3 Registrering av IP-adresser mv. og tilgang til identitet
3.1 Innledning
Departementet vil i dette kapitlet drøfte forslagene om at det gis egne regler i åndsverkloven om registrering av IP-adresser som er benyttet til opphavsrettskrenkelser og tilgang til identiteten bak slike IP-adresser. I det følgende gjøres det rede for gjeldende rett, høringsnotatets forslag til slike regler, høringen og departementets vurderinger. I den forbindelse redegjøres det først for forslaget om registrering av IP-adresser (jf. punkt 3.2) og så for forslaget om tilgang til identitet, (jf. punkt 3.3). Spørsmål som angår alle de foreslåtte bestemmelsene i proposisjonen behandles som nevnt samlet i kapittel 6. Innledningsvis gjøres det kort rede for bakgrunnen for forslagene.
Rettighetshaverne har i utgangspunktet ikke tilgang til identiteten til personer som krenker opphavsrett m.m. på nett, for eksempel ved ulovlig fildeling. Et første skritt ved forfølgning av krenkelser kan være å finne ut hvilken IP-adresse som er benyttet ved krenkelsen. En IP-adresse er en unik adresse som tildeles ved oppkobling til Internett. I åpne nettverk er dette fritt tilgjengelig informasjon, men registrering og lagring av IP-adresser innebærer behandling av personopplysninger. Dette reiser spørsmål i forhold til personopplysningsloven1, jf. nedenfor.
IP-adresser kan være både faste (statiske) og dynamiske. Forskjellen er at en fast IP-adresse vil være den samme hver gang datamaskinen kobles til Internett (kan sammenlignes med et telefonnummer), mens en dynamisk IP-adresse kan være ulik ved hver oppkobling. Abonnenter med dynamiske IP-adresser kan i prinsippet få tildelt en ny IP-adresse fra internettilbyderen hver gang de kobler seg til nettet. Hvor ofte en maskin med dynamisk IP-adresse faktisk bytter adresse, vil variere fra tilbyder til tilbyder. Det er i dag praksis for at internettilbydere som benytter dynamiske IP-adresser loggfører hvilke tidsrom en abonnent er tildelt en IP-adresse. Ønsker man å knytte en dynamisk IP-adresse til et bestemt abonnement, forutsetter dette tilgang til denne informasjonen.
For å kunne forfølge krenkelser er det ikke tilstrekkelig å ha informasjon om selve IP-adressen som er benyttet – det er også behov for informasjon om hvilken abonnent som kan knyttes til den aktuelle IP-adressen. Denne koblingen mellom IP-adresse og abonnent er ikke allment tilgjengelig informasjon. Rettighetshaveren vil imidlertid kunne spore IP-adressen til en bestemt internettilbyder. Internettilbyderen vil som nevnt normalt kunne finne ut hvilket abonnement som på et bestemt tidspunkt har anvendt en konkret IP-adresse, men slike abonnementsopplysninger er underlagt tilbyderens taushetsplikt etter ekomloven2 § 2-9, jf. nedenfor i punkt 3.3. Rettighetshaveres adgang til å få utlevert identiteten bak en IP-adresse fra internettilbyderen var tema i den såkalte Max Manus-saken, jf. kjennelse fra Høyesterett av 18. juni 2010 (Rt. 2010 s. 774). Hovedspørsmålet i saken var om tilgang til slike taushetsbelagte opplysninger kunne gis med hjemmel i tvistelovens regler om bevissikring utenfor rettssak, se nærmere om avgjørelsen nedenfor. Høyesterett kom til at rettighetshaverne kunne få utlevert opplysninger som identifiserte abonnenten fra internettilbyderen, og forslaget i proposisjonen innebærer at denne adgangen klargjøres gjennom egne regler i åndsverkloven. Innledningsvis bemerkes at spørsmålene om behandling av IP-adresser og tilgang til identitet har nær sammenheng med hverandre, ettersom tilgang til identiteten bak en IP-adresse forutsetter at den som gis tilgang i første omgang har kunnet registrere og lagre adressen (og annen informasjon om krenkelsen).
3.2 Registrering og annen behandling av IP-adresser
3.2.1 Gjeldende rett
En forutsetning for å få tilgang til abonnentsopplysninger er som nevnt at rettighetshaverne har adgang til å registrere og lagre opplysninger om IP-adresser som er benyttet til opphavsrettskrenkelser på nett. Dette innebærer behandling av personopplysninger som faller inn under personopplysningsloven. Loven gjelder behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister, jf. § 3.
Det er fastsatt i personopplysningsloven § 8 at personopplysninger bare kan behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for nærmere angitte formål. Med «personopplysning» forstås opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. § 2 nr. 1. Med «behandling av personopplysninger» forstås enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. § 2 nr. 2.
Personopplysningsloven skiller mellom personopplysninger og sensitive personopplysninger. I § 2 nr. 8 bokstav a til e defineres sensitive personopplysninger. Dette omfatter bl.a. at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, jf. bokstav b. Datatilsynet har lagt til grunn at opplysninger vedrørende IP-adresser som er benyttet til opphavsrettskrenkelser, er sensitive personopplysninger.3 Personvernnemnda har sluttet seg til dette standpunktet.4 Personopplysningsloven fastsetter strengere vilkår for behandling av sensitive personopplysninger. Av loven § 9 fremgår det at sensitive personopplysninger bare kan behandles dersom behandlingen oppfyller et av vilkårene i § 8, og i tillegg oppfyller et av vilkårene i § 9 første ledd bokstav a til h. Forutsetningen er altså at både et av grunnvilkårene i § 8 og et av tilleggsvilkårene i § 9 er oppfylt. Etter personopplysningsloven § 33 kreves det dessuten konsesjon fra Datatilsynet for å behandle sensitive personopplysninger.
Adgang til behandling av opplysninger om IP-adresser som er brukt til opphavsrettskrenkelser er iht. gjeldende praksis betinget av konsesjon fra Datatilsynet. I 2006 fikk Simonsen Advokatfirma på vegne av rettighetshavere en slik konsesjon5 fra Datatilsynet, men i vedtak av 22. juni 20096 avslo tilsynet å forlenge konsesjonen. Begrunnelsen for avslaget var manglende politisk avklaring når det gjelder hvilke virkemidler rettighetshavere skal kunne benytte. Tilsynet viser i vedtaket til sitt brev fra 2006 i saken, der det bl.a. gis uttrykk for at saken reiser prinsipielle spørsmål som tilsynet mener bør få en politisk avklaring. Det gis også uttrykk for at det etter tilsynets vurdering er behov for å endre åndsverkloven dersom det er politisk ønskelig at rettighetshavere skal ha mulighet til å forfølge brudd på åndsverkloven. I vedtaket om avslag hevder tilsynet at det nærmere tre år etter ikke har kommet noen politiske signaler om hvilke virkemidler rettighetshavere skal kunne benytte. På denne bakgrunn gis det avslag på søknaden om forlengelse av konsesjonen.
Datatilsynets vedtak ble påklagd til Personvernnemnda, som i vedtak av 5. november 20107 tok klagen til følge og dermed forlenget konsesjonen. Om vurderingstemaet i saken uttaler nemnda:
«I denne saken har Datatilsynet i forbindelse med den første søknaden vurdert at det er grunnlag for å gi konsesjon. Datatilsynet har i forbindelse med den første konsesjonen foretatt den interesseavveining som personopplysningsloven § 34 gir anvisning på, det er stilt vilkår, og Datatilsynet har funnet at konsesjon kan gis. Datatilsynet har uttalt at det ikke er noen automatikk i at konsesjonen skal forlenges. Personvernnemnda er enig i dette, men slik nemnda ser det må det foreligge endrede forhold som skulle tilsi at vurderingen i henhold til personopplysningslovens regler nå faller annerledes ut enn da den første tidsbegrensede konsesjonen ble gitt. Som man vil se nedenfor, deler Personvernnemnda seg i et flertall og et mindretall for så vidt gjelder vurderingen av om det foreligger endrede forhold.»
Etter å ha vurdert ulike forhold Datatilsynet hadde trukket frem i argumentasjonen for ikke å forlenge konsesjonen som tidligere var gitt, uttaler nemndas flertall:
«Hovedbegrunnelsen fra Datatilsynets side for ikke å forlenge konsesjonen synes å være at den politiske avklaringen, som Datatilsynet etterlyste forut for den første tidsbegrensede konsesjonen ble gitt, ikke har kommet. Som det fremgår ovenfor mener flertallet at Datatilsynet, så lenge vilkårene for å tildele konsesjon er oppfylt og interesseavveiningen etter personopplysningsloven § 34 faller ut i søkers favør, ikke kan avslå en konsesjonssøknad med den begrunnelse at det bør lovreguleres hvilke virkemidler rettighetshaverne skal kunne benytte. Konsesjonssøknaden må vurderes i henhold til gjeldende regelverk. Hvorvidt det er betenkelig eller ikke at en privat aktør overvåker nettet på den måten Simonsen gjør på vegne av rettighetshaverne, og hvorvidt det er nødvendig med lovregulering, er et rettspolitisk spørsmål som ligger utenfor denne konkrete saken. Flertallet er derfor enig med klager i at Datatilsynet ikke kan avstå fra å bruke sin kompetanse basert på at Datatilsynet mener det er behov for lovregulering.
Datatilsynet har ikke vurdert om det er noen nye eller endrede forhold som skulle tilsi at interesseavveiningen skulle falle annerledes ut enn ved vurderingen av den første søknaden om konsesjon, og heller ikke om det foreligger endrede forhold som skulle ha betydning for hjemmelsgrunnlaget. Tvert i mot forstår flertallet det slik at Datatilsynet mener det ikke foreligger slik nye eller endrede forhold. Flertallet mener derfor at konsesjonen bør forlenges frem til 31.12.2010 som omsøkt. Ved en eventuell ny søknad om forlengelse må Datatilsynet igjen vurdere hjemmelsgrunnlaget og foreta interesseavveiningen etter personopplysningsloven § 34, herunder om det har skjedd noen endringer som skulle tilsi at vurderingen faller annerledes ut.»
Nemndas leder er enig i flertallets konklusjon, men baserer denne på en noe annen argumentasjon (som fremgår av en særbemerkning). Mindretallet i nemnda støtter derimot Datatilsynets vurdering, og går inn for at konsesjonen ikke forlenges:
«Samlet sett anser mindretallet de personvernmessige betenkeligheter som så viktige og prinsipielle, at den effekt en slik registrering måtte ha for konsesjonæren, ikke kan oppveie disse. Det betyr at Datatilsynet, etter vår mening, har vurdert saken korrekt, lovlig og hensiktsmessig.»
I tråd med flertallets syn ble konsesjonen forlenget til 31. desember 2010.
Simonsen Advokatfirma søkte om ny konsesjon 31. januar 2011. Datatilsynet avslo søknaden på grunnlag av at tilsynet mente at Simonsen ikke kunne anses som den behandlingsansvarlige for den behandlingen av personopplysninger som det ble søkt konsesjon til (jf. personopplysningsloven § 2 nr. 4). Avslaget ble påklaget til Personvernnemnda, som i mars 2012 opprettholdt Datatilsynets vedtak.8 Nemnda sammenfattet de tre viktigste momentene ved avgjørelsen av hvem som har behandlingsansvar slik:
«– hvem bestemmer formålet
– hvem bestemmer virkemidlene
– hvem har nærhet/daglig befatning med personopplysningene»
Nemndas flertall mente at Simonsen ikke kunne være behandlingsansvarlig. Flertallet uttaler bl.a. følgende:
«Nemnda legger avgjørende vekt på ordlyden i personopplysningsloven som sier at behandlingsansvaret skal ligge hos den som bestemmer formålet og virkemidlene. Etter flertallets skjønn er det oppdragsgiver som i denne saken bestemmer formålet og Simonsen er helt avhengig av sin oppdragsgivers instruks, kontroll og finansiering. Det er mulig at Simonsen har innflytelse på hvilke virkemidler som skal benyttes, men det må være åpenbart at bestemmelsesmyndigheten ligger hos oppdragsgiver i siste hånd. Slik sett er Simonsen i samme situasjon som andre databehandlere.»
Mindretallet mente at Simonsen burde anses som behandlingsansvarlig med bl.a. følgende begrunnelse:
«Det er ikke uvanlig at det er flere enn ett subjekt som kan anses som behandlingsansvarlig i forhold til en behandling av personopplysninger. I noen tilfeller kan det i så fall være naturlig at subjektene pålegges et delt behandlingsansvar, men, som det fremgår av forarbeidene bør det tilstrebes å plassere behandlingsansvaret i ett organ. Av forarbeidene fremgår at man i så fall bør plassere behandlingsansvaret der man har den daglige og mest omfattende befatningen med personopplysningene. I herværende sak er det Simonsen som har den daglige og mest omfattende befatningen med personopplysningene, mens rettighetshaverorganisasjonenes befatning med personopplysningene er meget begrenset. Mindretallet anser det derfor naturlig at det er Simonsen som anses som behandlingsansvarlig.»
I tråd med flertallets syn ble klagen ikke tatt til følge. Avslaget på fornyelse av konsesjon ble dermed opprettholdt.
3.2.2 Norden
Sverige
I april 2009 ble det vedtatt endringer i den svenske opphavsrettsloven som gjør at rettighetshavere ikke lenger behøver konsesjon for å registrere IP-adresser. (Spørsmål om identifisering av abonnenten bak IP-adressen skal avgjøres av domstolen, se nærmere om dette nedenfor.) Bestemmelsene kom inn i loven ved gjennomføring av EUs håndhevingsdirektiv (2004/48/EF). Dette direktivet er ikke EØS-relevant, og er følgelig ikke en del av EØS-avtalen. Den svenske lovbestemmelsen lyder slik:
«53 g § Trots förbudet i 21 § personuppgiftslagen (1998:204) får personuppgifter om lagöverträdelser som innefattar brott enligt 53 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.»
Bestemmelsen gjør unntak fra utgangspunktet i svensk personopplysningslov om at bare myndigheter får behandle personopplysninger. I proposisjonen (2008/09:67) vises det blant annet til at en slik regel er nødvendig for at reglene om rett til informasjon (identitet) skal ha den tilsiktede effekt.
Danmark
I Danmark har Datatilsynet i en uttalelse fra 2003 godkjent Antipiratgruppens behandling av personopplysninger i forbindelse med opphavsrettskrenkelser. Behandlingen ble ansett nødvendig for at Antipiratgruppens rettskrav kunne fastlegges, gjøres gjeldende og forsvares.
Finland
I finsk personopplysningslov er det gitt et unntak som gir grunnlag for at slik behandling av personopplysninger (dvs. registrering og lagring av IP-adresser mv.) kan skje uten konsesjon e.l. fra datatilsynsmyndigheten. Vilkårene for dette er omtrent de samme som i Sverige og Danmark.
3.2.3 Høringsnotatet
I høringsnotatet ble det foreslått at adgangen for rettighetshavere til registrering og annen behandling av IP-adresser gjøres uavhengig av konsesjon etter personopplysningsloven. Det ble vist til at reglene om tilgang til abonnementsopplysninger bygger på en forutsetning om at rettighetshavere har adgang til å registrere og lagre IP-adresser. En lovregulering av en slik adgang ble ansett å gi en mer forutberegnelig ordning enn om dette er avhengig av at Datatilsynet gir konsesjon i det enkelte tilfellet. Det ble også vist til at Datatilsynet i vedtak om avslag på forlengelse av konsesjon har etterlyst en politisk avklaring av hvilke virkemidler rettighetshavere skal kunne benytte.
Departementet foreslo derfor at det gis en lovbestemmelse som gir rettighetshavere adgang til behandling av personopplysninger som gjelder krenkelse av opphavsrett eller andre rettigheter etter åndsverkloven når dette er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav. Dette skal kunne skje uten konsesjon fra Datatilsynet. Etter forslaget gjøres det altså unntak fra konsesjonsplikten etter personopplysningsloven, men for øvrig skal personopplysningsloven gjelde for behandlingen. Blant annet fastsetter personopplysningsloven § 31 en meldeplikt til Datatilsynet. På grunnlag av meldingen vil Datatilsynet kunne føre kontroll med dem som foretar slik behandling. Det ble lagt til grunn at dette vil bli organisert gjennom felles representanter for rettighetshaverne, slik at antallet som gjennomfører selve behandlingen er begrenset.
I høringsnotatet ble det også drøftet hvor i lovgivningen denne reguleringen bør skje. Forslaget innebar at regelen fastsettes både i åndsverkloven og i personopplysningsforskriften.
3.2.4 Høringen
Blant høringsinstansene som uttaler seg om forslaget, er det et klart flertall som støtter det. Dette omfatter alle høringsinstansene på rettighetshaversiden og flere andre høringsinstanser, bl.a. Datatilsynet, Forsvarsdepartementet, Justisdepartementet, Nasjonalbiblioteket, Norsk Redaktørforening, NRK, Stiftelsen Elektronikkbransjen og TV 2. Datatilsynet bemerker at en lovregulering bidrar til større rettssikkerhet og bedre personvern enn om ordningen reguleres gjennom enkeltkonsesjoner fra tilsynet.
Det er imidlertid også noen av høringsinstansene som er kritiske til forslaget, slik som Barne-, likestillings- og inkluderingsdepartementet, Fribit/Elektronisk Forpost Norge, Forbrukerrådet, IKT-Norge og Norwegian Unix User Group. Disse høringsinstansene mener at behandling av IP-adresser som er benyttet ved opphavsrettskrenkelser fortsatt skal kreve konsesjon fra Datatilsynet.
Advokatforeningen opplyser at det er delte meninger i foreningens lovutvalg når det gjelder spørsmålet om konsesjonsplikt skal opprettholdes.
Når det gjelder utformingen av forslaget, viser flere av høringsinstansene til at det for mange rettighetshavere vil være uhensiktsmessig å foreta slik registrering selv, og at lovhjemmelen ikke bør begrenses til «rettighetshaver», men utvides til å omfatte også andres registrering og annen behandling på oppdrag fra rettighetshaver. I sammenheng med denne problemstillingen tar noen av høringsinstansene også opp spørsmål knyttet til om den som foretar behandlingen av personopplysninger på oppdrag fra rettighetshaver skal anses som behandlingsansvarlig eller databehandler i personopplysningslovens forstand. Det er imidlertid delte oppfatninger om dette spørsmålet.
Noen av høringsinstansene på rettighetshaversiden mener at det er de felles representantene for rettighetshaverne som bør være de behandlingsansvarlige. Det kan bl.a. vises til høringsuttalelsen fra Motion Picture Association, der det uttales:
«Fordelen med at representantene for rettighetshaverne er behandlingsansvarlige, er at disse representantene – som bestemmer eller detaljerer formålet med behandlingen og hvilke (praktiske) hjelpemidler som skal brukes, har den daglige og mest omfattende befatningen med personopplysningene og fastsetter hvorledes opplysningene skal behandles for at oppgavene skal oppfylles – også er ansvarlig for å oppfylle alle de krav personopplysningsloven og -forskriften stiller til den behandlingsansvarlige […].
Dersom den enkelte rettighetshaver – som av og til er en enkeltperson eller enkeltpersonforetak – var behandlingsansvarlig for sin representants behandling av personopplysninger, ville rettighetshaveren selv være ansvarlig for å oppfylle alle de krav personopplysningsloven og -forskriften stiller. En slik løsning ville etter vårt syn ikke bidra til å styrke personvernet i samsvar med lovens formål, jf. personopplysningsloven § 1, men snarere bidra til å svekke det.»
Datatilsynet har et annet syn på dette spørsmålet. Tilsynet påpeker at det i dag er et advokatfirma som samler inn og registrerer IP-adresser på vegne av rettighetshavere, og at det er grunn til å tro at det også i fremtiden vil være spesialiserte virksomheter som gjør denne jobben på vegne av rettighetshavere. Datatilsynet uttaler videre:
«Det er i praksis disse databehandlerne, og ikke rettighetshavere, som vil sitte med kunnskapen om hvordan registreringen og innsamlingen foregår. Det eneste advokatfirmaet som har konsesjon til å samle inn og registrere IP-adresser søkte konsesjon for seg selv som behandlingsansvarlig (i stedet for å være databehandler for rettighetshavere) nettopp på det grunnlaget at firmaet mente å både bestemme formålet med behandlingen av opplysningene ved innsamlingen og registreringen, og hvilke hjelpemidler som skulle benyttes, jf. definisjonen på en behandlingsansvarlig i personopplysningslovens § 2. Datatilsynet er av den oppfatning at det bør skje en endring med hensyn til dette. Datatilsynet mener at det bør fremkomme klarere at det er rettighetshavere som er behandlingsansvarlige for tiltak mot fildeling, og at det derfor er de som må initiere eventuelle tiltak. Databehandlere skal ikke ha en selvstendig rett til å initiere tiltakene.»
I denne forbindelse påpeker tilsynet at de databehandlere som samler inn og registrer IP-adresser på vegne av rettighetshavere, sannsynligvis vil ha en økonomisk interesse i å samle inn og registrere flest mulig IP-adresser som kan stå bak overtredelser av åndsverkloven.
3.2.5 Departementets vurderinger
Som det fremgår ovenfor har forslaget om regler i åndsverkloven som gir rettighetshavere adgang til å registrere IP-adresser som er benyttet til opphavsrettskrenkelser, fått en relativt bred støtte i høringen – både fra høringsinstansene på rettighetshaversiden og andre høringsinstanser, herunder Datatilsynet. Tilsynet bemerker som nevnt at en lovregulering bidrar til større rettssikkerhet og bedre personvern enn om ordningen reguleres gjennom enkeltkonsesjoner fra tilsynet. Etter en samlet vurdering opprettholder departementet forslaget fra høringsnotatet. En adgang til å registrere IP-adresser som er benyttet ved opphavsrettskrenkelser er en grunnleggende forutsetning for håndheving overfor nettkrenkelser, slik som muligheten til å få tilgang til identiteten bak IP-adressen. Departementet mener at forslaget gir en mer forutberegnelig ordning enn at adgangen er avhengig av at Datatilsynet gir konsesjon i hvert enkelt tilfelle. Som foreslått i høringsnotatet vil regelen om konsesjonsfrihet bli gjennomført både i åndsverkloven og i personopplysningsforskriften.
Til synspunktet om at lovhjemmelen ikke bør begrenses til «rettighetshaver», men utvides til å omfatte også andres registrering og annen behandling på oppdrag fra rettighetshaver, bemerker departementet at det ikke har vært meningen med forslaget at bare rettighetshaveren selv skal kunne foreta registrering og lagring av IP-adresser. Tanken har vært at rettighetshavere også skal kunne gi andre i oppdrag å foreta slik behandling. Som det ble uttalt i høringsnotatet, legger departementet til grunn at dette blir organisert gjennom felles representanter for rettighetshaverne slik at antallet som gjennomfører selve behandlingen blir begrenset. Departementet mener at dette vil være en hensiktsmessig ordning fremfor en løsning der den enkelte rettighetshaver må foreta behandlingen selv. Departementet kan imidlertid ikke se at det er nødvendig å fastsette eksplisitt i lovteksten at rettighetshavere kan gi andre i oppdrag å handle på deres vegne, når dette er klart presisert i lovforarbeidene.
Til spørsmålet om hvem som skal være den behandlingsansvarlige iht. personopplysningsloven, bemerker departementet at dette spørsmålet ikke ble drøftet i høringsnotatet. Som nevnt la departementet til grunn at behandlingen blir organisert gjennom felles representanter for rettighetshaverne slik at antallet som gjennomfører selve behandlingen blir begrenset.
Personopplysningsloven inneholder definisjoner av begrepene «behandlingsansvarlig» og «databehandler». I personopplysningsloven § 2 nr. 4 defineres behandlingsansvarlig som «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes». Databehandler defineres i § 2 nr. 5 som «den som behandler personopplysninger på vegne av den behandlingsansvarlige». Prinsipielt vil spørsmålet om behandlingsansvar bero på en konkret vurdering av kriteriene i personopplysningsloven § 2 nr. 4 – dvs. at det må vurderes hvem som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes.
Personvernnemnda har i en avgjørelse av 21. mars 2012 kommet med uttalelser av betydning for spørsmålet om hvem som kan anses som behandlingsansvarlig der behandlingen skjer på oppdrag fra rettighetshaver. Saken gjaldt spørsmålet om behandlingsansvar for personopplysninger i tilknytning til krenkelser av opphavsrett (avgjørelsen er omtalt ovenfor i punkt 3.2.1). Simonsen Advokatfirma fikk i saken ikke ny konsesjon for slik behandling på vegne av rettighetshavere. Nemndas flertall mente at advokatfirmaet ikke kunne anses som den behandlingsansvarlige for den behandling det ble søkt om konsesjon for. Flertallet uttalte bl.a. følgende:
«Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene.
Rettighetsorganisasjonene har bestemt at de vil ha en it-teknisk og juridisk løsning som er lovlig og ressursbesparende for å forfølge krenkelser. Simonsen har foreslått og lagt opp en løsning, som oppdragsgiver har akseptert. Etter flertallets syn er dermed Simonsen databehandler og rettighetsorganisasjonene behandlingsansvarlig. Nemnda legger avgjørende vekt på ordlyden i personopplysningsloven som sier at behandlingsansvaret skal ligge hos den som bestemmer formålet og virkemidlene. Etter flertallets skjønn er det oppdragsgiver som i denne saken bestemmer formålet og Simonsen er helt avhengig av sin oppdragsgivers instruks, kontroll og finansiering. Det er mulig at Simonsen har innflytelse på hvilke virkemidler som skal benyttes, men det må være åpenbart at bestemmelsesmyndigheten ligger hos oppdragsgiver i siste hånd. Slik sett er Simonsen i samme situasjon som andre databehandlere.»
Personvernnemndas avgjørelse gjelder anvendelsen av regelverket i en konkret sak, men den vil også få betydning for vurderingen av liknende saker der selve behandlingen av denne typen personopplysninger overlates til et advokatfirma e.l. Det er naturlig å forstå avgjørelsen slik at behandlingsansvaret normalt vil ligge hos rettighetshaverne i slike tilfeller (i hvert fall med mindre den som skal handle på vegne av rettighetshaverne er gitt svært vidtgående fullmakter). Avgjørelsen gjelder spørsmålet om konsesjon for behandlingen. Departementets forslag innebærer som nevnt at det ikke kreves konsesjon for slik behandling, men som påpekt i høringen har behandlingsansvaret i personopplysningsloven betydning i mange andre relasjoner. Den behandlingsansvarlige er i loven gitt plikter knyttet til bl.a. informasjonssikkerhet, internkontroll, databehandleravtale, henvendelser om innsyn, retting og sletting av opplysninger.
Med utgangspunkt i de innspill som har kommet i høringen og Personvernnemndas avgjørelse, mener departementet at det er grunn til å foreta en nærmere vurdering av spørsmålet om behandlingsansvar etter den foreslåtte bestemmelsen. På bakgrunn av avgjørelsen fra Personvernnemnda synes den ordning som tidligere har vært praktisert mht. konsesjon for slik behandling vanskelig å forene med personopplysningsloven, slik den nå tolkes av de organer som anvender/håndhever loven. Etter departementets syn bør det være retningsgivende for vurderingen å finne en løsning som innebærer at det overordnede behandlingsansvaret kan legges til et subjekt som er egnet til å oppfylle pliktene som tilligger den behandlingsansvarlige etter loven. Som nevnt ovenfor har departementet lagt til grunn at rettighetshaverne organiserer seg gjennom felles representanter, slik at antallet som gjennomfører selve behandlingen er begrenset. Departementet antar at en slik felles løsning også kan omfatte behandlingsansvar, og at dette kan være å foretrekke fremfor at behandlingsansvaret plasseres hos den enkelte rettighetshaver. Dette vil i større grad sikre at behandlingsansvaret plasseres et sted med kunnskap og ressurser til å ivareta lovens krav på en god måte. Rettighetshavernes organisasjoner synes å være et naturlig utgangspunkt for etablering av et samarbeid om dette. I denne sammenhengen vises det også til at det foreslås at organisasjoner som kan inngå avtalelisensavtale, kan benytte de foreslåtte bestemmelsene innenfor området for de aktuelle avtalelisensbestemmelsene, jf. nedenfor i punkt 6.3. Departementet mener likevel ikke at det bør gjelde noe ubetinget krav om at behandlingen må skje gjennom en organisasjon eller et samarbeid mellom organisasjoner – også rettighetshavere som ikke er organisert bør ha adgang til håndheving overfor krenkelser av sine rettigheter. Enkeltstående rettighetshavere bør med andre ord ikke avskjæres fra muligheten til selvstendig håndheving overfor krenkelser av sine rettigheter. Imidlertid synes det naturlig at også uorganiserte rettighetshavere bør gis adgang til å benytte den felles løsning som etableres på feltet dersom de ønsker det. For øvrig bemerkes at en felles organisering selvfølgelig ikke vil være til hinder for at selve behandlingen overlates til en spesialisert virksomhet, men en slik delegering av utførelsen vil ikke uten videre omfatte behandlingsansvaret.
3.3 Tilgang til identitet
3.3.1 Gjeldende rett
Dokumentasjon av IP-adresser som er benyttet ved krenkelser på nett er som nevnt bare et mulig første skritt ved en sivilrettslig forfølgning. Mens selve IP-adressene i åpne nettverk er offentlig tilgjengelig informasjon, har rettighetshaverne i utgangspunktet ikke tilgang til opplysninger om hvilken abonnent som kan knyttes til en konkret IP-adresse. Dette er opplysninger som er underlagt internettilbyderens taushetsplikt etter ekomloven § 2-9.
På bakgrunn av Høyesteretts kjennelse i den såkalte Max Manus-saken (Rt. 2010 s. 774), kan rettighetshavere til tross for taushetsplikten få tilgang til en abonnents identitet etter tvistelovens regler om bevissikring utenfor rettssak. En internettilbyder kan av domstolen pålegges å utlevere slike opplysninger. Dette forutsetter en forutgående vurdering fra Post- og teletilsynet av om det skal gis samtykke til at internettilbyderen fritas for taushetsplikten, og denne vurderingen kan overprøves av domstolen. I det følgende vil det bli redegjort nærmere for Max Manus-saken og tvistelovens regler.
3.3.1.1 Max Manus-saken (Rt. 2010 s. 774) og tvisteloven
Saken gjaldt spørsmål om utlevering av identiteten bak en IP-adresse som var brukt til ulovlig tilgjengeliggjøring av bl.a. den norske filmen Max Manus. Kjernespørsmålet i saken var om internettilbyderen etter tvistelovens regler kunne pålegges å utlevere abonnentens identitet til rettighetshaverne. Både tingretten og lagmannsretten ga rettighetshaverne medhold i begjæringen om utlevering av abonnentens identitet. Høyesterett forkastet anken fra internettilbyderen. Etter Høyesteretts syn hadde lagmannsretten bygget på en riktig generell lovtolking da den hadde funnet at tvistelovens regler om bevissikring utenfor rettssak kunne gi tilgang til slike opplysninger undergitt lovbestemt taushetsplikt. Den ankende part fikk heller ikke medhold i en anførsel om at bevistilgang til opplysning om en abonnents identitet vil være en krenkelse av artikkel 8 i Den europeiske menneskerettskonvensjon (EMK).
Tvisteloven gir i kapittel 28 regler om bevissikring utenfor rettssak. Spørsmålet om det kan gis tilgang til opplysninger som er omfattet av lovbestemt taushetsplikt, er ikke direkte regulert i reglene om bevissikring. Imidlertid er det i § 28-4 fastsatt at for gjennomføring av bevissikring gjelder reglene om tilgang til realbevis og bevisopptak i rettssak tilsvarende så langt de passer. I saken var det omstridt om det «passer» å anvende tvisteloven § 22-3 andre og tredje ledd, som gjør unntak fra bevisforbudet for opplysninger undergitt lovbestemt taushetsplikt. Tvisteloven § 22-3 oppstiller i utgangspunktet et bevisforbud for opplysninger som er underlagt lovbestemt taushetsplikt av den type internettilbyderne er underlagt etter ekomloven § 2-9, men det kan bestemmes at beviset likevel kan føres, jf. bestemmelsens andre og tredje ledd. Om spørsmålet uttaler Høyesterett:
«(42) Altibox AS [internettilbyderen] har vist til at anvendelse av tvisteloven § 22-3 annet og tredje ledd ved bevissikring etter § 28-3 vil medføre at det gis tilgang til taushetsbelagte opplysninger uten kontradiksjon. Etter mitt syn følger det av § 28-4 at bevissikringen som utgangspunkt omfatter alle bevis som det vil kunne gis tilgang til i en aktuell tvist etter de alminnelige regler om bevis. Når det gjelder opplysninger underlagt lovbestemt taushetsplikt, reguleres dette av tvisteloven § 22-3 annet og tredje ledd. Verken tvisteloven eller dens forarbeider gir etter mitt syn grunnlag for å hevde at det i utgangspunktet ikke «passer» å benytte § 22-3 annet og tredje ledd i disse tilfeller. Denne tolkningen har tvert i mot støtte i det jeg har sitert fra NOU 2001: 32 om formålet med å utvide anvendelsesområdet til også å gjelde bevistilgang utenfor rettssak.»
Det fremgår av tvisteloven § 22-3 andre ledd at departementet kan samtykke i at beviset føres. (Samferdselsdepartementets kompetanse etter loven er delegert til Post- og teletilsynet (PT).) Retten kan overprøve PTs vurdering av om samtykke skal gis eller nektes etter en avveining av hensynet til taushetsplikten og sakens opplysning, jf. tredje ledd. Om vurderingen som skal foretas etter § 22-3, uttaler Høyesterett:
«(48) Ekomloven § 2-9 er i utgangspunktet til hinder for at opplysninger som er taushetsbelagt etter loven, kan pålegges fremlagt til bevissikring etter tvisteloven kapittel 28. Lagmannsrettens flertall bygger imidlertid på en riktig lovforståelse når den vurderer begjæringen om bevistilgang til en lovbestemt taushetsbelagt opplysning etter § 22-3. Om begjæringen skal etterkommes, beror på om unntaksbestemmelsene i annet og tredje ledd får anvendelse. Ses bestemmelsene i paragrafen i sammenheng, blir det avgjørende for rettens vurdering etter tredje ledd om bevissikringen vil utsette staten eller allmenne interesser for skade, eller virke urimelig overfor den som har krav på hemmelighold. Samtykke etter annet ledd vil ha betydning ved vurderingen. Men det følger av tredje ledd at retten skal foreta en selvstendig avveining mellom hensynet til taushetsplikten og hensynet til sakens opplysning. I avveiningen må retten blant annet sammenholde formålet med – og grunnlaget for – begjæringen med den etterspurte informasjonens art og omfang. Også hensynet til den tredjeperson som anses å ha krav på hemmelighold, må trekkes inn. Bestemmelsene i paragrafen bygger imidlertid på en forutsetning om at begjæringer skal etterkommes dersom hensynet til taushetsplikten finnes å måtte vike.»
Internettilbyderen anførte at bevissikringsreglene måtte tolkes innskrenkende når tilgang ønskes som ledd i «privat etterforskning». Høyesterett er ikke enig i dette, og bemerker følgende til anførselen:
«(51) Krenkelse av rettigheter etter åndsverksloven gir rettighetshaveren rett til å kreve erstatning. Når lovgivningen hjemler slik erstatningsrett, kan jeg ikke se at rettighetshaveren ikke skal kunne benytte seg av bevissikring for å bringe på det rene identiteten til personer som det kan være aktuelt å fremme et erstatningskrav mot. Et krav om at rettighetshavere må forfølge mulige krenkelser via politi- og påtalemyndighet, vil for øvrig være i dårlig samsvar med Norges folkerettslige forpliktelser etter TRIPS-avtalen. Om et krav om bevissikring skal kunne føre frem, må – også i disse tilfeller – bero på den avveining som skal foretas etter § 22-3 tredje ledd.»
Om lagmannsrettens generelle lovforståelse uttaler Høyesterett:
«(52) Begrunnelsen til lagmannsrettens flertall viser at det er foretatt en bredt anlagt avveining i samsvar med § 22-3 tredje ledd første punktum. På den ene side har flertallet lagt vekt på at det er sannsynliggjort at det fra den angitte IP-adressen rettsstridig er blitt gjort tilgjengelig filmfiler, behovet for å kunne gripe inn overfor slik virksomhet, og at abonnenten ikke kunne ha en berettiget forventning om beskyttelse av rettsstridig bruk. På den annen side er vektlagt at det kan råde usikkerhet om vedkommende abonnent også har stått bak den rettsstridige aktiviteten. Dette argumentet strekker seg imidlertid etter flertallets syn ikke lenger enn at vedkommende må gis anledning til å avkrefte en slik mistanke etter at identiteten er opplyst til ankemotpartene. Lagmannsrettens flertall har også som et vesentlig moment, vist til at Internett på mange måter fungerer tilnærmet på linje med ordinær telefonbruk, og at dette tilsier at brukerne forventer at deres bruk er skjermet for offentlig innsyn. Flertallet mente videre at den omstendighet at ankemotpartene ikke har meldt forholdet til politiet ikke kan tillegges vekt når siktemålet med begjæringen er å fremskaffe grunnlag for et erstatningskrav for krenkelsene av deres rettigheter.»
Videre i avsnitt 52 gjengir Høyesterett lagmannsrettens oppsummering av flertallets syn:
«Etter en samlet vurdering – blant annet særlig hensyntatt at det dreier seg om en handling som antas å være både straffbar og erstatningsbetingende, politiets manglende prioritering av slike saker, den omstendighet at abonnenten av den aktuelle IP-adressen ikke kan ha en berettiget forventning om rettsstridig bruk av denne og de motstridende hensyn som er nevnt over – kan ikke flertallet se at det vil være uforholdsmessig å gi Sandrew m.fl. tilgang til identiteten til abonnenten av den aktuelle IP-adressen.»
Høyesterett kan ikke se at dette er uttrykk for en uriktig generell lovforståelse. Det vises i den forbindelse til at hensynet til taushetsplikten er avveid mot hensynet til sakens opplysning. Vurderingen har etter Høyesteretts syn stor likhet med den proporsjonalitetsvurdering som EF-domstolen forutsetter foretatt, når medlemsstatene i nasjonal lovgivning åpner for å pålegge en forpliktelse til å gi private parter tilgang til opplysninger om hvem som innehar en IP-adresse, slik at de kan forfølge rettighetsbrudd i en sivil sak.
Høyesterett kan heller ikke se at tilgang til slik informasjon vil være i strid med retten til privatliv etter Den europeiske menneskerettskonvensjon artikkel 8. I den forbindelse vises det bl.a. til at krenkelsen av opphavsretten har vært av et visst omfang og at det er tale om informasjon av mindre sensitiv karakter. Om forholdet til artikkel 8 uttaler Høyesterett:
«(57) Det dreier seg om et inngrep som har klar hjemmel i lov, slik jeg har påvist foran. Det er videre tale om et inngrep som er begrunnet i hensynet til beskyttelse av andres rettigheter, slik at det har et legitimt formål. Bevistilgang er en forutsetning for rettighetshåndhevelse ved søksmål.
Lagmannsrettens flertall har som nevnt foretatt en omfattende avveining av nødvendigheten av inngrepet. Flertallet har lagt til grunn at flere filmfiler er blitt gjort tilgjengelig via «Lysehubben». Krenkelsen av opphavsretten har således i dette tilfellet vært av et visst omfang. Det er videre tale om informasjon av mindre sensitiv karakter. I den svenske proposisjonen, 2008/09:67 Civilrättsliga sanktioner på immaterialrättens område – genomförande av direktiv 2004/48/EG, heter det på side 162 at det må dreie seg om «intrång av en viss omfattning för att en rättighetshavare ska kunna få ut uppgifter om den abonnent som döljer sig bakom ett IP-nummer som använts vid intrång. Så är i regel fallet om intrånget avser tillgängliggörande (uppladdning) av en film eller ett musikaliskt verk för allmänheten, exempelvis genom fildelning via Internet, eftersom detta typiskt sett innebär stor skada för rättighetshavaren.» Når dette vilkåret er oppfylt vil det – ifølge proposisjonen – ikke være i strid med EU-retten å gi opplysning om hvem abonnenten er til rettighetshavere. Det samme må antas å gjelde i forhold til EMK artikkel 8. Jeg er enig i disse betraktninger.»
Resultatet i saken ble altså at internettilbyderens anke ble forkastet, slik at abonnentens identitet ble utlevert til rettighetshaverne. Av kjennelsen kan det utledes at rettighetshavere kan få tilgang til opplysninger om en abonnents identitet med hjemmel i tvistelovens regler, men at spørsmålet om det skal gis tilgang i det enkelte tilfellet forutsetter en avveining av de motstridende hensynene.
3.3.2 EU
EU-domstolen har i to saker (prejudisielle foreleggelser) uttalt seg om hvilke krav EU-retten i denne sammenhengen stiller til nasjonal lovgivning.
Den første saken – Promusicae (sak C-275/06) – gjaldt spørsmål om utlevering av identitet bak IP-adresser til rettighetshavere for bruk i sivil rettssak. Dette reiser spørsmål om forholdet mellom flere forskjellige EU-direktiver9, og avveiningen mellom hensynet til en effektiv håndheving av opphavsretten på den ene siden og hensyn til beskyttelse av personopplysninger og privatlivets fred på den andre siden. Etter EU-domstolens vurdering kan det ikke ut fra EU-retten utledes noen plikt for internettilbyderne til å utlevere slike opplysninger til rettighetshaverne til bruk i en sivil rettssak. Domstolen mente imidlertid at EU-retten krever at medlemsstatene ved gjennomføring av direktivene som er relevant for spørsmålet, må sørge for å legge en fortolkning til grunn som sikrer den rette avveining av de forskjellige grunnleggende rettighetene som er beskyttet av felleskapsrettens rettsorden. Tolkningen skal ikke bare være forenelig med de aktuelle direktivene, men må heller ikke komme i konflikt med fellesskapsrettens grunnleggende rettigheter eller andre alminnelige fellesskapsrettslige prinsipper, slik som proporsjonalitetsprinsippet.
Det følger altså av dommen at det etter EU-retten ikke kan utledes noen plikt for internettilbyderne til å utlevere abonnentens identitet til rettighetshaverne. Imidlertid vil det heller ikke være i strid med EU-retten å innføre regler om tilgang til identiteten bak IP-adresser, så lenge disse reglene gjenspeiler en avveining av de motstridende hensyn, og for øvrig er i tråd med EU-rettens ulike rettigheter og prinsipper. Medlemsstatene har følgelig en skjønnsmargin ved utformingen av lovgivning.
Den andre saken – hvor EU-domstolen avsa dom 19. april 2012 (sak C-461/10) – gjelder den svenske lovgivningen som gir rettighetshavere adgang til etter en domstolsavgjørelse å få utlevert opplysninger om identiteten bak en IP-adresse (se nærmere om de svenske reglene i punkt 3.3.3 nedenfor). Svensk høyesterett hadde i saken forelagt spørsmål for EU-domstolen om datalagringsdirektivet (direktiv 2006/24/EF) er til hinder for en bestemmelse i nasjonal lovgivning av den typen som er gitt i Sverige. EU-domstolen mente her at den aktuelle lovgivningen om utlevering av opplysninger i sivil sak for å få fastslått en krenkelse av immaterielle rettigheter, forfølger et annet formål enn datalagringsdirektivet. Denne lovgivningen er altså ikke omfattet av det materielle anvendelsesområdet for datalagringsdirektivet. Domstolen kom i tillegg med noen ytterligere uttalelser om forholdet mellom de prinsippene som ble oppstilt i Promusicae-saken (jf. ovenfor) og den nasjonale lovgivningen i denne saken. Det ble bemerket at denne lovgivningen (dvs. den svenske) gjør det mulig for den nasjonale rettsinstans å avveie de motstridende interesser mot hverandre på grunnlag av omstendighetene i den konkrete sak og sett hen til de krav som følger av proporsjonalitetsprinsippet. En slik lovgivning måtte etter domstolens syn anses å kunne sikre en passende avveining mellom beskyttelsen av immaterielle rettigheter som tilkommer innehavere av opphavsrettigheter og den beskyttelse av personopplysninger som en internettabonnent eller bruker har.
3.3.3 Norden
I de øvrige nordiske land åpner lovgivningen for at domstolene kan pålegge internettilbydere å utlevere identiteten bak IP-adresser som er benyttet til opphavsrettskrenkelser.
Sverige
I april 2009 ble det vedtatt endringer i den svenske opphavsrettsloven som innebærer at rettighetshavere etter en domstolsavgjørelse kan få tilgang til informasjon om bl.a. identiteten bak IP-adresser som er benyttet til opphavsrettskrenkelser. Slike regler er gitt i den svenske opphavsrettsloven §§ 53 c – 53 f. Bestemmelsene kom inn i loven ved gjennomføring av EUs håndhevingsdirektiv (2004/48/EF). Dette direktivet er som nevnt ikke EØS-relevant, og er følgelig ikke en del av EØS-avtalen.
Lovgivningen bygger på følgende hovedpunkter:
Domstolen kan treffe beslutning om utlevering til rettighetshaver av informasjon om «varors eller tjänsters ursprung och distributionsnät» (informationsföreläggande).
Reglene omfatter internettilbydere og informasjon om identitet bak IP-adresser, men favner videre både mht. typen informasjon og hvem som kan pålegges å utlevere den.
For at informasjon skal kunne utleveres kreves at det foreligger «sannolika skäl» for overtredelse som nevnt i opphavsrettslovens straffebestemmelse (§ 53).
Ved vurderingen av om informasjonen skal utleveres, skal det foretas en interesseavveining («Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse», jf. § 53 d).
Internettilbydere og andre tredjeparter som er pålagt å utlevere informasjon har rett til å få erstattet kostnader mv. («skälig ersättning för kostnader och besvär», jf. § 53 f).
Regler om at internettilbyderen etter utlevering av informasjon skal sende skriftlig underretning til den opplysningene angår (se § 53 f).
For nærmere informasjon om de svenske reglene vises det til proposisjon 2008/09:67.10
Danmark
I medhold av den danske rettspleielovens regler kan rettighetshaverne få en rettslig kjennelse som pålegger internettilbyderne å utlevere opplysninger om for eksempel navn og adresse på abonnenter bak IP-adresser som kan knyttes til opphavsrettskrenkelser.
Finland
I Finland er det gitt regler i opphavsrettsloven som gir rettighetshavere mulighet for å få utlevert identitetsopplysninger etter en domstolsavgjørelse (jf. § 60a). Reglene har vært i kraft siden 2006. Se mer om dette ovenfor under punkt 2.5.
3.3.4 Overordnet om forslaget
I det følgende gjøres det rede for hovedtrekk i forslaget som var på høring, hovedsynspunktene i høringen og departementets generelle vurderinger. Enkelte spørsmål som er tatt opp i høringen vil bli nærmere behandlet i punkt 3.3.5 - 3.3.12.
3.3.4.1 Høringsnotatet
I høringsnotatet ble det foreslått at adgangen til å få utlevert identiteten bak en IP-adresse som er benyttet til opphavsrettskrenkelser, klargjøres gjennom egne regler i åndsverkloven.
Departementet mente i høringsnotatet at det er behov for en særlig lovregulering i åndsverkloven, fremfor å bygge på tvistelovens regler om bevissikring. Ved utformingen av nærmere regler i åndsverkloven ble det ansett naturlig å se hen til bl.a. den svenske lovgivningen på området og Høyesteretts kjennelse i Max Manus-saken.
Adgangen til å kreve å få tilgang til identitet ble foreslått å tilligge rettighetshavere som kan sannsynliggjøre at deres rettigheter er krenket. Rettighetshavere kan etter forslaget begjære at tilbydere av elektroniske kommunikasjonstjenester pålegges å utlevere opplysninger som identifiserer innehaveren av abonnement som er brukt ved krenkelsen. Dette krever en domstolsavgjørelse. Når det gjelder vilkår for utlevering av slike opplysninger, ble det foreslått at rettighetshaveren må kunne sannsynliggjøre at det foreligger en krenkelse av opphavsrett eller andre rettigheter etter åndsverkloven. Dersom retten finner dette sannsynliggjort, skal den foreta en interesseavveining av om internettilbyderen skal pålegges å utlevere den aktuelle abonnentens identitet. For at rettighetshaveren skal få tilgang til slike opplysninger, må retten etter forslaget finne at hensynene som taler for utlevering veier tyngre enn hensynet til taushetsplikten. Ved vurderingen skal retten avveie hensynet til abonnenten mot rettighetshaverens interesse i å få tilgang til opplysningene, sett hen til krenkelsens grovhet, omfang og skadevirkninger.
Det ble foreslått at Post- og teletilsynet fortsatt skal spille en rolle i saker om utlevering av identitet – slik at tilsynet før retten treffer avgjørelse i saken skal vurdere om tilbyderen skal fritas fra taushetsplikten etter ekomloven § 2-9. Etter forslaget kan retten overprøve tilsynets vurdering i begge retninger.
Videre ble det foreslått at internettilbyderen skal gi abonnenten melding om utleveringen av opplysninger når det er gått én måned siden opplysningene ble utlevert. Når det gjelder dekning av kostnader som påløper i forbindelse med utlevering av identitet, ble det foreslått at rettighetshaverne skal erstatte internettilbydernes kostnader (gjennom henvisning til tvisteloven § 28-5).
3.3.4.2 Høringen
Forslaget om at det gis egne regler i åndsverkloven om tilgang til identitet har i hovedsak fått bred støtte i høringen. Det er riktignok noen høringsinstanser som på mer prinsipielt grunnlag går mot forslaget, men de fleste synspunktene som har kommet i høringen gjelder den nærmere utformingen av forslaget. Her nevnes noen av de hovedsynspunkter som høringsinstansene har trukket frem.
Mange av høringsinstansene mener at kravet om at Post- og teletilsynets vurdering skal innhentes før retten treffer avgjørelse i saken, bør sløyfes. Post- og teletilsynets rolle behandles nærmere i punkt 3.3.5.
Flere av høringsinstansene har synspunkter på spørsmålet om hva som skal til for at identiteten kan kreves utlevert (dvs. interesseavveiningen som skal foretas). På rettighetshaversiden er det mange som mener at det bør klargjøres at tilgjengeliggjøring av ett verk for allmennheten som hovedregel er tilstrekkelig til å oppfylle vilkåret for tilgang til abonnentens identitet. Andre høringsinstanser mener at det burde være en høyere terskel for utlevering av identitet. Interesseavveiningen (terskelen for utleving av identitet) behandles nærmere i punkt 3.3.6.
Videre er det mange av høringsinstansene som har synspunkter på spørsmålet om varsling av abonnenten om utlevering av vedkommendes identitet – både hvem som skal gjøre dette og når det skal skje. Flere høringsinstanser på rettighetshaversiden ber om at departementet vurderer å utvide fristen for å varsle abonnenten etter ny § 56b femte ledd fra én til tre måneder etter utleveringen. Andre høringsinstanser, bl.a. Datatilsynet, Forbrukerrådet og IKT-Norge er kritiske til at abonnenten skal få melding først en måned etter at identiteten er utlevert. Noen høringsinstanser går inn for at fristen for å varsle abonnenten bør fastsettes av retten. Flere av høringsinstansene på distributørsiden mener at det ikke bør være tilbyderen som gis oppgaven med å varsle abonnenten. Spørsmål knyttet til når abonnenten skal varsles om utleveringen og hvem som skal gjøre det, behandles nærmere i punkt 3.3.7 og 3.3.8.
Flere av høringsinstansene kommenterer spørsmålet om sakskostnader. Mange av høringsinstansene på rettighetshaversiden ber om at det klargjøres hvilke kostnader rettighetshaver kan pålegges å dekke i forbindelse med utleveringen. Også noen av høringsinstansene på tilbydersiden har merknader til spørsmålet om kostnader, og mener at det er viktig at internettilbyderne får dekket sine reelle kostnader. Spørsmål om kostnader i forbindelse med saker om utlevering av identitet behandles nærmere i punkt 3.3.9.
Enkelte av høringsinstansene ønsker en klargjøring av hvem som kan pålegges å utlevere identiteten bak en IP-adresse til rettighetshaver, og mener at avgrensningen til tilbyder av elektroniske kommunikasjonstjenester er for snever. Avgrensningen av hvem som kan pålegges å utlevere abonnementsopplysninger er tema i punkt 3.3.10.
FriBit/Elektronisk Forpost Norge og Norwegian Unix User Group går på mer prinsipielt grunnlag mot forslaget om egne regler i åndsverkloven om tilgang til identiteten bak en IP-adresse. Noen andre høringsinstanser som Forbrukerrådet og IKT-Norge synes på et overordnet plan å støtte forslaget, men mener bl.a. at kontradiksjon må sikres i større grad.
3.3.4.3 Departementets vurderinger
Departementet opprettholder forslaget fra høringsnotatet om at det gis egne regler i åndsverkloven om tilgang til identiteten bak en IP-adresse som er benyttet til opphavsrettskrenkelser. Samlet sett har forslaget fått bred støtte i høringen. Det er flere grunner som tilsier at dette bør reguleres særskilt i åndsverkloven i stedet for å baseres på tvistelovens regler om bevissikring utenfor rettssak. Sakene om tilgang til identitet har særtrekk som medfører at tvistelovens regler ikke er så godt tilpasset denne sakstypen. Tvisteloven med forarbeider gir få retningslinjer for domstolenes vurdering i slike saker. Dessuten passer saksbehandlingsreglene i tvisteloven til dels ikke så godt på denne sakstypen. Egne regler i åndsverkloven vil kunne adressere problemstillingen mer konkret og være bedre egnet til å anvendes på denne sakstypen. På denne måten vil regelverket kunne bli klarere, lettere tilgjengelig og enklere å praktisere. Det vises til at det er flere spørsmål som det er behov for å regulere særskilt, bl.a. partsforholdet i slike saker, hvilken domstol begjæring skal fremsettes for, og regler om melding til domstol og abonnent ved utlevering av opplysninger.
Tilgang til abonnementsopplysninger vil etter forslaget forutsette en domstolsavgjørelse som pålegger internettilbyder å utlevere opplysningene. En domstolsavgjørelse vil altså være en forutsetning for utlevering – i motsetning til en ordning der domstolen bare skal vurdere tilfeller der internettilbyder ikke vil utlevere opplysningene. For å få utlevert opplysningene, må rettighetshaver inngi en begjæring til domstolen. Rettighetshaver må her sannsynliggjøre at det foreligger krenkelse av opphavsrett eller andre rettigheter etter åndsverkloven. Hvis domstolen finner det sannsynliggjort at det foreligger slik krenkelse, skal den foreta en interesseavveining av om internettilbyder skal pålegges å utlevere opplysningene til rettighetshaver. For at begjæringen skal tas til følge, må hensynene som taler for utlevering veie tyngre enn hensynet til taushetsplikten. Det er gitt retningslinjer for hvilke momenter som er relevante i denne vurderingen.
Det er ikke nødvendigvis innehaveren av abonnementet som har begått krenkelsen av åndsverkloven. Den som har begått krenkelsen kan for eksempel være en person i husstanden til innehaveren av abonnementet. Imidlertid bør dette etter departementets syn ikke være noe tungtveiende moment ved vurderingen av om utlevering skal skje. Utlevering vil ikke innebære at innehaveren av abonnementet ilegges noe ansvar for krenkelsene – dette vil bli et bevisspørsmål i en eventuell senere sak.
Når det gjelder regler for saksbehandling i disse sakene, er det som nevnt ovenfor flere spørsmål det er behov for en særlig regulering av. På denne bakgrunn er det på flere punkter gjort tilpasninger sammenlignet med reglene om bevissikring i tvisteloven. Også her er forslagene i høringsnotatet stort sett opprettholdt, men det er gjort noen mindre endringer.
Nedenfor drøfter departementet nærmere spørsmål som er tatt opp i høringen når det gjelder dette forslaget.
3.3.5 Post- og teletilsynets rolle
3.3.5.1 Høringsnotatet
I høringsnotatet ble det foreslått at Post- og teletilsynet fortsatt skal spille en rolle i saker om utlevering av identitet. Før retten treffer avgjørelse i saken skal tilsynet etter forslaget anmodes om å samtykke til at tilbyderen fritas fra taushetsplikten etter ekomloven § 2-9. Tilsynets avgjørelse er imidlertid ikke bindende for retten i noen retning.
3.3.5.2 Høringen
Det er mange av høringsinstansene som har merknader til Post- og teletilsynets rolle i disse sakene. En rekke høringsinstanser mener at bestemmelsen om samtykke fra Post- og teletilsynet i disse sakene bør sløyfes. Dette er en gjennomgående kommentar i høringsuttalelsene fra rettighetshaversiden. For eksempel kan det vises til høringsuttalelsen fra Produsentforeningen, der det uttales:
«Vi foreslår imidlertid at forslaget til ny § 56b annet ledd jf. tredje ledd siste punktum om samtykke fra Post- og teletilsynet strykes. Abonnentens identitet er informasjon av mindre sensitiv karakter som også politi og påtalemyndighet gis tilgang til etter en forenklet prosess, jf. ekomloven § 2-9 tredje ledd og Rt. 2010 s. 774 (Max Manus) avsnittene 41 og 58. Domstolene vil etter vårt syn være i stand til å ivareta abonnenters rettssikkerhet i slike saker på en god måte, og den foreslåtte endringen vil etter vårt syn forenkle og effektivisere prosessen betydelig.»
Det er i tillegg flere andre høringsinstanser som også mener at Post- og teletilsynet ikke bør spille en rolle i disse sakene, herunder Advokatforeningen, Justisdepartementet, NRK og TV 2. Justisdepartementet uttaler bl.a. følgende:
«Domstolene har bred erfaring med og er godt rustet til å foreta slike interesseavveininger, som vil være avgjørende for om identitetsopplysninger skal utleveres. Vi kan ikke se at saker om utlevering av identitetsopplysninger reiser spørsmål av en slik art at Post- og teletilsynets særskilte kompetanse kan tilføre saken opplysninger av verdi.»
Post- og teletilsynet (PT) og Samferdselsdepartementet mener derimot at forslaget innebærer at tilsynets rolle i disse sakene reduseres, og at dette ikke er en videreføring av tvistelovens system. PT uttaler:
«I høringsbrevet uttales det at tvistelovens system foreslås videreført hva angår PTs rolle ved fritak fra taushetsplikt for å utlevere abonnentinformasjon. Den regel som er foreslått i ny § 56b annet ledd i åndsverkloven er imidlertid ikke en videreføring av tvistelovens system på dette punkt. PT vil ikke kunne gi fritak fra tilbyders taushetsplikt etter ekomloven § 2-9 i medhold av åndsverkloven § 56b annet ledd. PTs rolle vil, hvis forslaget blir vedtatt i sin nåværende form, kun være å avgi en forutgående uttalelse uten realitetsbetydning. I høringsnotatet er ikke denne endringen av kompetanse drøftet. PT foreslår derfor at bestemmelsen endres slik at PT beholder sin nåværende kompetanse i alle sivile saker.»
3.3.5.3 Departementets vurderinger
Departementet opprettholder forslaget fra høringsnotatet når det gjelder Post- og teletilsynets rolle i disse sakene. Etter departementets syn vil domstolene være godt egnet til å foreta den type interesseavveining som skal skje i disse sakene, og hensyn til personvern og rettssikkerhet vil være vel ivaretatt ved en domstolsbehandling. Det kan likevel være behov for den særlige fagkompetansen tilsynet besitter i disse sakene. Departementet vil derfor videreføre forslaget fra høringsnotatet. Det legges også vekt på at behandlingen i tilsynet neppe vil forsinke den samlede behandlingstiden i disse sakene i nevneverdig grad, ettersom tilsynet gjennom instruks fra Samferdselsdepartementet vil bli pålagt å behandle begjæringer om fritak fra taushetsplikt i slike saker innen tre virkedager etter at anmodning med korrekt og fullstendig informasjon er mottatt. Tilsynet har erfaring med behandling av saker om fritak fra taushetsplikten etter ekomloven, og en uttalelse fra tilsynet kan derfor gi et godt utgangspunkt for domstolens vurdering.
Når det gjelder vurderingstemaet ved tilsynets behandling, ble det i høringsnotatet foreslått at tilsynet bare kan nekte samtykke når det vil virke urimelig overfor den som har krav på hemmelighold. For ordens skyld har departementet i lovforslaget også inntatt de andre alternativene i tvisteloven § 22-3 andre ledd for når samtykke kan nektes – dvs. når det kan utsette staten eller allmenne interesser for skade. Vurderingstemaet er dermed uttrykt på tilsvarende måte som i tvisteloven. Det antas imidlertid at det sentrale vurderingstemaet i slike saker i praksis vil være om det vil virke urimelig overfor den som har krav på hemmelighold.
Retten kan overprøve tilsynets vurdering i begge retninger – det vil si bestemme at opplysningene skal utleveres selv om samtykke er nektet, eller at opplysningene ikke skal utleveres selv om samtykke er gitt.
3.3.6 Interesseavveiningen – terskelen for utlevering av identitet
3.3.6.1 Høringsnotatet
I høringsnotatet ble det foreslått at hvis domstolen finner det sannsynliggjort at det foreligger en krenkelse av opphavsrett e.l., skal den foreta en interesseavveining av om internettilbyderen skal pålegges å utlevere abonnentens identitet. Dersom rettighetshaveren skal få tilgang til opplysningene, må retten finne at hensynene som taler for utlevering veier tyngre enn hensynet til taushetsplikten. Ved vurderingen skal retten avveie hensynet til abonnenten mot rettighetshaverens interesse i å få tilgang til opplysningene, sett hen til krenkelsens grovhet, omfang og skadevirkninger.
Det ble gitt enkelte retningslinjer for rettens vurdering. Departementet mente at det bør stilles opp som et utgangspunkt for vurderingen at rettighetshaveren bør gis tilgang til opplysningene hvis overtredelsen er av et visst omfang. Det ble uttalt at dette som regel vil være tilfellet ved for eksempel tilgjengeliggjøring (opplasting) av en film dersom det kan legges til grunn at det representerer en vesentlig økonomisk skade for rettighetshaveren. Det ble vist til at en begjæring normalt også bør tas til følge hvis det dreier seg om omfattende kopiering (nedlasting) av opphavsrettslig beskyttet materiale. Er det bare tale om kopiering (nedlasting) av noen få verk, bør det som utgangspunkt ikke gis tilgang til abonnentens identitet. Det ble vist til at tilsvarende synspunkter er lagt til grunn i forarbeidene til de svenske lovreglene. Departementet understreket imidlertid at det må foretas en konkret vurdering i det enkelte tilfellet.
Videre bemerket departementet at det i noen tilfeller vil kunne være vanskelig å fastslå omfanget av krenkelsen. Departementet mente på den bakgrunn at det ikke kan stilles noe ubetinget krav til overtredelsens omfang. I slike tilfeller må avgjørelsen treffes på grunnlag av de øvrige forhold i saken.
For øvrig ble det understreket at innehaveren av det aktuelle internettabonnementet ikke nødvendigvis er den som har begått opphavsrettskrenkelsen, men at dette ikke bør anses som noe tungtveiende moment i en sak om utlevering av identitet. Det ble bl.a. vist til at utlevering ikke innebærer at abonnenten ilegges noe ansvar for overtredelsen – dette vil være et bevisspørsmål i en eventuell senere sak.
3.3.6.2 Høringen
Flere av høringsinstansene fra rettighetshaversiden ber om at det klargjøres at tilgjengeliggjøring av ett verk for allmennheten som hovedregel er tilstrekkelig for utlevering. Det vises bl.a. til høringsuttalelsen fra Motion Picture Assocation, der det uttales:
«Vi ber også departementet klargjøre at tilgjengeliggjøring av et verk (f.eks. en film eller et musikkverk) for allmennheten som hovedregel er tilstrekkelig til å oppfylle vilkåret for tilgang til abonnentens identitet etter § 56b tredje ledd, jf. Rt. 2010 s. 774 (Max Manus) avsnitt 57 med henvisning til forarbeidene til den svenske IPRED-loven. Dette er viktig for forutberegneligheten og bidrar også til å forenkle og effektivisere prosessen.»
Etter å ha sitert fra svenske lovforarbeider som departementet også viste til i høringsnotatet, uttales det videre:
«Vi kan, basert på vår erfaring med å dokumentere rettighetskrenkelser på Internett, bekrefte at et krav om at tilgjengeliggjøringen må være av et visst omfang, ville risikere å gjøre bestemmelsen virkningsløs. Det som dokumenteres i slike tilfeller, er tilgjengeliggjøringen av et enkelt verk (en film, et musikkverk el.) på et bestemt tidspunkt (ikke i et tidsrom) fra den aktuelle IP-adressen. Dokumentasjon av rettighetskrenkelser på Internett vil selv med kravene de svenske lovforarbeidene stiller, være en teknisk krevende, tidkrevende og kostnadskrevende prosess. Ytterligere krav til dokumentasjon av krenkelsens grovhet, omfang og skadevirkninger, ville – slik de svenske lovforarbeidene uttrykker det – risikere å gjøre bestemmelsen virkningsløs.
Departementet er inne på liknende tanker, men nevner i sitt eksempel bare at tilgjengeliggjøring (opplasting) av «en film» som regel vil oppfylle kravet til overtredelsens omfang, men ikke f.eks. opplasting av «et musikkverk». Samtidig kommer departementet med uttalelser som kan bli oppfattet som et tilleggskrav om at det må kunne «legges til grunn at det [opplastingen av filmen] representerer en vesentlig økonomisk skade for rettighetshaveren», samt at det eventuelt må dokumenteres at «det ikke er mulig å si noe om omfanget».
Selv om det unntaksvis skulle være teknisk mulig å dokumentere omfanget av krenkelsene, vil dette oftest likevel være kommersielt umulig, l) dels fordi grunnlaget for saken er krenkelse av et enkelt verk, 2) dels fordi kostnadene ved å skulle dokumentere omfanget av krenkelsene av et slikt verk ville bli uforsvarlig høye og 3) dels fordi den ytterligere skade som påføres rettighetshaver i tidsrommet hvor omfanget av krenkelsen dokumenteres, vil gjøre det kommersielt uforsvarlig å vente. Den økonomiske skaden for rettighetshaveren vil være enda vanskeligere å dokumentere enn omfanget av krenkelsene.»
Også Kopinor mener at det bør presiseres at tilgjengeliggjøring av ett enkelt verk som hovedregel skal være tilstrekkelig. I tillegg mener de at det bør presiseres at dette gjelder uavhengig av verkstype, slik at tekstbaserte verk som bøker, fotografier og noter får samme beskyttelse som musikk- og filmverk.
Forbrukerrådet mener derimot at utlevering av identitet først og fremst skal skje «der det er tale om en viss grad av organisert tilgjengeliggjøring av ulovlig materiale, slik tilfellet for eksempel var i Max Manus-saken, som gjaldt den såkalte Lyse-hubben (Rt. 2010 s. 774), eller hvor det er tale om store kvanta beskyttet innhold og hvor det fremstår som overveiende sannsynlig at også de subjektive vilkår for straff eller erstatningsansvar er oppfylt.»
3.3.6.3 Departementets vurderinger
Departementet viser innledningsvis til høringsnotatet når det gjelder interesseavveiningen som skal foretas ved vurderingen av om identiteten skal utleveres. Det ble her bl.a. uttalt følgende:
«Etter departementets syn bør det stilles opp som et utgangspunkt for vurderingen at rettighetshaveren bør gis tilgang til abonnentens identitet hvis overtredelsen er av et visst omfang. Dette vil som regel være tilfellet ved for eksempel tilgjengeliggjøring (opplasting) av en film dersom det kan legges til grunn at det representerer en vesentlig økonomisk skade for rettighetshaveren. Normalt bør begjæringen om utlevering av identitet også tas til følge hvis det dreier seg om omfattende kopiering (nedlasting) av opphavsrettslig beskyttet materiale. Er det bare tale om kopiering (nedlasting) av noen få verk, bør det som utgangspunkt ikke gis tilgang til abonnentens identitet. Tilsvarende synspunkter er lagt til grunn i forarbeidene til de svenske lovreglene, jf. Regeringens proposition 2008/09:67 s. 162. Departementet vil imidlertid påpeke at det ved ulovlig fildeling ikke alltid vil være noe skarpt skille mellom opplasting og nedlasting. I fildelingsnettverk kan det være en forutsetning for å kopiere materiale fra andre at en stiller sitt eget materiale tilgjengelig. Det bør derfor utvises en viss varsomhet med å knytte for stor betydning til dette skillet. På den bakgrunn understreker departementet at det må foretas en konkret vurdering i det enkelte tilfellet.»
Retten skal etter forslaget avveie hensynet til abonnenten mot rettighetshaverens interesse i å få tilgang til opplysningene, sett hen til krenkelsens grovhet, omfang og skadevirkninger. Som det fremgår, vil skadevirkningene for rettighetshaver være et av de sentrale momentene som skal vurderes. I denne sammenhengen mener departementet at det kan være grunn til å skille mellom tilgjengeliggjøring for allmennheten (opplasting) og eksemplarfremstilling (nedlasting) – det første vil normalt medføre større skade for rettighetshaveren, slik at det skal mindre til før identiteten bak IP-adressen kan kreves utlevert. Når det gjelder krenkelser som består i at opphavsrettslig beskyttet materiale gjøres tilgjengelig for allmennheten uten rettighetshavernes samtykke, kan skadevirkningene imidlertid variere fra sak til sak. Departementet bemerker at det ofte kan være vanskelig å fastslå de konkrete skadevirkningene av en krenkelse, men det vil som regel være grunnlag for å vurdere om skadevirkningene er store eller små. De antatte skadevirkningene vil bero på forholdene i det enkelte tilfellet, blant kan det få betydning hva slags type verk som er gjort tilgjenglig for allmennheten (for eksempel kan det være forskjell på en hel film eller bok og en enkelt sang) og om det er tale om første gangs tilgjengeliggjøring. Departementet kan ikke se at det er noen motstrid mellom uttalelsene i de svenske lovforarbeidene (som Høyesterett også viser til i Max Manus-saken) og det som uttales her. I de svenske forarbeidene vises det til at tilgjengeliggjøring av en film eller et musikalsk verk typisk sett innebærer stor skade for rettighetshaveren (og dermed som regel vil oppfylle kravet om at krenkelsen må være av et visst omfang) – men både etter svensk og norsk rett er dette noe som må vurderes konkret i den interesseavveiningen som skal foretas. For øvrig bemerkes at det ikke har vært meningen verken å heve eller senke terskelen for utlevering sammenlignet med gjeldende rett (jf. Rt. 2010 s. 774 Max Manus).
På denne bakgrunn opprettholder departementet forslaget fra høringsnotatet.
3.3.7 Når skal abonnenten varsles om utleveringen?
3.3.7.1 Høringsnotatet
I høringsnotatet ble det foreslått at tilbyderen skal gi abonnenten melding om utleveringen når det er gått én måned siden opplysningene ble utlevert. Partene i disse sakene vil være rettighetshaveren og internettilbyderen. Det vil være vanskelig å gjøre abonnenten til part ettersom saken nettopp vil gjelde spørsmålet om hvorvidt vedkommendes identitet skal utleveres og faren for bevisforspillelse. Imidlertid ble det ansett rimelig at abonnenten underrettes i ettertid hvis resultatet blir at identiteten utleveres. Departementet mente at det er naturlig at internettilbyderen sørger for at det gis slik melding til abonnenten. Liknende regler finnes i den svenske loven. Fristen på én måned er fastsatt etter en avveining av ulike hensyn: rettighetshaveren bør ha en viss tid til etterfølgende bevissikring før abonnenten underrettes – samtidig som underretning ikke bør skje for lenge etter at utlevering er besluttet.
3.3.7.2 Høringen
Flere av høringsinstansene har hatt synspunkter på når abonnenten skal varsles om utleveringen. Det er imidlertid mange ulike oppfatninger om dette. Enkelte har ment at varsling bør skje på et langt tidligere tidspunkt, mens andre har ment at fristen på én måned er for kort. Noen av høringsinstansene mener at fristen ev. bør fastsettes av domstolen i den enkelte sak. Nedenfor gjengis noen av synspunktene fra høringen.
Forbrukerrådet uttaler:
«Det savnes imidlertid en kvalifisert begrunnelse for hvorfor abonnenten ikke skal underrettes ved begjæring om utlevering av identitet. Vi er uenig i at faren for bevisforspillelse taler for en slik løsning. For det første har rettighetshaveren på dette tidspunktet allerede samlet informasjon om hva personene(e) bak den aktuelle IP-adressen har gjort; Disse opplysningene vil utgjøre grunnlaget for begjæringen om tilgang til identitet, og antakelig som oftest gjelde opplasting av ulovlig innhold (jf. departementets redegjørelse om hvilke krenkelser som normalt vil åpne for tilgang til identitet). Slike opplysninger vil i seg selv være tilstrekkelig for å dokumentere et eventuelt lovbrudd, og det vil ikke være nødvendig med ytterligere undersøkelser av f. eks. datautstyr, slik departementet anfører.»
IKT-Norge mener at «utgangspunktet burde være at abonnenten varsles umiddelbart, og at det eventuelt gis adgang til å gjøre unntak fra dette dersom spesielle vilkår er innfridd.» IKT-Norge uttaler også: «Det er ikke tilstrekkelig fokus på for eksempel kontradiksjon eller skyggeadvokat for å sikre rettsikkerheten til den påståtte krenkeren. Et alternativ kunne være at identitet utleveres til dommeren slik at det kan legges til rette for kontradiksjon uten at rettighetshaver gjøres kjent med abonnentens identitet.»
Datatilsynet uttaler:
«Spesielt for familier og kollektiv med trådløse nett hjemme, enten nettet er åpent eller ikke, vil det være vanskelig å huske hvem som brukte nettet på tidspunktet og ikke minst å frembringe bevis for dette 4-5 uker etter hendelsen. Datatilsynet mener at både hensyn til personvernet (i dette tilfellet retten til å vite at ens personopplysninger blir utlevert til tredjeparter) og hensynet til rettsikkerhet, det å kunne forberede sitt eget forsvar, taler for at abonnenten skal få beskjed om utleveringen av abonnementsopplysningene så fort som mulig etter utleveringen.»
Andre høringsinstanser mener derimot at fristen for varsling kan være for kort. Fra rettighetshaversiden bes det om at fristen for etterfølgende varsling utvides. Det kan bl.a. vises til høringsuttalelsen fra IFPI Norge, der det uttales:
«Til slutt ber vi departementet vurdere å utvide fristen for å varsle abonnenten etter ny § 56b femte ledd fra en til tre måneder etter utleveringen. Dette vil gi rettighetshaver bedre tid til å forberede og gjennomføre eventuell ytterligere bevissikring før abonnenten varsles. Fristen for når allmennheten tidligst skal gjøres kjent med saken utvides tilsvarende. Jf. den svenske upphovsrattslagen § 53 f som har en tilsvarende tremånedersfrist.»
Noen høringsinstanser (bl.a. Advokatforeningen og NRK) foreslår at domstolen gis mulighet til å fastsette fristen. For eksempel uttaler NRK:
«Etter NRKs oppfatning synes fristen noe kort for å kunne vurdere og gjennomføre nødvendige bevissikringsskritt. Det foreslås derfor at domstolene gis mulighet til å utvide fristen i de tilfeller der det viser seg å være nødvendig.»
3.3.7.3 Departementets vurderinger
Departementet kan ikke se at abonnenten kan underrettes før eller umiddelbart etter avgjørelse om utlevering treffes uten at dette kan undergrave formålet med bestemmelsen. Ved vurderingen må det etter departementets syn legges vekt på faren for bevisforspillelse. Det er en risiko for at bevismateriale vil kunne bli slettet ved umiddelbar underretning. Bestemmelsen kunne i så fall bli uten betydning. Etter departementets syn bør varsling derfor ikke skje før opplysningene er utlevert og rettighetshaveren har hatt en rimelig tid til å foreta ev. etterfølgende bevissikring. I denne sammenhengen bemerker departementet at det rettighetshaveren kan få utlevert i medhold av den foreslåtte bestemmelsen, er opplysninger som identifiserer innehaveren av abonnementet som er brukt ved krenkelsen. Innehaveren av abonnementet kan imidlertid være en annen enn den som har begått krenkelsen. Derfor er det grunn til å tro at det kan være behov for etterfølgende bevissikring i form av undersøkelse av datautstyr eller lignende.
Når det gjelder varsling en tid etter at opplysningene er utlevert, mener departementet at det vil være hensiktsmessig at det i loven angis en frist for når dette skal skje. Etter departementets syn er forslaget om at melding til abonnenten skal gis én måned etter utlevering, en rimelig avveining av de motstridende hensynene som gjør seg gjeldende. Departementet ser imidlertid at særlige forhold i den enkelte sak kan tilsi en frist som avviker fra lovens generelle regel. Det foreslås derfor at det i bestemmelsen tilføyes at retten i den enkelte sak kan fastsette en annen frist for varsling dersom særlige grunner taler for det. Retten bør ha mulighet til å fastsette en frist som er både kortere og lengre enn lovens normalregel. Hvis det ikke gjøres, er det regelen om at abonnenten skal gis melding én måned etter utleveringen som gjelder.
3.3.8 Hvem skal utlevere identitet og gi melding om utleveringen?
3.3.8.1 Høringsnotatet
I høringsnotatet ble det foreslått at det er tilbyderen som skal utlevere opplysningene til rettighetshaver og i tillegg varsle abonnenten om utleveringen (jf. ovenfor).
3.3.8.2 Høringen
I høringen har noen høringsinstanser hatt innsigelser mot forslaget om at tilbyderen pålegges disse oppgavene. Det er særlig spørsmålet om hvem som skal gi melding til abonnenten som tas opp i høringen, jf. nedenfor. IKT-Norge mener imidlertid også at tilbyderne ikke bør overlevere opplysningene direkte til rettighetshaveren:
«For å sikre sporbarhet og plassere ansvaret for utleveringsavgjørelsen, sikre faste rutiner etc. bør prosedyren være at internettilbyderen utleverer informasjonen til beslutningsenheten (se eget avsnitt), og at dette tar seg av videre overlevering til rettighetshaveren. Dette underbygges også av at det ikke foreligger noen grunn til at internettilbyderen skal vite hvilken rettighetshaver som skal få utlevert informasjonen.»
Når det gjelder spørsmålet om hvem som bør ha ansvaret for å varsle abonnenten, mener noen høringsinstanser at dette bør være organet som treffer beslutningen om at identiteten skal utleveres (dvs. domstolen). I høringsuttalelsen fra IKT-Norge begrunnes dette bl.a. slik:
«Internettilbyderen kan hverken gi noen uttømmende, men kun spekulere om, begrunnelse for avgjørelsen, eller bistå abonnenten med eventuell videre prosess. […] Derimot vil en spesialisert organisasjon kunne besitte kunnskap og korrekt informasjon om avgjørelsen, og blant annet hvilke muligheter som foreligger til videre prosess for abonnenten.»
Telenor argumenterer også mot at internettilbyderen skal gis oppgaven med å varsle abonnenten, med bl.a. følgende begrunnelse:
«Departementet legger opp til at det skal gå en viss tid (en måned) fra informasjon utleveres til abonnenten informeres. Dette betyr at internettleverandørene må ha et system for å håndtere dette på plass samt lagre informasjon om personer som er mistenkt for brudd på norsk lov, og der domstolene har kommet med pålegg, i minimum en måned. Slik informasjon om abonnentene kan imidlertid være sensitive personopplysninger, og det vil eventuelt kreves konsesjon for dette. Videre vil ISPene få praktiske og kostnadsmessige utfordringer dersom underrettelse skal skje etter utlevering. Kunden kan si opp abonnementet i mellomtiden, og det må i så fall lages et eget register over personer som har vært kunder og skal ha beskjed.
Telenor støtter ikke departementets forslag om at internettleverandøren skal informere abonnenten i etterkant. ISPene bør ikke ha noen rolle i å varsle kunden om at det er utlevert informasjon om kundens identitet. Her virker det mer naturlig at en annen part/organ, som uansett vil sitte på denne informasjonen i mer enn en måned, sender ut informasjonen om utleveringen.»
Post- og teletilsynet uttaler:
«Høringsnotatet legger opp til at tilbyderne skal varsle både domstolen som har gitt fritak fra taushetsplikten og den abonnent som får sin identitet utlevert. PT finner det vanskelig å forsvare at tilbyder, som er en mellommann, skal pålegges en kostnadsdrivende oppfølgningsplikt i forhold til varsling av både domstol og den abonnent som får sin identitet utlevert. Det vil etter PTs syn være mer naturlig at denne plikten blir tillagt rettighetshaverne som etterspør personopplysningene.»
3.3.8.3 Departementets vurderinger
Departementet drøfter først spørsmålet om hvem som skal utlevere identiteten til rettighetshaver, og så spørsmålet om hvem som skal gi melding til abonnenten i etterkant av utleveringen.
Når det gjelder det første spørsmålet, opprettholder departementet forslaget om at tilbyderen bør utlevere opplysningene til rettighetshaver. Dette er også slik det ble gjort i Max Manus-saken i medhold av reglene om bevissikring utenfor rettssak i tvisteloven kapittel 28. Departementet kan ikke se at det foreligger noen sterke grunner for at domstolen bør være en mellomstasjon ved utleveringen av opplysninger. Det vises bl.a. til at tilbyderen og rettighetshaveren vil være motparter i saken for domstolen, slik at tilbyderen uansett vil kjenne til hvilken rettighetshaver opplysningene skal utleveres til.
Til spørsmålet om varsling av abonnenten, bemerker departementet at også etter bestemmelsene i den svenske opphavsrettsloven er det internettilbyderne som etter utlevering av opplysninger skal sende en skriftlig underretning til den opplysningene gjelder. At tilbyderen ikke kan gi abonnenten en nærmere begrunnelse eller bistand i forbindelse med avgjørelsen, kan etter departementets syn ikke tillegges så stor vekt, ettersom dette neppe ville stille seg annerledes hvis domstolen skulle sende meldingen. Dette antas å falle utenfor en domstols naturlige oppgaver. Departementet har imidlertid en viss forståelse for innvendingene som gjelder håndtering av personopplysninger og opprettelse av egne registre i denne sammenhengen, og har derfor vurdert andre mulige løsninger.
Det kan for så vidt stilles spørsmål om hvor stor betydning en slik underretning vil ha. Ofte er det grunn til å tro at abonnenten uansett vil bli gjort kjent med saken i forbindelse med at rettighetshaven tar videre skritt for å forfølge krenkelsen. Men det er ikke sikkert at det alltid vil skje, og det synes derfor rimelig å stille krav om at abonnenten skal motta en melding om at identiteten er utlevert etter pålegg fra en domstol. Etter å ha overveid spørsmålet om hvem som bør gis oppgaven med å sende en slik melding, mener departementet at rettighetshaveren bør pålegges å gjøre dette. Rettighetshaveren er den part som har mottatt opplysningene, og vil uansett måtte ha et system for hvordan disse skal behandles og benyttes videre. Det antas derfor at det ved enkle midler kan opprettes en rutine om at abonnenten skal gis melding en viss tid etter utleveringen. Det kan vel tenkes at abonnenten allerede er gjort kjent med saken før meldingen mottas – for eksempel ved at rettighetshaveren har tatt kontakt med abonnenten som ledd i videre forfølgning av krenkelsen. Departementet har vurdert om det i slike tilfeller skal gjøres unntak fra plikten til å sende melding hvis abonnenten på annen måte er gjort kjent med saken. På bakgrunn av rettstekniske hensyn, bl.a. at meldingen har betydning for domstolen ved spørsmålet om når allmennheten kan gjøres kjent med saken, foreslås ikke noe slikt unntak fra plikten til å sende melding. Selv om abonnenten allerede er gjort kjent med saken, kan det neppe skade at vedkommende også får en slik rutinemessig melding om utleveringen.
3.3.9 Kostnader i forbindelse med saker om utlevering av identitet
3.3.9.1 Høringsnotatet
I høringsnotatet ble det foreslått at rettighetshaverne skal dekke tilbydernes kostnader i disse sakene (gjennom en henvisning til at tvisteloven § 28-5 første ledd får tilsvarende anvendelse).
3.3.9.2 Høringen
Flere av høringsinstansene tar opp spørsmål om dekning av kostnader i saker om utlevering av identitet bak en IP-adresse. Fra rettighetshaversiden ber flere av høringsinstansene om en klargjøring av forslaget. Det kan bl.a. vises til høringsuttalelsen fra TONO, der det uttales:
«I tillegg ber vi departementet klargjøre hvilke kostnader rettighetshaver kan pålegges å dekke i forbindelse med utleveringen, jf ny § 56b fjerde ledd. Rettighetshavere har erfaring fra andre land med at intemettilbydere fremlegger det rettighetshavere opplever som urimelig høye kostnadsoppgaver. Etter vårt syn gir tvisteloven § 28-5 første ledd, som er utformet med tanke på bevissikring etter tvistelovens regler, liten veiledning i slike saker.
I tillegg til et alminnelig krav om at påberopte kostnader skal dokumenteres på en for rettighetshaver etterprøvbar måte, er det ønskelig at departementet anslår hva rimelige kostnader forbundet med å utlevere opplysninger som identifiserer innehaveren av abonnement normalt vil beløpe seg til. Uten en slik klargjøring, vil det være risiko for at enkelte internettilbydere «skrur opp prisen» for å utlevere slike opplysninger for å avskrekke krenkede rettighetshavere fra å fremme begjæring om slik utlevering.»
Telenor mener det er naturlig at rettighetshaverne og eventuelt den som står bak ulovlig fildeling dekker kostnadene til internettleverandørene, men påpeker at dette ikke er så enkelt som det høres ut til. I den forbindelse bemerkes at:
«Internettleverandørene må ha på plass egne systemer for å kunne håndtere denne type saker på en forsvarlig måte. […]
Kostnadene ved drift av systemet, ansettelser, opplæring, og ikke minst anskaffelse av et system som fungerer tilfredsstillende, vil være den samme uavhengig av antall saker internettleverandøren måtte få. I tillegg kommer kostnadene knyttet til den enkelte sak, dvs. uthenting av informasjon og oversendelse av denne.
Kostnaden for den enkelte sak er det forholdsvis enkelt å beregne; her kan man ta utgangspunkt i konkret tidsbruk for den enkelte sak, pluss eventuelle andre utgifter man måtte ha i håndteringen av denne. Når det gjelder mer generelle kostnader, er det vanskeligere å se av høringsnotatet hvordan departementet har tenkt seg at internettleverandørene skal få dekket disse.»
3.3.9.3 Departementets vurderinger
Departementet bemerker at det er de konkrete kostnadene internettilbyderne har hatt i forbindelse med saken, som kan kreves erstattet. Dette vil være sakskostnader som påløper ved domstolsbehandlingen, i tillegg til kostnader knyttet til å koble den aktuelle IP-adressen som ble anvendt på et konkret tidspunkt til innehaveren av et abonnement, og utlevering av denne informasjonen til rettighetshaver. Det må være nødvendige kostnader som det er rimelig at tilbyderen har pådratt seg. For øvrig nevnes at rettighetshaverne vil kunne ta med utbetalte sakskostnader til internettilbyderen med i et senere krav mot overtrederen.
Det er vanskelig for departementet å anslå hva kostnadene i en slik sak normalt vil beløpe seg til. Hva som kan anses som nødvendige kostnader i saken er et spørsmål som må vurderes av domstolen.
3.3.10 Avgrensningen av hvem som kan pålegges å utlevere abonnementsopplysninger
3.3.10.1 Høringsnotatet
I høringsnotatet ble det foreslått at «tilbyder av elektroniske kommunikasjonstjenester» av retten kan pålegges å utlevere identiteten til rettighetshaveren. Dette begrepet er benyttet i ekomloven og er i § 1-5 nr. 14 definert som «enhver fysisk eller juridisk person som tilbyr andre tilgang til elektronisk kommunikasjonsnett eller -tjeneste».
3.3.10.2 Høringen
Noen av høringsinstansene mener at avgrensningen i høringsnotatet av hvem som kan pålegges å utlevere opplysningene, er for snever.
Det kan bl.a. vises til Kopinors høringsuttalelse, der det uttales:
«Pålegg om utlevering etter § 56b kan således rettes mot leverandører av internettaksess. Det er imidlertid tvilsomt om tilsvarende pålegg kan rettes mot aktører som tilbyr tjenester som kun utnytter og er avhengig av funksjoner i underliggende elektroniske kommunikasjonstjenester, da disse ikke selv formidler elektronisk kommunikasjon. Det er således usikkert om pålegg om utlevering kan rettes mot leverandører av webhostingtjenester, sosiale nettmedia, nettbasert e-post eller nettbaserte tjenester for fillagring. […]
Etter Kopinors oppfatning bør pålegg etter § 56b kunne rettes mot alle som leverer tjenester som formidles elektronisk over avstand etter individuell anmodning, og som besitter informasjon om kundens identitet. Kopinor mener at det er relevant å se hen til ehandelslovens definisjonsapparat når man skal definere hvem pålegg etter § 56b skal kunne rettes mot.»
3.3.10.3 Departementets vurderinger
Departementet bemerker til synspunktet fra høringen at intensjonen med forslaget er at tilbydere av elektroniske kommunikasjonstjenester skal kunne pålegges å utlevere opplysninger som identifiserer innehaver av abonnement som er brukt ved krenkelsen. Det har ikke vært meningen å gi bestemmelsen et så vidt anvendelsesområde som det som er nevnt i noen av eksemplene som er trukket frem i høringen, slik at for eksempel sosiale nettmedier kan pålegges å utlevere identitet. Etter departementets vurdering bør det ikke foretas en slik utvidelse av anvendelsesområdet for bestemmelsen. Departementet opprettholder på denne bakgrunn tilbyder av elektroniske kommunikasjonstjenester som begrep for den som kan pålegges å utlevere opplysninger.
3.3.11 Verneting
I høringsnotatet ble det foreslått at begjæringen om pålegg om utlevering av opplysninger fremsettes for tingretten der tilbyderen har alminnelig verneting (jf. utkastet til ny § 56b). Spørsmålet om verneting har blitt kommentert i høringen av forslaget om tiltak mot nettsted, jf. utkastet § 56c, men i liten grad i høringen av utkastet § 56b. Departementet vil likevel foreslå en endring også i denne lovbestemmelsen på dette punktet. I likhet med det som foreslås i bestemmelsen om pålegg om å hindre tilgang til nettsted, går departementet inn for at Oslo tingrett gjøres til tvungent verneting for sakene om utlevering av identitet. Forslaget vil bl.a. kunne bidra til en mer enhetlig praksis i disse sakene.
3.3.12 Andre spørsmål og innspill til forslaget
Post- og teletilsynet mener at «det i ny § 56b må presiseres at rettighetshaverne ved anmodning om å få utlevert abonnementsinformasjon skal angi både IP-adresse som ble benyttet ved krenkelsen og tidspunkt for når krenkelsen fant sted. Dette bør presiseres ettersom IP-adresser i dag ofte er dynamiske» Tilsynet foreslår at det presiseres i bestemmelsen at det er «opplysninger som identifiserer innehaveren av abonnement som er brukt ved tidspunktet for krenkelsen», som kan utleveres.
Departementet er enig i at rettighetshaveren ved begjæringen må angi IP-adressen som er benyttet og når krenkelsen fant sted. Dette er nødvendig for at internettilbyderen kan foreta en kobling til det abonnement som ble brukt ved krenkelsen. Imidlertid mener departementet at det i lovtekstens angivelse av hva tilbyderen skal utlevere, ikke er nødvendig å tilføye tidspunkt for krenkelsen eksplisitt. Etter departementets syn er det naturlig å forstå uttrykket «brukt ved krenkelsen» slik at dette omfatter tidspunktet for den ulovlige handlingen – det var da krenkelsen skjedde at abonnementet ble brukt. Selv om det for så vidt ikke ville være noe i veien for en slik tilføyelse, mener departementet at lovteksten på dette punktet må anses som tilstrekkelig dekkende.
Noen av høringsinstansene er inne på problemstillinger i tilknytning til reglene om tilgang til identitet kan brukes til andre formål.
IKT-Norge uttaler:
«Det er uklart etter forslaget om, og eventuelt hvilke, begrensninger som ligger i omfanget av forslaget. Vil det for eksempel være mulig å få tilgang til identitet etter bruk av varslertjenester ved å hevde at informasjonen som er lekket og/eller brukt til varsling krenker opphavsretten?»
Norsk Journalistlag uttaler:
«Selv om vi i ikke har konkrete eksempler på at kildevernet kan bli krenket gjennom en slik behandling, finner vi det riktig å påpeke at dersom spørsmålet om massemedienes kildevern skulle komme på spissen i domstolens interesseavveining, tilsier avveiningsnormen etter dagens kildevernregler at internettilbyderen aldri kan bli pålagt å utlevere en identitet som kan avsløre journalisters anonyme kilder.»
Til dette bemerker departementet at tilfellene som er trukket frem av høringsinstansene i hovedsak gjelder situasjoner der brudd på opphavsretten påberopes for å få utlevert identitet, mens det reelle formålet er et helt annet enn å forfølge opphavsrettskrenkelser. Det er grunn til å anta at domstolen kan fange opp slike tilfeller gjennom den interesseavveiningen som skal foretas i disse sakene. Rettighetshaveren vil bl.a. måtte redegjøre for hva slags opphavsrettsbeskyttet materiale krenkelsen gjelder og hvilke interesser rettighetshaveren har i å få identiteten bak IP-adressen utlevert. Dette vil gi domstolen et grunnlag for å vurdere om det foreligger reelle grunner for kravet om utlevering, som faller inn under formålet med bestemmelsen.