet er også blitt stående ved ikke å foreslå straff for grovt uaktsomt skadeverk selv om skadeverket er forvoldt på et datasystem.
Sammenlignet med de øvrige forslagene til strafferammer i straffeloven 2005 og sett hen til grunnkravet om at handlingen representerer en fare for «avbrudd eller vesentlig hindring» av driften av et datasystem, synes straff av bot eller fengsel inntil to år å være passende.
2.16 Strafferettslig vern av data og informasjon
2.16.1 Gjeldende rett
Selve tilegnelsen av data og databasert informasjon har ikke noe generelt strafferettslig vern i dag. Straffeloven 1902 § 145 annet ledd om datainnbrudd rammer den uberettigete adgang til data, herunder maskinlesbar informasjon om personlige, tekniske eller økonomiske forhold, uavhengig av om informasjonen i neste omgang tilegnes. Tredje ledd skjerper imidlertid straffen for brevbrudd mv. (første ledd) og datainnbrudd (annet ledd) dersom det voldes skade ved erverv eller bruk av kunnskap som er oppnådd ved brev- eller datainnbruddet, eller dersom lovbruddet er begått i vinnings hensikt. Straffskjerpingsregelen innebærer et visst selvstendig vern mot uberettiget bruk av informasjon som er fremskaffet ved brev- eller datainnbrudd.
Straffelovens datainnbruddsbestemmelse suppleres av straffeloven1902 § 262 annet ledd og åndsverkloven § 53 a første ledd, jf. § 54 første ledd bokstav b, som setter straff for uberettiget adgang til henholdsvis vernede tjenester og vernede verk, jf. ovenfor under punkt 2.11.1. Uberettiget tilegnelse vil ofte være en følge av uberettiget tilgang, og tilegnelsen har derfor et indirekte vern etter nevnte bestemmelser. Slik tilegnelse vil også kunne være en følge av ulovlig bruk av eksempelvis et datasystem, jf. straffeloven 1902 §§ 261 og 393 (se blant annet punkt 2.13), og er følgelig indirekte vernet også etter disse bestemmelsene.
Heller ikke tilegnelse av informasjon som ikke er databasert er straffbar, med mindre det er snakk om informasjon som er vernet av særlige regler, se nedenfor.
Tyveribestemmelsen i straffeloven 1902 § 257 rammer ikke tilegnelse av data eller informasjon som sådan, fordi data og databasert informasjon ikke anses som en «gjenstand.» Fordi slik tilegnelse normalt heller ikke innebærer at dataene eller informasjonen fjernes fra fornærmede, men typisk kun leses eller kopieres, gjør også vilkåret om at gjenstanden må borttas at tyveribestemmelsen ikke kan anvendes på tilegnelse av data og databasert informasjon. Borttas en papirutskrift av dataene eller informasjonen, kan dette riktignok anses som tyveri. Det som utgjør skaden eller fare for skade for fornærmede er imidlertid selve tilegnelsen av informasjonen/dataene, ikke tyveriet av papiret. Å straffe handlingen som tyveri er derfor lite treffende for det som utgjør skaden for fornærmede.
Enkelte tilfeller av tilegnelse av data og informasjon kan rammes som utroskap , straffeloven 1902 § 275. Anvendelse av utroskapsbestemmelsen forutsetter imidlertid at det er en nær forbindelse mellom gjerningspersonen og fornærmede, typisk i form av at gjerningspersonen har en ledende stilling hos fornærmede.
Dersom den tilegnede informasjonen er en bedriftshemmelighet og gjerningspersonen enten selv gjør bruk av den eller setter andre i stand til å gjøre bruk av den, kan forholdet rammes av straffeloven 1902 § 294 nr. 2 og 3. Straffeloven 1902 § 405 a rammer videre den som på en urimelig måte skaffer seg eller søker å skaffe seg kunnskap om eller rådighet over en bedriftshemmelighet. Også markedsføringsloven 16. juni 1972 nr. 47 § 7, jf. § 17 setter straff for den som rettsstridig utnytter bedriftshemmelighet. For en mer inngående beskrivelse av gjeldende rett, se punkt 2.20.1.
Personopplysningsloven verner opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven § 2 nr. 1. Lovens straffebestemmelse, § 48, rammer ulike former for befatning med slike opplysninger i strid med loven.
Gjeldende straffelovgivning har ingen særlig regel om etterfølgende befatning med data og databasert informasjon som er utbytte av en straffbar handling. Slik befatning kan imidlertid rammes av heleri- og hvitvaskingsbestemmelsen i straffeloven 1902 § 317. Utbyttebegrepet er vidt og omfatter også data og informasjon som stammer fra en straffbar handling. Bestemmelsen rammer imidlertid ikke etterfølgende uberettiget bruk av informasjon som vedkommende har fått lovlig tilgang til.
Også straffeloven 1902 § 390 om krenking av privatlivets fred kan ha en side mot vern av informasjon, om enn på en indirekte måte. En offentlig meddelelse om personlige eller huslige forhold innebærer en formidling av informasjon. Den informasjon som rammes av § 390 nyter således et indirekte vern. Gjeldende bestemmelser om brudd på taushetsplikt (se om dette under punkt 2.19.1), for eksempel i straffeloven 1902 og i forvaltningsloven, kan også sies å oppstille et indirekte vern mot videreformidling/spredning av informasjon, hvor selve tilegnelsen av informasjonen er lovlig.
2.16.2 Folkerettslige forpliktelser, andre nordiske lands rett
Datakrimkonvensjonen stiller ikke krav om å kriminalisere selve tilegnelsen av elektroniske data. Konvensjonen inneholder heller ingen forpliktelse til å kriminalisere etterfølgende befatning med utbytte av straffbare handlinger relatert til data og datasystemer. FN-konvensjonen mot korrupsjon pålegger derimot en plikt til å kriminalisere hvitvasking av utbytte fra en straffbar handling, herunder hvitvasking av utbytte fra en straffbar handling man selv har begått («self-laundering»), se artikkel 23 og 24. FN-konvensjonen og plikten til å kriminalisere hvitvasking er nærmere beskrevet i Ot.prp. nr. 53 (2005-2006) side 19-20.
Dansk straffelov § 264 c gir blant annet bestemmelsen som rammer datainnbrudd, § 263 stk. 2 (se punkt 2.11.1), tilsvarende anvendelse på den som uten å ha medvirket til gjerningen skaffer seg eller uberettiget utnytter opplysninger som er fremkommet ved overtredelsen. Det er antatt at regelens viktigste anvendelsesområde er ervervsspionasje og journalisters offentliggjøring av opplysninger, se Greve/Jensen/Toftegaard Nielsen: Kommenteret straffelov. Speciel del. (København 2005) side 386.
I svensk rett finnes ingen tilsvarende bestemmelse.
Heller ikke i finsk rett er bruk av informasjon som anskaffes gjennom datainnbrudd (dataintrång) i seg selv kriminalisert. Handlingen kan imidlertid rammes av andre bestemmelser som bedriftsspionasje (företagsspioneri), krenking av kommunikasjonshemmelighet eller hvitvasking. Såkalt selvvask er ikke straffbar.
2.16.3 Straffelovkommisjonens skisse, Datakrimutvalgets forslag
Straffelovkommisjonen foreslår ikke noe generelt straffebud til vern av data og informasjon. Straffeloven 1902 § 294 nr. 2 og 3 og § 405 a om bedriftshemmelighet foreslås i hovedsak videreført i kapitlet om vern av informasjon og informasjonsutveksling, jf. skissen til § 23-6. Se for øvrig omtalen under punkt 2.20.3.
Datakrimutvalget foreslår egne bestemmelser om henholdsvis informasjonstyveri og datatyveri, jf. utkastet §§ 5 og 6. Forslaget er nærmere omtalt på side 70-73 i utredningen. Om bakgrunnen for forslagene til tyveribestemmelser uttaler utvalget på side 26:
«Urettmessig kopiering av data representerer en alvorlig trussel. Ettersom kopiering ikke medfører noen endring av dataene slik de ligger lagret på originalsystemet, er kopiering i seg selv en handling som medfører liten oppdagelsesrisiko. Dataene, og informasjonen de representerer, kan imidlertid ha stor verdi, og urettmessig utnyttelse kan få store konsekvenser. Man kan for eksempel tjene betydelige beløp på å kjenne til regnskapstall i børsnoterte selskaper før de foreligger offentlig. Informasjon om politiske beslutninger, for eksempel et statsbudsjett, er også eksempel på informasjon som potensielt har meget stor verdi før den er offentliggjort.»
Utkastet § 5 er ment å gi et generelt vern om databasert informasjon ved å sette straff for uberettiget tilegnelse av databasert informasjon, det vil si meningsinnholdet i data (jf. utkastet § 1 bokstav d), uavhengig av karakteren av innholdet. Tilegnelsen kan eksempelvis skje ved avlesing av et skjermbilde (tyveri av lagret informasjon) eller ved å se eller lytte til en kommunikasjonsstrøm (tyveri av data som overføres). Utkastet § 6 rammer uberettiget kopiering, overføring eller tilegnelse på annen måte av data, definert i utkastet § 1 som enhver representasjon av informasjon som lagres eller behandles av et datasystem eller som overføres i elektronisk kommunikasjonsnett. Rettsstriden forutsettes avgjort «på grunnlag av en totalvurdering av situasjonen og de aktuelle regler og retningslinjer som kan være relevant i en slik situasjon», se Datakrimutvalgets delutredning II side 153.
Datakrimutvalget foreslår i tillegg en spesialregel for etterfølgende befatning med ulovlig tilegnet data og databasert informasjon, jf. utkastet § 9. Det foreslås at bestemmelsen skal ramme den som uberettiget benytter, avhender eller tilgjengeliggjør data eller databasert informasjon som er utbytte av en handling som er straffbar etter utvalgets utkast til kapittel om datakriminalitet. Bestemmelsen er ment å supplere og presisere straffeloven 1902 § 317 om heleri for å gi klar hjemmel for straff i tilfeller hvor rekkevidden av den er tvilsom. Utvalget nevner som eksempel handlinger som ikke er såkalte sikringshandlinger, men som bærer preg av å være endelig disponering, utnyttelse eller forbruk av ulovlig tilegnet data eller informasjon. Behovet for en eksplisitt straffehjemmel begrunnes med den store økonomiske verdien av utbytte i form av data og databasert informasjon. Straffeloven § 317 skal imidlertid fortsatt være hovedregelen for heleri og hvitvasking av data og databasert informasjon.
Utkastet §§ 5, 6 og 9 er samlet sett ment å styrke det strafferettslige vernet om data og databasert informasjon slik at det kommer på linje med vernet for løsøregjenstander.
Både for overtredelse av utkastet §§ 5, 6 og 9 foreslås en straff av bot eller fengsel inntil tre år for ordinær overtredelse. For grov og liten overtredelse foreslås straffen satt til henholdsvis fengsel inntil seks år og bot eller fengsel inntil seks måneder.
2.16.4 Høringsinstansenes syn
Ti høringsinstanser har kommentert Datakrimutvalgets forslag til bestemmelser om informasjons- og datatyveri. Flere av instansene fremholder at bruken av tyveribegrepet ikke er heldig, ettersom et sentralt element i tyveribegrepet er at tyvgodset borttas, noe som ikke er et straffbarhetsvilkår etter utkastet §§ 5 og 6. Flere instanser stiller også spørsmål ved om det er behov for begge bestemmelsene.
Skattedirektoratet mener det er uheldig at bestemmelsene er begrenset til elektronisk lagret informasjon. Det anføres at informasjonens verdi ikke er knyttet til lagringsformat. Direktoratet støtter for øvrig et strafferettslig vern mot kopiering av taushetsbelagt informasjon. Instansen mener dessuten at maskinell utnytting bør rammes av utkastet § 5.
Elektronisk Forpost Norge (EFN) mener også at bestemmelsene bør gjøres medienøytrale. Det vises til at det ofte er betydelige verdier knyttet til papirbasert informasjon, og slik informasjon bør derfor ikke behandles mildere strafferettslig enn databasert informasjon. EFN foreslår at det vurderes om endringene bør knyttes til gjeldende bestemmelser om informasjonskriminalitet, og nevner her vernet om bedriftshemmeligheter, taushetsbelagte opplysninger, markedsføringslovens vern og opphavsrettens vern.
Moss tingrett stiller spørsmål om ikke utkastet §§ 4-6 kan samles i én bestemmelse.
Oslo statsadvokatembeter fremholder at innholdet i utvalgets utkast §§ 5 og 6 enkelt og trolig mer hensiktsmessig kunne tas inn i den alminnelige tyveribestemmelsen. Det påpekes også at mangelen på krav om vinnings hensikt i gjerningsbeskrivelsen vil føre til en skjerping av straffansvaret i forhold til ordinært tyveri, særlig fordi vinning foreslås som et forhold som kan gjøre tyveriet grovt, og at ulikheten i skyldkrav vil skape et misforhold mellom tyveri av fysiske gjenstander og tyveri av databasert informasjon eller utskrift av databasert informasjon.
Fem høringsinstanser , Skattedirektoratet, Politidirektoratet, Oslo politidistrikt, Fiskeridirektoratet og Oslo statsadvokatembeter, har kommentert utkastet § 9. Fiskeridirektoratet støtter forslaget. Politidirektoratet mener også det er hensiktsmessig med en egen bestemmelse om befatning med denne typen utbytte, men stiller spørsmål ved om alle befatningsformer er dekket av den foreslåtte gjerningsbeskrivelsen. Oslo politidistrikt er usikker på behovet for bestemmelsen i tillegg til heleribestemmelsen. Det fremholdes at en slik spesialbestemmelse i så fall bør dekke alle tenkelige befatningsformer, herunder det å skjule, transportere eller oppbevare utbytte, slik at blant annet kjedeheleri rammes. Instansen stiller også spørsmål ved om bestemmelsen omfatter eller bør omfatte «self-laundering». Oslo statsadvokatembeter mener innholdet i bestemmelsen burde fremgå av den ordinære heleribestemmelsen. Skattedirektoratet mener det er vanskelig å se på hvilken måte utkastet favner videre enn straffeloven 1902 § 317, og kan derfor ikke ta stilling til om utvidelsen er fornuftig.
2.16.5 Departementets vurdering
Ved oppfølgingen av Datakrimutvalgets delutredning I i Ot.prp. nr. 40 (2004-2005) ga departementet uttrykk for at det var grunn til å vurdere nærmere om vernet av informasjon burde styrkes (proposisjonen side 14):
«I lys av høringen er det etter departementets syn naturlig å se spørsmålet om å endre straffeloven §145 annet ledd i sammenheng med reglene om uberettiget tilegnelse av informasjon, selv om disse regelsettene retter seg mot ulike stadier av et hendelsesforløp og heller ikke fullt ut varetar de samme hensyn. Ulike former for « informasjonstyveri « synes å utgjøre et økende samfunnsmessig problem, som det kan være grunn til å møte med nye lovtiltak. På bakgrunn av særlig ØKOKRIMs høringsuttalelse, som får støtte av Politidirektoratet, ser departementet et klart behov for å utrede nærmere om data i dag har et for svakt strafferettslig vern sammenlignet med for eksempel vernet mot tyveri av fysiske gjenstander. Å vurdere dette og eventuelt utforme en helt ny bestemmelse som rammer urettmessig tilegnelse av informasjon, slik ØKOKRIM foreslår, er imidlertid en oppgave av en slik art at det er naturlig å la den gå inn i Datakrimutvalgets videre arbeid. Det synes med andre ord som om reformbehovet innenfor dette feltet strekker seg utover en eventuell endring av straffeloven § 145 annet leddslik som skissert i høringsbrevet.»
Datakrimutvalgets forslag til bestemmelser om informasjons- og datatyveri og om etterfølgende befatning med ulovlig tilegnet data og databasert informasjon, følger opp departementets uttalelser. I tråd med utvalgets mandat er bestemmelsene begrenset til å gjelde vern om data og databasert informasjon. Slik utkastet §§ 5, 6 og 9 er utformet, vil data og databasert informasjon gis et sterkere vern enn informasjon som ikke har en slik teknisk forankring.
Spørsmålet departementet må ta stilling til, er om gjeldende bestemmelser - som i all hovedsak videreføres i straffeloven 2005 - (se beskrivelsen av gjeldende rett i punkt 2.16.1) gir et tilfredsstillende vern om informasjon, eller om det er behov for å styrke vernet gjennom en egen bestemmelse i straffeloven 2005.
Departementet har vært i tvil om det er tilstrekkelig behov for å styrke det strafferettslige vern mot handlinger som følger i etterkant av datainnbrudd eller i forlengelsen av ulovlig bruk av datasystem. Departementet ser ikke som utvalget grunn til å kriminalisere den uberettigete tilegnelsen i tillegg til den uberettigete tilgangen (forslaget § 204). En altfor omfattende kriminalisering av flere handlinger som overlapper hverandre, har lite for seg. Selv om de alminnelige bestemmelsene om utroskap, krenkelse av bedrifts- og forretningshemmelighet, brudd på taushetsplikt osv. (jf. ovenfor i punkt 2.16.1) ikke retter seg direkte mot vern av informasjon, nyter likevel informasjonen et indirekte vern ved disse bestemmelsene. Departementet er derfor ikke overbevist om at det er behov for et eget straffebud om tilegnelse av informasjon ved siden av allerede gjeldende bestemmelser (som i hovedsak videreføres i straffeloven 2005). Det kan også reises spørsmål ved om utvalgets sondring mellom uberettiget tilgang (innbrudd) og tilegnelse (tyveri), er hensiktsmessig. Også grensedragningen mellom tilegnelse av data og tilegnelse av informasjon, synes nokså subtil, i hvert fall når man som departementet uansett ikke ser grunn til å straffe tilegnelse av data og informasjon ved sansebruk alene (utvalgets utkast § 5 første ledd bokstav a). Den tilegnelsen som skjer ved lesing av data eller informasjon på en skjerm eller ved direkte avlytting eller avlesing av en samtale eller annen form for kommunikasjon - beskrevet av Datakrimutvalget som tilegnelse ved sansebruk - vil ofte være nær knyttet til straffbar ulovlig tilgang, og bør konsumeres av innbruddsbestemmelsene. Det antas at det ofte vil være vanskelig å føre tilstrekkelig bevis for at gjerningspersonen ikke bare har skaffet seg tilgang til et datasystem, men også har skaffet seg kunnskap om innholdet. I tillegg kommer at ytterligere skade utover den skaden som datainnbruddet forårsaker, ofte først oppstår dersom dataene eller informasjonen senere utnyttes. Datakrimutvalgets sondring mellom tilegnelse av data og tilegnelse av informasjon følges derfor ikke opp.
Departementet har også vurdert om det er grunn til å foreslå en egen bestemmelse om etterfølgende bruk av informasjon som er fremskaffet ved en straffbar handling. Det må antas at det er spredningen av opplysningene som er ervervet på ulovlig vis som fører til størst tap eller skade for fornærmede, og som tydelig får frem den økte straffverdigheten ved siden av den uberettigete tilgangen. Tilegnelse av informasjon fremskaffet ved et datainnbrudd må, som nevnt, anses konsumert av lovforslaget § 204. For øvrig kan eksempelvis utroskapsbestemmelsen, bestemmelsene om krenkelse av bedrifts- eller forretningshemmelighet og bestemmelsen om brudd på taushetsplikt tenkes å få anvendelse. Heleri- og hvitvaskingsbestemmelsen (som i all hovedsak videreføres i §§ 332 og 337 første ledd bokstav a og b i straffeloven 2005) vil allerede kunne ramme mange tilfeller av etterfølgende bruk av informasjon som er utbytte fra en straffbar handling. Departementet ser betenkeligheter ved å utvide straffansvaret ytterligere. Den største knytter seg til faren for å innskrenke journalisters frihet til bruk av informasjon i sin samfunnskritiske journalistikk. Selv om det tas inn en rettsstridsreservasjon i bestemmelsen, vil den likevel være egnet til å skape usikkerhet om hvor stor handlefrihet pressen har til å utøve sin rolle som samfunnskritiker. Denne usikkerheten kan begrense pressen i å utøve en sentral og viktig samfunnsoppgave, og det er ikke ønskelig. Departementet går derfor ikke inn for en bestemmelse som verner etterfølgende bruk av eller disponering over ulovlig fremskaffet informasjon. Dersom det skulle vise seg å bli et problem at bestemmelsen om heleri ikke oppstiller et vidtrekkende nok straffansvar for heleri av informasjon, bør det vurderes å foreslå endringer i denne bestemmelsen.
2.17 Søppelpost
2.17.1 Innledning
Spam, eller søppelpost som er betegnelsen departementet velger å bruke her, kan kort og noe ufullstendig beskrives som meldinger som overføres via elektronisk kommunikasjon og som mottakeren verken har bedt om eller gitt sitt forhåndssamtykke til. En forsendelse av søppelpost utgjør gjerne et stort volum idet hver melding blir sendt til mange mottakere på en gang. En stor andel av søppelposten sendes som ledd i kommersiell markedsføring, og knyttes også til ulovlig virksomhet som for eksempel piratomsetning av programvare, film og musikk, jf. Datakrimutvalgets utredning side 36 flg.
2.17.2 Gjeldende rett
Straffeloven 1902 har ingen bestemmelse om søppelpost. Etter markedsføringsloven 16. juni 1972 nr. 47 § 2 b er det forbudt å rette markedsføringshenvendelser i næringsvirksomhet til fysiske personer ved hjelp av elektroniske kommunikasjonsmetoder som tillater individuell kommunikasjon, uten at det er innhentet samtykke på forhånd. Overtredelse av bestemmelsen vil kunne føre til forbudsvedtak med tvangsgebyr, jf. § 16. Etter § 17 kan overtredelse også straffes med bot og/eller fengsel inntil seks måneder.
Lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven) inneholder ingen regler rettet mot utsendere av søppelpost. Loven har imidlertid regler som innebærer at tilbyderne av elektroniske kommunikasjonsnett og -tjenester kan pålegges å sette i verk tiltak for å sikre kvalitet og tilgjengelighet, jf. § 2-3.
Ved utsending av søppelpost til enkeltpersoner vil gjerne et rettslig grunnlag for innsamling av e-postadresselistene mangle. Innsamling og lagring eller bruk av enkeltpersoners e-postadresser uten behandlingsgrunnlag, vil være i strid med personopplysningsloven § 8.
2.17.3 Folkerettslige forpliktelser, andre nordiske lands rett
Datakrimkonvensjonen stiller ikke krav om kriminalisering av utsending av søppelpost. Markedsføringsloven § 2 b gjennomfører imidlertid rådsdirektiv 2002/58/EF om behandling av personopplysninger og personvern i sektoren for elektronisk kommunikasjon artikkel 13.
Sverige og Danmark har bestemmelser som i hovedsak svarer til markedsføringsloven § 2 b. Forbudet er begrenset til reklame som sendes av næringsdrivende til privatpersoner. Også Finland har bestemmelser som langt på vei svarer til de øvrige nordiske land.
2.17.4 Datakrimutvalgets forslag
Datakrimutvalget går inn for en generell bestemmelse som gjør det straffbart å sende elektroniske meldinger som ledd i masseutsending til mottakere som ikke har samtykket. Det er ikke satt vilkår om hvem som er mottaker eller i hvilken sammenheng meldingene er sendt. Forslaget er ment å erstatte og utvide straffebestemmelsen i gjeldende markedsføringslov § 2 b. På ett punkt rekker forslaget kortere enn gjeldende bestemmelser: Det er ikke tilstrekkelig med utsending av én melding. Det må foreligge en «masseutsendelse». Utvalget går ikke inn på hvor mange meldinger som skal til for at kravet skal anses oppfylt, men viser til at det skal bero på en totalvurdering.
Som begrunnelse for forslaget peker Datakrimutvalget på at problemene med søppelpost er så omfattende og veldokumentert at det er behov for en egen straffebestemmelse. Søppelpost går ut over sikkerheten ved kommunikasjonstjenestene og kan på sikt undergrave effektiviteten. Skadevirkningene av søppelpost gjør seg gjeldende generelt, uavhengig av hvem som er avsender eller mottaker og uavhengig av formålet med meldingen. Gjeldende bestemmelser anses ikke av utvalget som tilstrekkelige.
2.17.5 Høringsinstansenes syn
Femten høringsinstanser har uttalt seg om forslaget. De fleste er enige om at søppelpost utgjør et stort praktisk problem, men de er delt i synet på om utvalgets forslag til straffebestemmelse er hensiktsmessig.
Fire høringsinstanser gir uttrykk for at de støtter eller er positive til forslaget. Det gjelder Politidirektoratet, Kripos, Moss tingrett og Skattedirektoratet. I den grad høringsinstansene begrunner sitt syn, viser de stort sett til de samme argumentene som utvalget. Politidirektoratet og Kripos mener skyldkravet bør senkes fra forsett til grov uaktsomhet av bevismessige grunner. Moss tingrett mener nærheten til markedsføringsloven tilsier at bestemmelsen inntas der.
Næringslivets sikkerhetsråd (NSR) synes også å være positiv, men peker på at kriminalisering alene ikke er nok. Instansen viser til at bekjempelse av problemet krever bevissthet hos dem som bruker datasystemene.
Flere av instansene gir ikke direkte uttrykk for om de er for eller imot utkastet, men er kritiske til utformingen av bestemmelsen:
Post- og teletilsynet mener blant annet at bruk av begrepet «elektroniske meldinger» er upresist, og at begrepet «elektronisk post» som benyttes i markedsføringsloven er mer dekkende. Elektronisk Forpost Norge (EFN) mener definisjonen av masseutsendelse er for vid, og viser til at forbudet mot masseutsendelser kan komme i konflikt med ytringsfriheten. Norsk senter for menneskerettigheter gjør blant annet departementet oppmerksom på at utkastet kan føre til uønsket og kanskje urettmessig overvåking av enkeltpersoner. Havforskningsinstituttet mener det bør defineres en nedre grense for hva som skal regnes som en masseutsendelse.
Forbrukerombudet og Nærings- og handelsdepartementet (NHD) går klart imot forslaget til ny straffebestemmelse. Forbrukerombudet, som fører tilsyn med markedsføringsloven § 2 b, oppsummerer sitt syn slik:
«Alt i alt synes Datakrimutvalgets forslag om å overføre spamforbudet fullt og helt til straffeloven å være lite gjennomarbeidet. Det er etter mitt syn så store negative konsekvenser ved utvalgets forslag til § 14, at jeg på det sterkeste vil fraråde departementet å fremme dette forslaget.
Jeg vil poengtere at jeg med dette ikke avviser at det er behov for å utvide spam-forbudet vi finner i markedsføringsloven i dag, slik Datakrimutvalget argumenterer for. Det er klart at det også er mange næringsdrivende som er plaget av spam til sine e-postmottak og telefakser. Et ønske om å verne denne gruppen mot spam, bør imidlertid ikke medføre at man i praksis reduserer beskyttelsen for alle privatpersoner. Ønsker man å gjøre det ulovlig å sende spam til næringsdrivende, eller å masseutsende andre typer ytringer enn markedsføringshenvendelser, bør det derfor vedtas egne bestemmelser om dette, som kommer i tillegg til forbudet i dagens § 2b i markedsføringsloven.
Hvor i lovgivningen en bestemmelse som supplerer markedsføringsloven § 2b bør plasseres, er et vanskelig spørsmål. Ut fra det jeg har sagt over, mener jeg i utgangspunktet at det ikke er hensiktsmessig å plassere dette i straffeloven. Et mulig alternativ kan være å plassere en slik bestemmelse i ekomlovgivningen med Post- og Teletilsynet som håndhevende myndighet, og med en aktiv rolle for internettleverandøren for å begrense og gripe inn med privatrettslige virkemidler overfor dem som overtrer bestemmelsen.»
NHD peker på at forslaget vil medføre at nærmest enhver markedsføringshenvendelse som skjer elektronisk gjøres straffbar, bortsett fra i de tilfellene der det foreligger samtykke. Det anføres at dette vil sette elektronisk kommunikasjon i en særstilling i forhold til papirbasert kommunikasjon, og departementet er derfor skeptisk til forslaget. NHD ønsker heller at det innføres en reservasjonsordning (såkalt opt-out) for juridiske personer og at et effektivt sanksjonssystem heller bør settes inn mot dem som ikke overholder reservasjonsregistrene.
Også andre høringsinstanser er negative til forslaget, herunder riksadvokaten, Oslo statsadvokatembeter og Fornyings- og administrasjonsdepartementet (FAD).Riksadvokaten mener det er vanskelig å tenke seg at en bestemmelse som i utkastet § 14 av ressursmessige grunner vil bli strafforfulgt, og at det i seg selv er en tungtveiende innvending mot bestemmelsen. Oslo statsadvokatembeter viser til at overtredelsene ofte har klare internasjonale aspekter. Instansen mener det mangler straffeprosessuelle effektive virkemidler for å avdekke utsendere av søppelpost på rutinemessig grunnlag. Selv om FAD i utgangspunktet er positiv til en egen bestemmelse om søppelpost, mener også denne instansen at straffebestemmelsen vil ha begrenset virkning på grunn av sin grenseoverskridende karakter.
Barne- og likestillingsdepartementet (BLD), som forvalter markedsføringsloven, er i og for seg ikke imot at det innføres et vidtrekkende forbud mot søppelpost i straffeloven, men forutsetter at innholdet i markedsføringsloven § 2 b ikke innsnevres eller flyttes på en måte som vil svekke dagens forbrukerbeskyttelse. Også BLD peker på at håndhevingen sannsynligvis vil blir svekket dersom straffebudet overføres til straffeloven. Departementet gjør videre gjeldende at utvalgets forslag strider mot Norges forpliktelser etter EØS-avtalen som ikke gir adgang til å snevre inn gjeldende forbud ved å stille krav om «masseutsendelse». Også på andre områder mener BLD at forslaget til straffebestemmelse bryter med rådsdirektiv 2002/58/EF.
2.17.6 Departementets vurdering
Departementet er kommet til at det per i dag ikke er grunn til å foreslå å innføre i straffeloven 2005 et straffebud mot søppelpost. Høringen viser at forbudet mot utsendelse av markedsføringshenvendelser til forbrukere fortsatt bør være regulert i markedsføringsloven. Departementets inntrykk er at Forbrukerombudet håndhever forbudet på en effektiv måte, og at ombudet har opparbeidet en verdifull erfaring på området. Å flytte bestemmelsen til straffeloven vil i denne sammenheng fremstå som lite hensiktsmessig, og dessuten samsvare dårlig med Sanksjonsutvalgets forslag om mindre bruk av straff (NOU 2003: 15). Departementet ønsker heller ikke å dele sanksjonene og håndhevingskompetansen mellom forvaltningen og påtalemyndigheten ved å innta et straffebud i straffeloven som utfyller og rekker lengre enn forbudet i markedsføringsloven. Det kan skape et systemproblem som er lite heldig.
Departementet er dessuten i tvil om behovet for og virkningen av en utvidelse av markedsføringsloven § 2 b. Bestemmelsen får anvendelse på en stor andel av søppelposten som sendes i Norge, også den som sendes til aktører i næringslivet. «Fysiske personer» omfatter også henvendelser til fysiske personers individuelle e-postadresser på arbeidsplassen, uansett om e-posten inneholder tilbud til virksomheten. Det er henvendelser til e-postadresser som ikke tilhører en fysisk person, som faller utenfor. Det er også tilgjengelig tekniske løsninger som i hvert fall i en viss utstrekning er egnet til å stanse søppelpost. På den annen side har departementet forståelse for at mange aktører i samfunnslivet opplever søppelpost som belastende og mener at dagens regler kommer til kort. Datakrimutvalget peker på at filtrene i en viss utstrekning også stanser meldinger som mottaker ønsker, og som skulle ha sluppet gjennom. Det er også alltid en viss fare for at utsendere av søppelpost over tid klarer å omgå de til enhver tid gjeldende sikkerhetssystemer og filtre. En utstrakt kriminalisering kan imidlertid fjerne oppmerksomheten fra andre løsninger som ikke innebærer bruk av straff, og som kan vise seg å være vel så effektive. Under høringen er for eksempel et forslag om et reservasjonsregister for næringsdrivende lansert. Departementet mener alternative løsninger bør utredes og prøves før man går til det skrittet å kriminalisere.
Departementet er dessuten enig med de høringsinstansene som reiser til dels sterk tvil om et utvidet straffebud mot søppelpost kan forventes å bli håndhevet i praksis. Det er generelt en tungtveiende innvending mot kriminalisering at handlingen trolig ikke vil bli strafforfulgt.
Departementet går etter dette ikke inn for utvalgets forslag til en egen straffebestemmelse om søppelpost. En eventuell utvidelse av gjeldende forbud foranlediger uansett en grundigere utredning som etter departementets syn bør foretas i tilknytning til spesiallovgivningen og ikke straffeloven.
Det bør nevnes at enkelte tilfeller av masseutsendelser av uønsket e-post vil kunne rammes av andre bestemmelser i lovforslaget som for eksempel skadeverk, fare for driftshindring (§§ 351 og 206) og uberettiget befatning med tilgangsdata, dataprogram mv. (§ 201).
2.18 Filtrering
2.18.1 Innledning
Filtrering går ut på å iverksette tiltak som hindrer at norske tjenestemottakere kan motta informasjon fra nettsteder som er ulovlig etter norske regler, eller utnytte ulovlige tjenester. Informasjonen eller tjenesten kan for eksempel bli distribuert fra jurisdiksjoner som har andre regler enn Norge eller som ikke håndhever forbudsregler like effektivt. Et eksempel er spill om penger som i utgangspunktet er forbudt og uønsket i Norge, men lovlig i flere andre land. Filtrering er nærmere beskrevet av Datakrimutvalget på side 120-124 i delutredning II.
Filtrering kan tenkes gjennomført på nasjonalt nivå og på tilbydernivå. Departementet ser ikke at filtrering på nasjonalt nivå under noen omstendighet er aktuelt i Norge. Filtrering på tilbydernivå betyr at de enkelte internettleverandørene blir pålagt å filtrere bestemte internettsteder gjennom å blokkere tilgangen for norske brukere.
2.18.2 Gjeldende rett, folkerettslige forpliktelser, andre nordiske lands rett
Straffeloven 1902 inneholder ingen bestemmelse om filtrering. Et filtreringspåbud vil således representere noe nytt i norsk rett.
Det finnes imidlertid en frivillig filtreringsordning der tjenestetilbyderne som er med i ordningen implementerer et filter etter anvisning fra Kripos og som gjør det vanskelig å få tilgang til nettsteder som inneholder seksualiserte skildringer av barn. Det fremgår av Datakrimutvalgets redegjørelse at de fleste, men ikke alle, norske internettleverandører deltar i ordningen.
Datakrimkonvensjonen omhandler ikke og stiller ikke krav om et filtreringspåbud.
Sverige og Danmark har ikke bestemmelser som gir hjemmel for lovpålagt filtrering. Flere internettilbydere blokkerer imidlertid for overgrepsbilder mot barn på frivillig basis.
I finsk rett er det vedtatt en lov om tiltak som skal hindre spredning av barnepornografi (1068/2006) og som trådte i kraft 1. januar 2007. Formålet med loven er å «skydda barn och trygga deras grundläggande rättigheter genom att främja åtgärder som kan användas till att blockera åtkomsten till webbplatser med barnepornografi vilka upprätthålls utomlands» (1 §). Loven gir imidlertid ingen hjemmel for lovpålagt filtrering. Etter det departementet har fått opplyst ble en slik hjemmel ansett unødvendig ettersom tilbyderne var innstilt på å ta i bruk filtrering på frivillig basis.
2.18.3 Justiskomiteens merknader i Innst. O. nr. 66 (2004-2005)
I Innst. O. nr. 66 (2004-2005) om et eget straffebud om kjønnslige skildringer som gjør bruk av barn ber Stortingets justiskomité regjeringen fremme forslag om påbud dersom ikke alle internettilbydere innen utgangen av 2006 har et filter mot nettsteder som inneholder seksualiserte skildringer av barn.
2.18.4 Datakrimutvalgets mindretallsforslag
Det fremgår av utvalgets redegjørelse (NOU 2007: 2 side 120 annen spalte) at ikke alle norske internettleverandører frivillig har installert et filter mot nettsteder som inneholder seksualiserte skildringer av barn. Et mindretall på to medlemmer (deriblant utvalgets leder) foreslår derfor med bakgrunn i justiskomiteens anmodning å ta inn i straffeloven en bestemmelse om lovpålagt filtrering, men vil gjøre bestemmelsen generell slik at den gir grunnlag for å filtrere også annen straffbar virksomhet, for eksempel nettsider som tilbyr ulovlig pengespill. Ifølge mindretallet er det også grunn til å beskytte norske brukere mot nettsteder som forsøker å svindle brukerne, samt mot nettsteder som sprer innhold i strid med rettighetshaveres enerett etter åndsverksloven.
Flertallet finner ikke grunn til å foreslå en slik lovhjemmel og viser blant annet til at hensynet til ytringsfriheten taler mot å sensurere utenlandske nettsider for norske brukere. Det er en risiko for at også legitim trafikk stanses. En annen innvending er at effekten av filtrering er begrenset på grunn av mulighetene for å omgå filtrene.
2.18.5 Høringsinstansenes syn
Tjueen høringsinstanser har kommentert mindretallets forslag om filtrering. Av disse går femten imot forslaget. Det gjelder riksadvokaten, Fornyings- og administrasjonsdepartementet, Nærings- og handelsdepartementet, Forsvarsdepartementet, Agder lagmannsrett, Politihøgskolen, Datatilsynet, Advokatforeningen, Næringslivets Hovedorganisasjon, IKT Norge, Næringslivets Sikkerhetsråd, Elektronisk Forpost Norge (EFN), Norsk Senter for Menneskerettigheter, Redd Barna og Havforskningsinstituttet. Høringsinstansene som går imot mindretallsforslaget viser i all hovedsak til de samme argumentene som utvalgsflertallet. Fire høringsinstanser er positive til eller stiller seg åpne for en påbudt filtreringsordning, selv om det understrekes at det er behov for en mer utførlig utredning av særlig tekniske sider ved forslaget. Det gjelder Kripos, Politidirektoratet, TONO og Norsk videogramforening. Også Barne- og likestillingsdepartementet og Forbrukerrådet peker på at spørsmålet ikke er tilstrekkelig utredet, og velger på det grunnlaget ikke å ta stilling.
2.18.6 Departementets vurdering
Departementet er enig med utvalgsflertallet og går ikke inn for en bestemmelse om filtrering. Det veier tungt at et overveiende flertall av høringsinstansene tar klar avstand fra forslaget. Det er knyttet store utfordringer til den tekniske gjennomføringen av en slik ordning. Risikoen for at filteret kan stanse legitim trafikk, også fra andre aktører enn den som står bak det ulovlige materialet, reiser spørsmål om inngrep i ytringsfriheten. Selv om legitim trafikk også kan stanses ved en avtalebasert filtreringsordning, er betenkelighetene ved en slik løsning vesentlig mindre enn ved lovpålagt filtrering.
Det er i forhold til nettsider som tilbyr seksualiserte skildringer av barn at behovet for filtrering er størst. Høringen støtter denne oppfatningen. For å imøtekomme justiskomiteens merknader i Innst. O. nr. 66 (2004-2005) har Justisministeren 29. august 2008 sendt et brev til internettilbyderne i Norge der de oppfordres til å støtte opp om den frivillige filtreringsordningen slik at det ikke blir nødvendig å innføre et lovpåbud om filtrering i forhold til nettsider som tilbyr seksuelle skildringer av barn. Et utdrag fra brevet lyder:
«Undersøkelser viser at overgrep som er filmet eller fotografert medfører ekstra belastninger for offeret. Jeg er derfor glad for at de fleste internettilbydere i Norge nå deltar i den frivillige filtreringsordningen som bygger på kontrakten som IKT-Norge og Kripos har utarbeidet. Selv om dekningsgraden er vanskelig å angi presist, er det mye som tyder på at 80 til 90 prosent av norske internettbrukeres trafikk nå går via filteret ... Jeg kan likevel ikke fall til ro med at ikke alle internettilbyderne er med. Ved bruk av eksempelvis bredbåndsleverandører eller nettlesere som ikke omfattes av filteret, vil brukere få tilgang til alle de domener som norsk politi mener inneholder overgrepsbilder av barn. Det ser jeg svært alvorlig på, og jeg ser ingen grunn til å godta at ikke all internett-trafikk i Norge går via filteret. I vurderingen av om det er behov for å foreslå et lovfestet påbud om filtrering av nettsider som tilbyr seksualiserte skildringer av barn, har det derfor stor betydning for regjeringen i hvilken utstrekning internettilbyderne selv er innstilt på å følge opp den frivillige ordningen. Siden de fleste tilbyderne er med i den frivillige ordningen, vil jeg derfor avvente et lovpålagt påbud til jeg ser resultatet av denne henvendelsen.»
I en arbeidsgrupperapport til Justisdepartementet 30. januar 2007 om forebygging av internettrelaterte overgrep mot barn (Faremo-rapporten), uttales det at «filteret har vist seg meget nyttig, og flere land har allerede kopiert ordningen.» Arbeidsgruppen foreslår at den norske filterløsningen ytterligere bør fremmes internasjonalt, og i sterkere grad eksporteres til utenlandske ISPer og mobiloperatører som gir tilgang til internett. Uttalelsen underbygger betydningen av den frivillige filtreringsordningen, og styrker departementet i synet på at en frivillig ordning er å foretrekke. En slik løsning er også best i samsvar med prinsippene for bruk av straff som ligger til grunn for straffeloven 2005.
2.19 Brudd på taushetsplikt
2.19.1 Gjeldende rett
2.19.1.1 Straffeloven 1902
Straffeloven 1902 har ingen generell bestemmelse som setter straff for brudd på taushetsplikt i sin alminnelighet. Det finnes imidlertid bestemmelser som oppstiller straff for brudd på taushetsplikt i spesielle situasjoner.
En sentral bestemmelse er § 121. Den oppstiller en straffetrussel for brudd på bestemmelser om taushetsplikt som i henhold til lovbestemmelse eller gyldig instruks følger av vedkommendes tjeneste eller arbeid for statlig eller kommunalt organ. Bestemmelsen fikk sitt innhold ved lov 27. mai 1977 nr. 40.
Bestemmelsen omfatter også sekretærer, arkivpersonale og rengjøringsmedarbeidere. Videre vil engasjerte sakkyndige og andre som har enkeltstående oppdrag for det offentlige falle inn under bestemmelsen.
Vedkommende må ha taushetsplikt «i henhold til lovbestemmelse eller gyldig instruks». De mest omfattende lovbestemmelsene som pålegger taushetsplikt er forvaltningsloven §§ 13 til 13 e. Det finnes også en rekke andre lover som gir hjemmel for taushetsplikt i det offentlige. Det gjelder for eksempel straffeprosessloven (lov 22. mai 1981 nr. 25) §§ 61 a til 61 e om politiet og påtalemyndigheten og domstolloven (lov 13. august 1915 nr. 5) § 63 a om dommere og andre som utfører tjeneste eller arbeid for et dommerkontor. Fra helsesektoren kan for eksempel nevnes steriliseringsloven (lov 3. juni 1977 nr. 57) § 11 om enhver som deltar i behandlingen av steriliseringssaker, samt helseregisterloven (lov 18. mai 2001 nr. 24) § 15 om enhver som behandler helseopplysninger. I disse bestemmelsene henvises det enten til straffeloven 1902 § 121 eller forvaltningsloven § 13, eller til begge.
Ved revisjonen av forvaltningsloven i 1977 var det i høringsnotatet foreslått at straffansvaret skulle være begrenset til lovbestemt taushetsplikt. Forslaget ble ikke fulgt opp siden taushetsplikten på viktige områder fortsatt bygde på instruks, jf. Ot.prp. nr. 3 (1976-77) side 41-42. Begrepet «gyldig» instruks peker hen på at det ikke uten særskilt hjemmel i lov kan knyttes taushetsplikt til opplysninger i dokumenter som er offentlige etter offentlighetsloven, jf. Ot.prp. nr. 3 (1976-77) side 42 annen spalte.
Gjerningspersonen må «krenke» taushetsplikten. Det betyr at § 121 ikke kommer til anvendelse dersom det er oppstilt begrensninger i taushetsplikten i den aktuelle lovbestemmelse eller instruks. Eksempler på bestemmelser med slike begrensninger er forvaltningsloven §§ 13 a, 13 b og 13 d.
Straffen er i utgangspunktet bot eller fengsel inntil seks måneder, jf. § 121 første ledd. Annet ledd forhøyer strafferammen til tre år i visse tilfeller. Dette gjelder for det første dersom gjerningspersonen begår taushetsbrudd «i den hensikt å tilvende seg eller andre en uberettiget vinning». Som eksempel kan nevnes at vedkommende mot betaling gir opplysninger til en journalist. Strafferammen forhøyes også dersom gjerningspersonen «i slik hensikt på annen måte [utnytter] opplysninger som er belagt med taushetsplikt». Videre kan strafferammen forhøyes dersom det foreligger «andre særdeles skjerpende omstendigheter», jf. § 121 annet ledd annet punktum.
I § 121 tredje ledd slås det fast at også taushetsbrudd etter avsluttet tjeneste eller arbeid straffes etter bestemmelsen.
Medvirkning til brudd på taushetsplikt er ikke straffbar. Spørsmålet om å straffsanksjonere medvirkning ble drøftet ved revisjonen i 1977, men det ble ikke funnet tilstrekkelig grunn til det, se Ot.prp. nr. 3 (1976-77) side 43 første spalte, jf. side 164 første spalte. Forsøk er straffbart. Skyldkravet er forsett eller grov uaktsomhet.
Straffeloven 1902 § 144 setter straff for personer tilhørende nærmere angitte yrkesgrupper som rettsstridig åpenbarer hemmeligheter som er betrodd dem i stillings medfør. Det gjelder blant andre prester, advokater, psykologer, leger, apotekere og sykepleiere. Straffen er bot eller fengsel inntil seks måneder. Bestemmelsen foreslås ikke videreført, jf. Ot.prp. nr. 8 (2007-2008) side 263.
Paragraf 132 b gjelder straff for brudd på taushetsplikt pålagt av retten eller påtalemyndigheten om bruk av visse straffeprosessuelle tvangsmidler. Bestemmelsen ble tilføyd ved lov 3. desember 1999 nr. 82. Bakgrunnen var nye tvangsmidler i straffeprosessloven, blant annet utsatt underretning om ransaking, beslag og utleveringspålegg. For at slike tvangsmidler skal ha betydning, er det nødvendig at tredjepersoner som har den aktuelle gjenstanden og andre som kjenner til tvangsmidlet, kan pålegges taushetsplikt. Straffen er bot eller fengsel inntil to år.
Straffeloven 1902 § 90 rammer den som rettstridig bevirker eller medvirker til at noe åpenbares som bør holdes hemmelig av hensyn til rikets sikkerhet. Straffen er fengsel inntil tre år, men fra ett år inntil ti år såfremt hemmeligheten er forrådt til en annen stat eller det er voldt betydelig fare. Tredje ledd gir adgang til å forhøye frihetsstraffen med inntil en halvdel dersom hemmeligheten er betrodd den skyldige i stillings medfør. Bestemmelsen er videreført i straffeloven 2005 med enkelte endringer, jf. §§ 123-125. Se Ot.prp. nr. 8 (2007-2008) side 137 flg.
2.19.1.2 Særlover som setter straff for brudd på taushetsplikt
Det finnes også en rekke særlover som inneholder bestemmelser om straff for brudd på taushetsplikt. Enkelte av disse nevnes nedenfor.
Helsepersonelloven (lov 2. juli 1999 nr. 64) har bestemmelser om taushetsplikt i §§ 21 flg. Den som forsettlig eller grovt uaktsomt overtrer eller medvirker til overtredelse av taushetsplikten, straffes med bot eller fengsel inntil tre måneder, jf. den generelle straffetrusselen i § 67.
Regnskapsførerloven (lov 18. juni 1993 nr. 109) har bestemmelser om taushetsplikt i § 10, samt en generell straffetrussel i § 14. Straff er bot eller fengsel inntil ett år.
Postloven (lov 29. november 1996 nr. 73) § 13 regulerer taushetsplikt for enhver som utfører arbeid eller tjeneste for postoperatører. Den som forsettlig eller uaktsomt overtrer bestemmelsen eller medvirker til dette, straffes etter § 24 med bot eller fengsel inntil tre måneder hvis ikke handlingen rammes av et strengere straffebud.
Børsloven (lov 17. november 2000 nr. 80) har bestemmelser om taushetsplikt for blant andre tillitsvalgte og ansatte ved børsen, jf. § 3-6. Den som forsettlig eller uaktsomt bryter taushetsplikten, straffes med bot eller fengsel inntil ett år hvis ikke handlingen går inn under en strengere straffebestemmelse, jf. § 9-1 tredje ledd. Medvirkning straffes på samme måte.
2.19.2 Andre nordiske lands rett
Dansk straffelov inneholder bestemmelser om straff for brudd på taushetsplikt i § 152, jf. §§ 152 a til 152 f. Paragraf 152 rammer den som virker eller har virket i offentlig tjeneste eller verv, og som uberettiget gir videre eller utnytter fortrolige opplysninger vedkommende har fått kjennskap til. En opplysning er fortrolig når den ved lov eller annen gyldig bestemmelse er betegnet som det, eller når det for øvrig er nødvendig å hemmeligholde den for å ivareta vesentlige offentlige eller private interesser.
Bestemmelsen gjelder tilsvarende for dem som tar oppdrag for offentlig myndighet, som arbeider ved telefonanlegg anerkjent av det offentlige, som er offentlig beskikket til virksomhet eller erverv, som er ansatt ved statistisk kontor i regi av EU, samt medhjelpere, jf. §§ 152 a til 152 c.
I henhold til § 152 d får nevnte bestemmelser tilsvarende anvendelse på den som uberettiget skaffer seg eller utnytter opplysninger som er fremkommet ved andres brudd på taushetsplikt. På samme måte straffes den som, uten selv å ha medvirket til taushetsbruddet, gir videre opplysninger om enkeltpersoners private forhold eller opplysninger som er fortrolige av hensyn til rikets sikkerhet eller forsvar.
Straffen er bot eller fengsel inntil seks måneder. Strafferammen forhøyes til fengsel inntil to år dersom vedkommende har forsett om skaffe seg eller andre uberettiget vinning eller det for øvrig foreligger særlig skjerpende omstendigheter, jf. § 152 stk. 2.
Den svenske brottsbalken har i 20 kap. 3 § en bestemmelse om straff for brudd på taushetsplikt. Taushetsplikten kan følge av lov eller annen bestemmelse, eller av forordning eller forbehold som er meddelt med støtte i lov eller annen forfatning.
Bestemmelser om taushetsplikt finnes fremfor alt i sekretesslagen (1980:100). I 1. kap. 6 § fremgår det blant annet at sekretesslagen gjelder dem som er ansatt hos eller har oppdrag for offentlig myndighet. Bestemmelsen i 7 kap. 1 c § gjelder leger og annet personell i helsevesenet. For advokater er taushetsplikten hjemlet i rättegångsbalken 8 kap. 4 § 1 st.
Det finnes to handlingsalternativer i 3 § i brottsbalken. Det første er at noen røper en opplysning som han er pliktig å hemmeligholde. Det alternative vilkåret er at han på ulovlig vis utnytter slik hemmelighet. Bestemmelsen gjelder generelt, uavhengig av om vedkommende er ansatt i eller har annen tilknytning til det offentlige. Straffen er bot eller fengsel inntil ett år.
I brottsbalken 19 kap. 5-9 §§ finnes det bestemmelser om grovere forbrytelser som også omfatter brudd på taushetsplikten (for eksempel ulovlig etterretning).
I finsk rett reguleres brudd på taushetsplikt i strafflagen 38 kap. 1 og 2 §§, hvorav førstnevnte bestemmelse gjelder forbrytelser og sistnevnte forseelser.
Taushetsplikten kan følge av lov, forordning eller være ilagt særskilt av myndighetene med støtte i lov.
Det finnes to handlingsalternativer i 1 §. For det første at vedkommende i strid med taushetsplikten røper en omstendighet som skal holdes hemmelig og som han har fått kjennskap til på grunn av sin stilling eller i forbindelse med et oppdrag. For det annet at vedkommende utnytter en slik hemmelighet for egen eller annens nytte. Bestemmelsen gjelder generelt, uavhengig av om vedkommende er ansatt i eller har annen tilknytning til det offentlige. Straffen er bot eller fengsel inntil ett år.
2.19.3 Straffelovkommisjonens skisse
Straffelovkommisjonen foreslår i skissen til § 23-1 å ta inn en standardstraffetrussel mot brudd på taushetsplikt, jf. delutredning VII side 320 første spalte og side 429 annen spalte. Bestemmelsen skal ramme ethvert brudd på taushetsplikt, uavhengig av om gjerningspersonen er ansatt i eller har annen tilknytning til det offentlige. Hensikten med en slik standardstraffetrussel er å unngå ulikheter i reguleringen av likeartede handlingstyper, jf. side 163 annen spalte. Kommisjonen peker på at det synes noe tilfeldig om brudd på bestemmelser om taushetsplikt i særlover straffes etter straffeloven 1902 § 121, eller etter en, iblant avvikende, straffebestemmelse i den enkelte særlov.
Det er kommisjonens oppfatning at brudd på alle former for lovbestemt taushetsplikt i utgangspunktet bør rammes av den samme bestemmelsen i straffeloven. Forslaget innebærer at bestemmelsene i straffeloven § 144 og § 132 b kan oppheves, samt at straffebestemmelser om taushetsbrudd i særlovgivningen innskrenkes for å unngå overlappende straffetrusler. Bestemmelser om taushetsplikt i særlovgivningen bør i stedet inneholde en henvisning til § 23-1.
Kommisjonen legger til grunn at bestemmelsen også bør ramme brudd på taushetsplikt fastsatt etter offentlig instruks. Den uttaler at «selv om de mest aktuelle instruksbestemmelsene om taushetsplikt - sikkerhetsinstruksen og beskyttelsesinstruksen - nå har fått hjemmel i sikkerhetsloven 20. mars 1998 nr. 10 § 12, antas det fortsatt å være behov for å straffe brudd på instruksbestemt taushetsplikt.»
Kommisjonen ser ikke behov for å videreføre bestemmelsen om straffskjerpelse i § 121 annet ledd. På den annen side foreslås det at handlingen beskrevet i § 121 annet ledd om på annen måte å utnytte opplysninger som er belagt med taushetsplikt, inntas som en alternativ gjerningsbeskrivelse i straffebudet. Videre foreslås det at den alminnelige strafferammen for brudd på taushetsplikt heves til bot eller fengsel i ett år.
Kommisjonen går inn for å videreføre grov uaktsomhet som skyldkrav. Etter kommisjonens oppfatning bør medvirkning til brudd på taushetsplikt være straffritt.
2.19.4 Høringsinstansenes syn
Ni høringsinstanser har uttalt seg konkret om kommisjonens forslag til regler om brudd på taushetsplikt. Tre instanser gir sin klare tilslutning til forslaget. Det gjelder Arbeids- og inkluderingsdepartementet, Kommunenes Sentralforbund (KS) og Riksarkivaren.
Arbeids- og inkluderingsdepartementet understreker at det er viktig at både brudd på lovfestet taushetsplikt og taushetsplikt som er nedfelt i instruks rammes av straffebudet. Departementet har ellers ingen merknader til den lovtekniske løsningen i forslaget.
KS ber om at det klarlegges hvorvidt kommunale eller fylkeskommunale organer kan gi instruks om taushetsplikt om opplysninger i enkeltsaker behandlet for lukkede dører, jf. begrepet «gyldig instruks» i § 121 første ledd. Dersom gjeldende bestemmelse ikke dekker nevnte forhold, bes det vurdert om det er grunn til å fastsette regler som gir nevnte organer slik myndighet.
Riksarkivaren uttaler at brudd på taushetsplikten for offentlig tjenestemann eller den som utfører tjeneste for et offentlig organ, fortsatt bør være straffbart. Riksarkivaren gir uttrykk for at det er helt nødvendig for tilliten til offentlig forvaltning at det er klare bestemmelser om beskyttelse av opplysninger avgitt av den enkelte borger, og at det må få følger for dem som bryter denne tilliten. Det påpekes i den sammenheng at det ville være en fordel om det i forvaltningsloven § 13 vises til § 121 eller en tilsvarende bestemmelse i ny straffelov.
Nasjonal sikkerhetsmyndighet påpeker at taushetsplikten i beskyttelsesinstruksen ikke er forankret i sikkerhetslovens bestemmelser, slik Straffelovkommisjonen legger til grunn.
Statistisk sentralbyrå(SSB) konstaterer at strafferammen økes, mens bestemmelsen om straffskjerping utgår. Forhold som er relevante for SSB fanges imidlertid opp av andre bestemmelser, eksempelvis om økonomisk utroskap.
Norsk Presseforbund, Norsk Journalistlag, Mediebedriftenes Landsforening og Norsk Redaktørforening har avgitt en samlet høringsuttalelse og er skeptiske til forslaget. De uttaler blant annet:
«Kommisjonens forslag om å utforme en standardstraffetrussel for brudd på alle former for taushetsplikt som er fastsatt i lov eller offentlig instruks, og å forhøye strafferammen til bot eller fengsel i ett år, skiller overhodet ikke mellom de hensyn som brukes for å begrunne taushetsplikt. Vi mener dette reiser særlige og prinsipielle betenkeligheter i forhold til inngrep i ytringsfriheten, og strider mot Ytringsfrihetskommisjonens uttalelser om en restriktiv holdning til taushetsplikt begrunnet i offentlige interesser.
Vi mener likeledes at taushetsplikt hjemlet i instruks ikke kan likebehandles med taushetsplikt fastsatt i lov. Kommisjonen selv peker på side 320 på at de tidligere mest aktuelle instruks-bestemmelser om taushetsplikt - sikkerhetsinstruksen og beskyttelsesinstruksen - nå har fått hjemmel i sikkerhetsloven. Det er ikke betryggende at kommisjonen ellers «antar» at det fortsatt er behov for å ramme instruksbestemt taushetsplikt, uten nærmere begrunnelse.»
De fire høringsinstansene mener for øvrig at det finnes for mange og uklare taushetspliktbestemmelser, og ser et behov for opprydding. De ber dessuten om en ny utredning om konflikten mellom taushetsplikt og ytringsfrihet.
2.19.5 Departementets vurdering
2.19.5.1 Et generelt straffebud om brudd på taushetsplikt?
I Ot.prp. nr. 8 (2007-2008) sluttet departementet seg til kommisjonens vurderinger og forslag om at brudd på alle former for lovbestemt taushetsplikt i utgangspunktet bør rammes av samme bestemmelse i straffeloven, jf. side 263 annen spalte. Departementet er enig med Straffelovkommisjonen i at det synes noe tilfeldig om brudd på bestemmelser om taushetsplikt i spesiallovgivningen straffes etter straffeloven 1902 § 121 eller etter en straffebestemmelse i den enkelte særlov. Det er dessuten avvik mellom de forskjellige straffebestemmelsene både når det gjelder skyldkravet, strafferammen og om medvirkning er straffbar. Departementet mener det vil være ryddig med én generell straffebestemmelse som rammer ethvert brudd på taushetsplikt, uavhengig av om gjerningspersonen er ansatt i eller har annen tilknytning til det offentlige. En standardstrafftrussel vil medføre en rettsteknisk forenkling og en mer enhetlig lovgivning. En slik løsning er valgt i Sverige og Finland.
Det forhold at det er forskjellige hensyn som ligger til grunn for de enkelte bestemmelsene om taushetsplikt, er ikke i seg selv et avgjørende argument mot en generell straffebestemmelse om brudd på taushetsplikt. Straffeloven 1902 § 121 rammer også i dag brudd på bestemmelser om taushetsplikt som har sin bakgrunn i ulike hensyn. Departementet uttaler om dette i Ot.prp. nr. 3 (1976-77) på side 130:
«Bestemmelser om taushetsplikt har dels som formål å beskytte generelle offentlige interesser (forsvarshemmeligheter, opplysinger som bør holdes hemmelig av hensyn til forholdet til fremmed stat o.l.). Dels tar de sikte på å beskytte enkeltpersoner, selskaper og institusjoner utenfor forvaltningen (parts- eller klientinteresser)».
Et eksempel på det første er sikkerhetsloven § 12, jf. § 11. Eksempel på sistnevnte er taushetsplikten som påhviler nærmere angitte yrkesgrupper som prester og psykologer, jf. straffeloven 1902 § 144, og taushetspliktbestemmelsen i forvaltningsloven § 13. Et straffebud som rammer brudd på bestemmelser om taushetsplikt som har sitt grunnlag i ulike hensyn, representerer således ikke noe nytt.
Straffelovkommisjonen utelukker ikke at det ved spesielle behov kan være mulig å fastsette en regulering i den enkelte særlov som avviker fra forslaget til alminnelig straffebestemmelse om brudd på taushetsplikt. Departementet mener det er riktig å holde muligheten åpen, men vil understreke at det ikke betyr at avvikende eller overlappende bestemmelser i spesiallovgivningen automatisk kan videreføres. Straffebestemmelsene om taushetsbrudd i spesiallovgivningen bør gjennomgås med sikte på å unngå helt eller delvis overlappende eller avvikende strafftrusler som ikke kan begrunnes spesielt.
Selv om departementet er enig i at straffeloven 1902 § 144 bør oppheves, kan det først skje etter at de nødvendige endringer i spesiallovgivningen er på plass. Disse endringene lar seg ikke gjøre innenfor rammen av arbeidet med ny straffelov. Det kan for øvrig nevnes at Metodeutvalget har fått i oppdrag å utrede taushetsplikten for advokater, og utredningen kan være verd å vente på før man vurderer en bestemmelse om taushetsplikt for denne yrkesgruppen. Det betyr at for de yrkesgruppene i straffeloven 1902 § 144 som ikke i dag er pålagt alminnelig taushetsplikt i andre deler av lovgivningen, må bestemmelsen videreføres. Det er gjort i forslaget til § 211.
2.19.5.2 Utformingen av straffebudet
Departementet vil først drøfte om straffebudet bør ramme brudd på instruksfestet taushetsplikt.
Instrukser om taushetsplikt i det offentlige, ut over dem som er hjemlet i særlige lovregler, kan bare gis av vedkommende organ for dets egne tjenestemenn og for organer som er underordnet det i slike saksbehandlingsspørsmål. Instruksene må ligge innenfor rammene av lovregler og heller ikke være i strid med bestemmelser gitt av Stortinget eller overordnete forvaltningsorganer.
En instruks om taushetsplikt vil typisk gjelde forståelsen av taushetsbestemmelsen i forvaltningsloven § 13 (lovforståelse), utøvelse av fritt skjønn (taushetsrett) eller gjennomføring av taushetsplikt (for eksempel oppbevaring av dokumenter), jf. Ot.prp. nr. 3 (1976-77) side 164 flg.
Ved revisjonen i 1977 var det i høringsnotatet foreslått at straffansvaret skulle være begrenset til lovbestemt taushetsplikt. Det ble anført at straffeloven 1902 § 324 om straff for tjenesteforsømmelse ville være tilstrekkelig når det gjaldt brudd på instruksfestet taushetsplikt. Enkelte grove tilsidesettelser av taushetsplikt til vern av offentlige interesser kunne dessuten straffes etter særskilte bestemmelser i straffeloven, blant annet § 90.
Forslaget ble imidlertid ikke fulgt opp siden taushetsplikten på viktige områder fortsatt bygde på instruks, jf. Ot.prp. nr. 3 (1976-77) side 41-42. Et utvalg som skulle vurdere karenstid for offentlige tjenestemenn pekte dessuten på at § 324 neppe kunne anvendes dersom brudd på taushetsplikten fant sted etter at tjenesteforholdet er opphørt, i motsetning til hva som er tilfelle etter § 121 tredje ledd (se NOU 1975: 44 side 12 og 13).
Det er også i dag uenighet mellom høringsinstansene om straffebestemmelsen bør ramme brudd på instruksfestet taushetsplikt.
Departementet mener det fremdeles kan være behov for å la brudd på instruksbestemt taushetsplikt som ikke er forankret i lov eller forskrift være straffbart, og ser ikke grunn til å endre rettstilstanden på dette punktet. Flere tidligere instruksbestemmelser som ved forrige korsvei i 1976/1977 ikke hadde hjemmel i lov eller forskrift, har nå riktignok fått en slik forankring. For eksempel hadde Riksrevisjonen tidligere en egen instruks for arbeidsordningen med en bestemmelse om taushetsplikt. Nå er taushetsplikten lovregulert, jf. lov 7. mai 2004 nr. 21 om Riksrevisjonen § 15. Andre sentrale instruksfestede bestemmelser om taushetsplikt er i dag hjemlet i forskrift, jf. eksempelvis politiinstruksens bestemmelser om taushetsplikt som med hjemmel i politiloven §§ 29 og 31 er inntatt i forskrift 22. juni 1990 nr. 3963 § 5-5. Departementet ser likevel et fortsatt behov for at offentlige myndigheter kan fastsette og nærmere klarlegge taushetsplikten ved instruks, og finner ikke grunn til å avkriminalisere brudd på disse instruksene. Til dette kommer at straffeloven 1902 § 324 om tjenesteforsømmelse ikke videreføres i straffeloven 2005. Straffeloven 2005 § 173 er rettet mot spesielt alvorlige former for tjenestefeil, og rammer ikke uten videre brudd på instrukser om taushetsplikt. Det taler for å videreføre vilkåret om «gyldig instruks» i § 209.
Departementet går så over til å drøfte den nærmere gjerningsbeskrivelsen i forslaget til straffebud om taushetsplikt.
Straffeloven 1902 § 121 inneholder i første ledd en bestemmelse om straff for krenkelse av taushetsplikten og i annet ledd en bestemmelse om straffskjerping. Den strengere strafferammen etter annet ledd kommer til anvendelse blant annet når gjerningspersonen i vinnings hensikt «på annen måte» utnytter opplysninger som er belagt med taushetsplikt. Departementet støtter Straffelovkommisjonens forslag om å ta inn handlingsnormen som en alternativ gjerningsbeskrivelse i forslaget til § 209. En slik løsning vil gjøre det synlig at det i realiteten er tale om to alternative gjerningsbeskrivelser. Det legges også en viss vekt på at Danmark, Sverige og Finland har begge handlingsalternativene «å røpe»/»gi videre» og «å utnytte» hemmeligheter i bestemmelsene om taushetsbrudd.
Et spørsmål er om bestemmelsen bare bør gjelde utnytting av taushetsbelagte opplysninger når det er den som har taushetsplikt som utnytter dem, eller om den også bør ramme andre som har mottatt og brukt opplysninger fra en som har taushetsplikt. Straffelovkommisjonen uttaler seg ikke om spørsmålet. Den svenske bestemmelsen rammer bare den som selv har taushetsplikt, jf. uttrykket «eller utnytter han ulovlig slik hemmelighet». Det samme er tilfellet i Finland. I dansk straffelov § 152 d får bestemmelsene om taushetsbrudd tilsvarende anvendelse på den som, uten å ha medvirket til gjerningen, uberettiget utnytter opplysninger som er fremkommet ved slik overtredelse. Straffeloven 1902 § 121 annet ledd gjelder kun den som selv har taushetsplikt. Dersom bestemmelsen utformes etter dansk modell, vil dette innebære en ikke uvesentlig nykriminalisering i forhold til gjeldende rett. Også andre som utnytter mottatte opplysinger belagt med taushetsplikt, for eksempel pressen, vil kunne rammes.
Spørsmålet om å utvide taushetsplikten til andre som mottar taushetsbelagte opplysninger ble diskutert i forbindelse med endringer av forvaltningsloven, jf. Ot.prp. nr. 3 (1976-77) side 36 flg. Justisdepartementet gikk ikke den gang inn for en slik løsning, og uttalte blant annet:
«Særlig vil man peke på at det ville være forbundet med problemer å ha en generell bestemmelse om at massemedier ikke kan bruke opplysninger som er «lekket ut» fra forvaltningen gjennom brudd på taushetsplikten. Man nevner at det finnes særlige bestemmelser om slike forhold på enkelte felter, se således straffelovens § 90 om åpenbaring av noe som bør holdes hemmelig av hensyn til rikets sikkerhet.»
Departementet mener det heller ikke i dag er grunn til å innføre straff for disse tilfellene.
Departementet foreslår videre at straffansvaret gjelder tilsvarende ved brudd på taushetsplikt som følger av tjeneste eller arbeid for statlig eller kommunalt organ selv om handlingen er foretatt etter at gjerningspersonen har avsluttet tjenesten eller arbeidet, jf. forslaget til § 209 tredje ledd. Bestemmelsen er en konsekvens av forvaltningsloven § 13 tredje ledd om at taushetsplikten også gjelder etter avsluttet tjeneste eller arbeid.
Straffelovkommisjonen går inn for å videreføre grov uaktsomhet som skyldform i bestemmelsen om taushetsbrudd. Siden forsett skal være hovedskyldformen i straffelovgivningen, jf. Ot.prp. nr. 90 (2003-2004) side 113, kunne det tale for ikke å videreføre uaktsomhetsbestemmelsen. Departementet er imidlertid enig med Straffelovkommisjonen i at et krav om grov uaktsomhet vil kunne bidra til å sikre forsvarlig behandling av taushetsbelagt informasjon, blant annet ved å lette den bevismessige situasjonen. Departementet støtter derfor kommisjonens forslag på dette punktet.
Flere av de generelle straffebestemmelsene i spesiallovgivningen nøyer seg med å kreve simpel uaktsomhet. Innføringen av en generell straffebestemmelse om brudd på taushetsplikt vil derfor medføre at skyldkravet på enkelte områder skjerpes hvis det ikke er særlig grunn til å opprettholde særbestemmelsen og det mildere skyldkravet. I samsvar med føringene lagt til grunn i Ot.prp. nr. 90 (2003-2004) side 115 er utgangspunktet at straff skal brukes på de mest klanderverdige og samfunnsskadelige handlingene, og grov uaktsomhet skal være den primære graden av uaktsomhet. Det sikrer at handlinger ikke kriminaliseres i større grad enn nødvendig. På den annen side skal ikke betydningen av å oppstille grov uaktsomhet som en hovedregel overdrives. Dersom det kan anføres gode grunner for å opprettholde simpel uaktsomhet i spesiallovgivningen som skyldkrav ved taushetsbrudd, utelukker ikke departementets forslag en slik løsning.
Departementet slutter seg også her til Straffelovkommisjonens forslag om å erstatte kravet om vinnings hensikt med et krav om vinnings forsett.
2.19.5.3 Strafferamme
Departementet ser at det er relativt store avvik når det gjelder strafferammen i de forskjellige bestemmelsene om straff for brudd på taushetsplikt. Etter enkelte bestemmelser er straffen bot eller fengsel inntil tre måneder (postloven § 24 og helsepersonelloven § 67), mens etter andre er den øvre strafferammen vesentlig høyere, som fengsel inntil to år (straffeloven 1902 § 132 b). Flere bestemmelser har strafferammer som ligger i et mellomsjikt med fengsel inntil seks måneder (straffeloven 1902 § 144) eller inntil ett år (børsloven § 9-1).
Departementet kan vanskelig se noen god begrunnelse for at eksempelvis helsepersonell, som behandler sensitive personopplysninger, skal straffes mildere ved brudd på taushetsplikten enn for eksempel ansatte ved børsen. Det er heller ikke gitt at brudd på taushetsplikt pålagt av retten om bruk av visse straffeprosessuelle tvangsmidler, jf. straffeloven 1902 § 132 b, er mer straffverdig enn brudd på for eksempel yrkesmessig taushetsplikt.
Rettspraksis gir få holdepunkter med hensyn til hva som utgjør et passende straffenivå ved brudd på lovbestemt taushetsplikt. Det er få saker om straff for brudd på taushetsplikt etter straffeloven 1902 §§ 121, 144 og 132 b. Flere av sakene har dessuten endt med frifinnelse. Retten har i enkelte saker som har munnet ut i straffedom nøyd seg med å ilegge bot. Et eksempel er Gulating lagmannsretts dom 6. november 2007, der en politibetjent ble dømt for overtredelse av § 121. Han hadde formidlet taushetsbelagt informasjon om en persons kriminelle atferd til moren til vedkommendes kjæreste. Straffen ble utmålt til ubetinget bot på kr. 3.000, subsidiært seks dagers fengsel.
Departementet er enig med Straffelovkommisjonen i at en passende strafferamme for ordinært brudd på taushetsplikt er bot eller fengsel inntil ett år. Forslaget til strafferamme er vid nok til å kunne fastsette en mild straff for de mest bagatellmessige overtredelsene og en tilstrekkelig streng straff for de mer alvorlige overtredelsene. Forslaget til strafferamme er for øvrig i samsvar med strafferammen i de tilsvarende bestemmelsene i svensk og finsk rett.
Grovt uaktsom overtredelse foreslås straffet på samme måte, jf. fjerde ledd.
Departementet ser ikke grunn til å videreføre bestemmelsen om straffskjerpelse i straffeloven 1902 § 121 annet ledd, men går i stedet inn for en egen bestemmelse om grovt brudd på taushetsplikten mv. med en strafferamme på fengsel inntil tre år, jf. lovforslaget § 210. I vurderingen av om forholdet er grovt skal det særlig legges vekt på om gjerningspersonen har forsett om vinning og om handlingen har ført til tap eller fare for tap for noen, herunder om bruddet på taushetsplikten underletter gjennomføringen av andre straffbare handlinger.
2.19.5.4 Medvirkning
Straffelovkommisjonen mener den nye bestemmelsen om straff for brudd på taushetsplikt bør gjøre unntak fra den generelle medvirkningsbestemmelsen i forslaget til § 3-2. Ingen høringsinstanser har uttalt seg om dette.
Departementet slutter seg til Straffelovkommisjonens forslag. Medvirkning til brudd på taushetsplikt er ikke straffbar etter straffeloven 1902 § 121. Spørsmålet om å straffsanksjonere medvirkning ble drøftet ved revisjonen i 1977, men det ble ikke funnet tilstrekkelig grunn til det, se Ot.prp. nr. 3 (1976-77) side 43 første spalte, jf. side 164 første spalte. Medvirkning er heller ikke straffbar etter straffeloven 1902 §§ 132 b eller 144.
I spesiallovgivningen er medvirkning til taushetsbrudd som regel ikke nevnt særskilt, men straffansvar kan følge av de generelle straffebestemmelsene i vedkommende lov. Eksempler på særlover hvor medvirkning er straffbar, er børsloven § 9-1 og helsepersonelloven § 67. Departementet kjenner ikke til eksempler fra rettspraksis der medvirkning til taushetsbrudd har medført straff. En eventuell avkriminalisering må derfor antas å være marginal.
Får man ved hjelp av vold eller trusler en offentlig tjenestemann til å bryte taushetsplikten, kan straffeloven 2005 § 155 få anvendelse.
2.20 Krenkelse av forretningshemmelighet
2.20.1 Gjeldende rett
Bestemmelsene i straffeloven 1902 om misbruk av forretnings- eller driftshemmeligheter finnes i § 294 nr. 2 og 3 og § 405 a, samt markedsføringsloven § 7, jf. § 17.
Paragraf 294 nr. 2 retter seg mot den som gjør bruk av en «forretnings- eller driftshemmelighet» fra en bedrift han eller hun er ansatt i, eller har vært ansatt i de siste to år, eller en bedrift han eller hun «har havt Del» i. Med sistnevnte uttrykk menes alle former for eierskap i bedrift eller virksomhet.
Også den mer indirekte overtredelsen i form av å åpenbare en hemmelighet i den hensikt å sette andre i stand til å gjøre bruk av den, omfattes av nr. 2. Det er ingen skarp grense mellom begrepene forretningshemmelighet og driftshemmelighet. Tradisjonelt dekker forretningshemmeligheter økonomiske forhold som typisk driftsresultat, innkjøpsavtaler og markedsføringsplaner, mens driftshemmeligheter rammer de mer teknisk pregede forhold ved bedriften.
Det er et vilkår for straff at bruken har vært «uberettiget», som avgrenser blant annet mot tilfeller med samtykke, og der det foreligger et rettslig pålegg om å røpe hemmeligheten. I tillegg må det foreligge hensikt for å kunne straffes for å ha satt andre i stand til å gjøre bruk av hemmeligheten.
Paragraf 294 nr. 3 ble tilføyd i 1972 i forbindelse med vedtakelsen av lov om kontroll med markedsføring og avtalevilkår (lov 16. juni 1972 nr. 47). Den utvidet det strafferettslige vernet for bedriftshemmeligheter gjennom å ramme tilfeller der slike ble misbrukt av personer som hadde fått rede på hemmeligheter i egenskap av å være tekniske eller merkantile konsulenter. Det er også her et vilkår at bruken har vært uberettiget.
Strafferammen for både nr. 2 og 3 er bot eller fengsel inntil seks måneder. Medvirkning er straffbar så fremt den har form av forledelse eller tilskynding. Det følger av § 294 annet ledd at påtale bare finner sted i de tilfeller hvor både fornærmede begjærer det og allmenne hensyn tilsier det.
Straffeloven 1902 § 405 a ble også vedtatt i forbindelse med markedsføringsloven i 1972. Bestemmelsen rammer det som ofte blir omtalt som industrispionasje i egentlig forstand, se Straffelovkommisjonens uttalelser i NOU 2002: 4 på side 323. Bestemmelsen retter seg mot den som «på urimelig måte skaffer seg eller søker å skaffe seg kunnskap om eller rådighet over en bedriftshemmelighet.» I motsetning til § 294 nr. 2 og 3 fanger gjerningsbeskrivelsen dermed opp tilfeller hvor noen forsøker å få tilgang til bedriftshemmeligheter uavhengig av nåværende eller tidligere ansettelsesforhold i bedriften eller andre kontraktsforhold til denne.
Forsøk rammes på samme måte som en fullbyrdet overtredelse etter § 405 a, jf. «eller søker å skaffe seg».
Endelig finnes det også regler om bruk av bedriftshemmeligheter i næringsvirksomhet i markedsføringsloven § 7, jf. § 17 første og femte ledd. Her settes straff for den som i næringsvirksomhet rettsstridig utnytter bedriftshemmeligheter som de har fått i anledning et tjeneste-, tillitsverv- eller forretningsforhold. I følge § 17 femte ledd kan straff etter § 7 ikke anvendes når kunnskapen om eller rådigheten over hemmeligheten er oppnådd i tjenesteforholdet senest to år etter at forholdet til bedriften opphørte. Nært beslektet med § 7 er § 8 som rammer rettsstridig utnyttelse av tekniske tegninger, beskrivelser eller andre tekniske hjelpemidler. En del slike vil også utgjøre bedriftshemmeligheter etter § 7, men § 8 vil ha selvstendig betydning der det dreier seg om såkalt «know how»-kunnskap eller særegne mønster som ikke beskyttes etter mønsterloven.
Strafferammen for brudd på markedsføringsloven §§ 7 og 8 er bot eller fengsel inntil seks måneder, jf. § 17 første ledd.
2.20.2 Andre nordiske lands rett
I svensk rett blir spørsmålet regulert i en egen lov om beskyttelse av bedriftshemmeligheter, lag om skydd för företagshemligheter. I 1 § gis følgende definisjon av begrepet «företagshemlighet»: «sådan information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende.»
I følge 2 § begrenses lovens anvendelsesområde til rettsstridig innhenting av slik informasjon. Det angis i annet ledd at bestemmelsen ikke rammer at noen anskaffer, utnytter eller røper en forretningshemmelighet hos en næringsdrivende for å offentliggjøre eller avsløre overfor en offentlig myndighet et forhold som med skjellig grunn til mistanke kan antas å utgjøre et lovbrudd som kan føre til fengsel, eller for øvrig utgjør et alvorlig forhold i den aktuelle virksomhet. Straffebestemmelsen finnes i 3 §. Strafferammen er bot eller fengsel inntil to år, men er overtredelsen grov kan fengsel inntil seks år idømmes. Ved vurderingen av om lovbruddet er grovt, skal det særlig legges vekt på om gjerningen har vært farlig, omhandlet store verdier eller medført «synnerligen» skade.
I dansk rett finnes bestemmelser mot misbruk av «erhvervshemmeligheder» både i den danske straffeloven og markedsføringsloven. I markedsføringsloven § 19 forbys det å skaffe seg kjennskap til eller rådighet over en virksomhets «erhvervshemmeligheder» når man er ansatt i bedriften eller i et annet «tjeneste- eller samarbejdsforhold» til virksomheten. I § 19 stk. 2 fremgår det at heller ikke opplysninger som man har fått på en rettmessig måte om virksomhetens «erhvershemmeligheder» må bringes videre. Dette gjelder også de første tre årene etter at forholdet til bedriften ble avsluttet. Strafferammen for brudd på denne bestemmelsen er bøter eller fengsel inntil ett år og seks måneder, jf. § 30 stk. 4. Dersom det derimot foreligger «særlig skjærpende omstændigheder» kan handlingen straffes etter § 299 a i den danske straffeloven, som åpner for fengsel inntil seks år. Ved vurderingen av om slike omstendigheter foreligger, følger det av § 299 a at det særlig skal legges vekt på om handlingen har medført betydelig skade eller fare for slik skade.
I tillegg inneholder den danske straffeloven bestemmelser om «erhvervshemmeligheder» i § 263 stk. 3 og § 264 stk. 2. Paragraf 263 rammer i utgangspunktet den som krenker andres privatsfære ved blant annet å åpne eller unndra brev eller avlytte samtaler. Skjer dette i den hensikt å avsløre «erhvervshemmeligheder», kan straffen økes til fengsel inntil seks år. Paragraf 264 rammer den som skaffer seg adgang til fremmed grunn eller nekter å forlate fremmed grunn etter å ha blitt oppfordret til det. For begge bestemmelser er det en skjerpende omstendighet om formålet er å avsløre erhvervshemmeligheter.
I Finland er spørsmålene regulert i den finske straffeloven. Såkalt «företagsspioneri» reguleres av strafflagen 30 kap. 4 § og rammer den som på visse nærmere angitte måter uberettiget skaffer seg opplysninger om andres «företagshemligheter» i den hensikt uberettiget å røpe eller utnytte disse. Strafferammen følger av 4 § og er bøter eller fengsel inntil to år. I 5 § reguleres brudd på «företagshemlighet» i form av å røpe eller utnytte kunnskap om hemmeligheter man har fått del i gjennom ulike typer nærmere angitte tilknytningsformer (i nr. 1-4). Strafferammen er bot eller fengsel inntil to år. I tillegg er det i finsk rett en egen bestemmelse i 6 § om misbruk av «företagshemlighet» som rammer den som utnytter en hemmelighet som er kommet til personens kunnskap gjennom en straffbar handling, eller den som avslører en slik hemmelighet for å oppnå økonomisk vinning for seg selv eller en annen. Også her er strafferammen bot eller fengsel inntil to år.
2.20.3 Straffelovkommisjonens skisse
Kommisjonen foreslår i det vesentlige å videreføre innholdet i § 294 nr. 2 og 3 og § 405 a, men ønsker å samle dem i en felles bestemmelse. I denne er også markedsføringsloven § 7 foreslått overført for å få en best mulig sammenheng i regelverket. Utover dette foreslår den enkelte andre mindre endringer.
For det første foreslås å erstatte hensiktskravet i nr. 2 og 3 med et krav om forsett. Dette begrunnes med at taushetsbruddet også bør kunne straffes i de tilfeller gjerningspersonen holder det for overveiende sannsynlig at taushetsbruddet setter en annen i stand til å gjøre bruk av hemmeligheten, og ikke bare når det kan bevises at hensikt forelå. Dette er i tråd med kommisjonens generelle holdning om å erstatte flest mulig hensiktskrav med et krav om forsett, jf. delutredning VII side 170 flg.
Kommisjonen foreslår videre å ta inn i straffebudet en henvisning til den generelle straffebestemmelsen om brudd på taushetsplikt. I tillegg foreslås at avgrensingen av medvirkningsansvaret i § 294 nr. 2 og 3 ikke videreføres, men at hovedregelen om medvirkningsansvar i straffeloven 2005 § 15 får anvendelse.
Kommisjonen mener videre at terskelen for hva som er straffbart i § 405 a er for lav, jf. kriteriet «på urimelig måte». Den foreslår i stedet å bruke «grovt klanderverdig eller noe liknende», se delutredning VII på side 323. Kommisjonen foreslår også å la hovedregelen om forsøkshandlinger i ny straffelov § 16 gjelde, og dermed å oppheve særregelen i § 405 a.
Kommisjonen går også inn for at bestemmelsen om bedriftshemmeligheter i markedsføringsloven § 7 bør innarbeides i en felles bestemmelse om bedriftshemmeligheter i straffeloven, for å få en bedre sammenheng i regelverket. Det blir pekt på at det er stor grad av sammenfall mellom § 294 nr. 2 og 3 og markedsføringsloven § 7.
2.20.4 Høringsinstansenes syn
Én høringsinstans uttaler seg om det materielle innholdet i bestemmelsen om bedriftshemmeligheter. Agder lagmannsrett uttaler at brudd på bedriftshemmelighet ligger nær regler om utroskap og økonomisk kriminalitet i selskapsforhold, og derfor heller bør plasseres i kommisjonens forslag til kapittel 32.
2.20.5 Departementets vurdering
Det er nødvendig å ha lovbestemmelser som gjør det straffbart å avsløre bedriftshemmeligheter. Høringen har ikke påvist noe behov for store innholdsmessige endringer i gjeldende rett, og departementet slutter seg derfor til forslaget om å videreføre hovedtrekkene i straffeloven 1902.
Som påvist ovenfor er grensen mellom forretnings- og driftshemmeligheter ikke skarp. Departementet går derfor inn for å benytte begrepet forretningshemmeligheter som en fellesbetegnelse på begge tilfeller. Dette er ikke ment å innebære noen innholdsmessig endring. Også i Sverige, Finland og Danmark benyttes en tilsvarende betegnelse.
Straffelovkommisjonens forslag om å overføre bestemmelsen om bedriftshemmeligheter i markedsføringsloven § 7 til straffeloven følges opp. Som kommisjonen påpeker er bestemmelsen i stor grad sammenfallende med straffelovens bestemmelser om forretningshemmeligheter og bør derfor innarbeides i straffeloven. Det er imidlertid ønskelig også å overføre markedsføringsloven § 8 til straffeloven. Bestemmelsen omhandler ulike tekniske hjelpemidler, jf. ovenfor, og er nært knyttet til § 7.
Departementet støtter forslaget om å senke skyldkravet fra hensikt til forsett om å sette en annen i stand til å gjøre bruk av hemmeligheten. Ikke minst vil dette medføre at man unngår en del vanskelige bevisspørsmål. En slik endring er også i overensstemmelse med departementets målsetting om å begrense bruken av hensikt som vilkår for straff i straffeloven 2005. Det er også gode preventive grunner til å strafflegge en opptreden hvor gjerningspersonen holder det som overveiende sannsynlig at hans taushetsbrudd vil sette en annen i stand til å nyttiggjøre seg hemmeligheten, selv om det ikke kan påvises hensikt om dette.
Departementet slutter seg videre til forslaget fra kommisjonen om å følge hovedregelen om medvirkning i straffeloven 2005 § 15.
Når det gjelder personer som ikke lenger er tilknyttet bedriften går departementet inn for å videreføre at straffetrusselen kun skal gjelde de første to årene etter at arbeids- eller eierforholdet ble avsluttet. Spørsmålet om videreføring ble også reist, og voldte atskillig tvil, i innstillingen fra konkurranselovkomiteen fra 1966, jf. side 52-53. Det ble pekt på at en slik grense fort kunne bli tilfeldig, men samtidig ble det lagt avgjørende vekt på at beskyttelsen av bedriftshemmeligheter ville bli for lett å omgå uten en slik «sperrefrist». Departementet anser det som nødvendig å beholde en tidsmessig begrensning av straffansvaret, og har ikke funnet grunnlag for å endre gjeldende rett på dette punktet.
Når det gjelder Straffelovkommisjonens forslag til endring av terskelen for hva som skal være straffbart etter bestemmelsen som erstatter § 405 a, kan det spørres om «grovt klanderverdig» gir en for høy terskel for straffansvar. Kommisjonen gir ingen nærmere begrunnelse for forslaget, men grensen for hva som rammes i dag er noe flytende. Hvilken terskel som skulle oppstilles for bruk av straff, ble også vurdert da bestemmelsen ble vedtatt. Departementet gikk den gang opprinnelig inn for å bruke «utilbørlig», jf. Ot. prp. nr. 57 (1971-72) på side 23. Dette ble endret til «urimelig» under justiskomiteens behandling, jf. Innst. O. XIX (1971-72) på side 6. Hensikten var å ramme de subjektivt klanderverdige midlene, men et vilkår om «urimelig» ville innebære en strengere norm enn «utilbørlig». Departementet foreslår på denne bakgrunn å følge opp kommisjonens forslag om endring, men ved å bruke «utilbørlig» i den nye loven, noe som også vil være mer i samsvar med lovgivningen ellers i Norden. Dette vil også være i overensstemmelse med prinsippene for kriminalisering som er lagt til grunn for arbeidet med ny straffelov, slik at kriminaliseringen ikke skal gå lenger enn nødvendig.
Departementet finner det imidlertid mest hensiktsmessig å beholde straffebudene som i dag i hver sin bestemmelse, og foreslår derfor en egen bestemmelse tilsvarende § 405 a i straffeloven 1902, se forslaget til § 208.
Ved å beholde dagens strafferamme ville norsk rett blitt liggende på et betydelig lavere nivå enn i våre nordiske naboland, jf. ovenfor. Departementet anser det derfor nødvendig å høyne den øvre strafferammen. Samfunnsforholdene har endret seg siden bestemmelsen ble vedtatt, og denne typen lovbrudd kan få store konsekvenser for bedrifter som rammes. Departementet går inn for at overtredelse av lovforslaget § 207 skal kunne straffes med bot eller fengsel inntil to år. Den øvre del av strafferammen bør reserveres for de alvorlige tilfellene. Typiske kjennetegn på slike vil være at de har medført store skader på den rammede virksomheten, og hvor handlingen bar preg av å være planmessig utført eller hvor skadepotensialet var betydelig. Dette er momenter som er kjennetegn på de grove tilfellene i resten av Norden. På samme måte som tidligere bør strafferammen for den som rettsstridig oppnår kunnskap om eller rådighet over en bedriftshemmelighet, straffes noe mildere. Departementet mener derfor at en strafferamme på bot eller fengsel i ett år er riktig nivå for forhold som rammes av § 208.
Med de foreslåtte strafferammene følger det av § 16 at forsøk vil være straffbart.
De nye reglene i straffeloven 2005 om påtalebegjæring innebærer at ordningen med begjæring fra fornærmede som vilkår for å reise påtale, oppheves. Det vil si at spørsmålet om påtale i saker om brudd på § 207 om bedriftshemmeligheter dermed vil være avhengig av om det foreligger allmenne hensyn, jf. hovedregelen i straffeprosessloven § 62 a, se Ot.prp. nr. 90 (2003-2004) på side 59 flg.
2.21 Tilleggsprotokollen 28. januar 2003 om kriminalisering av rasistiske og fremmedfiendtlige handlinger begått via et datasystem, til Europarådets datakrimkonvensjon
Tilleggsprotokollen om kriminalisering av rasistiske og fremmedfiendtlige handlinger begått via et datasystem til Europarådets datakrimkonvensjon ble åpnet for undertegning i Strasbourg 28. januar 2003. Protokollen har to hovedformål. Det ene er å harmonisere medlemsstatenes materielle strafferett mot rasisme og fremmedfiendtlige handlinger begått via datasystemer. Begrepet datasystem skal forstås på samme måte som i konvensjonen, slik at det omfatter både enkeltstående maskiner og maskiner i nettverk. Det andre hovedformålet er å bedre det internasjonale samarbeidet på dette området. Protokollen utvider konvensjonens virkeområde til også å gjelde rasisme og fremmedfiendtlige handlinger spredt via datasystemer, og konvensjonens bestemmelser om for eksempel gjensidig hjelp og lagring av data vil også gjelde handlinger som skal kriminaliseres etter protokollen.
Datakrimutvalget ble i forbindelse med sitt arbeid med utredningen bedt om å vurdere hvilke lovendringer som var nødvendige for at Norge skulle kunne ratifisere tilleggsprotokollen. Utvalget ble også bedt om å vurdere om reservasjonsadgangen i artikkel 3, 5 og 6 i tilleggsprotokollen burde benyttes, og fremme forslag om hvordan protokollen kunne gjennomføres uten bruk av reservasjonsadgangen.
Protokollen følger som vedlegg 2 til NOU 2007: 2 (utredningen).
2.22 Datakrimutvalgets vurdering og forslag, høringsinstansenes syn
Datakrimutvalget drøftet innholdet i protokollen og forholdet til norsk rett i sin andre delutredning kapittel 7 side 128-38.
Utvalget kom her til at straffeloven 1902 § 135 a dekker forpliktelsene etter tilleggsprotokollen artikkel 3. Utvalget mente følgelig at det ikke er behov for å benytte reservasjonsadgangen. Også når det gjelder artikkel 4, 5 og 7, kom utvalget til at norsk rett oppfyller forpliktelsene. Derimot mente utvalget at norsk rett ikke dekket forpliktelsene i artikkel 6. Etter utvalgets oppfatning burde Norge derfor benytte reservasjonsadgangen. I tråd med mandatet utformet utvalget likevel et forslag til straffebud mot fornektelse mv. av folkemord og forbrytelser mot menneskeheten, se forslaget til bestemmelse om fornektelse, vesentlig minimalisering, aksept eller forsvar av folkemord eller andre forbrytelser mot menneskeheten i Datakrimutvalgets utredning side 187.
Fire av høringsinstansene kommenterte spørsmålet om undertegning og ratifikasjon av tilleggsprotokollen. Telenor syntes å slutte seg til bruk av reservasjonsadgangen i tilleggsprotokollen artikkel 6. Det samme gjaldt Datatilsynet. Også Generaladvokaten sluttet seg til bruk av reservasjonsadgangen på dette punktet. Videre hadde denne høringsinstansen en rekke merknader til utvalgets utkast til straffebud mot fornektelse, vesentlig minimalisering, aksept eller forsvar av folkemord eller forbrytelser mot menneskeheten. Norsk senter for menneskerettigheter støttet også forslaget om reservasjon mot tilleggsprotokollen artikkel 6, og fremhevet at et forbud ville bryte med norsk rettstradisjon og ideen om nordisk rettsenhet.
2.23 Departementets vurdering. Inngåelsen av tilleggsprotokollen
I kongelig resolusjon 12. februar 2008, fremmet av Utenriksdepartementet, rådet Justisdepartementet til at tilleggsprotokollen ble tiltrådt av Norge med visse forbehold. Justisdepartementets forslag til forbehold og vurdering fremgår av punkt 3 og 4 i den kongelige resolusjonen:
«3. Forslag til forbehold
Artikkel 3 nr. 1 pålegger statene å kriminalisere forsettlig rettsstridig offentlig distribusjon i et datasystem av rasistisk og fremmedfiendtlig materiale. Rasistisk og fremmedfiendtlig materiale er definert i artikkel 2. Langt på vei oppfylles denne forpliktelsen gjennom straffeloven § 135 a om hatkriminalitet, likevel slik at forpliktelsen til å kriminalisere det å forfekte eller fremme diskriminering ikke synes å være dekket etter gjeldende rett. Rettspraksis viser at ytringer som er nedsettende og diskriminerende, ikke nødvendigvis er straffbare. Derimot er ytringer som oppfordrer til diskriminerende handlinger, straffbare. Det foreslås derfor at Norge i medhold av artikkel 3 nr. 3 tar forbehold mot å anvende artikkel 3 nr. 1 i tilfeller av diskriminering der Norge, på grunn av de prinsipper for ytringsfrihet som er fastsatt i det nasjonale rettssystem, ikke har adgang til å benytte reaksjoner som nevnt i nr. 2.
Artikkel 5 nr. 1 forplikter statene til å kriminalisere offentlig fremsatte rasistiske fornærmelser. Det er uklart om plikten til å kriminalisere også omfatter ytringer som etter norsk rett ikke vil bli ansett som kvalifisert krenkende og derfor ikke vil rammes av straffeloven § 135 a om hatkriminalitet. Det foreslås derfor at Norge i medhold av artikkel 5 nr. 2 bokstav b tar forbehold mot å anvende artikkel 5 nr. 1, med unntak for så vidt gjelder handlinger som rammes av straffebestemmelser om hatkriminalitet.
Artikkel 6 nr. 1 forplikter statene til å kriminalisere distribusjon i et datasystem av materiale som fornekter, bagatelliserer, godtar eller rettferdiggjør folkemord eller forbrytelser mot menneskeheten. Dette er ytringer som i hovedsak vil være vernet av ytringsfriheten etter norsk rett. Det foreslås derfor at Norge i medhold av artikkel 6 nr. 2 bokstav b, tar forbehold mot å anvende artikkel 6 nr. 1, med unntak for så vidt gjelder handlinger som rammes av straffebestemmelser om hatkriminalitet.
4. Vurdering
Norge bør markere sin deltakelse i arbeidet med å bekjempe datakriminalitet, rasisme og fremmedfiendtlige handlinger ved å inngå tilleggsprotokollen.
Gjennomføring av protokollen i norsk rett vil ikke nødvendiggjøre lovendringer forutsatt at adgangen til å ta forbehold nedfelt i artiklene 3, 5 og 6 benyttes som beskrevet. Stortingets samtykke til ratifikasjon er derfor ikke nødvendig i medhold av Grunnloven § 26 annet ledd.
Det kan nevnes at Danmark, som per i dag er eneste nordiske land som har ratifisert protokollen, har tatt tilsvarende forbehold som det foreslås at Norge tar. Sverige, Finland og Island har undertegnet, men ikke ratifisert.
Gjennomføring av protokollen i norsk rett antas ikke å medføre økonomiske eller administrative konsekvenser av betydning.
Justisdepartementet tilrår at protokollen inngås med de nevnte forbehold. Utenriksdepartementet slutter seg til dette.»
Datakrimutvalgets subsidiære forslag til straffebud mot fornektelse mv. av folkemord og forbrytelser mot menneskeheten, er følgelig ikke fulgt opp.