2 Bakgrunn
2.1 Arbeidet med konvensjonen
Arbeidet med Europarådets konvensjon om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi ble innledet i november 1996. Styringskomiteen for strafferettslige og straffeprosessuelle spørsmål (CDPC) vedtok da å opprette en ekspertgruppe som skulle utarbeide et utkast til en konvensjon om bekjempelse av datakriminalitet.
Bakgrunnen for initiativet var en erkjennelse av at samfunnet gradvis blir mer avhengig av datateknologi, og dermed mer sårbart for nye former for kriminalitet. Utviklingen i informasjons- og kommunikasjonsteknologien åpner også for at tradisjonelle former for kriminalitet kan begås på nye måter. Datakriminalitet har ofte et betydelig skadepotensial, og oppdagelsesrisikoen er gjerne lav. Styringskomiteen så derfor behov for en konvensjon med både strafferettslige og straffeprosessuelle bestemmelser, for å sikre at lovgivningen i medlemsstatene ble bedre tilpasset til den nye tids krav. Konvensjonen burde i tillegg legge til rette for et tett internasjonalt samarbeid.
Ekspertgruppen (PC-CY) ble formelt opprettet av Europarådets ministerkomité i vedtak 4. februar 1997, og startet sitt arbeid i april samme år. I arbeidsgruppen deltok både medlemmer av Europarådet (Belgia, Bulgaria, Estland, Finland, Frankrike, Hellas, Italia, Latvia, Makedonia, Nederland, Portugal, Sverige, Tjekkia og Tyskland) og enkelte observatørstater (USA, Canada og Japan). Under forhandlingene ble det avholdt i alt 28 møter. Norge var representert på de siste møtene i arbeidsgruppen.
Konvensjonen ble vedtatt 8. november 2001, og undertegnet av Norge 23. november samme år, jf. kgl. res. 16. november 2001. Det er i dag (pr. 17. november 2004) 30 stater som har undertegnet konvensjonen, og 8 stater som har ratifisert den. Blant konvensjonsstatene er ikke bare medlemmer av Europarådet, men også USA, Canada, Japan og Sør-Afrika.
Konvensjonen trådte i kraft 1. juli 2004.
Etter at arbeidet med konvensjonen ble avsluttet, er det i tillegg utarbeidet en tilleggsprotokoll om kriminalisering av rasistiske og fremmedfiendtlige handlinger som er begått ved hjelp av et datasystem. Protokollen rammer bl.a. spredning av rasistiske ytringer og rasistisk motiverte trusler. Tilleggsprotokollen ble vedtatt 28. januar 2003, men er foreløpig ikke undertegnet av Norge. Departementet går derfor foreløpig ikke inn på de spørsmål som denne protokollen reiser, men vil i tilfelle komme tilbake til disse i en senere proposisjon.
Det gjøres nærmere rede for konvensjonens innhold i punkt 2.5.
2.2 Datakrimutvalgets utredning (NOU 2003: 27 Lovtiltak mot datakriminalitet)
Regjeringen oppnevnte ved kongelig resolusjon 11. januar 2002 et utvalg for å utrede lovtiltak mot datakriminalitet (Datakrimutvalget). Den første delutredningen, NOU 2003: 27 Lovtiltak mot datakriminalitet, ble avgitt til departementet 2. november 2003. I utredningen fremmer utvalget i samsvar med sitt mandat forslag til gjennomføring av Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi (IKT) i norsk rett. Datakrimutvalget skal arbeide videre med en bredere gjennomgåelse av straffeloven og straffeprosessloven for å avdekke om det er behov for ytterligere lovendringer for å bekjempe datakriminalitet mer effektivt. Delutredningen om dette vil blant annet bli fulgt opp som ledd i departementets arbeid med den spesielle delen i en ny straffelov.
2.3 Departementets høringsbrev 2. februar 2004
Datakrimutvalgets utredning ble sendt på høring 2. februar 2004 med høringsfrist 3. mai 2004.
Datakrimutvalget anbefalte at Norge på noen punkter reserverer seg eller avgir en erklæring om at forpliktelsene i konvensjonen ikke vil bli gjennomført fullt ut. I høringsbrevet ga departementet uttrykk for at Norge ikke bør reservere seg på flere punkter enn strengt nødvendig. Departementet ba i lys av dette særskilt om høringsinstansenes syn på noen utvalgte problemstillinger.
Dette gjaldt for det første om anskaffelse av barnepornografi ved hjelp av et datasystem burde kriminaliseres uttrykkelig ved å føye til «anskaffelse» i gjerningsbeskrivelsen i straffeloven § 204 første ledd bokstav d. Departementet antok at det ikke var noe stort behov for en slik endring ettersom gjerningsbeskrivelsen i bokstav d allerede har et vidt nedslagsfelt, men at pedagogiske grunner likevel kunne tale for å endre loven. Dette forslaget er fulgt opp i en egen proposisjon med forslag til en straffebestemmelse som utelukkende retter seg mot barnepornografi. Forslaget til lovendring er utformet generelt slik at all anskaffelse av barnepornografi rammes, ikke bare anskaffelse ved hjelp av et datasystem.
For det annet spurte departementet i høringsbrevet om straffeloven § 145 annet ledd bør endres slik at vilkåret om beskyttelsesbrudd ble fjernet. I så fall vil det ikke være behov for å avgi en erklæring i tilknytning til artikkel 2, slik utvalget går inn for.
Et tredje spørsmål som ble reist i høringsbrevet, var om utleveringsloven § 24 bør endres slik at en begjæring fra utenlandske myndigheter om å utferdige et sikringspålegg, ikke er avhengig av at handlingen som strafforfølges i utlandet også er straffbar i Norge. I mangel av en slik lovendring vil Norge måtte reservere seg mot artikkel 29 nr. 4, slik utvalget går inn for.
Departementet ba særskilt om høringsinstansenes syn på kriminalisering av ulike former for befatning med utstyr som kan brukes til å begå nærmere bestemte straffbare handlinger som nevnt i konvensjonen artikkel 2 til 5, for eksempel ulovlig datainnbrudd.
På et punkt gikk departementet i høringsbrevet etter en foreløpig vurdering inn for at Norge i første omgang bør reservere seg, men at spørsmålet bør utredes nærmere av Datakrimutvalget. Dette gjaldt spørsmålet om å endre straffeloven § 216 b slik at trafikkdata kan innhentes som ledd i etterforskningen av flere straffbare forhold enn i dag.
2.4 Høringen
Utredningen ble sendt på høring til følgende adressater:
Departementene
Høyesterett
Lagmannsrettene
Oslo tingrett, Asker og Bærum tingrett, Bergen tingrett, Ryfylke tingrett, Sunnmøre tingrett, Nord-Troms tingrett
Domstoladministrasjonen
Riksadvokaten
Statsadvokatembetene
Politidirektoratet
Politiets sikkerhetstjeneste
ØKOKRIM
Generaladvokaten
Barneombudet
Forbrukerombudet
Datatilsynet
Konkurransetilsynet
Kredittilsynet
Amnesty International Norge
Det juridiske fakultet, UiB
Det juridiske fakultet, UiO
Det juridiske fakultet, UiTø
Den Norske Advokatforening
Den Norske Dataforening
Den norske Dommerforening
Det kriminalitetsforebyggende råd (KRÅD)
Forbrukerrådet
Forsvarergruppen av 1977
Institutt for rettsinformatikk, UiO
Juridisk rådgivning for kvinner (JURK)
Juss Hjelpa i Nord-Norge
Juss-Buss
Jussformidlingen i Bergen
Kontor og Datateknisk Landsforening
Kommunenes Sentralforbund (KS)
Landsorganisasjonen i Norge (LO)
NetCom GSM AS
Norges Juristforbund
Norges Lensmannslag
Norsk forening for Jus og EDB
Norsk forening for kriminalreform (KROM)
Norsk Senter for Menneskerettigheter
Norsk Tele- og Informasjonsbrukerforening
Næringslivets Hovedorganisasjon (NHO)
Politiembetsmennenes Landsforening
Politiets fellesforbund
Rettspolitisk forening
Redd Barna
Statsadvokatenes forening
Straffedes organisasjon i Norge (SON)
Telenor
Tele2 Norge AS
Følgende instanser har kommet med realitetsmerknader til høringen:
Barne- og familiedepartementet
Nærings- og handelsdepartementet
Samferdselsdepartementet
Utenriksdepartementet
Barneombudet
Riksadvokaten
Politidirektoratet
Datatilsynet
Konkurransetilsynet
ØKOKRIM
Den norske Dommerforening
Den Norske Advokatforening
Vedlagt høringsuttalelsen fra Politidirektoratet er uttalelser fra KRIPOS, Politiets data- og materielltjeneste og følgende politidistrikter: Oslo, Asker og Bærum, Gudbrandsdal, Haugaland og Sunnhordland, Sør-Trøndelag og Troms.
Generaladvokaten tiltrer i det alt vesentligste utvalgets forslag. Direktoratet for samfunnsberedskap og sikkerhet har ingen innvendinger mot departementets vurderinger i høringsbrevet.
Følgende høringsinstanser har opplyst at de ikke har merknader til høringsbrevet:
Arbeids- og administrasjonsdepartementet
Forsvarsdepartementet
Helsedepartementet
Kommunal- og regionaldepartementet
Sosialdepartementet
Utdannings- og forskningsdepartementet
Høyesterett
Politiets sikkerhetstjeneste
Forbrukerrådet
Nasjonal sikkerhetsmyndighet
Det juridiske fakultet, Universitetet i Oslo
Landsorganisasjonen i Norge (LO)
Innholdet i høringsuttalelsene blir behandlet i tilknytning til de enkelte lovforslagene. Hovedinntrykket etter høringen er at høringsinstansene er positive til forslagene om lovendringer som gjør det mulig for Norge å ratifisere konvensjonen. Høringsinstansene er mer delt i synet på hvilke punkter Norge bør reservere seg mot konvensjonsforpliktelsene.
2.5 Nærmere om Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi (IKT)
2.5.1 Innledning
I det følgende gis en kort oversikt over hovedinnholdet i konvensjonen. Konvensjonen i engelsk originaltekst og norsk oversettelse er inntatt som trykt vedlegg til proposisjonen. På de punktene hvor det er eller kan være aktuelt å endre loven, blir det gitt en mer detaljert gjennomgåelse av de aktuelle konvensjonsbestemmelsene, jf. punkt 3.2.1 (artikkel 2), 3.3.1 (artikkel 6) og 4.2.1 (artikkel 16 og 17) nedenfor. Mer utfyllende merknader til konvensjonen går frem av utvalgets utredning og av den forklarende rapporten til konvensjonen, som er tilgjengelig på Europarådets nettsider (http://conventions.coe.int/Treaty/en/Reports/Html/185.htm).
2.5.2 Hovedinnholdet i konvensjonen
I fortalenuttrykker partene sin felles bekymring for utviklingen av IKT-kriminalitet, og understreker behovet for nye lovtiltak og styrket internasjonalt samarbeid.
Artikkel 1 definerer uttrykkene «computer system», «computer data», «service provider» og «traffic data».
Artikkel 2 - 10 pålegger partene å kriminalisere ulike former for samfunnskadelig bruk av informasjons- og kommunikasjonsteknologi, blant annet
datainnbrudd ( artikkel 2),
dataavlytting ( artikkel 3),
dataskadeverk ( artikkel 4),
systemskadeverk ( artikkel 5),
besittelse og spredning av tilgangsmidler, hackerprogramvare mv. ( artikkel 6),
datarelatert falsk ( artikkel 7),
datarelatert bedrageri ( artikkel 8),
befatning med barnepornografi ( artikkel 9),
immaterialrettskrenkelser ( artikkel 10).
Artikkel 11 pålegger partene å kriminalisere forsøk på og medvirkning til forbrytelsene som er nevnt i artikkel 2 - 10.
Artikkel 12 pålegger partene å gi regler som gjør det mulig å holde foretak ansvarlig for handlinger begått av ledende ansatte som handler på vegne av foretaket, og for handlinger begått av underordnete som følge av manglende tilsyn eller kontroll.
Artikkel 13 pålegger partene å sørge for at de forbrytelsene som konvensjonen nevner, skal kunne straffes på en effektiv, proporsjonal og avskrekkende måte, blant annet ved bruk av frihetsstraff.
Artikkel 14 angir rekkevidden av de prosessuelle bestemmelsene. Konvensjonen skal ikke bare gjelde under etterforskningen av de forbrytelser som er nevnt i artikkel 2 - 11, men også ved etterforskning av andre forbrytelser som er begått ved hjelp av et datasystem eller i saker hvor bevis kan være lagret i elektronisk form.
Artikkel 15 slår fast at de tvangsmidlene som konvensjonen gir anvisning på, skal utformes og gjennomføres på en måte som er forenelig med statspartenes interne straffeprosess og med nærmere angitte traktatbestemmelser om menneskerettigheter.
Artikkel 16 pålegger partene å gi regler om midlertidig sikring av lagrede data.
Artikkel 17 pålegger partene å sørge for at reglene om midlertidig sikring kan anvendes uten hensyn til hvor mange tjenestetilbydere som var involvert i dataoverføringen. I tillegg pålegges partene å sørge for at myndighetene uten videre skal kunne få utlevert de trafikkdataene som er nødvendige for å spore hvor dataene kom fra, og hvor de eventuelt ble sendt til.
Artikkel 18 pålegger partene å gi regler om utlevering av elektronisk lagrede data. Slike utleveringspålegg skal kunne rettes mot både privatpersoner og tjenestetilbydere.
Artikkel 19 pålegger partene å gi regler om ransaking og beslag av datasystemer og lagringsmedier.
Artikkel 20 pålegger partene å gi regler om avlytting av trafikkdata i sanntid, dvs. mens bruken skjer.
Artikkel 21 pålegger partene å åpne for avlytting av innholdsdata under etterforskningen av alvorlige forbrytelser.
Artikkel 22 gir regler om jurisdiksjon.
Artikkel 23 slår fast at konvensjonsstatene skal samarbeide i så stor utstrekning som mulig under etterforskningen av saker om IKT-kriminalitet.
Artikkel 24 slår bl.a. fast at de forbrytelsene som er nevnt i artikkel 2 - 11, skal gi grunnlag for utlevering såfremt de har en strafferamme på fengsel i minst ett år.
Artikkel 25 slår bl.a. fast at partene så langt det er mulig, skal yte hverandre bistand under etterforskningen av saker om IKT-kriminalitet.
Artikkel 26 slår fast at partene uoppfordret kan sende hverandre informasjon som kan komme til nytte under en pågående etterforskning i en annen stat. Den stat som sender informasjon fra seg, kan kreve at opplysningene behandles konfidensielt og kan knytte vilkår til overføringen.
Artikkel 27 gir regler om saksbehandlingen i saker om gjensidig bistand, som skal gjelde hvor annet ikke er avtalt mellom partene.
Artikkel 28 gir den anmodede stat rett til å kreve at de opplysninger den gir fra seg, skal behandles konfidensielt og ikke brukes i andre saker enn den henvendelsen gjaldt.
Artikkel 29 bestemmer at en stat kan anmode en annen stat om å sikre data midlertidig. Begjæringen kan avslås hvis den gjelder et politisk lovbrudd, eller hvor begjæringen strider mot den anmodede stats suverenitet, sikkerhet, ordre public eller andre grunnleggende hensyn, jf. artikkel 29 nr. 5. Begjæringen kan også avslås om den gjelder et forhold som ikke er straffbart etter vedkommende lands rett, med mindre det er tale om en handling som nevnt i artikkel 2 til 11.
Artikkel 30 innebærer at en stat kan anmode en annen stat som har vært involvert i en kommunikasjonsoverføring, å utlevere nok trafikkdata til å kunne avgjøre hvilken tjenestetilbyder som ble benyttet. Begjæringen kan bare avslås hvis den gjelder et politisk lovbrudd, eller strider mot den anmodede stats suverenitet, sikkerhet, ordre public eller andre grunnleggende hensyn.
Artikkel 31 innebærer at en stat kan anmode en annen stat om å ransake, beslaglegge og utlevere data som er lagret i den anmodede stat, inkludert data som er sikret i medhold av artikkel 29.
Artikkel 32 slår fast at en stat bare kan skaffe seg tilgang til data som er lagret på en annen stats territorium hvis dataene enten er åpent tilgjengelige for offentligheten, eller hvis vedkommende stat har innhentet samtykke fra den som har rådigheten over dataene.
Artikkel 33 forplikter statspartene til å bistå hverandre ved innhenting av trafikkdata i sanntid.
Artikkel 34 innebærer at statspartene skal bistå hverandre ved avlytting av innholdsdata i sanntid.
Artikkel 35 pålegger partene å opprette et kontaktpunkt som skal være tilgjengelig 24 timer i døgnet, 7 dager i uken (24/7-nettverk), og som skal bistå med tekniske råd, sikring av data etter artikkel 29 og 30, innsamling av bevis mv.
Artikkel 36 slår fast at konvensjonen kan tiltres både av stater som er medlemmer av Europarådet og av stater som ikke er det. Bestemmelsen gir også nærmere regler om når konvensjonen trer i kraft.
Artikkel 37 regulerer adgangen til å tiltre konvensjonen etter at den har trådt i kraft. Etter denne bestemmelsen kan Ministerkomiteen, med enstemmig samtykke fra konvensjonsstatene, etter nærmere regler invitere stater som ikke er medlemmer av Europarådet til å slutte seg til konvensjonen.
Artikkel 38 gir partene anledning til å angi det territorium eller de territorier konvensjonen skal gjelde for.
Artikkel 39 regulerer forholdet mellom konvensjonen og enkelte andre folkerettslige instrumenter.
Artikkel 40 gir regler om hvordan partene skal gå frem om de ønsker å avgi erklæringer i tilknytning til enkelte av bestemmelsene i konvensjonen.
Artikkel 41 gir enkelte særregler for forbundsstater.
Artikkel 42 gir regler om hvordan partene skal gå frem dersom de ønsker å ta forbehold mot enkelte av bestemmelsene i konvensjonen.
Artikkel 43 slår fast at en part kan trekke tilbake hele eller deler av en reservasjon ved å underrette Generalsekretæren.
Artikkel 44 innebærer at Ministerkomiteen etter nærmere regler kan endre konvensjonen etter forslag fra en konvensjonsstat.
Artikkel 45 gir regler om tvisteløsning.
Artikkel 46 pålegger partene å gjennomføre periodiske konsultasjoner med sikte på å utveksle erfaringer, vurdere om det er behov for endringer mv.
Artikkel 47 gir regler om hvordan partene skal gå frem dersom de ønsker å tre ut av konvensjonen.
Artikkel 48 angir enkelte forhold som Europarådet skal underrette statspartene om.