Ot.prp. nr. 40 (2004-2005)

Om lov om endringer i straffeloven og straffeprosessloven og om samtykke til ratifikasjon av Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi (lovtiltak mot datakriminalitet)

Til innholdsfortegnelse

3 Konvensjonens straffebestemmelser

3.1 Innledning

Norsk strafferett er i det alt vesentlige i samsvar med de krav konvensjonen stiller. Datakrimutvalget la således til grunn at det ikke var behov for andre lovendringer enn dem som artikkel 6 gjør nødvendig, noe høringsinstansene har sluttet seg til. Departementet er enig i dette. Forpliktelsene i artikkel 3 til 5 er allerede gjennomført i straffeloven § 145 annet ledd og §§ 291 og 292, mens artikkel 7, 8 og 10 er gjennomført i straffeloven § 182, § 270 første ledd nr. 2 og åndsverkloven § 54. Når det særskilt gjelder skadeverk, er for øvrig utvalgets lovforståelse i samsvar med det syn Høyesterett bygger på i kjennelse 17. oktober 2004 (HR-2004-01807-A). Artikkel 9 om barnepornografi er som nevnt fulgt opp i en egen proposisjon. En nærmere gjennomgåelse av konvensjonens straffebestemmelser og av de tilsvarende norske straffebestemmelsene, er gitt i utredningens punkt 2.

Departementet kommer nærmere tilbake til artikkel 6 i punkt 3.3 nedenfor. Aller først er det naturlig å drøfte om det er grunn til å følge opp forslaget i høringsbrevet om å endre straffeloven § 145 annet ledd om datainnbrudd, jf. artikkel 2.

3.2 Datainnbrudd

3.2.1 Konvensjonsforpliktelsen

Konvensjonen artikkel 2 gjelder datainnbrudd og lyder slik:

«Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system.»

Bestemmelsen pålegger konvensjonsstatene å sette straff for den som rettsstridig skaffer seg tilgang til hele eller deler av et datasystem, uavhengig av om vedkommende har gjort seg kjent med innholdet av de data som datainnbruddet har gitt tilgang til. Det skal være uten betydning for straffbarheten om innbruddet retter seg mot en enkeltstående datamaskin eller en maskin i et nettverk, jf. definisjonen av «computer system» i artikkel 1 bokstav a.

Konvensjonen rammer som nevnt bare den som urettmessig skaffer seg tilgang til et datasystem, jf. «without right». Den som etter avtale med eieren begår eller forsøker å begå et datainnbrudd for å teste sikkerheten, faller dermed utenfor bestemmelsens virkeområde, iallfall i den utstrekning han ikke går lenger enn avtalen forutsetter. Utenfor faller dermed også det å skaffe seg tilgang til de delene av et datasystem som er ment å være åpne for allmennheten. Den som leser en nettavis, rammes naturligvis ikke av artikkel 2.

Det er overlatt til statspartene selv å bestemme om straffansvar skal være betinget av at det er brutt en beskyttelse, at handlingen er begått i en bestemt hensikt eller at den retter seg mot en datamaskin i et nettverk.

3.2.2 Gjeldende rett

Datainnbrudd rammes av straffeloven § 145 annet ledd, som lyder:

«Det samme gjelder som ved å bryte en beskyttelse eller på lignende måte uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller tekniske hjelpemidler.»

Uttrykket «data» skal forstås vidt, og omfatter all slags maskinlesbar informasjon, f.eks. om personlige, tekniske eller økonomiske forhold. Det kreves ikke at informasjonen i seg selv er av konfidensiell art, jf. Ot.prp. nr. 35 (1986-87) s. 20. Med «programutrustning» menes instruksjonene til en datamaskin, altså dataprogrammer. Alternativet er strengt tatt overflødig ved siden av alternativet «data», siden et dataprogram nødvendigvis består av data.

Bestemmelsen rammer bare den som «ved bryte en beskyttelse eller på lignende måte uberettiget skaffer seg adgang til data eller programutrustning». I forarbeidene begrunnes dette slik, jf. NOU 1985: 31 Datakriminalitet s. 31:

«Tanken bak bestemmelsen er at det primært hviler på innehaveren av anlegget å sørge for beskyttelse mot innsyn fra uberettigede. Først når det er tatt rimelige foranstaltninger i så måte, kan han kreve hjelp fra strafferettsapparatet.»

En praktisk form for «beskyttelse» vil være bruk av passord. Den som uberettiget gjør bruk av en annens passord, har ikke brutt en beskyttelse, men vil etter omstendighetene kunne rammes av alternativet «på annen tilsvarende måte» dersom handlingen fremstår som «kvalifisert uberettiget», jf. Ot.prp. nr. 35 (1986-87) s. 20.

Det er ikke et vilkår for straff at gjerningspersonen har gjort seg kjent med dataene eller programutrustningen. Etter bestemmelsen er det tilstrekkelig at hun eller han har skaffet seg adgang til dem.

Bestemmelsen rammer både data som er lagret, og data som er under overføring. Det siste vil kunne være aktuelt ved avlytting.

Strafferammen er bøter eller fengsel inntil 6 måneder, jf. § 145 første ledd. Skyldkravet er forsett, jf. § 40. Forsøk og medvirkning er straffbart, jf. straffeloven § 49 og § 145 fjerde ledd.

3.2.3 Utvalgets forslag

Utvalget drøfter forholdet mellom artikkel 2 og straffeloven § 145 annet ledd på side 14-15 i utredningen. Utvalget mener for det første at anvendelsesområdet til straffeloven § 145 er tilstrekkelig vidt til å dekke kravene i artikkel 2. Det drøfter deretter om strafferammen i § 145 er streng nok, og går inn for å endre bestemmelsen slik at overtredelser kan straffes med fengsel inntil 6 måneder eller bøter eller begge deler.

Utvalget peker på at dersom vilkåret i § 145 om beskyttelsesbrudd skal videreføres, slik utvalget går inn for, må Norge avgi en erklæring om dette i henhold til konvensjonen artikkel 40 jf. artikkel 2 annet punktum.

3.2.4 Høringsbrevet

I høringsbrevet ber departementet høringsinstansene vurdere om det fremdeles bør være et vilkår for straff at det foreligger et beskyttelsesbrudd. Departementet peker blant annet på at den tilsvarende bestemmelsen i den danske straffeloven ikke oppstiller noe slikt krav, og at den kraftige økningen i bruk av datasystemer til kommunikasjon gjør at muligheten for å skaffe seg uberettiget adgang til data er større nå enn i 1985, da spørsmålet sist ble vurdert i Norge.

3.2.5 Høringsinstansenes syn

De fleste høringsinstansene som har uttalt seg om spørsmålet, gir uttrykk for at det ikke lenger bør være et vilkår for straff at det foreligger et beskyttelsesbrudd. Dette gjelder Nærings- og handelsdepartementet, Utenriksdepartementet, Politidirektoratet, ØKOKRIM, Asker og Bærum politidistrikt, Troms politidistrikt, Haugaland og Sunnhordland politidistrikt og Datatilsynet.

Nærings- og handelsdepartementet viser til at også privatpersoner som ikke beskytter sine data har behov for et strafferettslig vern, og at man ved å fjerne beskyttelsesvilkåret i § 145 vil kunne oppnå at elektronisk kommunikasjon i mindre grad blir misbrukt. Nærings- og handelsdepartementet mener kravet om forsett vil føre til at en slik endring ikke vil lede til at straffansvaret rekker for vidt:

«Vi legger ... til grunn at forsettkravet vil medføre at dersom en bruker tilfeldigvis, og uten viten og vilje, kommer inn på et datasystem som ikke er det han vanligvis benytter, vil ikke denne handlingen medføre strafferettslig ansvar så lenge brukeren trer tilbake straks han oppdager at han er inne på et system som han kan ha rimelig grunn til å tro at han ikke har tilgang til.»

Også Utenriksdepartementet anbefaler at vilkåret om beskyttelsesbrudd fjernes fra straffeloven § 145 for å styrke enkeltpersoners strafferettslige vern av privat kommunikasjon. Asker og Bærum politidistrikt gjør gjeldende at bestemmelsen om datainnbrudd bør verne også dem som ikke har ressurser til å installere sikkerhetstiltak:

«Dette vil sørge for at det også oppnås et strafferettslig vern for 'de små' private innehavere av dataanlegg (de som ikke ser seg i stand til å benytte ressurser til beskyttelsestiltak).»

Flere høringsinstanser støtter forslaget under henvisning til bestemmelsene om tyveri, som ikke krever at den fornærmede har truffet spesielle beskyttelsestiltak. ØKOKRIM uttaler blant annet:

«Straffeloven har relativt liten beskyttelse mot 'tyveri' av informasjon. Bestemmelsene om forretnings-, drifts- og bedriftshemmeligheter i straffeloven §§ 294 nr. 2 og 405 a har begrenset anvendelsesområde og/eller relativt lave straffer, iallfall sammenlignet med tyveri av gjenstander. Misbruksbestemmelsene i straffeloven §§ 261 og 391 rammer den som utnytter datamaskinressurser hos andre, og ikke direkte det å skaffe eller tilegne seg informasjon/data. Åndsverksloven regulerer åndsverk og nærstående rettigheter og gir kun eneretter til eksemplarfremstilling og tilgjengeliggjøring for allmennheten. Straffeloven §§ 291 og 292 kan ramme endring eller sletting av data, men ikke det at informasjon/data kopieres eller tilegnes. Straffeloven §§ 275 og 276 om utroskap er i utgangspunktet begrenset til personer med en lederstilling eller en viss posisjon.

ØKOKRIM ... har registrert en økning i henvendelser som gjelder 'tyveri' av informasjon ved hjelp av en datamaskin, men hvor det vanskelig kan sier å foreligge brudd på en beskyttelse. Et typeeksempel er en utro tjener i en bedrift som uberettiget kopierer ut informasjon til en konkurrent.

I en tid hvor man tillegger IKT-tjenester stadig større verdi, bør det strafferettslige vern om data i hvert fall være på linje med det man har for gjenstander, og som kjent stilles det ikke noe vilkår om at en gjenstand skal være beskyttet for at det skal være tale om tyveri.

Etter vår oppfatning bør straffeloven inneholde en regel om rettsstridig adgang til data som er lagret eller som er under overføring. Beskyttelsesbrudd, skadeforvoldelse eller vinnings hensikt bør være straffskjerpende omstendigheter, sml. utformingen av strl § 258 om grovt tyveri.

[...]

Bestemmelsen om informasjonstilegnelse gjelder en handling som er beslektet med tyveri. Bestemmelsen bør derfor inntas i strl kap 24. Regelen om beskyttelsesbrudd gjelder handlinger som rammer datasikkerheten som sådan. Dette kan sammenlignes med et skadeverk (kap 28), men er primært anslag mot det samfunnsmessige behov for et sikkert system for informasjonsutveksling. Plassering i kapitlet om almenfarlige forbrytelser (kap 13) som i dag, er derfor antakelig korrekt plassering. Her er også regelen om fysisk innbrudd plassert (strl § 147).

Vi mener også at strl § 262 om beskyttelsesbrudd overfor betalingsbelagte tjenester i form av data som overføres (vernede tjenester), burde integreres i den nye bestemmelsen om informasjonstilegnelse. Det at krenkelsen skjer ved beskyttelsesbrudd og i vinnings hensikt er dermed skjerpende omstendigheter. I dag inneholder straffeloven to bestemmelser som slår ned på beskyttelsesbrudd overfor data som overføres, nemlig strl § 145 annet ledd og strl § 262. Den tekniske fremgangsmåten for å oppnå den uberettigede tilgangen er avgjørende for subsumsjonen. Er det tale om privatdekoding av en film på TV hjemme i stuen, skal strl § 262 anvendes, mens strl § 145 annet ledd skal anvendes dersom tilgangen skaffes ved innbrudd i en database på internett. Denne fragmenteringen av regelverket virker ikke velgrunnet og leder til uklarhet om rekkevidden av bestemmelsene.»

Politidirektoratet slutter seg til disse synspunktene, og tilføyer at det forutsetter en viss datakyndighet å sette opp beskyttelse mot datainnbrudd.

Også Datatilsynet støtter forslaget, og begrunner sitt syn med at den som behandler personopplysninger med elektroniske hjelpemidler bør ha et strafferettslig vern selv om datasystemet ikke sikres slik personopplysningsloven krever. Det peker på at personopplysningene som noen uberettiget tilegner seg, ofte gjelder andre enn den som har forsømt å beskytte systemet.

Oslo politidistrikt går imot forslaget og begrunner det med at det er enkelt å beskytte datasystemer mot misbruk.

Også Den Norske Advokatforening er kritisk til forslaget, og ber om at Datakrimutvalget vurderer spørsmålet som ledd i arbeidet med den andre delutredningen. Synspunktet støttes av Den norske Dommerforening.

Politidirektoratet støtter for øvrig utvalgets forslag om å heve strafferammen til «bøter eller fengsel inntil 6 måneder eller begge deler», slik at tvangsmidler kan benyttes i henhold til konvensjonens artikkel 14 nr. 2.

3.2.6 Departementets syn

I lys av høringen er det etter departementets syn naturlig å se spørsmålet om å endre straffeloven § 145 annet ledd i sammenheng med reglene om uberettiget tilegnelse av informasjon, selv om disse regelsettene retter seg mot ulike stadier av et hendelsesforløp og heller ikke fullt ut varetar de samme hensyn. Ulike former for «informasjonstyveri» synes å utgjøre et økende samfunnsmessig problem, som det kan være grunn til å møte med nye lovtiltak. På bakgrunn av særlig ØKOKRIMs høringsuttalelse, som får støtte av Politidirektoratet, ser departementet et klart behov for å utrede nærmere om data i dag har et for svakt strafferettslig vern sammenlignet med for eksempel vernet mot tyveri av fysiske gjenstander. Å vurdere dette og eventuelt utforme en helt ny bestemmelse som rammer urettmessig tilegnelse av informasjon, slik ØKOKRIM foreslår, er imidlertid en oppgave av en slik art at det er naturlig å la den gå inn i Datakrimutvalgets videre arbeid. Det synes med andre ord som om reformbehovet innenfor dette feltet strekker seg utover en eventuell endring av straffeloven § 145 annet ledd slik som skissert i høringsbrevet. Spørsmålet blir da om det er et mer akutt behov for å følge opp forslaget i høringsbrevet (å fjerne beskyttelsesvilkåret) allerede nå, eller om også dette mer avgrensede spørsmålet best kan følges opp i Datakrimutvalgets andre delutredning, slik Advokatforeningen og Dommerforeningen foreslår.

Selv om de fleste høringsinstansene som har uttalt seg om spørsmålet går inn for å fjerne vilkåret om beskyttelsesbrudd, underbygger ikke høringen at det er noe påtrengende behov for foreslå en slik lovendring nå. Det vil være en fordel at problemstillingen blir vurdert i en bredere sammenheng. Departementet foreslår derfor ikke nå å fjerne dette vilkåret i straffeloven § 145 annet ledd. Dette innebærer i tilfelle at det må avgis en erklæring i samsvar med artikkel 40, jf. punkt 5 nedenfor.

Departementet er enig med utvalget og Politidirektoratet i at straffen for overtredelsen av bestemmelsen bør skjerpes noe, og tiltrer utvalgets forslag. Dette vil sikre at det kan brukes straffeprosessuelle tvangsmidler i den utstrekning konvensjonen krever.

3.3 Ulovlig spredning av tilgangsdata - artikkel 6

3.3.1 Konvensjonsforpliktelsen

Artikkel 6 gjelder besittelse og spredning av visse dataprogrammer, tilgangsdata mv. («misuse of devices») og lyder:

  1. «Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right:

    1. the production, sale, procurement for use, import, distribution or otherwise making available of:

      1. a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with the above Articles 2 through 5;

      2. a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed

        with intent that it be used for the purpose of committing any of the offences established in articles 2 through 5; and

    2. the possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches.

  2. This article shall not be interpreted as imposing criminal liability where the production, sale, procurement for use, import, distribution or otherwise making available or possession referred to in paragraph 1 of this article is not for the purpose of committing an offence established in accordance with Articles 2 through 5 of this Convention, such as for the authorised testing or protection of a computer system.

  3. Each Party may reserve the right not to apply paragraph 1 of this article, provided that the reservation does not concern the sale, distribution or otherwise making available of the items referred to in paragraph 1 a.ii of this article.»

Artikkel 6 nr. 1 bokstav a (i) pålegger konvensjonsstatene å sette straff for produksjon, salg, kjøp, import, distribusjon og andre former for spredning av dataprogrammer og andre innretninger som er utformet eller tilpasset for å kunne begå straffbare handlinger som nevnt i artikkel 2 til 5. I underpunkt ii rammes tilsvarende former for befatning med passord, tilgangskoder og lignende data som er egnet til å gi tilgang til hele eller deler av et datasystem. Plikten til å straffesanksjonere gjelder likevel bare overfor den som har til hensikt å begå en av de handlingene som er nevnt i artikkel 2 til 5.

Artikkel 6 nr. 1 bokstav b rammer den som besitter tilgangsmidler eller innretninger som nevnt i bokstav a (i) og (ii), i den hensikt å begå en straffbar handling som nevnt i artikkel 2 til 5.

Artikkel 6 nr. 2 gjentar at konvensjonsstatene ikke har noen plikt til å kriminalisere den som besitter eller sprer hackerverktøy eller tilgangsmidler mv. uten å ha til hensikt å begå en straffbar handling. Etter artikkel 6 nr. 3 kan en konvensjonsstat reservere seg mot å gjennomføre enkelte av forpliktelsene i artikkel 6 nr. 1. Reservasjonsadgangen omfatter imidlertid ikke salg, distribusjon og andre former for spredning av tilgangsdata, jf. artikkel 6 nr. 1 bokstav a (ii).

3.3.2 Gjeldende rett

I norsk lovgivning finnes det ingen straffebestemmelse som fullt ut dekker de handlingene som er beskrevet i artikkel 6. Straffeloven § 317 om heleri og § 262 om dekodingsinnretninger dekker deler av gjerningsinnholdet. Det samme gjør åndsverkloven § 54 a. I tillegg vil flere av handlingene som er beskrevet i artikkel 6, etter omstendighetene kunne rammes som forsøk på eller medvirkning til andre forbrytelser, for eksempel datainnbrudd etter straffeloven § 145 annet ledd.

Den som besitter eller sprer et passord eller lignende tilgangsdata som er ervervet ved en straffbar handling, vil kunne straffes etter straffeloven § 317 om heleri. Bestemmelsen rammer den som «mottar eller skaffer seg eller andre del i utbytte av en straffbar handling, eller som yter bistand til å sikre slikt utbytte for en annen». Med «utbytte» menes «noe som har vært fremskaffet ved en straffbar handling eller som på annen måte står i nær sammenheng med en straffbar handling», jf. Ot.prp. nr. 53 (1992-93) s. 24-25. I Rt. 1995 s. 1872 la Høyesterett til grunn at også en PIN-kode vil kunne være utbytte i lovens forstand dersom koden «har økonomisk betydning og er egnet til å bli disponert over». Tilsvarende må antakelig gjelde passord og andre former for tilgangskoder.

Også straffeloven § 262 kan få anvendelse på enkelte av handlingene som omfattes av artikkel 6. Etter første ledd rammes den som besitter eller sprer en dekodingsinnretning i den hensikt å skaffe noen uautorisert tilgang til en vernet tjeneste, for eksempel kodete radio- og fjernsynssignaler. Uttrykket «dekodingsinnretning» er definert i tredje ledd. Etter forarbeidene vil både PIN-koder og andre data som gir tilgang til vernede tjenester, kunne være dekodingsinnretninger i lovens forstand, jf. Ot.prp. nr. 51 (2000-2001) s. 14.

Åndsverkloven § 54 a jf. § 54 setter straff for «omsetning av, eller besittelse i ervervsøyemed av et hvilket som helst middel hvis eneste formål er å gjøre det lettere ulovlig å fjerne eller omgå tekniske innretninger til beskyttelse av et datamaskinprogram».

Disse straffebestemmelsene må suppleres med reglene om forsøk og medvirkning. Den som overlater et datavirus til en annen for at vedkommende skal begå skadeverk, jf. straffeloven § 291, vil kunne straffes for medvirkning dersom han regner det for sikkert eller overveiende sannsynlig at hovedmannen kommer til å begå skadeverk, og at hans eget bidrag vil stå i et medvirkende årsaksforhold til dette, jf. Husabø, Straffansvarets periferi (Bergen 1999) s. 239-240. Det samme gjelder hvor et dataprogram eller et passord legges ut på internett, selv om vedkommende på gjerningstidspunktet ikke vet med sikkerhet om programmet eller passordet vil bli brukt til å begå skadeverk eller datainnbrudd, og i tilfelle av hvem. Kommer hovedmannen bare til forsøksstadiet, for eksempel fordi datainnbruddet ikke lykkes, vil medvirkeren kunne straffes for medvirkning til forsøk. Og dersom hovedmannen ennå ikke har passert forsøkspunktet, eller dersom medvirkerens bidrag ikke sto i noe medvirkende årsaksforhold til det etterfølgende skadeverket, vil medvirkeren etter omstendighetene kunne straffes for forsøk på medvirkning.

3.3.3 Er det behov for lovendringer?

Datakrimutvalget la til grunn at artikkel 6 gjør det nødvendig med lovendringer, jf. NOU 2003: 27 s. 19. Det viste til at straffeloven § 317 bare gjelder utbytte av straffbare handlinger. Bestemmelsen rammer ikke den som tilfeldigvis har funnet eller gjettet seg frem til et passord, og som deretter sprer det til andre. Straffeloven § 262 gjelder bare passord som gir tilgang til vernete tjenester. Bestemmelsen rammer ikke passord som gir tilgang til andre former for data, for eksempel bedriftshemmeligheter eller sensitive personopplysninger.

Ingen av høringsinstanseneer uenige med Datakrimutvalget på dette punkt.

Etter departementets syn kan det ikke være tvilsomt at artikkel 6 gjør det nødvendig med lovendringer, slik også Straffelovkommisjonen la til grunn i NOU 2002: 4 Ny straffelov s. 319. Dette gjelder selv om reservasjonsadgangen i artikkel 6 nr. 3 benyttes, og selv om man tar hensyn til at flere av de handlingene konvensjonen omfatter, vil kunne rammes som forsøk på eller medvirkning til andre straffbare handlinger.

3.3.4 Bør reservasjonsadgangen benyttes?

3.3.4.1 Utvalgets forslag

I NOU 2003: 27 blir spørsmålet om og i tilfelle i hvilken utstrekning Norge bør benytte reservasjonsadgangen i artikkel 6 nr. 3 drøftet på s. 19-21. Utvalget tar utgangspunkt i at man i Norge har vært tilbakeholdende med å sette straff for forberedelseshandlinger, jf. utredningen side 20:

«Slike handlinger krenker normalt ikke beskyttelsesverdige interesser, og det kan være usikkert om den straffbare handlingen som forberedes, vil bli gjennomført. I straffeloven finnes det derfor bare få bestemmelser som retter seg mot forberedelseshandlinger. De fleste av disse gjelder alvorlige straffbare handlinger, for eksempel anslag mot rikets sikkerhet (straffeloven § 94) og andre terrorhandlinger (straffeloven § 147 a fjerde ledd). En nærmere oversikt er gitt i Husabø, Straffansvarets periferi, s. 316-336.»

Etter å ha gjort rede for sitt prinsipielle syn på kriminalisering av forberedelseshandlinger, går utvalget over til å drøfte om besittelse av innretninger som nevnt i artikkel 6 nr. bokstav a (i) bør kriminaliseres. Utvalget peker på at det er en latent risiko for at den som besitter skadevoldende dataprogrammer vil spre dem til andre, også uforvarende, men mener at denne risikoen ikke kan begrunne at besittelsen kriminaliseres. Det legger dessuten vekt på at grensen for hva som er straffbart i for stor grad vil bero på subjektive forhold, og at en slik «sinnelagsstrafferett» er uheldig. I samme retning trekker at en straffebestemmelse som rammer besittelse av slike dataprogrammer indirekte vil øke kontrollnivået i den private sfære, fordi en slik bestemmelse vil åpne for bruk av tvangsmidler. På denne bakgrunn mener utvalget at Norge bør reservere seg mot å oppstille straffansvar for besittelse av visse dataprogrammer. Utvalget går heller ikke inn for å kriminalisere det å gjøre slike innretninger tilgjengelige for andre, og legger blant annet vekt på at slike handlinger ofte vil kunne rammes av reglene om straffbar medvirkning og forsøk.

3.3.4.2 Høringsinstansenes syn

Følgende høringsinstanser uttrykker generell støtte til utvalgets forslag om å benytte reservasjonsadgangen etter artikkel 6 nr. 3 fullt ut: Den Norske Advokatforening, Oslo politidistrikt, Asker og Bærum politidistriktog Nærings- og handelsdepartementet.

Oslo politidistrikt begrunner sitt syn slik:

«Oslo politidistrikt viser til utvalgets begrunnelse, og er enig i at man bør benytte reservasjonsadgangen i artikkel 6. Kriminalisering av hardware/software som kan tenkes å skulle brukes til straffbare handlinger eller er egnet til dette, er betenkelig. En kriminalisering på dette feltet vil kunne hindre utvikling og vil medføre økt kontroll (også fra private aktører med opphavsrettsinteresser) og mistenkeliggjøring av borgerne.»

Enkelte høringsinstanser gir uttrykk for at Norge i denne omgang bør reservere seg, slik utvalget har foreslått, men at spørsmålet bør vurderes på ny som ledd i Datakrimutvalgets videre arbeid. Dette gjelder Politidirektoratet, Troms politidistrikt og Datatilsynet.

ØKOKRIM gir for sin del uttrykk for at «forholdet til art 6 bør vurderes på nytt», og uttaler videre:

«Det bør i større grad enn Datakrimutvalget har gjort, fokuseres på den skaderisiko som datavirus, hackerverktøy og liknende dataprogrammer innebærer for samfunnet. Produksjon, spredning og bruk av slik programvare er et misbruk av datateknologiens iboende svakheter (som skaper sårbarheter). Gjerningene påfører samfunnet enorme kostnader og underminerer blant annet den tillit som er nødvendig for realisering av den politiske målsetting om utvikling av ehandel. Parallellen til for eksempel sprengstoff (utredningen s 20, 1. sp), hvor besittelse er gjort straffbar i straffeloven § 161, er nærliggende. Datavirus, hackerverktøy og liknende dataprogrammer kan betraktes som 'elektronisk sprengstoff'. Bruken av dem representerer et enormt samfunnsmessig problem, og det er derfor overraskende at Datakrimutvalget ikke har vurdert konvensjonen artikkel 6 mer grundig på dette punkt.

ØKOKRIMs erfaring er at det er nødvendig å kunne gjøre straffansvar gjeldende overfor dem som tilgjengeliggjør hackerverktøy m.v. Medvirknings- og forsøksreglene gir ikke klare grenser for rekkevidden av straffansvaret i dag og har vist seg utstrekkelige i praksis. Det er behov for et klarere regelverk på området, hvor grensen for det straffbare tydelig markeres. Det antas at klare regler i seg selv vil kunne ha en preventiv effekt i forhold til tilgjengeliggjøring, siden en del av denne aktiviteten sannsynligvis er basert på at gjerningspersonene opplever at de opererer i et straffritt område, i høyden en juridisk gråsone, slik at risikoen for strafforfølgning er minimal.»

3.3.4.3 Departementets syn

Artikkel 6 innebærer en forpliktelse til å kriminalisere forberedelseshandlinger. I Ot.prp. nr. 90 (2003-2004) Om lov om straff (straffeloven) s. 104 har departementet gitt uttrykk for enkelte prinsipielle synspunkter når det kriminalisering av slike handlinger.

En forberedende handling ligger som oftest lenger fra den umiddelbart samfunnskadelige handling enn et straffbart forsøk på en slik handling. Dette gjør forberedelseshandlingene mindre straffverdige. Den forbryterske vilje har normalt ikke manifestert seg så sterkt at det bør føre til straff. Forberedelsene kan være begått før gjerningspersonen har bestemt seg for om han vil begå lovbruddet eller ikke. Og selv om han har bestemt seg, er sannsynligheten for at han vil ombestemme seg når hemninger og motforestillinger melder seg, større enn ved forsøk. Risikoen for at handlingen krenker beskyttelsesverdige interesser er derfor mindre. Dette taler for å kreve en tungtveiende begrunnelse for å sette straff for forberedelseshandlinger. I samme retning trekker ønsket om ikke å knytte grensen for det straffbare i for stor grad til rent subjektive forhold. Mange handlinger, som for eksempel et innkjøp i en jernvarehandel, kan være en del av forberedelsene til en alvorlig straffbar handling, men er sannsynligvis en forberedelse til lovlige aktiviteter. Forskjellen ligger på det subjektive plan: Det blir avgjørende for straffbarheten om gjerningspersonen har til hensikt eller iallfall forsett om å begå en senere straffbar handling som innkjøpet er en forberedelse til. At grensen mellom forberedelse til samfunnsskadelige handlinger og forberedelser til helt uskyldige handlinger i stor grad beror på sinnelaget til personen som begår dem, taler generelt med tyngde imot at slike handlinger skal kriminaliseres.

Dette synspunktet får imidlertid mer begrenset bærekraft når den aktuelle forberedelseshandlingen i større utstrekning enn helt hverdagslige handlinger bidrar til å kaste lys over gjerningspersonens forsett. Det vil eksempelvis kunne være tilfelle dersom en person anskaffer seg et dataprogram eller en annen innretning som har et meget begrenset lovlig bruksområde. Mens en tapetkniv og andre verktøy har et vell av lovlige bruksområder, er situasjonen en annen når det gjelder ulike former for hackerverktøy mv. som er særlig egnet til å begå straffbare handlinger. Et straffebud som retter seg mot det å besitte slike innretninger, vil dermed være mer treffsikkert enn et straffebud som retter seg mot mer dagligdagse handlinger. Heller ikke når det gjelder besittelse av passord og andre tilgangsmidler, vil rent subjektive forhold få avgjørende betydning. Departementet antar at tilknytningsforholdet mellom den som har passordet i sin besittelse og den som disponerer det datasystemet som passordet knytter seg til, ofte vil kunne gi en viss veiledning ved vurderingen. Er det ingen rimelig og fornuftig grunn til at den mistenkte har passordet, kan det ofte tyde på at han allerede har begått eller er i ferd med å planlegge en straffbar handling.

Også andre momenter gjør det forsvarlig å kriminalisere de forberedelseshandlingene som omfattes av artikkel 6. Innretninger av den type som det her er tale om, kan brukes til å begå alvorlige straffbare handlinger. Den som sprer et datavirus kan lett forvolde betydelig skade, især dersom det sprer seg ukontrollert. Den som benytter et passord eller et hackerverktøy til å begå et datainnbrudd, vil i prinsippet kunne skaffe seg tilgang til opplysninger av betydning for rikets sikkerhet, eller til datasystemer av betydning for samfunnets energiforsyning, samferdsel eller muligheter for elektronisk kommunikasjon. Også i andre tilfeller kan et datainnbrudd krenke viktige samfunnsmessige eller private interesser, uavhengig av om det ledsages av et etterfølgende skadeverk eller av andre straffbare handlinger. Et datainnbrudd overfor en virksomhet eller en tilfeldig privatperson kan avsløre bedriftshemmeligheter eller sensitive personopplysninger. Og selv om inntrengeren logger seg av straks innbruddet er fullbyrdet, vil selve inntrengningen kunne gjøre det nødvendig å gjennomgå hele eller deler av datasystemet av sikkerhetsmessige grunner, som vil i sin tur vil legge beslag på ressurser hos den fornærmede. Som allerede disse eksemplene viser, knytter det seg et betydelig skadepotensiale til det å besitte innretninger av denne type.

De skadevirkningene som departementet hittil har pekt på, berører ikke utelukkende dem som rammes av den straffbare handlingen, men har også en side mot folks tillit til og bruk av elektronisk kommunikasjon. Dersom det fester seg et inntrykk av at elektronisk kommunikasjon er mindre trygt enn det reelt sett er, vil det i sin tur kunne få forskjellige negative konsekvenser, bl.a. for fremveksten av e-handelen og for annen teknologiavhengig verdiskaping i samfunnet.

Departementet viser videre til at oppdagelsesrisikoen ved datainnbrudd og annen datakriminalitet foreløpig ser ut til å være relativt lav. Dette har antakelig ikke bare sammenheng med at etterforskningen av disse sakene kan være teknisk komplisert, men også at politiet vil kunne ha behov for opplysninger og bistand fra andre lands politimyndigheter. Det forekommer også at handlingen er begått fra utlandet. Mange datainnbrudd blir for øvrig aldri oppdaget, mens andre blir ikke anmeldt - enten fordi den fornærmede ikke finner det bryet verd, eller av frykt for tap av omdømme. Disse forholdene bidrar til å svekke den preventive virkningen av eksisterende straffebud.

Etter departementets syn taler både det betydelige skadepotensialet, hensynet til tilliten til elektronisk kommunikasjon som kommunikasjonsform og den tilsynelatende lave oppdagelsesrisikoen for at det bør det være straffbart å besitte hackerverktøy og andre tilsvarende innretninger. En slik straffebestemmelse lar seg ikke bare forsvare ut fra de prinsippene for kriminalisering som det er redegjort for i Ot.prp. nr. 90 (2003-2004) s. 88 flg. Det vil også lette det internasjonale samarbeidet i saker som gjelder datakriminalitet, især hvor samarbeidet er betinget av at den handlingen som det er tale om, er straffbar også etter norsk rett. Departementet nevner for øvrig, uten at det har vært avgjørende, at slike handlinger allerede er straffbare etter dansk rett.

Et mulig argument mot en kriminalisering er at det foreløpig er usikkert om den straffbare handling som planlegges, vil bli gjennomført. Mange vil føle en viss psykologisk barriere mot å bevege seg fra et forberedende stadium til å begå selve den straffbare handlingen. Overfor dem som aldri skrider til verket, kan det hevdes at det å sette straff for besittelsen av hensyn til skadepotensialet ved handlinger han ikke har begått, i en viss utstrekning vil fortone seg som straff for ugjort gjerning. Etter departementets syn er det imidlertid grunn til å tro at den psykologiske barrieren mot å begå datakriminalitet normalt vil være mindre enn når det gjelder andre former for kriminalitet. Dette henger dels sammen med den måten slike forbrytelser blir begått på, men også at det ikke alltid knytter seg noen sosial fordømmelse til det å begå straffbare handlinger over nettet. I enkelte miljøer kan det tvert om knytte seg status til det å begå et datainnbrudd eller et dataskadeverk. Slike forhold kan bidra til at gjerningspersonen lettere enn ellers realiserer sin plan. Det kan også forekomme at gjerningspersonen ikke er klar over at handlingen er straffbar etter norsk rett, især når den retter seg mot datamaskiner i utlandet. I så fall vil heller ikke straffens preventive virkning avholde ham eller henne fra å begå handlingen.

Departementet har på denne bakgrunn kommet til at det bør settes straff for besittelse av passord og hackerverktøy mv.

Departementet går så over til å drøfte spørsmålet om det bør settes straff for å gjøre slike innretninger tilgjengelige for andre.

I Datakrimutvalgets utredning ble det foreslått at heller ikke slike handlinger kriminaliseres. Etter departementets syn har de momentene som det er vist til i drøftelsen ovenfor, minst like stor gjennomslagskraft i spredningstilfellene. Som også utvalget viser til, innebærer spredningen at den som sender et passord eller et hackerverktøy til en annen eller legger det ut på et nettsted som er åpent for allmennheten, selv mister kontrollen over hva dataene brukes til. Informasjon på internett kan når som helst lastes ned av hvem som helst hvor som helst i verden, herunder av organiserte kriminelle grupper eller terrorister. Skadepotensialet ved en slik handling er derfor betydelig, samtidig som oppdagelsesrisikoen vil være beskjeden ved dataangrep fra utlandet. Også spredning bør derfor kriminaliseres. Siden slike handlinger ofte er straffbare allerede etter reglene om forsøk og medvirkning, vil en slik utvidelse innebære en forholdsvis beskjeden nykriminalisering.

3.3.5 Nærmere om utformingen av bestemmelsen

3.3.5.1 Utvalgets forslag

I utredningen forslås det at artikkel 6 nr. 1 bokstav a (ii) blir gjennomført i en ny straffebestemmelse, jf. side 19 flg.:

«Etter artikkel 6 nr. 3 er statene forpliktet til å kriminalisere salg, distribusjon og annen spredning av passord, tilgangskoder mv. som gir adgang eller tilgang til et datasystem. Det første spørsmålet som da oppstår, er om konvensjonens forpliktelse bør gjennomføres gjennom en endring av én eller flere eksisterende straffebestemmelser, eller gjennom en ny bestemmelse.

Så vidt utvalget kan se, er det ingen straffebestemmelse i straffeloven som fra før rammer lignende forhold som det artikkel 6 retter seg mot. Å endre straffeloven §§ 317 eller 262 er av flere grunner uaktuelt. Den nye straffebestemmelsen bør derfor plasseres i et nytt straffebud, for eksempel som ny § 145 b.»

Utvalget foreslår at bestemmelsens objektive gjerningsinnhold utformes slik at den «ikke begrenses til å gjelde passord, men må gjelde alle former for data som kan gi tilgang til hele eller deler av et datasystem». Til spørsmålet om hvilke former for befatning med tilgangsdata som bør omfattes, uttaler utvalget:

«Etter konvensjonen må straffebudet iallfall ramme det å selge, distribuere eller på annen måte gjøre slike data tilgjengelige for andre. Statene kan derimot velge om også produksjon, import, anskaffelse til bruk (jf. artikkel 6 nr. 1 bokstav a) og besittelse (jf. artikkel 6 nr. 1 bokstav b) skal rammes. Etter utvalgets syn er det imidlertid neppe tilstrekkelig grunn til å kriminalisere dette, og viser i den forbindelse til de prinsipielle synspunkter det ble gjort rede for i punkt 1.3.1 ovenfor. - Medvirkning straffes på samme måte, jf. konvensjonen artikkel 11 nr. 1.»

Ved drøftelsen av skyldkravet, går utvalget inn på spørsmålet om det bør kreves en bestemt form for hensikt, eller om det bør være tilstrekkelig med alminnelig forsett. Utvalget legger avgjørende vekt på at også forsettlige overtredelser er straffverdige:

«Det å spre passord mv. kan etter utvalgets oppfatning være straffverdig selv om gjerningspersonen ikke har til hensikt å begå en forbrytelse, siden forsettskravet vil innebære at han må ha holdt det for sikkert eller overveiende sannsynlig at noen vil bruke det til å begå en straffbar handling. Til dette kommer at et hensiktskrav vil skape bevisproblemer for påtalemyndigheten, som i sin tur vil kunne bidra til å redusere straffebudets praktiske betydning. Alminnelig forsett bør derfor være tilstrekkelig.»

Utvalget foreslår at strafferammen i normaltilfellene bør settes til bøter eller fengsel inntil 6 måneder eller begge deler, men med straff av fengsel inntil 2 år ved grove overtredelser.

Endelig foreslår utvalget at bestemmelsen bør føyes til på listen over straffebud som nevnes i straffeloven § 12 nr. 3. Begrunnelsen er særlig at datakriminalitet ofte har et internasjonalt preg.

3.3.5.2 Høringsinstansenes syn

Den eneste høringsinstansen som direkte berører forslaget til gjennomføringen av artikkel 6 er ØKOKRIM, som fremhever at forslaget materielt sett ikke rekker langt nok, og at en «ny bestemmelse bør kunne baseres nokså direkte på teksten i konvensjonen art 6».

3.3.5.3 Departementets syn

Departementet er enig med utvalget i at artikkel 6 bør gjennomføres i en ny straffebestemmelse, som foreslås som ny § 145 b i straffeloven. Det finnes ingen bestemmelse som fra før rammer tilsvarende forhold som det konvensjonen retter seg mot. Især gjelder dette dersom konvensjonsbestemmelsen blir gjennomført fullt ut, slik departementet går inn for. Siden det er et nært slektskap mellom de enkelte elementene i artikkel 6, holder departementet fast ved at det er naturlig å samle reglene i ett straffebud. Også pedagogiske hensyn taler for en slik løsning.

Når det gjelder bestemmelsens objektive gjerningsinnhold, må man først ta stilling til hvordan objektet for den straffbare handling skal utformes.

Artikkel 6 nr. 1 bokstav a (i) rammer ulike former for befatning med «a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with the above Articles 2 through 5». Det fremgår av bestemmelsen at uttrykket «device» iallfall omfatter dataprogrammer, f.eks. ulike former for hackerverktøy. Mer tvilsomt er det om artikkel 6 også omfatter fysiske innretninger, f.eks. innretninger til bruk for avlytting av data som overføres til en datamaskin fra et tastatur eller som overføres til andre over nettet. Antakelig omfatter konvensjonen enhver logisk eller fysisk innretning som er særlig egnet ved overtredelse av artikkel 2 til 5. For å sikre at Norge lojalt oppfyller sine folkerettslige forpliktelser er lovutkastet utformet i samsvar med det.

Artikkel 6 nr. 1 bokstav a (ii) rammer ulike former for befatning med «a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed». Departementet er enig med utvalget i at bestemmelsen må utformes slik at den gjelder alle former for data som kan gi tilgang til hele eller deler av et datasystem, typisk et passord. Det bør være uten betydning om tilgangsdataene er bærere av tall, symboler eller bokstaver, om disse i kombinasjon er meningsbærende, og om dataene er kryptert. Bestemmelsen bør heller ikke være begrenset til å gjelde data som brukeren selv taster inn i datasystemet, men bør også omfatte data som genereres maskinelt ved irisavlesning, avlesning av fingeravtrykk eller stemmeregistrering.

Det neste spørsmålet er hvilke befatningsformer som skal rammes. Etter artikkel 6 nr. 1 bokstav a må straffebudet iallfall ramme det «the production, sale, procurement for use, import, distribution or otherwise making available of» de aktuelle tilgangsdataene eller innretningene. Etter bokstav b skal dessuten «possession» rammes. Flere av kategoriene overlapper hverandre. Etter departementets syn vil det være tilstrekkelig om den norske gjennomføringsbestemmelsen rammer befatningsformene fremstille, anskaffe, besitte eller gjøre tilgjengelig for andre.

Straffansvar kan bare komme på tale der den aktuelle befatningsformen er uberettiget. Har anskaffelsen, fremstillingen, besittelsen eller spredningen tilstrekkelig hjemmel i lov, avtale eller annet rettsgrunnlag, skal den ikke rammes av straffebestemmelsen. En datasikkerhetsansvarlig vil derfor straffritt kunne være i besittelse av et hackerverktøy, selv om verktøyet vil være særlig egnet til å begå datainnbrudd. Det samme gjelder innretninger man lovlig kan besitte i henhold til utkastet til ny § 53 a i åndsverkloven.

Når det gjelder skyldkravet, blir spørsmålet om det bør kreves at gjerningspersonen har til hensikt å begå straffbare handlinger, slik konvensjonen legger opp til, eller om det bør være tilstrekkelig med alminnelig forsett. Departementet er enig med utvalget i at også rent forsettlige overtredelser av bestemmelsen er straffverdige. Det bør derfor ikke kreves at handlingen er begått med en bestemt hensikt, jf. også NOU 2002: 4 Ny straffelov s. 175-176.

Datakrimutvalget foreslo å sette strafferammen til bøter eller fengsel i 6 måneder eller begge deler. For grove tilfeller foreslo utvalget en strafferamme på fengsel i 2 år. Departementet slutter seg til utvalgets vurderinger på dette punkt. Forslaget innebærer at strafferammen for overtredelse av utkastet til ny § 145 b normalt ikke vil overstige strafferammen for noen av de lovbrudd som forberedelseshandlingen knytter seg til, men den kan etter omstendighetene være lavere. Bakgrunnen for det er at en forberedelseshandling er mindre straffverdig enn en fullbyrdet forbrytelse. Både hensynet til forholdsmessighet mellom lovbrudd og straff (proporsjonalitet) og hensynet til forholdsmessighet mellom straffen for ulike lovbruddstyper (ekvivalens) taler derfor for en slik løsning.

Når det gjelder bestemmelsens stedlige virkeområde, er departementet enig med utvalget i at bestemmelsen bør føyes til straffeloven § 12 nr. 3, og kan i den forbindelse slutte seg til utvalgets begrunnelse. Datakriminaliteten er utpreget grenseløs. Tilføyelsen vil innebære at utkastet til ny § 145 b vil kunne ramme handlinger som er begått i utlandet av norske statsborgere eller andre som er hjemmehørende i Norge.

Til forsiden