Ot.prp. nr. 40 (2004-2005)

Om lov om endringer i straffeloven og straffeprosessloven og om samtykke til ratifikasjon av Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi (lovtiltak mot datakriminalitet)

Til innholdsfortegnelse

7 Merknader til de enkelte bestemmelsene

7.1 Til endringene i straffeloven

Til § 12

Forslaget innebærer at § 145 annet ledd og ny § 145 b tas med i oppregningen i § 12 første ledd nr. 3 bokstav a.

Endringene innebærer at overtredelser av disse bestemmelsene som er begått i utlandet av norske statsborgere eller andre som er hjemmehørende i Norge, vil kunne strafforfølges i Norge.

Til § 145

Strafferammen for brevbrudd og datainnbrudd foreslås hevet til bøter eller fengsel inntil 6 måneder eller begge deler. Om bakgrunnen for forslaget vises det til punkt 3.2.

Endringen i strafferammen vil åpne for bruk av tvangsmidler etter straffeprosessloven, herunder pålegg om midlertidig sikring av elektroniske postsendinger etter forslaget til ny § 215 a i straffeprosessloven.

Til ny § 145 b

Utkastet til første ledd bokstav arammer forskjellige former for befatning med «passord eller andre data som kan gi tilgang til et datasystem». Uttrykket er funksjonelt avgrenset, og omfatter alle data som kan gi tilgang til ulike fysiske eller logiske nivåer i et datasystem. Det er uten betydning om tilgangsdataene er bærere av tall, symboler eller bokstaver, om disse i kombinasjon er meningsbærende, og om dataene er kryptert. Bestemmelsen er ikke begrenset til å gjelde data som brukeren selv taster inn i datasystemet, men omfatter også data som genereres maskinelt ved for eksempel irisavlesning, avlesning av fingeravtrykk eller stemmeregistrering.

Første ledd bokstav b rammer forskjellige former for befatning med «dataprogrammer og andre innretninger som er særlig egnet til å begå straffbare handlinger som retter seg mot data eller datasystemer». Bestemmelsen vil typisk ramme forskjellige former for datavirus og hackerverktøy. Uttrykket «innretninger» skal imidlertid forstås vidt, og omfatter enhver logisk eller fysisk innretning som er særlig egnet til å begå straffbare handlinger som retter seg mot data eller datasystemer. I uttrykket «særlig egnet» legger ikke bare et krav til at innretningen funksjonelt sett må være spesielt godt egnet til å begå straffbare handlinger av den type lovutkastet nevner, men også at dette må fremstå som innretningens mest fremtredende egenskap.

Det fremgår innledningsvis av bestemmelsen at loven rammer den som «fremstiller, anskaffer, besitter eller gjør tilgjengelig for andre» tilgangsdata eller innretninger som nevnt i bokstavene a eller b. Alternativet «fremstiller» vil bl.a. omfatte den som lager dataprogrammer av den typen som loven nevner. Alternativet «anskaffer» vil få selvstendig betydning ved siden av alternativet «besitter» i de tilfeller hvor en innretning er bestilt, men ennå ikke levert, eller hvor en nedlasting fra nettet mislykkes, jf. straffeloven § 49 første ledd. Uttrykket «gjør tilgjengelig» omfatter både det å overlate tilgangsdata eller hackerverktøy til en annen (for eksempel via e-post), og det å gjøre slike data eller programmer tilgjengelig for en ubestemt krets av personer (for eksempel på internett). Spredningen kan skje direkte, ved at selve passordet sendes til en annen, eller indirekte, ved at man sprer URL-adresser eller lenker til nettsteder hvor passordet finnes eller som angir på hvilket nettsted opplysningen ligger tilgjengelig. Det er uten betydning hvor mange ledd man i tilfelle må igjennom. Spredningen kan for øvrig skje mot eller uten vederlag.

Utkastet til første ledd krever at den aktuelle befatningsformen må være «uberettiget». Har fremstillingen, anskaffelsen, besittelsen eller spredningen tilstrekkelig hjemmel i lov, avtale eller annet rettsgrunnlag, rammes den ikke av bestemmelsen. En datasikkerhetsansvarlig vil derfor straffritt kunne være i besittelse av et hackerverktøy, selv om verktøyet vil være særlig egnet til å begå datainnbrudd. Det samme gjelder innretninger man lovlig kan besitte i henhold til utkastet til ny § 53 a i åndsverkloven.

Skyldkravet er forsett, jf. straffeloven § 40. Den som uforvarende kommer i skade for å spre et datavirus som en følge av at hans egen datamaskin er infisert, vil dermed ikke kunne straffes for selve spredningen.

Utkastet til annet ledd skjerper strafferammen i grove tilfeller til fengsel inntil 2 år. Ved avgjørelsen av om overtredelsen er grov, nevner lovutkastet tre forhold det særlig skal legges vekt på i vurderingen. For det første vil det være av betydning om tilgangsdataene kan gi tilgang til sensitive opplysninger, for eksempel opplysninger av betydning for rikets sikkerhet, enkelte bedriftsinterne opplysninger og visse personopplysninger, inkludert personopplysninger som nevnt i personopplysningsloven § 2 nr. 8. Slike opplysninger har et særskilt krav på vern, og vil derfor ofte være undergitt lovbestemt eller instruksfastsatt taushetsplikt. Ved anvendelsen av annet ledd vil det imidlertid være tilstrekkelig at opplysningen etter sin art og sammenhengen den inngår i har en sensitiv karakter. For det annet skal det legges vekt på om spredningen er omfattende, siden dette vil øke risikoen for at noen skaffer seg uberettiget tilgang eller begår skadeverk mv. For det tredje vil det ha betydning om handlingen skaper fare for betydelig skade. Både økonomiske og ikke-økonomiske skadevirkninger skal tas i betraktning.

Oppregningen i annet ledd er ikke uttømmende. Også andre momenter vil derfor etter omstendighetene kunne få betydning for om overtredelsen er grov, for eksempel om spredningen er skjedd mot vederlag eller som ledd i organisert kriminalitet.

Medvirkning er straffbart, jf. utkastet til tredje ledd. Den som for eksempel stiller datautstyr til disposisjon for en annen og som samtidig regner det for sikkert eller overveiende sannsynlig at utstyret skal brukes til å laste ned hackerverktøy eller spre datavirus, vil dermed kunne straffes dersom straffbarhetsvilkårene for øvrig er oppfylt.

7.2 Til endringene i straffeprosessloven

Til § 199 a

Forslaget gir politiet adgang til å pålegge enhver som har befatning med et datasystem å bistå med opplysninger i forbindelse med ransakingen av datasystemet. I disse ransakingssituasjonene er det et spesielt stort behov for bistand for at politiet skal kunne gjennomføre ransakingen. Bestemmelsen er teknologinøytral. Om begrepet «datasystem», se punkt 1.4.

Det følger at utkastet til første ledd at opplysningsplikt kan pålegges enhver som har befatning med datasystemet. Ved ransaking av datasystemer til virksomheter med eget IT-personale vil det være naturlig å rette pålegget mot disse personene. Personkretsen som kan pålegges opplysningsplikt er imidlertid ikke begrenset til bestemte profesjonsgrupper.

Omfanget av opplysningsplikten er begrenset til det som er nødvendig for å gi tilgang til datasystemet. Med tilgang til datasystemet menes også tilgang til data som er lagret i systemet. Slik tilgang kan for eksempel kreve at politiet gis opplysninger om tilgangskoder.

En person kan bare pålegges å gi «nødvendige» opplysninger, dvs. opplysninger som er påkrevd for at politiet skal få tilgang til datasystemet.

Videre begrenses opplysningsplikten av det alminnelige forholdsmessighetsprinsippet i straffeprosessloven § 170 a. Om forholdsmessighetsvurderingen, se punkt 3.4.3.3. Opplysningsplikt kan bare pålegges dersom det er tilstrekkelig grunn til det. Bruk av opplysningsplikt kan som utgangspunkt bare sies å være velbegrunnet dersom plikten er egnet til å gi den ønskede virkningen, det vil si lette gjennomføringen av ransakingen, og det ikke finnes mindre inngripende, alternative virkemidler som er like egnede. Dernest må forholdsmessigheten av bruk av opplysningsplikt vurderes. Forholdsmessighetsvurderingen kan etter omstendighetene forutsette en avveining av flere ulike hensyn, som for eksempel hensynet til den opplysningsplikten rettes mot, hensynet til etterforskningen og hensynet til besitteren av opplysningene eller den opplysningene gjelder. I normaltilfellene vil imidlertid pålegg om opplysningsplikt være så lite tyngende at det ikke kan anses uforholdsmessig.

Brudd på opplysningsplikten kan straffes med bøter, jf. straffeloven § 339 nr. 1. Slik departementets forslag er utformet, vil imidlertid ikke en siktet kunne straffes i medhold av denne bestemmelsen. En tilsvarende avveining ligger til grunn for straffeloven § 132 tredje ledd.

Til ny § 215 a

Forslaget til denne nye bestemmelsen gir hjemmel for midlertidig sikring av elektronisk lagrede data som ledd i etterforskningen av straffesaker. Om bakgrunnen for bestemmelsen, se punkt 4.2.1. En regel om sikringspålegg har en viss innholdsmessig sammenheng med reglene i straffeprosessloven § 216, og bør etter departementets syn plasseres rett foran denne.

Det fremgår av utkastet til første leddat påtalemyndigheten kan gi pålegg om sikring av elektronisk lagrede data som antas å ha betydning som bevis. Det er et grunnvilkår at sikringspålegget skjer som ledd i etterforskning, slik at vilkårene i § 224 forutsettes å være oppfylt. Dette går frem av sammenhengen i loven, men er sagt uttrykkelig for ordens skyld.

Med «sikring» menes ethvert tiltak som ivaretar de aktuelle dataenes integritet, tilgjengelighet og autentisitet. Sikring kan skje ved at det tas kopi av de data saken gjelder, eller ved at de aktuelle dataene gjøres utilgjengelige for andre enn den pålegget retter seg mot. Det vil kunne variere hvilken form for sikring som er mest hensiktsmessig i det enkelte tilfellet.

Et sikringspålegg kan omfatte alle former for «data», uten hensyn til om de er bærere av tall, symboler eller bokstaver, om disse i kombinasjon er meningsbærende og om dataene er kryptert. Bestemmelsen omfatter dermed både trafikkdata og innholdsdata, herunder filer med lyd, bilder eller tekst. Det er imidlertid et vilkår at de aktuelle dataene foreligger i elektronisk lagret form på det tidspunkt sikringspålegget utferdiges. Et sikringspålegg kan dermed ikke gis virkning fremover i tid, i motsetning til en beslutning om kommunikasjonskontroll etter straffeprosessloven §§ 216 a og 216 b.

Bestemmelsen gir ikke uten videre hjemmel til å sikre alle elektronisk lagrede data med tilknytning til saken. Det er et vilkår at dataene «antas å ha betydning som bevis» i en straffesak. Dette vilkåret skal tolkes på samme måte som det tilsvarende vilkåret i straffeprosessloven § 203 om beslag. Rettspraksis og andre rettskildefaktorer i tilknytning til § 203 vil dermed være av betydning ved tolkningen av utkastet til ny § 215 a.

Utkastet til annet ledd gjelder pålegg om sikring som retter seg mot en tilbyder av tilgang til elektronisk kommunikasjonsnett eller elektronisk kommunikasjonstjeneste, og som gjelder innholdet av en elektronisk postsending eller et vedlegg til en slik sending, jf. de tilsvarende begrepene i straffeprosessloven § 211 første ledd. Om begrunnelsen for særregelen vises til punkt 4.2.4.3 ovenfor. I slike tilfeller er det et vilkår for sikring at det er grunn til å tro at det er begått en straffbar handling. Uttrykket «grunn til å tro» skal forstås på samme måte som det tilsvarende uttrykket i straffeprosessloven § 222 a første ledd om besøksforbud. Dette innebærer at det ikke kreves sannsynlighetsovervekt for at en slik handling er begått, jf. Ot.prp. nr. 109 (2001-2002) s. 44. Mistanken må imidlertid bygge på visse objektive holdepunkter i det konkrete saksforholdet, og kan derfor ikke utelukkende forankres i rent subjektive forestillinger.

Det fremgår av utkastet til tredje ledd at en mistenkt skal gis underretning om beslutningen straks dataene er sikret og han får status som siktet i saken, jf. straffeprosessloven § 82. Han vil dermed ha krav på underretning senest på det tidspunkt når påtalemyndigheten har erklært ham for siktet, når forfølging mot ham er innledet ved retten eller når det er besluttet eller foretatt pågripelse, ransaking, beslag eller lignende forholdsregler rettet mot ham. Er det besluttet utsatt underretning om et tvangsmiddel, inntrer stillingen som siktet først når underretning gis, jf. straffeprosessloven § 82 tredje ledd. I så fall skal den siktede samtidig gis underretning om sikringspålegget.

Retter sikringspålegget seg mot en annen enn den mistenkte, skal underretning gis straks pålegget er gjennomført.

Et sikringspålegg gjelder for et bestemt tidsrom, som ikke må være lengre enn nødvendig, jf. utkastet til fjerde ledd. Sikringsperioden kan høyst utgjøre 90 dager om gangen. Dersom beslutningen treffes etter begjæring fra fremmed stat, skal sikringsperioden etter annet punktum være minst 60 dager, jf. artikkel 29 nr. 7.

Det følger av henvisningen til straffeprosessloven § 197 tredje ledd at sikringspålegget så vidt mulig skal være skriftlig og opplyse om hva saken gjelder, formålet med sikringen og hva den skal omfatte. En muntlig beslutning skal snarest mulig nedtegnes. Enhver som rammes av sikringspålegget kan straks eller senere kreve brakt inn for retten spørsmålet om det skal opprettholdes, jf. henvisningen til § 208 første og tredje ledd. I tillegg foreslås taushetsplikt etter § 216 i.

Etter utkastet til femte ledd skal den sikringspålegget retter seg mot, etter begjæring utlevere opplysninger som er nødvendige for å avdekke hvor de aktuelle dataene kom fra, og hvor de i tilfelle ble sendt til. Slik utlevering krever ikke at det foreligger skjellig grunn til mistanke. Utleveringsplikten omfatter imidlertid ikke andre data enn trafikkdata, og heller ikke alle de trafikkdataene som tjenestetilbydere har sikret. Politiet har bare krav på å få de dataene som kan bidra til å spore en bestemt kommunikasjonsoverføring.

7.3 Til forslaget om å ratifisere konvensjonen

For at Norge skal kunne ratifisere konvensjonen, er det nødvendig å innhente Stortingets samtykke, jf. Grunnloven § 26 annet ledd og lovforslaget del III. Departementet foreslår at Norge bør reservere seg mot å åpne for innhenting av trafikkdata i sanntid i mindre alvorlige straffesaker, jf. artikkel 20 og 14 nr. 3. I tillegg forslås det at Norge avgir to erklæringer i medhold av artikkel 40. For det første forslås det at Norge opprettholder kravet til beskyttelsesbrudd i straffeloven § 145 annet ledd om datainnbrudd, jf. artikkel 2. For det annet foreslås det at Norge ikke åpner for midlertidig sikring av data etter anmodning fra fremmed stat med mindre den handlingen som etterforskes er straffbar også etter norsk rett, jf. artikkel 29 nr. 4.

7.4 Til regelen om ikraftsetting

Det går frem av lovforslaget del IV at lovendringene gjelder fra det tidspunktet loven er sanksjonert.

Til forsiden