14 Dataavlesing
14.1 Hva er «dataavlesing»?
«Dataavlesing» er ikke et entydig juridisk begrep, og betegner heller ikke noen klart avgrenset teknologisk fremgangsmåte. Gjeldende rett inneholder ingen bestemmelser som hjemler dataavlesing som selvstendig tvangsmiddel eller gjennomføringsmåte for andre tvangsmidler. I mandatet til Metodekontrollutvalget er metoden definert som «avlesing av opplysninger i et ikke offentlig tilgjengelig informasjonssystem ved hjelp av programmer eller annet utstyr». Begrepet dataavlesing kan være dekkende for en rekke ulike fremgangsmåter for å skaffe tilgang til informasjon som produseres, lagres eller kommuniseres i eller mellom elektroniske informasjonssystemer.
I forbindelse med etterforskning, forebygging og avverging av kriminalitet kan dataavlesing særlig være interessant som fremgangsmåte for skjult innhenting av informasjon fra informasjonssystemer som benyttes av mistenkte. Informasjonssystem kan som begrep sies å favne videre enn kommunikasjonsanlegg, som er omtalt i punkt 7.1.2 ovenfor. Et eksempel vil være en kopimaskin, som det er naturlig å betegne som et informasjonssystem, men ikke nødvendigvis som et kommunikasjonsanlegg. Kopimaskinen kan manipuleres til å lagre informasjon som normalt ikke lagres – for eksempel bilder av alle dokumenter som kopieres på den. Denne informasjonen kan så hentes ut på ulike måter, jf. nedenfor. Betegnelsen informasjonssystem dekker også det som ellers kan betegnes som kommunikasjonsanlegg – for eksempel datamaskiner og mobiltelefoner. I det følgende bruker departementet også betegnelsen «datasystem» synonymt med informasjonssystem.
Det kan tilrettelegges for innhenting av informasjon gjennom dataavlesing ved at det installeres maskinvare («hardware») eller programvare («software») på eller i et elektronisk informasjonssystem. Plasseringen av programvare kan blant annet gjennomføres ved å modifisere filer som lastes ned av informasjonssystemets bruker, eller ved å sende programvaren som vedlegg til e-post (eller skjult i vedlegget), og få brukeren til å åpne vedlegget. Videre kan programvaren installeres i informasjonssystemet ved både fysisk og elektronisk innbrudd. Plassering av maskinvare forutsetter derimot fysisk tilgang til informasjonssystemet.
Med hensyn til hvilken type informasjon som kan avleses, følger begrensningene teknisk sett bare av hva slags informasjonssystem det dreier seg om og funksjonaliteten til program- eller maskinvaren som benyttes. Dataavlesing kan i prinsippet innebære avlesing av blant annet
lydstrømmen som sendes fra en tilknyttet mikrofon til operativsystemets drivere
lydstrømmen som sendes ut til en tilknyttet høyttaler fra operativsystemets drivere
videostrømmen som sendes fra et tilknyttet kamera (webkamera) til operativsystemets drivere
tastetrykkene som sendes fra et tastatur til operativsystemets drivere
innholdet på en harddisk, minnepenn eller annet tilkoblet lagringsmedium
data som hentes inn fra eller sendes ut på internett eller andre nettverk
data i fysiske og virtuelle minneområder
gjeldende ip-adresser for nettverksenhetene
geografisk koordinatinformasjon fra en tilknyttet GPS-enhet
signalstrømmen mellom tilkoblet skjerm og datautstyret
For å få tilgang til informasjonen som avleses, må programvaren enten lagre den, eller sende den via internett eller annet tilknyttet nettverks- eller radioutstyr. Den avleste informasjonen kan blant annet hentes ut ved fysisk tilstedeværelse (for eksempel ved innbrudd), ved å hente den ut fra internett ved å utnytte såkalte «bakdører» i programvaren eller ved å fange informasjonen opp gjennom kommunikasjonsavlytting.
14.2 Gjeldende rett
14.2.1 Innledning
Som nevnt ovenfor finnes det ingen bestemmelser som hjemler dataavlesing som selvstendig, skjult tvangsmiddel i norsk rett. Blant de metodene som tillates etter gjeldende rett, fremstår særlig kommunikasjonsavlytting og hemmelig ransaking (omtales også som skjult ransaking) som relevante med hensyn til skjult innhenting av informasjon fra informasjonssystemer som benyttes av mistenkte. Nedenfor følger det derfor en kort redegjørelse for disse tvangsmidlene.
14.2.2 Kommunikasjonsavlytting
Det følger av straffeprosessloven § 216 a tredje ledd at kommunikasjonsavlytting kan bestå i «å avlytte samtaler eller annen kommunikasjon til og fra bestemte telefoner, datamaskiner eller andre anlegg for elektronisk kommunikasjon som den mistenkte besitter eller kan antas å ville bruke». Med hensyn til inngangsvilkårene vises det til den generelle redegjørelsen under punkt 7.1.2 ovenfor.
Formuleringen «samtaler eller annen kommunikasjon» er ment å omfatte all informasjonsutveksling mellom kommunikasjonsanlegg, uavhengig av hvilken form eller hvilket innhold informasjonen måtte ha, jf. Ot.prp. nr. 64 (1998–99) punkt 23 IV side 156. Bestemmelsen gir derfor adgang til å avlytte alle former for data som kommuniseres mellom bestemte «kommunikasjonsanlegg». Adgangen er uavhengig av hvilket overføringsmedium som benyttes, og adgangen skal ikke være begrenset til offentlige nett, men også omfatte private og lukkede nett, jf. Ot.prp. nr. 64 (1998–99) punkt 23 IV side 157. Det er imidlertid trukket en grense mot de minste private nettverkene. Avlytting av interne hustelefoner, eller flere datamaskiner i samme bygning koblet til et lukket nettverk, betraktes som romavlytting.
Straffeprosessloven § 216 a er nøytral med hensyn til hvilke teknologiske midler som kan benyttes for å gjennomføre kommunikasjonsavlytting. I utgangspunktet gir bestemmelsen derfor rom for å benytte for eksempel datatekniske løsninger, forutsatt at fremgangsmåten er forenlig med bestemmelsens øvrige skranker. I særmerknadene til straffeprosessloven § 216 a (Ot.prp. nr. 64 (1998–99) punkt 23 IV side 156) er det gitt uttrykk for at også avlytting av den elektromagnetiske strålingen fra et kommunikasjonsanlegg kan være aktuelt:
«ØKOKRIM har under høringen uttrykt ønske om at avlyttingsreglene skal omfatte såkalt TEMPEST-avlytting, dvs avlytting av den elektromagnetiske strålingen fra blant annet datautstyr. Denne avlyttingsmetoden går ut på å fange opp den elektromagnetiske strålingen fra skjermer, kabler eller annet utstyr og omforme dette til meningsgivende data. Ved avlytting av utstyr som avgir sterk stråling, kan denne metoden brukes på lang avstand. Det er i dag mulig å gjenskape en datamaskins skjermbilde på flere hundre meters avstand.
Tempoet i den teknologiske utviklingen gjør det sannsynlig at denne metoden raskt vil utvikles ytterligere. I tillegg vil det antagelig også dukke opp nye, hittil ukjente metoder for avlytting. Avlyttingsadgangen er derfor gjort uavhengig av hvilken teknologi som benyttes. Det avgjørende er om avlyttingen retter seg mot kommunikasjon. I forhold til TEMPEST-avlytting innebærer dette at metoden kan benyttes til å fange opp signaler mellom to kommunikasjonsanlegg idet signalene overføres. Metoden kan derimot ikke benyttes til å avlytte informasjon som ikke kommuniseres. Dette innebærer blant annet at en datamaskins skjermbilde ikke vil kunne avleses.»
Avlyttingsadgangen er som nevnt begrenset til «kommunikasjon». I særmerknadene til bestemmelsen (Ot.prp. nr. 64 (1998–99) punkt 23 IV side 156) er det fremhevet at dette innebærer at:
«[…] det bare er signalstrømmen mellom to kommunikasjonsanlegg som kan avlyttes. Denne begrensningen er aktuell i tilfeller der informasjonen som kommuniseres og/eller annen informasjon finnes lagret på ett eller flere av de anlegg som benyttes i kommunikasjonen. For å få tilgang til slik lagret informasjon, må politiet benytte reglene om beslag eller utlevering. Dette er blant annet praktisk i forhold til e-post. En melding som er lagret hos avsender, mottager eller en internettilbyder (typisk på sistnevntes «mail-server»), kan politiet bare få tilgang til gjennom beslag eller utleveringspålegg.
[…]
Med kommunikasjon menes i denne forbindelse overføring av informasjon fra en avsender til en mottager. Det er således ikke kommunikasjon når det tas utskrift av et datalagret dokument, selv om dokumentet da overføres fra datamaskinen til skriveren. Tilsvarende gjelder ved annen overføring mellom en datamaskin og periferienheter, for eksempel ved sikkerhetskopiering til et eksternt lagringsmedium.»
Kommunikasjonsavlytting etter straffeprosessloven § 216 a, må som følge av denne avgrensningen foregå i «transportfasen» – når informasjonen er under overføring fra avsenderanlegget til mottakeranlegget. Avlyttingen gjennomføres ofte med bistand av tele- eller internettilbyder, ved at det sendes kopi av datapakkene til politiet når disse passerer tilbyderens servere. I dag sendes de ulike datapakkene ofte kryptert. Brukeren kan bevisst ha valgt å bruke en krypteringsløsning, men stadig flere tjenester tilknyttet internett benytter krypteringsløsninger som standard, for å beskytte informasjonen i datapakkene i forsendelsen fra avsender til mottaker. Politiet er etter gjeldende rett henvist til å «knekke» krypteringen, eller å skaffe seg tilgang til krypteringsnøkkelen, for å kunne tilegne seg meningsinnholdet i krypterte datapakker som fanges opp i transportfasen mellom avsender og mottaker.
I merknadene til straffeprosessloven § 216 a ble det pekt på at politiet ikke har mulighet til å tilegne seg informasjon som verken lagres eller kommuniseres, siden verken utleveringspålegg, beslag eller kommunikasjonsavlytting kan benyttes i disse tilfellene. I denne forbindelse omtales bruk av dataavlesing, i form av programvare kalt «trojanske hester» slik (Ot.prp. nr. 64 (1998–99) punkt 23 IV side 156–157:
«Det har i denne forbindelse vært reist spørsmål om bruken av såkalte trojanske hester. Dette er dataprogrammer som skjuler seg inne i andre, tilsynelatende nyttige programmer eller dokumenter. Det finnes slike programmer som er laget nettopp med tanke på etterforskning. Disse installeres på den mistenktes maskin når mistenkte åpner en e-post melding han får tilsendt. Mistenkte vil ikke kunne merke at programmet blir installert. Når programmet er installert, vil det registrere all aktivitet på maskinen i en logg, som med jevne mellomrom overføres til politiet via e-post. Heller ikke dette vil den mistenkte kunne oppdage. Slik metoden er beskrevet ovenfor, vil den ikke ha hjemmel i utkastet til §216a. Overvåkningen retter seg her mot all aktivitet på en datamaskin, ikke mot kommunikasjonen mellom maskiner. Departementet tar med dette ikke generelt stilling til bruken av trojanske hester som etterforskningsmetode, herunder de betenkeligheter som er knyttet til måten programmene installeres på.»
Uttalelsen gjelder bruk av dataprogrammer for å registrere «all aktivitet» på mistenktes datamaskin. Det ble ikke konkret tatt stilling til hvorvidt slike programmer likevel kunne brukes utelukkende til målrettet avlytting av informasjon som kommuniseres. Gjennomføringsmåten, som involverer skjulte inngrep på mistenktes datamaskin, synes imidlertid å ligge klart utenfor rammene for det straffeprosessloven § 216 a gir adgang til.
14.2.3 Hemmelig ransaking og beslag
Etter straffeprosessloven § 200 a første ledd kan retten ved kjennelse beslutte at ransaking kan settes i verk uten underretning til den mistenkte eller andre (hemmelig ransaking), dersom noen med skjellig grunn mistenkes for en handling eller forsøk på en handling som etter loven kan medføre straff av fengsel i ti år eller mer, eller som rammes av straffeloven §§ 121, 123, 125, 126, 127 jf. 123, 128 første punktum, 129, 136 a, 231, 332 jf. 231, 335 jf. 231, 337 jf. 231, eller 340 jf. 231 (straffeloven 1902 §§ 90, 91, 91 a, 94 jf. 90, 104 a første ledd annet punktum, eller 104 a annet ledd jf. første ledd annet punktum, 147 d, eller av §§ 162 eller 317, jf. 162).
Tillatelse til hemmelig ransaking kan bare gis dersom det må antas å være av vesentlig betydning for å oppklare saken, og oppklaring ellers i vesentlig grad vil bli vanskeliggjort, jf. straffeprosessloven § 200 a annet ledd, og bare dersom det ikke er et uforholdsmessig inngrep, sakens art og forholdene ellers tatt i betraktning, jf. straffeprosessloven § 170 a. Dersom det ved opphold er stor fare for at etterforskningen vil lide, kan ordre fra påtalemyndigheten tre istedenfor rettens kjennelse, jf. straffeprosessloven §§ 200 a sjette ledd, jf. 216 d. I så fall skal påtalemyndighetens beslutning snarest mulig, og senest innen 24 timer at ble påbegynt, forelegges retten for godkjennelse.
Hemmelig ransaking etter straffeprosessloven § 200 a kan foretas for å søke etter bevis eller annet som det kan tas beslag i etter reglene i straffeprosessloven kapittel 16. Om nødvendig «kan det åpnes adgang med makt», jf. straffeprosessloven § 200 annet ledd tredje punktum.
Ransakingsadgangen gjelder også for informasjon som er lagret elektronisk i et informasjonssystem, for eksempel på harddisken i en datamaskin. Et annet eksempel er ransaking av virtuelle brukerkontoer – for eksempel en e-postkonto eller annen lagringstjeneste hvor innholdet lagres på en ekstern server hos tilbyderen. I slike tilfeller gjennomføres politiets ransaking nødvendigvis uten fysisk tilstedeværelse.
Politiet kan etter straffeprosessloven § 199 a pålegge enhver som har befatning med datasystemet å gi opplysninger som er nødvendige for å gi tilgang til datasystemet.
Selv om hemmelig ransaking gjennomføres uten varsel, skal den mistenkte i utgangspunktet underrettes om kjennelsen og ransakingen i ettertid. Etter straffeprosessloven § 200 a tredje ledd kan retten ved kjennelse beslutte at underretning om ransakingen og resultatet av den, også i ettertid skal utsettes dersom det er strengt nødvendig for etterforskningen i saken at underretning ikke gis. Utsettelse kan besluttes for inntil åtte uker om gangen. I saker om overtredelse av straffeloven kapittel 17 kan retten beslutte at underretning kan utsettes for inntil seks måneder av gangen eller unnlates helt.
Straffeprosessloven § 208 a åpner for hemmelig beslag, hvilket vil være særlig aktuelt for bevis som oppdages i forbindelse med hemmelig ransaking, men utsatt underretning om beslaget kan også besluttes i andre tilfeller. Vilkåret for å utsette underretning om beslaget er at noen med skjellig grunn mistenkes for en handling eller forsøk på handling som etter loven kan medføre høyere straff enn fengsel i seks måneder, og at det er strengt nødvendig for etterforskningen i saken at underretning ikke gis. Beslutningen treffes av retten i kjennelse, men politiet er gitt tilsvarende hastekompetanse som for hemmelig ransaking, jf. straffeprosessloven § 208 a femte ledd.
14.2.4 Bruk av kommunikasjonsavlytting og hemmelig ransaking i avvergende og forebyggende øyemed
Både kommunikasjonsavlytting og hemmelig ransaking kan benyttes i avvergende øyemed etter straffeprosessloven § 222 d og som ledd i forebygging etter politiloven § 17 d. Det vises til fremstillingen av gjeldende rett under kapittel 13.
14.3 Andre lands rett
14.3.1 Dansk rett
Etter retsplejeloven § 780, stk. 1, nr. 1 kan politiet, på vilkårene som fremgår av lovens kapittel 71, avlytte «telefonsamtaler eller anden tilsvarende telekommunikation (telefonaflytning)». Denne adgangen til kommunikasjonsavlytting er betinget av at det «er bestemte grunde til at antage, at der på den pågældende måde gives meddelelser eller foretages forsendelser til eller fra en mistænkt», og at inngrepet «må antages at være af afgørende betydning for efterforskningen», jf. henholdsvis retsplejeloven § 781, stk. 1, nr. 1 og nr. 2. Etterforskningen må angå en lovovertredelse som etter loven kan straffes med fengsel i seks år eller mer, eller enkelte andre, spesifikt angitte straffebud, jf. § 781, stk. 1, nr. 3. Tillatelse til kommunikasjonsavlytting gis av retten i kjennelse, jf. § 783, stk. 1. Politiet er gitt hastekompetanse, tilsvarende den norske straffeprosessloven § 216 d, i retsplejeloven § 783, stk. 4.
Adgangen til kommunikasjonsavlytting dekker ikke bare telefonsamtaler, men også «anden tilsvarende telekommunikation», som e-post og sms. Kommunikasjonsavlyttingen kan bare rettes mot budskap som er under transport mellom avsender og mottaker, slik regelen også er etter den norske straffeprosesseloven § 216 a. En e-post som er mottatt, men ikke åpnet hos mottakeren, må politiet således tilegne seg med hjemmel i reglene om ransaking og beslag.
I utgangspunktet skal kommunikasjonsanlegg som tillates avlyttet identifiseres i kjennelsen, jf. retsplejeloven § 783, stk. 1. I en viss utstrekning kan retten imidlertid også knytte tillatelsen til den mistenkte personen, uten angivelse av hvilke telefonnummer som kan avlyttes, jf. § 783, stk. 2. Det sistnevnte forutsetter at etterforskningen angår en overtredelse av ett eller flere av straffebudene som er listet opp i stk. 2, som gjelder alvorlig kriminalitet. Dersom det gis tillatelse til kommunikasjonsavlytting knyttet til person, skal politiet snarest mulig etter utløpet av tillatelsen gi retten underretning om hvilke nummer som har blitt kontrollert. Underretningen skal inneholde en angivelse af de «bestemte grunde, der er til at antage, at der fra de pågældende telefonnumre gives meddelelser til eller fra den mistænkte», jf. retsplejeloven § 783, stk. 2.
Inngrepet skal ikke tillates dersom det ville være uforholdsmessig de konkrete omstendighetene tatt i betraktning, jf. retsplejeloven § 782, stk. 1 – det samme prinsippet som i norsk rett.
Hemmelig ransaking, det vil si ransaking med utsatt eller unnlatt underretning, er i dansk rett hjemlet i retsplejeloven § 799. Hemmelig ransaking kan besluttes av retten ved kjennelse hvis etterforskningen angår en «forsætlig overtredelse» av den danske straffeloven kapittel 12 (forbrytelser mot statens selvstendighet og sikkerhet) eller 13 (forbrytelser mot statsforfatningen og de øverste statsmyndigheter, terrorisme mv.), eller andre straffebud som er listet opp i retsplejeloven § 799, stk. 1. Opplistingen omfatter straffebud som rammer menneskesmugling, forsettlig brannstiftelse eller forvoldelse av transportulykker eller sprengning med fare for menneskeliv eller omfattende ødeleggelser mv., kapring, ødeleggelse av drikkevannskilder og drikkevannsledninger mv. med fare for menneskeliv eller sunnhet, forgiftning av forbruksvarer, grove narkotikalovbrudd, utbredning av smittsom sykdom, grove våpenovertredelser, alvorlige former for befatning med radioaktive stoffer, drap, menneskehandel, særlig grovt tyveri, ran og særlig grove overtredelser av skatte-, toll- eller avgiftslovgivningen.
Sammenlignet med «åpen» ransaking gjelder det et skjerpet indikasjonskrav for å tillate hemmelig ransaking, da det må være «af afgørende betydning for efterforskningen» at ransakingen foretas uten underretning til den mistenkte eller andre. Mistankekravet er imidlertid det samme som for ordinær ransaking, hvilket innebærer at ransaking av husvære, andre lokaliteter eller gjenstander som en mistenkt har rådighet over, kan finne sted hvis vedkommende «med rimelig grund er mistænkt» for overtredelse av et av straffebudene som er opplistet i retsplejeloven § 799, stk. 1, jf. § 794, stk. 1. Ved ransaking av husvære, andre lokaliteter eller gjenstander som andre enn mistenkte har rådighet over, kreves det i tillegg at det er «bestemte grunde til at antage» at bevis i saken eller gjenstander som kan beslaglegges, kan finnes ved ransakingen, jf. retsplejeloven § 795, stk. 1, nr. 2.
I kjennelsen skal retten fastsette det tidsrommet ransakingen kan foretas innenfor. Dette skal være så kort som mulig, og ikke overstige fire uker, men kan forlenges, jf. retsplejeloven §§ 799, stk. 2, jf. 783, stk. 3. Ved hemmelig ransaking kan retten også bestemme at det kan foretas et bestemt antall gjentatte ransakinger innenfor det fastsatte tidsrommet. Hvis «særlige grunde taler derfor», kan retten gi tillatelse til et ubestemt antall ransakinger innenfor det fastsatte tidsrommet, jf. retsplejeloven § 799, stk. 3.
Adgangen til å tillate gjentatte ransakinger under én og samme beslutning ble innført i 2002 som et element i den såkalte «anti-terrorpakke I». Den ble begrunnet med at det kan være en rekke tilfeller hvor det er behov for å ransake et objekt flere ganger, for eksempel dersom våpen eller narkotika ikke finnes ved første ransaking, men det er mistanke om at levering av slikt vil finne sted innen kort tid.
Som etter norsk rett kan ransakingen også rette seg mot elektronisk lagret informasjon, for eksempel i form av ransaking av en datamaskin, en e-postkonto eller en brukerprofil på sosiale medier. Det følger blant annet av dansk Højesterets kjennelse 10. mai 2012 i sak 129/2011 at elektronisk ransaking ikke fordrer fysisk tilstedeværelse. I denne saken hadde politiet gjennom telefonavlytting gjort seg kjent med brukernavn og passord til mistenktes facebook- og messenger-profiler, og brukt disse opplysningene til å logge seg på profilene fra sine egne maskiner for å lete etter lagrede meldinger og andre opplysninger lagret på profilene – det vil si i tjenestetilbydernes servere. Højesteret fant at dette hadde karakter av gjentatte hemmelige ransakinger, som kunne foretas med hjemmel i retsplejeloven § 793, stk. 1, nr. 1, jf. § 799.
Politiet er gitt hastekompetanse til å beslutte hemmelig ransaking etter samme modell som for kommunikasjonsavlytting, jf. retsplejeloven § 796, stk. 3.
I Danmark er «dataaflæsning» dessuten innført som selvstendig metode i retsplejeloven § 791 b. Bestemmelsen ble innført ved lov nr. 378 av 6. juni 2002, som et ledd i gjennomføringen av blant annet FNs konvensjon om bekjempelse av finansiering av terrorisme, samt FNs sikkerhetsråds resolusjon nr. 1373 (2001) om tiltak for bekjempelse av terror.
I merknadene til lovforslaget ble det vist til at politiet allerede hadde adgang til å benytte kommunikasjonsavlytting og hemmelig ransaking for å tilegne seg innholdet i elektronisk kommunikasjon og elektronisk lagret informasjon, men at det i noen tilfeller hadde vist seg praktisk umulig å skaffe tilgang til informasjon som politiet rettslig sett hadde adgang til å gjøre seg kjent med gjennom slik tvangsmiddelbruk.
I merknadene pekes det særlig på en kjennelse fra dansk Højesteret inntatt i UfR 2001 side 1276. Avgjørelsen gjaldt en sak om etterforskning av narkotikahandel, hvor vilkårene var oppfylt for å avlytte e-postkommunikasjon fra en datamaskin i en leilighet i en boligblokk, samt for å pålegge danske teleselskaper å opplyse hvilke kommunikasjonsanlegg som hadde blitt satt i forbindelse med denne datamaskinen. Politiet hadde imidlertid ikke teknisk mulighet til å gjennomføre avlyttingen, siden installasjon av avlyttingsutstyret ville medføre for stor risiko for avsløring. Dessuten var det ikke mulig for politiet å skille e-post sendt fra mistenktes datamaskin fra e-post sendt av brukere av andre datamaskiner i den samme boligblokken. Politiet ba derfor retten om tillatelse til å installere et såkalt «sniffer-program» i mistenktes datamaskin. Med et slikt program ville politiet – uten mistenktes viten – få tilsendt kopi av alle elektroniske meddelelser som ble sendt fra datamaskinen. Programmet ville også gi mulighet til å registrere samtlige inntastinger foretatt av brukeren, og det kunne registrere og videresende opplysninger til politiet om at datamaskinen ble åpnet, besøk av internettadresser, opprettelse og redigering av dokumenter, regnskaper mv.
Højesteret kom til at det var nærliggende å sidestille bruken av et slikt program med gjentatt, hemmelig ransaking, som retsplejeloven § 799 den gang ikke ga adgang til. I merknadene til lovforslaget vedrørende dataavlesing ble det under henvisning til kjennelsen lagt til grunn at bestemmelsen om hemmelig ransaking ikke hjemler undersøkelse av materiale i en datamaskin ved «løbende aflæsning, der foretages af politiet fra et andet sted».
Justitsministeriet pekte på at tekniske forhold og risikoen for avsløring innebar at politiet ikke i alle tilfeller hadde mulighet til å utnytte den eksisterende adgangen til å gjøre seg kjent med elektroniske meddelelser og elektronisk lagret materiale. Det uttalte at politiet, blant annet i lys av terrorangrepene mot USA 11. september 2001, kunne ha behov for å løpende kunne registrere innholdet og anvendelsen av «bestemte computere mv.» i forbindelse med etterforskningen av alvorlig kriminalitet, for eksempel gjennom installering av spesiell programvare, som «sniffer-programmer». Dette gjaldt ifølge Justitsministeriet særlig i forbindelse med etterforskningen i saker om overtredelse av den danske straffeloven kapittel 12 (forbrytelser mot statens selvstendighet og sikkerhet) og kapittel 13 (forbrytelser mot statsforfatningen og de øverste statsmyndigheter mv.), overtredelse av straffeloven § 180 om kvalifisert brannstiftelse, § 183, stk. 1 og 2 om forvoldelse av sprengning og spredning av skadevoldende luftarter, jernbaneulykke m.m., § 183 a om flykapring, § 186, stk. 1 om forvoldelse av fare for menneskers liv eller helbred ved å tilsette vannbeholdninger sunnhetsfarlige stoffer, § 187, stk. 1 om å tilsette gift eller andre lignende stoffer i ting som er bestemt til forhandling eller utbredt benyttelse, § 191 om grove narkotikalovbrudd, § 192 a om særlig grove våpenlovovertredelser, samt § 237 om drap. Justitsministeriet bemerket at en rekke av disse overtredelsene etter sin karakter kunne «tænkes at finde sted som led i eller i forbindelse med egentlige terrorhandlinger».
På ovennevnte bakgrunn ble bestemmelsen om dataavlesing foreslått for å gi politiet mulighet til å bruke «sniffer-programmer» eller annet utstyr for løpende å kunne motta kopi av ikke offentlig tilgjengelige opplysninger i et datasystem, inkludert e-post som mottas eller sendes, inntastinger som blir gjort i datasystemet, og informasjon som lagres i systemets minne, i etterforskning av overtredelser av de ovennevnte straffebudene. Samtidig ble det bemerket at en slik adgang også i noen tilfeller vil gi politiet mulighet til å lese elektroniske meddelelser som sendes til eller fra en mistenkt via en datamaskin eller lignende, selv om kommunikasjonen er kryptert, og derfor ikke er tilgjengelig i klartekst ved ordinær kommunikasjonsavlytting.
Justitsministeriet vurderte om bruken av «sniffer-program» og lignende burde hjemles i bestemmelsene om hemmelig ransaking, men kom til at ransaking etter den tradisjonelle oppfatningen innebærer fysisk tilstedeværelse ved det som skal ransakes, og at den nye metoden dessuten hadde visse likhetstrekk med romavlytting og observasjon av personer i bolig eller andre husvære, fordi opplysningene fremskaffes ved hjelp av teknisk utstyr, uten fysisk tilstedeværelse. Bestemmelsen om dataavlesing ble derfor plassert i retsplejeloven kapittel 71, som gjaldt «indgreb i meddelelseshemmeligheden og om observation».
Kriminalitetskravet for anvendelse av dataavlesing er senere endret. Retsplejeloven § 791 b gir i dag hjemmel for å benytte dataavlesing i etterforskning av overtredelser som etter loven kan straffes med fengsel i seks år eller mer, samt av forsettlige overtredelser av den danske straffeloven kapittel 12 eller 13 (kriminalitetskravet). Bestemmelsen lyder i sin helhet slik:
«791 b. Aflæsning af ikke offentligt tilgængelige oplysninger i et informationssystem ved hjælp af programmer eller andet udstyr (dataaflæsning) kan foretages, såfremt
1) der er bestemte grunde til at antage, at informationssystemet anvendes af en mistænkt i forbindelse med planlagt eller begået kriminalitet som nævnt i nr. 3,
2) indgrebet må antages at være af afgørende betydning for efterforskningen, og
3) efterforskningen angår en lovovertrædelse, som efter loven kan straffes med fængsel i 6 år eller derover eller en forsætlig overtrædelse af straffelovens kapitel 12 eller 13.
Stk. 2. Indgreb som nævnt i stk. 1 må ikke foretages, såfremt det efter indgrebets formål, sagens betydning og den krænkelse og ulempe, som indgrebet må antages at forvolde den eller de personer, som det rammer, ville være et uforholdsmæssigt indgreb.
Stk. 3. Afgørelse om dataaflæsning træffes af retten ved kendelse. I kendelsen angives det informationssystem, som indgrebet angår. I øvrigt finder reglerne i § 783, stk. 1, 3. og 4. pkt., samt stk. 3 og 4, tilsvarende anvendelse.
Stk. 4. Efterfølgende underretning om et foretaget indgreb sker efter reglerne i § 788, stk. 1, 3 og 4. Underretningen gives til den, der har rådigheden over det informationssystem, der har været aflæst efter stk. 1. I øvrigt finder reglerne i § 782, stk. 2, §§ 784, 785, 789 samt 791 tilsvarende anvendelse.»
Etter § 791 b, stk. 1 er det «oplysninger i et informationssystem» som kan avleses. Med dette forstås datamaskiner eller andre databehandlingsanlegg, inkludert annet elektronisk utstyr med tilsvarende funksjoner, for eksempel visse mobiltelefoner og elektroniske kalendere, jf Gomard m.fl., Kommenteret Retsplejelov Bind III, (9. udgave, København 2013), note 2 til § 791 b side 269. Både programvare, som «sniffer-program» og trojanere, samt maskinvare kan benyttes for å gjennomføre avlesingen.
Mistankekravet er angitt i stk. 1, nr. 1, hvor det fremgår at det må være «bestemte grunde til at antage» at informasjonssystemet anvendes av en mistenkt i forbindelse med en planlagt eller begått handling som nevnt i stk. 1, nr. 3. Videre innebærer stk. 1, nr. 2 et indikasjonskrav, idet dataavlesingen «må antages at være af afgørende betydning for efterforskningen» for å kunne tillates. Det alminnelige forholdsmessighetskravet fremgår av § 791 b, stk. 2.
Avgjørelse om å tillate dataavlesing treffes av retten ved kjennelse, jf. § 791 b, stk. 3. I kjennelsen skal retten angi det informasjonssystemet som tillates avlest. Identifiseringen kan skje ved at utstyrets fabrikat, nummer eller tilsvarende opplyses, eller ved angivelse av det geografiske sted hvor utstyret befinner seg, eller angivelse av hvem som har rådighet over det, jf. Gomard m.fl., Kommenteret Retsplejelov Bind III (9. udgave, København 2013), note 9 til § 791 b side 270. I kjennelsen skal det også fastsettes et tidsrom dataavlesingen kan foretas innenfor. Dette skal være så kort som mulig, og kan ikke overstige fire uker. Tillatelsen kan forlenges ved ny kjennelse med inntil fire uker om gangen, jf. retsplejeloven § 791 b, stk. 3, jf. § 783, stk. 3. Politiet er gitt hastekompetanse til å beslutte dataavlesing på samme vilkår som ved hemmelig ransaking og kommunikasjonsavlytting, jf. retsplejeloven § 791 b, stk. 3, jf. § 783, stk. 4.
I utgangspunktet skal byretten gi underretning om inngrepet etter at dataavlesingen er avsluttet, til den som har rådighet over det informasjonssystemet som har blitt avlest, jf. retsplejeloven § 791 b, stk. 4, jf. § 788, stk. 1. Retten kan etter begjæring fra politiet beslutte at underretning skal utsettes eller unnlates dersom det ville være til skade for etterforskningen eller er nødvendig for å beskytte fortrolige opplysninger om politiets etterforskningsmetoder mv., jf. retsplejeloven § 791 b, stk. 4, jf. § 788, stk. 4.
Når retten treffer avgjørelse om dataavlesing etter retsplejeloven § 791 b, skal det oppnevnes en advokat for den inngrepet angår, som skal ivareta vedkommendes interesser i forbindelse med behandlingen av begjæringen og eventuelt inngrepet, jf. retsplejeloven § 784, jf § 785. Ordningen har likhetstrekk med den norske bestemmelsen om oppnevning av offentlig advokat i forbindelse med skjult tvangsmiddelbruk etter straffeprosessloven § 100 a.
Justitsministeriet har redegjort for erfaringene med blant annet retsplejeloven § 791 b i «Redegørelse om erfaringerne med lovgivning indført i forbindelse med anti-terrorpakke I fra 2002 og anti-terrorpakke II fra 2006», datert 9. september 2010. Justitsministeriet innhentet uttalelse fra Politiets Efterretningstjeneste (PET), som ifølge redegjørelsen opplyste følgende om erfaringene med anvendelsen av retsplejeloven § 791 b (side 26–27):
«Dataaflæsning omfatter bl.a. den situation, hvor politiet ved hjælp af et såkaldt “sniffer-program” modtager kopi af samtlige indtastninger, som brugeren af edb-udstyret foretager, herunder åbning af computeren, oprettelse af nye dokumenter og regnskaber mv., nye indtastninger i allerede eksisterende dokumenter eller visse nærmere angivne indtastninger.
Muligheden for dataaflæsning indebærer således, at politiet ved hjælp af edb-programmer eller andet udstyr løbende kan aflæse ikke offentligt tilgængelige oplysninger.
Ved dataaflæsning får politiet adgang til tekst, herunder elektroniske meddelelser, uanset om teksten har været under forsendelse til eller fra den computer, der er genstand for dataaflæsning. Dataaflæsning udgør således også et alternativ til bl.a. ransagning, og generelt har Politiets Efterretningstjeneste et stort udbytte af de data, som opnås ved dette indgreb.
Politiets Efterretningstjeneste har anvendt og anvender fortsat dataaflæsning i mange tilfælde. Dataaflæsning har vist sig at være et særdeles nyttigt efterforskningsmiddel og er bl.a. anvendt i forhold til målpersonerne i Vollsmose-sagen og Glasvej-sagen.»
I den såkalte Vollsmose-saken ble tre personer dømt i Højesteret til fengsel i henholdsvis tolv år (to personer) og fem år for forsøk på terrorhandlinger mot blant annet Jyllands-Posten, Folketinget og Københavns Hovedbanegård. I «Glasvej-sagen» ble to personer dømt til fengsel i henholdsvis tolv år og åtte år for forsøk på terrorhandlinger. De to hadde blant annet fremstilt sprengstoff i en leilighet i København.
I redegjørelsen fra 2010 har Justitsministeriet konkludert med at det, på bakgrunn av blant annet tilbakemeldingene fra PET, ikke finner at «der aktuelt er behov for ændring af de regler i retsplejeloven, som blev indført i forbindelse med anti-terrorpakkerne» (side 29). Videre uttales følgende i redegjørelsen (side 29–30):
«Det bemærkes herved, at formålet med en række af de ændringer af retsplejeloven, der blev indført i forbindelse med anti-terrorpakkerne, var at styrke Politiets Efterretningstjenestes efterforskningsmuligheder. I den forbindelse kan det på baggrund af Politiets Efterretningstjenestes udtalelse konstateres, at de redskaber, som tjenesten har fået stillet til rådighed, generelt er blevet anvendt med positive resultater.»
På side 45 fremgår i samme retning:
«Det bemærkes i øvrigt, at der i forbindelse med indførelsen af de 2 anti-terrorpakker i høj grad var fokus på at skabe en lovgivning, som kunne sikre en effektiv terrorbekæmpelse uden at kompromittere borgernes grundlæggende rettigheder, og de efterfølgende erfaringer med anvendelsen af reglerne giver efter Justitsministeriets opfattelse ikke anledning til at overveje ændringer af den gennemførte lovgivning ud fra retssikkerhedsmæssige hensyn.»
Metodekontrollutvalget har også henvendt seg til den danske riksadvokaten og etterspurt hans vurdering av metoden på bakgrunn av de danske erfaringene med bestemmelsen om dataavlesing. Om dette heter det i utredningen punkt 23.2.2 side 242–243:
«[…] Utvalget ba særlig om å få oversendt eventuelt tallmateriale som viser behov og effektivitet, men også eksempler som illustrerer når politiet har hatt behov for metoden og på hvilken måte den har vært avgjørende for den videre etterforsking og iretteføring av straffbare handlinger. Det ble videre bedt om en vurdering av i hvilke situasjoner og for hvilke straffbare handlinger metoden har vist seg å ha særlig betydning. I denne sammenheng ble det opplyst at det var ønskelig om det kunne sies noe om hvilken merinformasjon dataavlesing har fremskaffet i forhold til andre tvangsmiddelbestemmelser, særlig kommunikasjonskontroll og ransaking/beslag.
Riksadvokaten rettet på denne bakgrunn en henvendelse til politiet, herunder det nasjonale IT-Efterforskningscenteret (NITEC) som bistår landets politidistrikter i forbindelse med sikring av elektroniske bevis. Politiet opplyste at det ikke finnes oversikt over antallet dataavlesinger i Danmark, og at det heller ikke kan fremskaffes slike opplysninger fra politiets saksbehandlingssystem. Riksadvokaten har likevel opplyst å være kjent med at dataavlesing har vært anvendt i en rekke konkrete saker, herunder to saker om forsøk på terror. I begge disse sakene ble det gjennomført dataavlesing av de siktedes datamaskiner. Dette frembrakte bevis for at de senere domfelte hadde nedlastet bombemanualer, hadde søkt etter kjemikalier mv. som kunne brukes til bombefremstilling, og hadde kommunisert via datamaskiner i tilknytning til planleggingen av forbrytelsene. I forbindelse med utvalgets besøk ved det nasjonale IT-Efterforskningscenteret (NITEC) fikk utvalget opplyst at dataavlesing også hadde vist seg effektivt ved etterforsking av narkotikasaker og saker om barnepornografi.»
14.3.2 Svensk rett
Også etter svensk rett er det adgang til kommunikasjonsavlytting – «hemlig avlyssning av elektronisk kommunikation» i etterforskningsøyemed. Tvangsmidlet er regulert i rättegångsbalken 27 kap. Metoden er beskrevet slik i 27 kap. 18 § 1 mom:
«Hemlig avlyssning av elektronisk kommunikation innebär att meddelanden, som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress, i hemlighet avlyssnas eller tas upp genom ett tekniskt hjälpmedel för återgivning av innehållet i meddelandet.»
Formuleringen «meddelanden» som overføres eller har blitt overført i et «elektronisk kommunikationsnät» omfatter alle former for kommunikasjon, herunder overføring av lyd, tekst og bilde (for eksempel innholdet i telefon- og telefakstrafikk, e-post, og ved bruk av chat-programmer).
Kommunikasjonsavlytting forutsetter at noen er «skäligen misstänkt» for en overtredelse som nevnt i rättegångsbalken 27 kap. 18 § 2 mom, og at inngrepet «är av synnerlig vikt» for etterforskningen, jf. 27 kap. 20 § 1 mom. I tillegg gjelder det et alminnelig forholdsmessighetskrav, idet tvangsmidler bare kan benyttes dersom «skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den misstänkte eller för något annat motstående intresse», jf. 27 kap. 1 § 3 mom.
Avlytting kan tillates i etterforskningen av lovbrudd som har en minstestraff på minst to års fengsel, jf. 27 kap. 18 § 2 mom. Det samme gjelder ved forsøk, forberedelse eller forbund, dersom slike handlinger er straffbare. I tillegg kan avlytting benyttes i etterforskning av slike samfunnsfarlige lovbrudd som er angitt i 27 kap. 2 § 2 mom. nr. 2 til 7, herunder sabotasje, mordbrann, terrorlovbrudd og spionasje, jf. 27 kap. 18 § 2 mom. Opplistingen er til dels overlappende, siden flere av disse lovbruddene har en minstestraff på minst to års fengsel. Avlytting kan også benyttes ved lovbrudd med en lavere minimumsstraff, såfremt straffeutmålingen i det aktuelle tilfellet kan antas å overstige fengsel i to år. Denne såkalte «straffvärdeventilen» er ment å fange opp alvorlige tilfeller hvor sannsynlig straffenivå i betydelig grad overstiger minstestraffen, og det derfor er særlig viktig med en effektiv etterforskning, jf. prop. 2002/03:74 punkt 6.1 side 33.
Avlyttingen kan rettes mot «telefonnummer eller annan adress eller en viss elektronisk kommunikationsutrustning» som den mistenkte i det tidsrommet tillatelsen gjelder har eller har hatt rådighet over, eller som han ellers kan antas å ha anvendt eller komme til å anvende, eller tilsvarende utrustning som det «finns synnerlig anledning att anta» at han har kontaktet eller kommer til å kontakte, jf. 27 kap. 20 § 1 mom. nr. 1 og 2.
Avgjørelse om hemmelig avlytting av elektronisk kommunikasjon treffes i utgangspunktet av retten etter begjæring fra påtalemyndigheten, jf. rättegångsbalken 27 kap. 21 § 1 mom. Påtalemyndigheten er imidlertid gitt hastekompetanse i 27 kap. 21 a § 1 mom. I tillatelsen skal tidsrommet for avlyttingen angis. Dette kan ikke overstige én måned. Videre skal det i tillatelsen angis hvilket eller hvilke telefonnummer, annen adresse eller elektronisk kommunikasjonsutrustning tillatelsen gjelder, og hvorvidt tillatelsen også gjelder avlytting utenfor «allmänt tillgängliga elektroniska kommunikationsnät», jf. 27 kap. 21 § 3 mom. Det er opp til domstolen å avgjøre hva tillatelsen skal omfatte. I Prop. 2011/12:55 (punkt 11.4 side 131) er det for eksempel lagt til grunn at en tillatelse til avlytting av elektronisk kommunikasjon via e-post normalt ikke bør knyttes til kommunikasjonsutrustningen (datamaskinen) som mistenkte benytter, men spesifikt til selve e-postadressen.
En tillatelse til kommunikasjonsavlytting etter rättegångsbalken 27 kap. 18 § gir også adgang til å utføre slik «hemlig övervakning av elektronisk kommunikation» som er omtalt i 27 kap. 19 §, jf. 27 kap. 18 § 2 mom.
I rättegångsbalken 28 kap. er det gitt regler om blant annet «husrannsakan», som kan foretas i «hus, rum eller slutet förvaringsställe för att söka efter föremål som kan tas i beslag eller i förvar eller annars för att utröna omständigheter som kan vara av betydelse för utredning om brottet», dersom det «finns anledning att anta» at det har blitt begått et lovbrudd som kan føre til fengselsstraff, jf. 28 kap. 1 § 1 mom. Etter svensk rett anses det tillatt å gjennomsøke for eksempel en datamaskin i forbindelse med en husransaking – det kreves da ingen særskilt tillatelse for å ransake datamaskinen, jf. SOU 2013:39 side 134 med videre henvisninger til SOU 1995:47 side 184 og SOU 2011:45 side 295–296. Rättegångsbalken 28 kap. 7 § 4 mom. forutsetter at ransaking skal kunne gjennomføres uten umiddelbar underretning til den ransakingen foretas hos, idet underretning skal gis «så snart det kan ske utan men för utredningen».
I Sverige har «hemlig dataavläsning» tidligere blitt utredet og foreslått innført som ny metode av Beredningen för rättsväsendets utveckling (BRU) i SOU 2005:38, «Tillgång til elektronisk kommunikation i brottsutredningar m.m.». Forslaget har ikke blitt fulgt opp, blant annet på grunn av kritiske innspill i høringsrunden, men ble igjen aktualisert i en nyere utredning, SOU 2012:44, hvor det pekes på behov for et slikt tvangsmiddel.
Forslaget i SOU 2005:38 går ut på å innføre en egen, midlertidig lov om hemmelig dataavlesing. I lovforslaget 1 § er «hemlig dataavläsning» definert som «att information i informationssystem i hemlighet avläses med hjälp av program eller annat tekniskt hjälpmedel vid förundersökning i brottmål». Ifølge forslaget skal hemmelig dataavlesing kunne gjennomføres blant annet ved at politiet i hemmelighet sender egnet programvare til et informasjonssystem, og så lar programvaren rapportere til politiet om informasjon som finnes i informasjonssystemet og bruken av det. Metoden kan også innebære at maskinvare eller programvare med tilsvarende funksjonalitet plasseres i informasjonssystemet gjennom et fysisk inngrep, for eksempel ved innbrudd i en persons bolig.
Tillatelse til dataavlesing må ifølge lovforslaget 10 § gis av retten etter begjæring fra påtalemyndigheten. Begjæringen skal behandles i rettsmøte, og et «offentligt ombud» (en person oppnevnt av regjeringen som er advokat eller har vært advokat eller «ordinarie domare») skal i utgangspunktet oppnevnes for å ivareta integritetsinteressene til den avlesingen retter seg mot i forbindelse med prøvingen, etter reglene i rättegångsbalken 27 kap. 26 til 30 §§.
Dataavlesing skal ifølge lovforslaget 3 § kunne tillates i etterforskning av lovbrudd med en minstestraff på fengsel i to år, samt overtredelse av enkelte andre, særskilt angitte straffebud, herunder bestemmelser om datainnbrudd, hets mot folkegrupper og barnepornografi. I svensk rett har fastsettelse av minstestraffer vært mer utbredt enn i norsk rett. Som eksempler på lovbrudd som omfattes av bestemmelsen om minstestraff på fengsel i to år nevnes mord, drap, grov menneskehandel, grovt ran, mordbrann, allmennfarlig ødeleggelse, grove brudd mot rikets indre og ytre sikkerhet, grovt narkotikalovbrudd og grov narkotikasmugling. Med unntak for datainnbrudd, hets mot folkegrupper og barnepornografi, er det foreslåtte kriminalitetskravet sammenfallende med det som gjelder for avlytting av elektronisk kommunikasjon etter rättegångsbalken 27 kap. 18 § og hemmelig kameraovervåking etter 27 kap. 20 a §.
I lovforslaget 4 § 1 mom. er indikasjonskravet angitt. Dataavlesing skal ifølge forslaget kunne tillates når noen er «skäligen misstänkt» for en overtredelse som nevnt i forslaget 3 §, og inngrepet «är av synnerlig vikt för utredningen». I tillegg skal det gjelde et forholdsmessighetskrav, ved at det kreves at «skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den misstänkte eller för något annat motstående intresse». Etter forslaget 4 § 2 mom skal dataavlesing også kunne tillates i tilfeller der ingen er «skäligen misstänkt» for overtredelse som nevnt i forslaget 3 §, dersom inngrepet «syftar til att fastställa vem som skäligen kan misstänkas för brottet», forutsatt at de øvrige vilkår etter forslaget 3 § er oppfylt.
Dataavlesing skal etter forslaget 5 § bare kunne rette seg mot informasjonssystem som det «finns särskild anledning til att anta» at den mistenkte har anvendt eller kommer til å anvende. Dersom informasjonssystemet befinner seg i en annens bopel, skal det gjelde et strengere krav, idet dataavlesing bare kan finne sted dersom det «finns synnerlig anledning att anta» at den mistenkte har anvendt eller kommer til å anvende systemet. Dersom dataavlesingen har som formål å fastslå hvem som kan mistenkes for handlingen, kreves det etter forslaget 6 § at det kan konstateres at informasjonssystemet anvendes eller har blitt anvendt i forbindelse med overtredelsen.
En beslutning om hemmelig dataavlesing skal etter forslaget 11 § være tidsbegrenset. Metoden skal ikke kunne anvendes lengre enn nødvendig, og tillatelse kan ikke gis for mer enn én måned fra dagen for beslutningen. Tillatelsen kan forlenges ved ny beslutning, men det er forutsatt at domstolens prøving da vil bli mer restriktiv – under henvisning til forholdsmessighetskravet, jf. SOU 2005:38 side 388.
I beslutningen om hemmelig dataavlesing kan retten etter forslaget 7 § 3 mom. også gi politiet tillatelse til «att i hemlighet bereda sig tillträde till en plats som annars särskilt skyddas mot intrång i syfte att installera de tekniska hjälpmedlen». I utredningen er dette begrunnet med at effektiv anvendelse av metoden i en del tilfeller forutsetter at det tekniske hjelpemiddelet plasseres i datautstyret gjennom et fysisk inngrep, og at de informasjonssystemene det kan bli tale om å avlese i de aller fleste tilfeller vil være plassert på steder som allmennheten ikke har tilgang til, og som er «skyddade mot intrång» (SOU 2005:38 side 389). En eventuell tillatelse til innbrudd for å installere tekniske hjelpemidler skal i henhold til forslaget 11 § annet ledd angis særskilt i rettens beslutning. Et teknisk hjelpemiddel som har vært installert skal fjernes eller gjøres ubrukelig så snart som mulig etter at fristen for bruk av metoden er utløpt, eller når bruken av metoden ellers har opphørt. Retten skal gis underretning om at dette er gjort, jf. forslaget 13 §.
Kommunikasjon mellom mistenkte og hans forsvarer skal etter forslaget 7 § 2 mom. ikke være gjenstand for hemmelig dataavlesing. Dersom det under avlesingen fremkommer at slik kommunikasjon fanges opp, skal avlesingen avbrytes umiddelbart. Eventuelle nedtegnelser eller opptak av slik kommunikasjon skal umiddelbart tilintetgjøres.
Om det ved hemmelig dataavlesing har fremkommet opplysninger om andre straffbare handlinger enn den eller de som lå til grunn for beslutningen om å tillate metoden anvendt (overskuddsinformasjon), kan disse brukes til å undersøke denne straffbare handling nærmere. Etterforskning kan likevel bare innledes på bakgrunn av slike opplysninger dersom handlingen kvalifiserer til fengsel i ett år eller mer, eller dersom det foreligger særlige grunner. Dersom det har fremkommet opplysninger om forestående straffbare handlinger, kan opplysningene anvendes for å forhindre disse, jf. forslaget 8 §.
Materiale som lagres ved hemmelig dataavlesing må etter forslaget 9 § gjennomgås så snart som mulig med tanke på om materialet har betydning for den pågående etterforskning. De deler av materialet som har betydning for etterforskningen skal oppbevares til saken er endelig avsluttet. De deler som er av betydning for å forhindre forestående straffbare handlinger, skal oppbevares så lenge det er nødvendig for å forhindre disse. Deretter skal materialet tilintetgjøres, jf. forslaget § 9.
I redegjørelsen for forslaget har BRU pekt på at det er et stort behov for dataavlesing som egen metode. Det uttales at den «snabba tekniska utvecklingen medför att det i dagsläget finns stora problem i brottsutredningar med att få fram uppgifter ur datorer eller avlyssna meddelanden mellan datorer» (SOU 2005:38 side 362), og at dette gjelder særskilt når informasjonen er beskyttet av kryptering eller av annen programvare som skjuler informasjonen. Ifølge BRU påtreffes kryptert informasjon i et «ständig ökande antal brottsutredningar»(samme sted). BRU viser samme sted til at bestemmelsene om kommunikasjonsavlytting og kommunikasjonsovervåking har vært gjeldende over lang tid, og at den teknologiske utviklingen i denne tiden har vært «oerhört kraftig och mycket snabb». Disse tvangsmidlene er ifølge BRU ikke egnet til å overvinne utfordringene knyttet til kryptert informasjon mv. Det konstateres at den utbredte bruken av krypteringsprogrammer og andre tekniske løsninger for å skjule informasjon medfører at det «är mer regel än undantag» at politiet får tilgang til informasjon i datamaskiner under etterforskning av alvorlig kriminalitet (SOU 2005:38 side 364). BRU mener derfor at det er stort behov for dataavlesing som metode, særlig i etterforskning av alvorlig og organisert kriminalitet. BRU uttaler at det ofte er tale om situasjoner der det «i princip inte finns någon möjlighet att på annat sätt skaffa fram avgörande uppgifter och bevisning rörande grova brott» (SOU 2005:38 side 369). Om metodens antatte effektivitet uttales følgende på side 366:
«Även om det inte har gått att få några precisa uppgifter om tilllämpningen av dataavläsning i Danmark, är alla som vi har talat med helt överens om att rätt använd i det enskilda fallet skulle metoden innebära ett effektivt medel i brottsbekämpningen. Det överensstämmer helt med vår bedömning. Hur metoden bör genomföras på det mest effektiva sättet, t.ex. i valet mellan hård- och mjukvara, blir givetvis beroende av omständigheterna i det enskilda fallet. Vi har fått uppgifter om effektiviteten i olika avseenden med kan av sekretesskäl inte redogöra för dessa. Användning av dataavläsning innebär, precis som för de befintliga hemliga tvångsmedlen, alltid en risk för att verkställigheten röjs. Vi har fått beskrivet även vilka röjningsrisker som finns och sätten att reducera dessa. Inte heller i den delen går det att avslöja några detaljer. Det går ändå att konstatera att de riskerna inte alls är så framträdande att det påverkar effektiviteten i sådan grad att det finns avgörande skäl mot att metoden införs.»
Ifølge BRU er det selvsagt at de nyeste teknologiske mulighetene benyttes som verktøy for å gjennomføre særskilt grov kriminalitet. BRU mener at det er «helt nödvändigt för samhället att myndigheterna inte hamnar hjälplöst efter utan, inom ramen för att ett godtagbart integritetsintrång, får rätt att använda brottsutredande metoder som är effektiva och anpassade till den tekniska situation som råder vid varje givet tillfälle», jf. SOU 2005:38 side 362.
Det fremgår av BRUs utredning at behovet for dataavlesing som «brottsbekämpande metod» er veid mot hensynet til personvern. BRU uttaler at det er en vanskelig oppgave å avveie «integritetsintresset» mot nødvendigheten av å ha effektive metoder for blant annet etterforskning av kriminalitet, og at det «ligger i sakens natur att varje tvångsmedel innefattar ett integritetsintrång» (SOU 2005:38 side 367). Videre peker BRU på at det må tas i betraktning at inngrepet i personvernet ofte er beskjedent sammenlignet med den krenkelsen som ofrene for den alvorlige kriminaliteten må tåle, og uttaler (SOU 2005:38 side 367):
«Ju allvarligare och ju mer svårutredd som brottsligheten blir, desto mer tvingas statsmakterna tillåta i form av tvångsåtgärder i brottsbekämpningen. Det kan aldrig accepteras att brottsligheten tar överhanden och att statsmakterna kapitulerar inför utvecklingen av en allt mer avancerad och förslagen brottslighet.»
Dataavlesing vil ifølge BRU alltid innebære en viss inntrenging, enten fysisk for å plassere tekniske hjelpemidler, eller elektronisk – ved at programvare sendes til en datamaskin. Det erkjenner at dette, samt den etterfølgende innhentingen av informasjon fra informasjonssystemet og bruken av det, kan representere et vesentlig inngrep i privatlivet, men at det konkrete omfanget vil avhenge av omstendighetene i det enkelte tilfelle. Videre sammenlignes dataavlesing med de eksisterende tvangsmidlene kommunikasjonsavlytting («hemlig teleavlyssning») og kameraovervåking (SOU 2005:38 side 368):
«I allmänhet bör dock kunna sägas att integritetsintrånget i vart fall inte kommer att bli större än vid hemlig teleavlyssning och hemlig kameraövervakning, där samtal avlyssnas och personen är föremål för övervakning genom fjärrstyrda kameror. De sistnämnda tvångsmedlen bör i de flesta fall anses innefatta en mer total kontroll av och insyn i en persons förehavanden än vad dataavläsning innebär. Dessutom bör det i de fallen typiskt sett finnas en större risk för att personer som är ovidkommande för en brottsutredning drabbas av ett integritetsintrång genom att de t.ex. blir avlyssnade vid en telefonkontakt med en misstänkt person eller blir filmade på en plats där kameraövervakning pågår. Det kan tilläggas dels att ett hemligt intrång i en persons bostad eller på en arbetsplats för att placera den utrustning som krävs för dataavläsning inte kan anses mer integritetskänsligt än en s.k. hemlig husrannsakan (se 28 kap. 7 § andra stycket RB), dels att ett samtidigt verkställande av flera tvångsmedel mot samma person givetvis leder till att integritetsintrånget ökar avsevärt, något som måste beaktas när beslut skall fattas om metoden och under verkställigheten av tvångsmedlen.»
Under henvisning til behovet for dataavlesing og metodens antatte effektivitet, mener BRU at det «skulle innebära en så stor vinst för bekämpningen av den allvarliga brottsligheten att det inte är försvarligt att avstå från att införa en möjlighet för de brottsbekämpande myndigheterna att använda metoden», selv om den vil medføre personverninngrep. Det fremheves likevel at reglene bør utformes slik at det ikke gjøres større inngrep enn nødvendig (SOU 2005:38 side 369):
«En reglering av användning av hemlig dataavläsning måste omgärdas av sådana rättssäkerhetsgarantier som säkerställer att bestämmelserna inte kan missbrukas och att allmänheten kan ha tilltro till de myndigheter som tillämpar regleringen. Tvångsmedelsregleringen måste omgärdas av tydliga och strikta ramar för att det inte skall kunna misstänkas att regelsystemet kommer att utnyttjas utöver vad det skall tillåta. Bestämmelserna måste även utformas på ett sådant sätt att de kan accepteras av allmänheten som ett nödvändigt redskap för de brottsbekämpande myndigheterna i kampen mot den grövre kriminaliteten. Regleringen måste också innefatta ett starkt skydd för den personliga integriteten. Det är av avgörande betydelse att undvika att personer som är ovidkommande för en brottsutredning får sin integritet kränkt. Det är också viktigt att i möjligaste mån begränsa det integritetsintrång som den misstänkte utsätts för.»
Spørsmålet om dataavlesing burde innføres som eget tvangsmiddel er tatt opp igjen i SOU 2012:44, «Hemliga tvångsmedel mot allvarliga brott» (Betänkande av Utredningen om vissa hemliga tvångsmedel). Utvalget understreker at spørsmålet falt utenfor dets mandat, men finner likevel grunn til å henvise til BRUs utredning og forslag, og til å påpeke at det under dets egne undersøkelser har fått opplysninger om den teknologiske utviklingen og kriminelles strategier for å hemmeligholde sin kommunikasjon, som tilsier at dataavlesing bør tillates i Sverige (SOU 2012:44 side 767–768):
«Det som kommit fram vid kartläggningen ger stöd för att tvångsmedlet hemlig dataavläsning skulle kunna medföra beaktansvärd nytta för de brottsbekämpande myndigheterna. Med den utformning som BRU föreslagit – där avgränsningen av vilken informationsinhämtning som får ske inte är helt klar – skulle tvångsmedlet kunna medföra avsevärda integritetsintrång. Dessa intrång skulle emellertid, på samma sätt som beträffande hemlig rumsavlyssning i vissa fall kunna vara berättigade.»
Utvalget har på denne bakgrunn pekt på at det er «angeläget att frågan utreds» (SOU 2012:44 side 768).
14.3.3 Finsk rett
I Finland er bruken av skjulte tvangsmidler («hemliga tvångsmedel», som brukes «i hemlighet för dem åtgärden riktas mot») i etterforskningsøyemed regulert i tvångsmedellagen (22.07.2011/806) 10 kap. Gjennom endringer som trådte i kraft 1. januar 2015 har reglene i tvångsmedelslagen om bruk av skjulte tvangsmidler i etterforskningsøyemed og reglene i polislagen (22.07.2011/872) om bruk av tilsvarende tvangsmidler for å forhindre, avsløre eller avverge alvorlige lovbrudd, blitt harmonisert og modifisert. Som skjulte tvangsmidler regnes «teleavlyssning, inhämtande av information i stället för teleavlyssning, teleövervakning, inhämtande av basstationsuppgifter, systematisk observation, förtäckt inhämtande av information, teknisk observation (teknisk avlyssning, optisk observation, teknisk spårning och teknisk observation av utrustning), inhämtande av identifieringsuppgifter för teleadresser eller teleterminalutrustning, täckoperationer, bevisprovokation genom köp, användning av informationskällor och kontrollerade leveranser», jf. tvångsmedelslagen 10 kap. 1 § 1 mom.
For å benytte et tvangsmiddel i hemmelighet kreves det at det «kan antas att man på det sättet får information som behövs för att utreda ett brott», jf. 10 kap. 2 § 1 mom., og at det «kan antas at vara av synnerlig vikt för utredning av ett brott», jf. samme bestemmelse 2 mom.
Tvångsmedelslagen 10 kap. gir blant annet adgang til «teleavlyssing», som i 3 § er definert som at et «meddelande» som tas imot av eller sendes fra en viss teleadresse eller teleterminalutrustning, gjennom et allment kommunikasjonsnett eller nett som er koblet til et slikt, avlyttes, tas opp eller på annen måte behandles for å undersøke innholdet i meddelelsen og identifiseringsopplysninger knyttet til den. Teleavlytting kan bare rettes mot meddelelser fra eller tiltenkt en person som er «skäligen misstänkt» for et lovbrudd som nevnt i 10 kap. 3 § 2 mom. følgende. Det er her ikke angitt noe generelt strafferammekrav, men opplistet en rekke typer lovbrudd som kan danne grunnlag for avlytting. Opplistingen nevner blant annet folkemord og folkemordrelaterte lovbrudd, lovbrudd mot rikets sikkerhet, forræderi, seksuell utnyttelse av barn, drap, menneskehandel, samt visse vinningslovbrudd og narkotikalovbrudd.
Beslutning om teleavlytting treffes av domstolen på begjæring fra en «anhållningsberättigad tjänsteman» (det vil si politibefal eller tjenestemann med påtalekompetanse), jf. 10 kap. 5 § 1 mom. Tillatelse kan gis for høyst en måned av gangen, jf. 2 mom.
Avlyttingen kan rettes mot «meddelande», hvilket i følge forarbeidene (RP 222/2010 rd side 327) skal forstås som «samtal, elektronisk post, textmeddelande, talmeddelande och annat motsvarande meddelande som i ett kommunikationsnät förmedlas mellan parterna eller til en mottagarkrets som inte är utvald på förhand». Avlyttingen kan rettes mot meddelelser som tas i mot eller sendes fra en viss teleadresse eller teleterminalutrustning. Det er i utgangspunktet bare tillatt å avlytte meddelelser mens de er i den såkalte transportfasen mellom avsender og mottaker, jf. RP 222/2010 rd side 327. Avgrensningen illustreres samme sted med at avlytting ikke kan brukes for å få rede på innholdet i en tekstmelding som har kommet frem til mottakerens mobiltelefon. I slike tilfeller må i utgangspunktet andre tvangsmidler, som for eksempel beslag, benyttes.
I 10 kap. 4 § er adgangen til teleavlytting imidlertid supplert med bestemmelser om «inhämtande av information i stället för teleavlyssning». Etter 10 kap. 4 § 2 mom. kan det gis tillatelse til å rette avlyttingen mot «en personlig teknisk anordning som lämpar sig för att sända och ta emot meddelanden och finns i direkt anslutning til teleterminalutrustning eller mot förbindelsen mellan en sådan anordning och teleterminalutrustning», på samme vilkår som for avlytting etter bestemmelsen om avlytting i 10 kap. 3 §. Slik anordning kan for eksempel være en blue tooth-hodetelefon («håndfri-sett») som står i forbindelse med en mobiltelefon.
Dersom det er sannsynlig at meddelelser som nevnt i 10 kap. 3 § ikke lenger er tilgjengelige gjennom avlytting etter sistnevnte bestemmelse, kan det på samme vilkår som for avlytting også gis tillatelse til å beslaglegge eller kopiere meddelelsene hos «teleföretag eller sammanslutningsabonnent», jf. 10 kap. 4 § 1 mom.
Videre gir tvångsmedelslagen 10 kap. 16 § og 17 § gir hjemmel for såkalt «teknisk avlyssning», hvilket innebærer at en mistenkt persons «samtal eller meddelande som inte är avsett för utomstående», og som avlytteren ikke deltar i, blir avlyttet, tatt opp eller på annen måte behandlet «med hjälp av en teknisk anordning, metod eller programvara i syfte att ta reda på innehållet i samtalet eller meddelandet eller utreda deltagarna eller den misstänkta verksamheten», jf. 10 kap. 16 § 1 mom.
Vilkårene for «teknisk avlyssning» varierer med hvor den som skal avlyttes befinner seg. Er det tale om sted som ikke benyttes for «stadigvarande boende», kan teknisk avlytting iverksettes ved skjellig grunn til mistanke om lovbrudd med en øvre strafferamme på minst fire års fengsel, samt narkotikalovbrudd, forberedelse til lovbrudd som begås i terrorhensikt, grovt tollrapporteringslovbrudd, forberedelse til gisseltaking eller forberedelse til grovt ran, jf. tvångsmedelslagen 10 kap. 16 § 2 mom. og 3 mom. Avlyttingen kan bare rettes mot steder som den mistenkte med sannsynlighet kan antas å befinne seg på eller besøke.
Sted som benyttes permanent («stadigvarande») som bolig, og der det er sannsynlig at mistenkte befinner seg, kan avlyttes dersom vedkommende med skjellig grunn mistenkes for et lovbrudd som er angitt i tvångsmedelslagen 10 kap. 17 §. Oppregningen omfatter blant annet folkemord, spionasje, ulike former for forræderi, grov seksuell utnyttelse av barn, drap, grov menneskehandel, grovt ran, grov sabotasje, terrorisme og grov narkotikakriminalitet.
Gjelder det avlytting av bolig eller avlytting som rettes mot en frihetsberøvet, treffes beslutning av retten, jf. 10 kap. 18 § 1 mom. Annen avlytting kan ifølge 2 mom. besluttes av «anhållningsberättigad tjänsteman». I alle tilfeller kan det gis tillatelse for høyst én måned om gangen, jf. 3 mom.
Ved teknisk avlytting etter tvångsmedelslagen 10 kap. 17 § eller 18 § gis det adgang til å avlytte mer enn bare mistenktes utsagn eller samtaler med andre som befinner seg i samme rom eller på samme sted. I forarbeidene er det forutsatt at teknisk avlytting også dekker det at man «med en teknisk anordning avlyssnar eller upptar vad den andra parten i ett telefonsamtal säger i telefonen när avlyssningen riktas mot de ljudvågor som talet ger upphov til» (RP 222/2010 rd side 340). Lovens formulering «samtal eller meddelande» innebærer at avlyttingsadgangen heller ikke er begrenset til samtale eller meddelelser som skjer muntlig (det var den derimot tidligere). I forarbeidene legges det til grunn at teknisk avlytting også kan omfatte for eksempel overvåking av tastaturet til en datamaskin i forbindelse med sending av e-post, jf. RP 222/2010 rd side 340 og RP 52/2002 rd side 27.
I så måte kan teknisk avlytting utgjøre et praktisk viktig supplement til adgangen til teleavlytting i tilfeller hvor målet er å avdekke innholdet i mistenktes kommunikasjon med andre. I RP 52/2002 rd tilkjennegis følgende om dette (side 26–27):
«Det ökade behovet av att kunna rikta teknisk avlyssning mot utrymmen som är avsedda för stadigvarande boende beror på att teleavlyssningens användbarhet vid utredning de facto har minskat. När brottslingarna i allt högre grad blir medvetna om risken för att bli avslöjad i samband med telekommunikation kommer de att försöka undvika telekommunikation. Också den ovan nämnda användningen av mobiltelefoner och anonymt förhåndsbetalde teleanslutningar samt ibruktagandet av kryptoteknik försvårar teleavlyssningen. Det enda sättet att ta sig förbi krypteringsarrangemangen kan i praktiken vara att utföra teleavlyssningen vid en teleterminalutrustning. Eftersom det allmänna telenätet anses upphöra vid den s.k. husfördelningen, är det i de kopplingar som görs vid teleterminalutrustningen inte fråga om teleavlyssning utan om teknisk avlyssning.»
Tvångsmedelslagen 10 kap. 23 § gir hjemmel for «teknisk observation av utrustning». Med teknisk observasjon menes det at «en funktion, informationsinnehållet eller identifieringsuppgifterna i en dator eller i en liknande teknisk anordning eller i dess programvara på något annat sätt än enbart genom sinnesförnimmelser observeras, upptas eller behandlas på något annat sätt för att utreda omständigheter som är av betydelse för utredningen av ett brott», jf. 1 mom.
Teknisk observasjon kan rettes mot utrustning eller programvare som det er sannsynlig at en mistenkt benytter, og vedkommende med skjellig grunn mistenkes for et lovbrudd som nevnt i 10 kap. 16 § 3 mom. Kriminalitetskravet er altså sammenfallende med det som gjelder for teknisk avlytting av andre steder enn «stadigvarande boende». Beslutning om teknisk observasjon av utrustning treffes av retten, men «anhållningsberättigad tjänsteman» har hastekompetanse dersom «ärendet inte tol upskov», jf. 10 kap. 24 § 1 mom. Tillatelse kan gis for inntil én måned om gangen.
Bestemmelsen om teknisk observasjon ble introdusert ved en lovendring som trådte i kraft 1. januar 2015. Endringen er i forarbeidene begrunnet med behov for å kunne observere teknisk utrustning uavhengig av hvilket sted utrustningen befinner seg på, og at det var et problem med gjeldende rett at «förundersökningsmyndigheten inte kan vara säker på var en anordning används i och med att olika slags bärbara anordningar och andra anordningar som man kan ha med sig blivit så vanliga», jf. RP 222/2010 rd side 346. Det konstateres derfor samme sted at utrustningens fysiske plassering ikke har betydning for adgangen til teknisk observasjon etter 10 kap. 23 §, siden formålet med tvangsmiddelet ikke er å utrede hva som skjer på det sted utrustningen befinner seg.
Bestemmelsen om teknisk observasjon av utrustning gir anledning til å observere bruken av en teknisk anordning og å gjøre seg kjent med filer som måtte være lagret i den. I forarbeidene (RP 222/2010 rd side 346) heter det at man kan «övervaka växelverkan mellan den brottsmisstänkte och den tekniska anordningen», og blant annet utføre såkalt tastetrykksavlesing for å få rede på passord til en server. Metoden kan bare brukes mot anordninger som kan jevnføres med en datamaskin, som for eksempel bærbare elektroniske lagringsmedier og smarttelefoner. En tillatelse til teknisk observasjon av utrustning gir ikke adgang til å innhente opplysninger om innholdet i en meddelelse eller identifiseringsopplysninger som nevnt i 10 kap. 6 §. Kommunikasjonsavlytting må eventuelt gjennomføres med grunnlag i en tillatelse til teleavlytting eller teknisk avlytting. Det har vært meningen å angi en klar grense mot de andre tvangsmidlene i tvångsmedelslagen 10. kap, jf. RP 222/2010 rd side 347.
I tvångsmedelslagen 10 kap 26 § er det gitt bestemmelser om gjennomføringen av teknisk observasjon, som dekker både teknisk avlytting (10 kap. 16 § og 17 §) og teknisk observasjon av utrustning (10 kap. 23 §). Politiet har adgang til «att fästa en anordning, metod eller programvara som används för teknisk observation på föremål, ämnen, egendom, i utrymmen och andra platser eller informationssystem som åtgärden riktas mot», dersom det er nødvendig for å gjennomføre observasjonen, jf. 10 kap. 26 § 1 mom. For å installere, ta i bruk eller avinstallere anordningen, metoden eller programvaren har politiet da rett til «att i hemlighet ta sig in» på en slik plass eller slikt informasjonssystem som nevnt ovenfor, samt «kringgå, låsa upp eller på något annat motsvarande sätt tillfälligt passera eller störa objektens eller informationssystemens säkerhetssystem». Dersom det er behov for å skaffe seg adgang til et sted som benyttes som «stadigvarande boende» kreves det særskilt tillatelse fra retten, jf. 10 kap. 26 § 2 mom.
14.4 Folkerettslige forpliktelser
Som nevnt ovenfor er ikke datavlesing et entydig juridisk begrep, og det betegner heller ikke noen klart avgrenset teknologisk fremgangsmåte. Slik begrepet brukes i proposisjonen her, vil dataavlesing som metode ha paralleller til – og delvis overlappe med – kommunikasjonsavlytting og skjult ransaking.
Det er åpenbart at dataavlesing vil kunne innebære betydelige inngrep i den enkeltes privatliv, familieliv, hjem og korrespondanse, som er vernet etter EMK artikkel 8 nr. 1. Etter omstendighetene kan dataavlesing berøre retten til privatliv så vel som korrespondanse, og gripe inn i både den enkeltes fysiske og psykiske integritet. Metoden kan også tenkes rettet mot det private hjem, hvor vernet etter artikkel 8 nr. 1 er særlig sterkt.
Retten til respekt for privatlivet er likevel ikke absolutt. Etter artikkel 8 nr. 2 kan det gjøres inngrep i rettigheten såfremt dette skjer med hjemmel i lov og er nødvendig i et demokratisk samfunn av hensyn til visse nærmere angitte formål. Departementet er ikke kjent med at EMD i noe tilfelle har vurdert konkret om vilkårene for å gjøre inngrep ved å benytte dataavlesing (som egen metode i den forstand som her legges til grunn) har vært oppfylt. Det kan imidlertid være naturlig å velge en tilsvarende tilnærming som i saker om kommunikasjonsavlytting og romavlytting, og det vises derfor til redegjørelsen i punkt 7.2 og 8.2 ovenfor, samt den generelle redegjørelsen i punkt 5.2.
14.5 Tidligere norske utredninger hvor spørsmålet om dataavlesing bør tillates er vurdert
I NOU 2004: 6 Mellom effektivitet og personvern foreslo Politimetodeutvalgets flertall å innføre regler som skulle tillate dataavlesing som forebyggende metode. Det foreslo også å definere dataavlesing slik (punkt 11.8.2 side 233):
«Med dataavlesing forstås avlesing av opplysninger i et ikke offentlig tilgjengelig elektronisk informasjonssystem ved hjelp av dataprogrammer eller på annen måte.»
Forslaget til bestemmelse om dataavlesing lød slik (punkt 11.1.2 side 250):
«(1) Politiet kan iverksette dataavlesning overfor person som det er god grunn til å tro forbereder en særlig alvorlig straffbar handling etter § 8-3 (1), men bare av informasjonssystem som det må antas at anvendes i forbindelse med forberedelsen.
(2) Beslutningen skal treffes av retten. Tillatelse kan bare gis når undersøkelsen vil være av avgjørende betydning for å forebygge den straffbare handling, og bare når mindre inngripende metoder ikke vil være anvendelige.
(3) Kontroll kan ikke gjennomføres med hensyn til en persons kommunikasjon med personer som ifølge straffeprosessloven § 119 er utelukket fra å gi vitneforklaring med mindre vedkommende selv er involvert i forberedelsen.
(4) Tillatelsen skal gis for et bestemt tidsrom, som ikke må være lenger enn strengt nødvendig, og ikke lenger enn 8 uker om gangen. I saker som angår § 2-2, kan tillatelse gis for inntil 6 måneder om gangen.
(5) Tillatelse kan likevel ikke gis dersom det etter inngrepets formål, sakens betydning og forholdene ellers vil være et uforholdsmessig inngrep.»
I begrunnelsen for forslaget viste Politimetodeutvalgets flertall til at kommunikasjonskontroll gir politiet mulighet til å kontrollere opplysninger som kommuniseres mellom datamaskiner, for eksempel e-postforsendelser. Politimetodeutvalget pekte på at bedre tilgang til krypteringsprogrammer medfører at kommunikasjonskontroll som metode gir mindre informasjon enn tidligere. Det viste også til at moderne krypteringsprogrammer har blitt så kompliserte at krypterte meldinger ikke lar seg dekryptere, og at eneste måte å få tak i innholdet på derfor er å fange det opp før meldingen krypteres. Politimetodeutvalgets flertall fremhevet også at dataavlesing ville være en integritetskrenkende metode, men at det burde åpnes for den – på strenge vilkår (NOU 2004: 6 punkt 10.7.11.1 side 207).
Høringen av Politimetodeutvalgets forslag etterlot etter departementets vurdering et klart inntrykk av at dataavlesing var en etterforskningsmetode som det var behov for å vurdere nærmere, jf. Ot.prp. nr. 60 (2004–2005) punkt 11.3 side 141. Departementet konstaterte at dataavlesing kunne virke svært integritetskrenkende, og at det var behov for å gå nærmere inn i kompliserte tekniske spørsmål for å kunne avveie de ulike hensynene på en tilfredsstillende måte. Departementet gikk derfor inn for at spørsmålet burde utredes av Datakrimutvalget før forslag om lovendringer ble fremmet.
Lund-utvalget tok også opp spørsmålet om bruk av spesielle datatekniske metoder i etterforskningsøyemed i NOU 2003: 18 Rikets sikkerhet, Straffelovkommisjonens delutredning VIII, punkt 8.1.2 side 126–127:
«Det andre spørsmålet er i hvilken grad det bør kunne benyttes spesielle datatekniske metoder i etterforskingen, herunder ulike dataprogrammer – såkalte trojanske hester, ormer, sniffere mv. Dette er dataprogrammer som kan installeres hemmelig i dataanlegg og som kan ha forskjellige funksjoner. For eksempel kan programmene legge «vertsmaskinen» åpen for «innbrudd» utenfra, eller de kan lagre og/eller sende informasjon som ligger på maskinen. Programmene kan også overvåke de enkelte inntastingene underveis, og sende denne informasjonen til politiet før den krypteres. Bruk av slike programmer reiser en rekke tekniske og rettslige spørsmål. Det må legges til grunn at i mange tilfeller vil det være nødvendig med hjemmel utover de som er gitt i gjeldende lovgivning. For å besvare hjemmelsspørsmålet sikkert kreves imidlertid en avklaring av hvilke programfunksjoner som kan være aktuelle, i hvilken grad programmene kan skade vertsmaskinen, om programmene kan forstyrre eller forsinke vertsmaskinens funksjoner, hvor stor plass slike programmer kan oppta på vertsmaskinens harddisk, om programmene kan installeres uten at det medfører datainnbrudd osv. Også andre IKT-relaterte metoder kan visstnok tenkes anvendelige i etterforskingsøyemed, for eksempel avlytting av elektromagnetiske felt.»
Lund-utvalget konkluderte med at det var naturlig å overlate vurderingen av ulike IKT-relaterte metoder til Datakrimutvalget.
Datakrimutvalget konstaterte at dataavlesing var et begrep uten entydig fastlagt innhold, og at det måtte utredes nærmere hva metoden består i. I samråd med departementet valgte Datakrimutvalget å la spørsmålet om innføring av dataavlesing «utstå til det senere utredningsarbeid», jf. NOU 2007: 2 Lovtiltak mot kriminalitet, punkt 4.3.4 side 47. Metodekontrollutvalget ble bedt om å følge opp dette utredningsarbeidet.
14.6 Metodekontrollutvalgets vurderinger og forslag
14.6.1 Innledning
Metodekontrollutvalget presiserer at «dataavlesing» ikke er et entydig juridisk eller teknologisk begrep, men legger til grunn at dataavlesing innebærer «å skaffe seg tilgang til opplysninger i et elektronisk datasystem ved hjelp av dataprogrammer eller på annen måte», jf. NOU 2009: 15 punkt 23.1.4 side 237. I utredningen er det presisert at utvalget har vært særlig opptatt av «å kartlegge behovet for metoden og dens antatte effektivitet», jf. punkt 23.1.3 side 236. Utvalget har utredet og vurdert om det er grunnlag for å foreslå regler som tillater at politiet tar i bruk dataavlesing som metode under etterforskning, og som forebyggende metode. Videre har det tatt stilling til hvordan slike regler eventuelt bør utformes – herunder om dataavlesing bør tillates som en ny selvstendig etterforskningsmetode på lik linje med andre tvangsmidler, eller mer målrettet som en mulig gjennomføringsmåte for informasjonsinnhenting ved bruk av etablerte tvangsmidler, som for eksempel kommunikasjonsavlytting og romavlytting. Om dette heter det i punkt 23.1.4 side 237 i utredningen at:
«Dataavlesing slik Politimetodeutvalget foreslo, og den løsning som er valgt i Danmark og foreslått i Sverige, jf. nedenfor, innebærer at dataavlesing innføres som en ny selvstendig etterforskingsmetode på linje med andre tvangsmidler som for eksempel kommunikasjonskontroll og romavlytting. En slik form for dataavlesing vil kunne gi tilgang både til informasjon som politiet ved bruk av eksisterende metoder kan få tilgang til, for eksempel gjennom kommunikasjonskontroll eller hemmelig ransaking, og til informasjon som politiet etter gjeldende rett ikke har mulighet til å innhente, nemlig informasjon om den kontinuerlige bruken av informasjonssystemet som for eksempel ikke kommuniseres eller lagres i datasystemet.
Dataavlesing kan alternativt målrettes slik at politiet for eksempel kun gis adgang til å bruke fremgangsmåten for å innhente informasjon som politiet allerede i dag kan få tilgang til, men på en måte som ikke hindres av tekniske beskyttelsesinnretninger i det aktuelle datasystemet som bruk av kryptering. En slik regel vil innebære en videreføring av den mulighet allerede eksisterende metoder gir til å fremskaffe informasjon, som for eksempel kommunikasjonsavlytting.
Under enhver omstendighet vil dataavlesing slik utvalget ser det, innebære et ellers straffbart innbrudd i et datasystem etter straffeloven (1902) § 145 annet ledd og straffeloven (2005) § 204, se også § 205.»
Metodekontrollutvalget uttaler samme sted at man «har valgt en mer målrettet og mindre inngripende tilnærming og forslag til løsning av spørsmålet om innføring av dataavlesing som metode enn Politimetodeutvalget hadde, og også den løsning man har valgt i Danmark og foreslått i Sverige.» Utvalget har ikke funnet grunn til å foreslå dataavlesing innført som metode «med det formål å gi politiet mulighet til fortløpende å overvåke all aktivitet i et datasystem». Derimot har utvalget foreslått at dataavlesing innføres «som en mulig gjennomføringsmåte for kommunikasjonskontroll og hemmelig ransaking, slik at politiet settes i stand til å sikre informasjon som er kryptert eller på annen måte er gjort utilgjengelig», jf. punkt 23.1.4 side 237, i utredningen. Utvalgets vurderinger og forslag omtales nærmere nedenfor.
14.6.2 Metodekontrollutvalgets observasjoner om behovet for dataavlesing
Metodekontrollutvalget tar utgangspunkt i at «innføringen av nye tvangsmidler, eller utvidelsen av eksisterende hjemler, må bygge på solid dokumentasjon av behovet», og understreker at det kreves «tungtveiende grunner» for å innføre nye metoder eller gjennomføringsmåter, jf. NOU 2009: 15 punkt 23.2.2 side 240.
Utvalget legger samme sted til grunn at politiets mulighet til å kontrollere mistenktes kommunikasjon er «et effektivt og viktig verktøy for politiet i dets arbeid med å avdekke alvorlig kriminalitet». Videre pekes det på at den teknologiske utviklingen fra innføringen av adgang til telefonkontroll ved etterforskning av overtredelser av narkotikalovgivningen – ved midlertidig lov av 17. desember 1976 – og frem til i dag har «vært enorm» på dette området, både på tilbydersiden og brukersiden (utredningen punkt 23.2.2 side 240 og 241):
«Den teknologiske utviklingen har gjort det mulig å sørge for at innholdet i kommunikasjonen ikke lenger vil være forståelig eller leselig når den kommer til teletilbyderen. Ved bruk av krypteringsprogrammer vil mistenkte for eksempel kunne sørge for at en e-post som hos avsenderen og mottakeren kan leses som ren tekst, vil være kryptert og dermed i utgangspunktet uleselig for politiet dersom den for eksempel hentes ut hos internettilbyderen. Dette betyr ikke nødvendigvis at politiet er helt avskåret fra å lese informasjonen. Dersom politiet klarer å knekke krypteringen eller innehar krypteringsnøkkelen, vil informasjonen kunne dekrypteres, og dermed leses. I dag er imidlertid de fleste krypteringsprogrammer i forbindelse med kommunikasjon så vidt avanserte at krypteringen ikke kan omgås i det hele tatt, og i alle fall ikke innenfor et så kort tidsrom at informasjonen blir etterforskingsmessig relevant.
Alt tyder på at bruken av kryptering av kommunikasjon øker, og vil fortsette å øke i fremtiden. Også opplysninger utvalget har fått fra Nasjonal sikkerhetsmyndighet (NSM), avdeling NorCERT, bekrefter dette. Utviklingen skyldes i hovedsak økt bevissthet om behovet for å beskytte seg både hos tilbydere av teletjenester og hos brukerne, som kan være både enkeltpersoner og bedrifter. I dag kan alle enkelt og billig skaffe seg relativt avanserte krypteringsprogrammer for kommunikasjon. En rekke av de programmer som er tilgjengelige for brukere av teletjenester krypterer i tillegg kommunikasjonen uten at brukeren i og for seg er klar over det, eller i hvert fall ikke trenger å gjøre noe aktivt for det. I tillegg har en rekke offentlige aktører pekt på at også den enkelte bør ta grep for å beskytte seg på Internettet både mot kriminalitet og av personvernhensyn, blant annet ved bruk av krypteringsprogrammer. For eksempel har Personvernkommisjonen i NOU 2009: 1 på side 87–88 pekt på at alle, av personvernhensyn, i større grad bør kryptere informasjon som går over Internettet.»
Videre bemerker utvalget samme sted at den teknologiske utviklingen har ført til utfordringer for politiet med hensyn til å kunne utnytte kontrolladgangen effektivt:
«Disse samfunnsmessige og markedsmessige tendensene må antas å påvirke også de kriminelle, som vil ha en særlig interesse av å være oppmerksom på forholdet mellom kryptering og politiets arbeidsmetoder. Ved å utnytte kunnskap om politimetodenes svakheter, vil de kriminelle gjennom økt bruk av sterk kryptering kunne sørge for at den kommunikasjonen som tidligere ble fanget opp gjennom kommunikasjonskontroll, ikke lenger tilflyter politiet. På denne bakgrunn legger utvalget til grunn at den økte bevisstheten rundt bruken av kryptering og den økte tilgjengeligheten av slike programmer vil gjøre kommunikasjonskontroll som etterforskingsmetode langt mindre effektiv.»
Metodekontrollutvalget viser også til politiets behov for å kunne foreta hemmelig ransaking og beslag i bekjempelsen av alvorlig kriminalitet. Det peker på at den teknologiske utviklingen også i denne sammenheng har gjort at informasjon som politiet tidligere fikk tilgang til ved slik metodebruk, ikke lenger tilgjengelig, og at dette «særlig skyldes […] økt bevissthet knyttet til kryptering av data i forbindelse med lagring», jf. utredningen punkt 23.2.2 side 241. Med hensyn til disse utfordringene har utvalget gjort følgende observasjoner (samme sted side 241–242):
«Politiet kan i dag i prinsippet skaffe seg tilgang til all informasjon for eksempel i en datamaskin, gjennom reglene om hemmelig ransaking og beslag. Dersom vilkårene for det er oppfylt, kan politiet ransake og beslaglegge informasjon på datamaskinen ved å «speile» – det vil si kopiere – aktuell informasjon på harddisken. På den måten vil politiet kunne skaffe seg tilgang til informasjon som både relaterer seg til kommunikasjon og annen usendt, sensitiv eller privat informasjon mv., og til en viss grad også informasjon som mistenkte har ment å slette.
I denne forbindelse er det rapportert at politiet møter utfordringer der informasjonen er kryptert. Informasjonen i et datasystem kan passordbeskyttes på mange måter og på mange nivåer, alt fra oppstarten av enheten til åpning av de enkelte programmer og dokumenter.
Den økte bevisstheten om behovet for å sikre seg mot at andre får tilgang til informasjon som er tilgjengelig på et datasystem har også ført til økt fokus på å beskytte informasjonen. Et typisk eksempel vil være passordbeskyttet oppstart (i BIOS) av en bærbar datamaskin som brukeren har med seg utenfor hjemmet, med den økte risikoen dette har for at den kan bli stjålet eller tapt på annen måte. Det må antas at dette også gjelder de kriminelle. Denne gruppen vil i tillegg ha større grunn til å beskytte alle de datasystemer som brukes i den kriminelle virksomheten, for eksempel også en stasjonær datamaskin.
Det er anført at begge disse hovedutfordringene – kryptering og annen beskyttelse – ved gjennomføringen av dagens metoder, vil kunne møtes mer effektivt dersom politiet gis adgang til dataavlesing. Dataavlesing kan tenkes å gi politiet adgang til for eksempel å avlytte kommunikasjonen før den blir kryptert, alternativt skaffe seg krypteringsnøkkelen på mistenktes datamaskin for så å dekryptere meldingen i transportfasen. Dataavlesing vil også kunne tenkes å åpne for avlesing av mistenktes inntasting av passord, og dermed lettere gi tilgang til den aktuelle informasjonen på maskinen, i programmer eller i dokumenter ved ransaking og beslag. Ransakingen kan videre tenkes å skje uten fysisk tilstedeværelse hos mistenkte, samt muliggjøre fortsatt eller gjentatt ransaking og beslag på en enklere måte.»
Videre har Metodekontrollutvalget konsultert Riksadvokaten, som fremhevet at endrede teknologiske forutsetninger gradvis svekker effektiviteten av tradisjonell kommunikasjonskontroll, blant annet fordi kommunikasjon i stadig større grad skjer med andre midler enn ordinær telefoni (fastlinje eller mobil), og at det stadig oftere brukes løsninger som gjør det umulig å avlytte kommunikasjonen. Riksadvokaten har overfor utvalget presisert at dette er et generelt trekk ved utviklingen av moderne kommunikasjon, og ikke bare ved utveksling av informasjon i kriminell virksomhet. Etter Riksadvokatens oppfatning bør det sørges for at det er praktisk mulig å drive kommunikasjonsavlytting på de vilkår som fremgår av straffeprosessloven § 216 a, og at det derfor er nødvendig å slå fast at politiet om nødvendig kan skaffe seg tilgang til kommunikasjonsanlegg for å avlytte kommunikasjon uten hinder av kryptering eller lignende. Riksadvokaten har overfor utvalget anbefalt at dataavlesing tillates for å oppnå dette. Videre viser utvalget til at Riksadvokaten har anbefalt at utvalget vurderer å foreslå at retten kan gi tillatelse til gjentatt ransaking på samme måte som etter dansk rett, og å klargjøre at ransaking av kommunikasjonsanlegg ikke krever fysisk tilgang til anlegget.
Metodekontrollutvalget konstaterer videre at det ikke har vært mulig «på noen måte å få tallfestet eller på annen måte dokumentert behovet for dataavlesing nærmere». Etter utvalgets vurdering skyldes dette i hovedsak følgende (utredningen punkt 23.2.2 side 242):
«Det finnes ikke rutiner for å rapportere når eksisterende tvangsmidler kommer til kort. Videre vil en pågående etterforsking sjelden eller aldri stoppe helt opp for eksempel fordi politiet per i dag ikke har anledning til å bruke dataavlesing som metode. Politiet innhenter informasjon innenfor de gjeldende rettslige rammer, noe som i de fleste tilfeller er tilstrekkelig. På den annen side er det opplyst for utvalget at politiet i mange saker mener at bevismaterialet er større enn det politiet har klart å bringe på det rene med dagens metoder, noe som igjen vil kunne få betydning for omfanget av tiltalen.»
Metodekontrollutvalget har henvendt seg til den danske riksadvokaten vedrørende vurderingene i Danmark av behovet for dataavlesing og dens effektivitet, på bakgrunn av erfaringene med «dataaflæsning» etter retsplejeloven § 791 b. Om dette heter det følgende i utredningen (punkt 23.2.2 side 243):
«Riksadvokaten rettet på denne bakgrunn en henvendelse til politiet, herunder det nasjonale IT-Efterforskningscenteret (NITEC) som bistår landets politidistrikter i forbindelse med sikring av elektroniske bevis. Politiet opplyste at det ikke finnes oversikt over antallet dataavlesinger i Danmark, og at det heller ikke kan fremskaffes slike opplysninger fra politiets saksbehandlingssystem. Riksadvokaten har likevel opplyst å være kjent med at dataavlesing har vært anvendt i en rekke konkrete saker, herunder to saker om forsøk på terror. I begge disse sakene ble det gjennomført dataavlesing av de siktedes datamaskiner. Dette frembrakte bevis for at de senere domfelte hadde nedlastet bombemanualer, hadde søkt etter kjemikalier mv. som kunne brukes til bombefremstilling, og hadde kommunisert via datamaskiner i tilknytning til planleggingen av forbrytelsene. I forbindelse med utvalgets besøk ved det nasjonale IT-Efterforskningscenteret (NITEC) fikk utvalget opplyst at dataavlesing også hadde vist seg effektivt ved etterforsking av narkotikasaker og saker om barnepornografi.»
Ifølge Metodekontrollutvalget har det heller ikke i den svenske utredningen SOU 2005:38 vært mulig å tallfeste behovet for dataavlesing eller metodens antatte effektivitet (punkt 23.2.2 side 243).
14.6.3 Grunnleggende prinsipper – personvern og rettssikkerhet
Under punkt 23.2.3 i utredningen peker Metodekontrollutvalget på at eventuelle utvidelser av metodebruken bare kan gjennomføres dersom det er forsvarlig ut fra hensynet til personvern og rettsikkerhet, og at visse grunnleggende prinsipper må ivaretas i denne sammenheng.
For det første peker utvalget på at legalitetsprinsippet gjør det nødvendig å etablere klar lovhjemmel for en eventuell adgang til dataavlesing, under henvisning til at dataavlesing vil innebære et ellers straffbart innbrudd i et datasystem etter straffeloven 1902 § 145 annet ledd (straffeloven § 204). I tillegg er det fremhevet (side 243) at «[a]lene det at dataavlesing vil innebære et inngrep i den personlige sfære tilsier at metoden eller gjennomføringsmåten bør reguleres av en klar lovhjemmel», og at dette kan oppnås enten ved å innføre en egen hjemmel til dataavlesing, eller ved å endre eksisterende tvangsmiddelhjemler, slik at det fremgår klart at dataavlesing kan brukes ved gjennomføringen av disse.
For det andre viser utvalget til det personvernrettslige kravet om formålsbestemthet, som det er gjort nærmere rede for i utredningen under punkt 6.6. Det innebærer ifølge utvalget at de tillatte formålene med etterforskning som er angitt i straffeprosessloven § 226 må betraktes som en begrensning, og at det i tillegg kan stilles særlige vilkår for å begrense adgangen til dataavlesing, som for eksempel at dataavlesing bare skal kunne utføres som ledd i kommunikasjonsavlytting.
For det tredje peker utvalget på nødvendighetsprinsippet, som etter utvalgets vurdering tilsier at dataavlesing bare bør tillates i saker der det av kriminalitetsbekjempelseshensyn anses nødvendig i den enkelte sak. Utvalget konstaterer i denne forbindelse at dataavlesing vil kunne medføre inngrep i andre enn mistenktes personvern der et datasystem brukes av flere personer, og at metoden «potensielt kan medføre innsamling av store mengder informasjon som ikke er nødvendig i etterforskingssammenheng» (side 243). Dette kan være vektige argumenter mot å tillate metoden, og nødvendighetsprinsippet tilsier etter utvalgets oppfatning at dataavlesingen eventuelt bør innrettes slik at den i minst mulig grad rammer tredjepersoner eller leder til innhenting av irrelevant informasjon. Utvalget viser imidlertid til at dataavlesing også (samme sted) «vil kunne innebære nettopp en mer målrettet informasjonsinnhenting, for eksempel dersom flere brukere (datasystem) deler samme nettverkstilkobling». Metodekontrollutvalget viser også til at kravet om forholdsmessighet «utgjør en rettesnor for utvalgets overordnede vurdering av hvilke etterforskingsmetoder politiet bør ha tilgang til» (side 244).
Det fjerde utvalget peker på, er at dataavlesing i lys av sensitivitetsprinsippet kan utgjøre et svært kraftig inngrep i enkeltmenneskers personvern. Det viser til at fremgangsmåten vil kunne gi politiet tilgang til innholdet i et datasystem, og ikke bare opplysninger om bruken av det. Ifølge utvalget kan det «i denne sammenheng anføres at politiets kontroll av innholdet i informasjonen som lagres på maskinen uten å være kommunisert til andre, utgjør et større inngrep enn kontroll av innholdet i brukerens kommunikasjon» (side 243). Videre heter det (side 243–244):
«Dette fordi det som kommuniseres til andre til en viss grad har funnet vegen ut av den personlige sfære og er noe mottakeren av kommunikasjonen selv kunne videreformidlet til politiet. Det samme må gjelde informasjon om handlinger som foretas på Internettet, ettersom man har større grunn til å forvente at slike handlinger registreres og overvåkes. Informasjon som ikke har vært kommunisert til andre eller på Internettet må derimot anses å tilhøre brukerens innerste personlige sfære, og innhenting av slik informasjon vil potensielt kunne være svært integritetskrenkende. Sensitivitetshensyn trenger ikke gjøre seg like sterkt gjeldende når det gjelder bedrifters datamaskiner, men også her kan andres tilgang til informasjonen være svært integritetskrenkende. Typisk vil dette gjelde tilgangen til datasystemer hos legekontor eller andre bedrifter som behandler sensitiv personinformasjon. Det vil også kunne gjelde tilgang til bedriftshemmeligheter og lignende.»
Videre bemerker Metodekontrollutvalget (side 244) at kravet til informasjonssikkerhet vil kunne få stor betydning for vurderingen av om politiet bør kunne foreta dataavlesing. Etter utvalgets oppfatning vil eventuelle sikkerhetsrisikoer forbundet med fremgangsmåten tale mot at den bør tillates, og det er fremhevet at det uansett bør stilles krav om at politiet gjennomfører dataavlesing på sikrest mulig måte, og at eventuelle skader som forårsakes blir reparert. I tillegg tilsier prinsippet om opplysningskvalitet at opplysningene som innhentes blir oppbevart på en sikker måte, og ikke brukes på en måte som innebærer at de blir tatt ut av sin sammenheng.
Endelig peker utvalget på at også hensynet til rettssikkerhet tilsier at det bør etableres kontrollsystemer for bruken av dataavlesing, som sikrer at det ikke gis tillatelse til innhenting av informasjon som faller utenom hjemmelsgrunnlaget, og at informasjonen blir behandlet «ut fra de formål den er innhentet, samt at uvedkommende ikke får tilgang til den» (side 244). Særlig er det fremhevet at dataavlesing vil skje uten at den mistenkte underrettes, og at det derfor er nødvendig «på annen måte å sikre den kontradiktoriske prosess».
14.6.4 Metodekontrollutvalgets hovedkonklusjoner
Under punkt 23.3.1 i utredningen slår utvalget fast at det på bakgrunn av sin «klare oppfatning om at innføring av nye tvangsmidler, eller utvidelse av eksisterende hjemler, må bygge på solid dokumentasjon av behovet», ikke har funnet «dokumentert et tilstrekkelig behov for å innføre dataavlesing som nytt selvstendig tvangsmiddel» (side 244), i motsetning til det som ble foreslått av Politimetodeutvalget, og den løsning som er innført i Danmark og foreslått innført i Sverige.
Metodekontrollutvalget finner likevel «gode grunner for at dataavlesing bør innføres som en nødvendig teknologisk tilpassing for å kunne opprettholde effektiviteten av enkelte allerede eksisterende metoder» (side 244). Utvalget foreslår derfor en slik tilpassing, og bemerker samtidig at «dette også i noen grad vil kunne innebære en utvidelse av virkeområdet for de eksisterende hjemler» (side 244). Utvalget foreslår innføring av dataavlesing i forbindelse med kommunikasjonsavlytting og hemmelig ransaking og beslag. Det peker på at forslaget innebærer dataavlesing som en gjennomføringsmåte, som det ikke er tradisjon for å beskrive i detalj under de enkelte tvangsmiddelhjemlene i straffeprosessloven. Likevel er det etter utvalgets vurdering behov for å sikre at hjemmelsgrunnlaget tilstrekkelig klart åpner for de ønskede gjennomføringsmåtene. I denne forbindelse er det også vist til at dataavlesing vil innebære et ellers straffbart datainnbrudd, og at det derfor må gis nødvendig hjemmel for at politiet kan gjennomføre slikt innbrudd i forbindelse med dataavlesing.
14.6.5 Dataavlesing for å muliggjøre kommunikasjonsavlytting
Utvalget finner det «tilstrekkelig dokumentert at kommunikasjonsavlyttingen er, og formodentlig i enda større grad vil bli, vanskeliggjort på grunn av den tekniske utviklingen», og fremhever følgende (punkt 23.3.2 side 245):
«I den grad kommunikasjonsavlyttingen blir vanskeliggjort på grunn av teknologiske eller andre innretninger, mener også utvalget at det bør gis adgang til bruk av dataavlesing for å kunne gjennomføre kommunikasjonsavlyttingen. Personverninteressene som her må vike er langt på vei de samme som ved tradisjonell kommunikasjonsavlytting. Det nye er at den teknologiske utvikling gjør det nødvendig med en annen fremgangsmåte for at politiet skal kunne skaffe seg den samme informasjonen. Utvalget er oppmerksom på at dataavlesing vil kunne innebære noe større grad av inngrep i tredjepersoners interesser, typisk fordi et datasystem i en husstand gjerne brukes av flere personer, noe som i seg selv er et argument mot en utvidelse. Utvalget finner likevel at dette ikke skiller seg avgjørende fra situasjonen med tradisjonell kommunikasjonsavlytting, for eksempel avlytting av en husstands fasttelefon.»
Utvalget foreslår på denne bakgrunn at det innføres et nytt fjerde ledd i straffeprosessloven § 216 a, hvoretter retten ved kjennelse kan gi politiet «tillatelse til å foreta innbrudd i et datasystem for å kunne gjennomføre kommunikasjonsavlyttingen» (side 245). Utvalgets forslag til ny bestemmelse forutsetter at «kommunikasjonsavlyttingen er vanskeliggjort på grunn av teknologiske eller andre innretninger» (samme sted). I særmerknadene til forslaget har utvalget begrunnet dette med at «[d]et bør kreves at politiet først faktisk har forsøkt å gjennomføre tradisjonell kommunikasjonsavlytting» (punkt 31.1 side 356) og har konstatert at dette har blitt vanskeliggjort på grunn av innretninger, for eksempel kryptering eller andre avlyttingsbarrierer. Utvalget mener imidlertid samme sted at kriteriet vil måtte anses oppfylt også dersom det er godtgjort at forsøk på tradisjonell kommunikasjonsavlytting «klart ikke vil kunne føre til resultater».
Videre understreker utvalget at rammen for dataavlesing i denne sammenheng vil være «kommunikasjonsavlytting», og at også adgangen til kommunikasjonsavlytting ved bruk av eller ved hjelp av dataavlesing vil være begrenset til kommunikasjon mellom «kommunikasjonsanlegg». Utvalget legger til grunn at de «kommunikasjonsanlegg» som kan avlyttes etter straffeprosessloven § 216 a i alminnelighet også vil være «datasystem» (punkt 31.1 side 355). Begrepet er ifølge særmerknadene til forslaget til endringer i straffeprosessloven § 200 a (punkt 31.1 side 352) hentet fra straffeloven § 204, og skal være «teknologinøytralt i den forstand at det ikke spiller noen rolle hvorledes systemet mottar, behandler eller videreformidler informasjon», og at det «således omfatter kommunikasjonsanlegg av ulike slag». Videre forutsetter utvalget samme sted – i relasjon til reglene om ransaking og beslag – at begrepet også omfatter «for eksempel GPS-er, skannere og kopimaskiner mv.»
Utvalget påpeker at plasseringen og formuleringen av forslaget skal understreke at det kun dreier seg om å regulere gjennomføringsmåten av en kommunikasjonsavlytting. De alminnelige inngangsvilkårene og begrensningene for kommunikasjonsavlytting vil derfor gjelde, som ved annen kommunikasjonsavlytting (utredningen punkt 23.3.2 side 245):
«Mistankekravet og kravet til den straffbare handling mv. vil følge av vilkårene for kommunikasjonsavlytting. Bestemmelsene i straffeprosessloven §§ 216c-216k kommer også til anvendelse. Dette innebærer for eksempel at varigheten av inngrepet, begrensningene i forhold til personer uten vitneplikt (bevisforbudsreglene), bestemmelsene om utsatt underretning, kontrollsystemet mv. er de samme som for kommunikasjonsavlytting.»
I utredningen vises det også til at politiet gjennom forslaget vil få rettslig adgang til den informasjonen som kommuniseres til og fra for eksempel mistenktes datasystem i den perioden rettens tillatelse gjelder, men også kan få faktisk adgang til annen informasjon, som for eksempel er lagret i datasystemet, herunder opplysninger fra eldre kommunikasjon på en e-postkonto eller lignende. Det understrekes (punkt 23.3.2 side 245) at politiet etter forslaget ikke har adgang til å tilegne seg slik informasjon med hjemmel i straffeprosessloven § 216 a. Det samme gjelder manipulasjon av datasystemet for å få fange opp annen informasjon enn den mistenkte sender eller mottar i kommunikasjonen – politiet vil for eksempel ikke ha adgang til å slå på et webkamera, mobiltelefonkamera eller lignende, eller slå på en mikrofon i tilknytning til datasystemet. Det konstateres også samme sted at det etter forslaget heller ikke vil være adgang til å bruke dataavlesing «for å fremskaffe andre opplysninger enn dem som relaterer seg til vanskeliggjøringen av kommunikasjonsavlyttingen». Slik annen informasjon må ifølge utvalgets forslag eventuelt forsøkes innhentet gjennom hemmelig ransaking og beslag. I særmerknadene til utvalgets forslag er det presisert at de opplysningene som foreslås tillatt fremskaffet gjennom dataavlesing er «de som er nødvendig for å gjøre resultatet av kommunikasjonsavlyttingen lesbart for politiet», se utredningen punkt 31.1 side 356–355.
14.6.6 Dataavlesing som gjennomføringsmåte for hemmelig ransaking og beslag
Metodekontrollutvalget legger under punkt 23.3.3 side 245–246 i utredningen til grunn at også adgangen til å foreta hemmelig ransaking og beslag «er et effektivt og viktig verktøy for å bekjempe alvorlig kriminalitet». Utvalget finner det tilstrekkelig dokumentert at det i enkelte saker «vil kunne være et stort behov for dataavlesing for å kunne gjennomføre ransakingen» (samme sted). På denne bakgrunn har utvalget foreslått at dataavlesing ved hemmelig ransaking og beslag tillates i begrenset form, ved at det i straffeprosessloven § 200 a gjøres en tilføyelse om at retten kan gi politiet tillatelse til «samtidig eller senere å foreta innbrudd i et datasystem for å kunne gjennomføre ransaking» etter denne bestemmelsen, jf. forslaget til endringer i straffeprosessloven § 200 a i utredningen punkt 32.1 side 368.
Utvalget har tatt stilling til om det bør være anledning til ransaking og beslag uten politiets fysiske tilstedeværelse, og om det bør være adgang til gjentatt eller fortløpende ransaking.
Utvalget mener at ransaking uten fysisk tilstedeværelse «savner en klar rettskildemessig forankring», men viser til Riksadvokatens opplysninger om at det i underrettspraksis er lagt til grunn at politiet kan ransake og beslaglegge informasjon om mistenktes e-postkonto uten fysisk tilstedeværelse. Ifølge utvalget henger dette formodentlig sammen med at innholdet på en e-postkonto som regel «befinner seg hos en internettilbyder, noe som gjør fysisk tilstedeværelse hos mistenkte upraktisk»(punkt 23.3.3 side 246). Videre er det bemerket samme sted at den teknologiske utviklingen har medført at hemmelig ransaking og beslag nettopp kan gjennomføres uten fysisk tilstedeværelse, og at dette «endatil [vil] kunne være mindre integritetskrenkende enn tradisjonell hemmelig ransaking som krever at politiet skaffer seg fysisk tilgang til anlegget typisk ved å trenge seg inn i en privat bolig eller forretningslokaler». Utvalget peker også samme sted på at oppdagelsesrisikoen og ressursbehovet kan minskes ved ransaking uten fysisk tilstedeværelse, selv om også ransaking ved hjelp av dataavlesing medfører fare for å bli oppdaget, og krever en del ressurser. Utvalgets forslag innebærer at adgang til hemmelig ransaking og beslag uten fysisk tilstedeværelse hjemles uttrykkelig. Etter utvalgets oppfatning må det være opp til politiet å vurdere hvilken gjennomføringsmåte som er mest hensiktsmessig i hvert enkelt tilfelle (23.3.3 side 246).
Med hensyn til fortsatt eller gjentatt ransaking legger utvalget det til grunn som «alminnelig antatt» at det ikke foreligger adgang til dette etter gjeldende rett, og at enhver ny ransaking derfor krever ny tillatelse fra retten (punkt 23.3.3 side 246). Det er i denne sammenheng også vist til Politimetodeutvalgets utredning i NOU 2004: 6, hvor det samme er lagt til grunn på side 95 og 98.
Utvalget finner ikke grunnlag for å foreslå adgang til fortsatt eller gjentatt ransaking, og begrunner dette på følgende måte (utredningen punkt 23.3.3 side 246):
«Slik ransaking vil innebære en klar utvidelse av dagens adgang til bruk av hemmelig ransaking, fordi det vil gi politiet anledning til systematisk å kartlegge mistenktes bruk av et datasystem over tid, herunder opplysninger som ikke blir lagret i datasystemet og dermed ikke vil kunne hentes ut ved tradisjonell hemmelig ransaking. Etter utvalgets syn innebærer dette en for stor integritetskrenkelse i forhold til det anførte behovet. Det kan argumenteres blant annet på bakgrunn av saksforholdet i sakene fra Oslo og Kristiansand tingrett som nevnt ovenfor i punkt 23.2.2, for at det kan være gode grunner til at mistenkte «observeres» over noe tid gjennom en gjentatt eller fortløpende hemmelig ransaking. Rettens kjennelse vil i et slikt tilfelle kunne angi en tidsperiode ransakingen kan foregå innenfor, slik at det uansett ikke er tale om noen kompetanseoverføring til politi- og påtalemyndigheten. Det kan diskuteres om tillatelsen til slik gjentatt eller fortløpende ransaking bør være et spørsmål under forholdsmessighetsvurderingen som det bør være opp til retten å foreta i den konkrete saken. Det er i utgangspunktet ikke noe i veien for at politiet i dag begjærer hemmelig ransaking flere ganger i løpet av en periode. I så fall vil det være opp til retten å vurdere når en ytterligere ny ransaking vil innebære et uforholdsmessig inngrep. Utvalget er likevel skeptisk til å stille opp en generell adgang til dette, og særlig gjelder dette for en eventuell adgang til fortløpende hemmelig ransaking. En slik adgang vil i praksis innebære at dataavlesing innføres som en selvstendig metode hvor politiet gis adgang til kontinuerlig å overvåke et datasystem og på den måten registrere enhver endring brukeren gjør. Utvalget har som nevnt funnet at det ikke kan anbefale en så stor utvidelse, jf. ovenfor. Dersom politiet mener det er nødvendig med flere ransakinger, bør rettens tillatelse derfor innhentes på nytt for hver gang.»
Videre peker utvalget på at forslaget innebærer at retten kan gi tillatelse til at politiet benytter seg av dataavlesing som alternativ til tradisjonell hemmelig ransaking (uten bruk av dataavlesing), dersom det viser seg at det sistnevnte er praktisk vanskeligere enn først antatt. Ifølge utvalget må det da (samme sted) «være greit at retten har gitt tillatelse til at politiet alternativt kan gjennomføre ransakingen ved innbrudd i datasystemet. Det er i så fall tale om samme ransaking.»
Utvalget bemerker ellers samme sted at det ikke har ansett det nødvendig med endringer i straffeprosessloven § 208 a (utsatt eller unnlatt underretning om beslag) for at politiet skal ha adgang til å ta beslag i materialet som innhentes ved ransaking ved hjelp av dataavlesing.
14.6.7 Dataavlesing i forebyggende øyemed
Etter Metodekontrollutvalgets vurdering gjør utfordringene på etterforskningsstadiet seg også gjeldende på forebyggingsstadiet, og utvalget foreslår derfor også å tillate at dataavlesing kan benyttes tilsvarende av Politiets sikkerhetstjeneste i dens forebyggende virksomhet etter politiloven § 17 d. Om dette heter det i utredningen punkt 23.3.4 side 247:
«Etter politiloven § 17d kan Politiets sikkerhetstjeneste bruke skjulte tvangsmidler i sin forebyggende virksomhet «dersom det er grunn til å undersøke» om noen forbereder enkelte nærmere bestemte straffbare handlinger. Det er dermed ikke noe krav om at de skjulte tvangsmidlene brukes mot noen som kan mistenkes for å ha begått en straffbar handling. På den annen side er kravet til den straffbare handling skjerpet i forhold til bruk av skjulte tvangsmidler under etterforskingen. Utvalget finner derfor å kunne tilråde at en tilsvarende utvidelse som beskrevet ovenfor også gjelder for PSTs forebyggende virksomhet. Utvalget presiserer likevel at forholdsmessighetsvurderingen etter straffeprosessloven § 170a i alminnelighet vil være strengere i det forebyggende sporet enn ved bruk av tvangsmidler under etterforskingen.
Forslaget vil ikke kreve noen endring av politiloven § 17d første ledd, ettersom det her vises til straffeprosessloven § 200a og § 216a som etter utvalgets forslag vil gi adgang til innbrudd i et datasystem.»
Utvalget har også vurdert forholdet til Grunnloven § 102. Det viser til redegjørelsen i utredningen punkt 13, og bemerker for øvrig følgende (utredningen punkt 23.3.4 side 247):
«Utvalgets flertall mener Grunnloven § 102 innebærer at det på det forebyggende stadiet ikke kan gis adgang til å gå inn i noen av de vernede områder (privat bolig) for å plassere utstyr, for eksempel hardware, som er nødvendig for å gjennomføre innbrudd i et datasystem. Dette gjelder tilsvarende for plassering av utstyr til å foreta romavlytting, og utvalget viser til de vurderinger som er gjort av dette under punkt 13.3. Utvalgets flertall mener denne begrensningen bør komme uttrykkelig frem av loven.
Utvalget er oppmerksom på at forslaget om at også PST kan foreta innbrudd i et datasystem i det forebyggende sporet vil innebære en utvidelse i forhold til politiloven § 17d, ved at bestemmelsen i dag ikke tillater ransaking av «noens private hjem», jf. tredje ledd annet punktum. Dette innebærer at PST ikke har anledning til å foreta en hemmelig ransaking i noens hjem, og i forbindelse med en slik ransaking for eksempel kopiere en harddisk. Gjennom forslaget om at PST skal ha adgang til å foreta innbrudd i et datasystem, vil PST få adgang til å gjennomføre slik kopiering ved hjelp av dataavlesing.
At PST ikke har anledning til å foreta ransaking av noens private hjem etter politiloven § 17d, ble begrunnet med at departementet ikke ønsket å «trå Grunnloven for nær», jf. Ot.prp. nr. 60 (2004–2005) side 132. Som det fremgår av kapittel 13, finner utvalget at det ikke er problematisk i forhold til Grunnloven § 102 å tillate dataavlesing i det forebyggende sporet, likevel med den reservasjon som er gjort ovenfor. Etter utvalgets vurdering bør det derfor åpnes opp for at PST også kan foreta hemmelig ransaking ved innbrudd i et datasystem etter politiloven § 17d.»
14.6.8 Gjennomføringen av dataavlesing
Under punkt 23.3.5 side 247 i utredningen viser utvalget til at gjennomføringen av dataavlesing vil fordele seg på forskjellige faser, som «installering av programvaren eller montering av hardware, selve avlesingen, tilgjengeliggjøring for politiet, samt avinstalleringen eller fjerning av hardware».
Utvalget peker på at det neppe er hensiktsmessig eller mulig å beskrive mulige gjennomføringsmåter av dataavlesing i detalj, verken i forbindelse med kommunikasjonsavlytting eller hemmelig ransaking og beslag. Det vises til at de tekniske mulighetene er «mange og forskjelligartede», og at den teknologiske utviklingen «formodentlig vil innebære at en slik beskrivelse raskt blir utdatert». Politiet må etter utvalgets oppfatning vurdere hvilken gjennomføringsmåte som er mest hensiktsmessig i hvert enkelt tilfelle, ut fra en samlet vurdering av taktiske og teknologiske forhold. Utvalget har sett for seg to hovedgjennomføringsmåter, som er beskrevet slik (utredningen punkt 23.3.5 side 247–248):
«Med en softwarebasert løsning får politiet installert et program typisk i mistenktes datamaskin som gjør politiet i stand til å hente ut informasjon fra datasystemet. Dette kan for eksempel gjøres ved at politiet utnytter et sikkerhetshull i datasystemet eller sender en e-post som inneholder et skjult vedlegg med det aktuelle programmet, at politiet installerer programmet i forbindelse med en hemmelig ransaking eller etter å ha utført innbrudd i datasystemet.
Med en hardwarebasert løsning installeres komponenter typisk på mistenktes datamaskin, som gjør politiet i stand til å skaffe seg tilgang til informasjonen. For eksempel kan utstyr som leser av tastetrykkene monteres i tastaturet (key-logging), eller at det monteres utstyr i overgangen mellom tastaturet og selve datamaskinen, for eksempel i en usb-port, som leser av informasjonen som går fra tastaturet til maskinen, eller at det monteres utstyr i et headsett eller mikrofon som gjør det mulig å fange opp lydsignalene ved kommunikasjon over Internettet. En rekke andre gjennomføringsmåter kan tenkes, uten at utvalget – for lovforslaget – finner behov for å gå inn på disse.»
Videre er det bemerket at det «neppe er til å unngå» at gjennomføringen av dataavlesingen vil kunne fange opp opplysninger som ikke var ment kommunisert eller lagret, og som ikke ville ha blitt fanget opp ved tradisjonell kommunikasjonsavlytting eller hemmelig ransaking og beslag. Om dette heter det videre (utredningen punkt 23.3.5 side 248):
«For eksempel vil såkalt key-logging, altså det at tastetrykkene på et tastatur registreres, ikke kunne skje uten en viss usikkerhet knyttet til om opplysningene ellers ville kunne fanges opp ved de eksisterende metoder. I så fall vil innføring av dataavlesing som gjennomføringsmåte slik utvalget foreslår også kunne innebære en utvidelse av eksisterende hjemler. Utvalget presiserer derfor at dataavlesingen må innrettes slik at det ikke fanges opp opplysninger ut over det som er nødvendig for å kunne gjennomføre en kommunikasjonsavlytting eller en hemmelig ransaking og beslag. Dersom det er nødvendig for politiet å skaffe seg mistenktes oppstartspassord til et datasystem, må gjennomføringen av eventuell key-logging innrettes slik at det er tastetrykkene i oppstartsfasen som registreres, ikke en fortløpende registrering av alle tastetrykk over en lengre periode som derved gir informasjon ut over det som er nødvendig.»
Med hensyn til politiets tilegnelse av informasjonen som dataavlesingen frembringer, forutsetter utvalget samme sted at programvaren enten kan lagre dataene på datautstyret eller «sende dem ut via Internettet eller annet tilgjengelig eller installert nettverk/radioutstyr som politiet råder over». Tilgang til de avleste dataene kan ifølge utvalget (samme sted) oppnås «for eksempel ved å hente dem ut av datautstyret ved fysisk tilstedeværelse (beslag eller ransaking), å hente dem ut via bakdør til programvaren fra Internettet, eventuelt ved et nytt innbrudd i datasystemet, å fange dem opp via kommunikasjonskontrollen, eller via utplassert datautstyr som mellomhopp på Internettet».
Etter Metodekontrollutvalgets oppfatning bør det legges opp til at programvare som er installert i mistenktes datasystemer for å gjennomføre dataavlesing, blir avinstallert når avlesingen er avsluttet (punkt 23.3.5 side 248). Videre peker utvalget samme sted på at politiet må være i stand til å dokumentere hva slags programvare eller maskinvare som er benyttet, «herunder angivelse av leverandør, leverandørens programnavn og/eller produktnavn, versjonsangivelse, og påtegninger av hvilke modifikasjoner eller tilpasninger som er gjort med programvaren eller hardwaren dersom man ikke benytter programvaren eller hardwaren slik den leveres av leverandøren».
Videre gir utvalget uttrykk for at dataavlesingen «må innebære så liten sikkerhetsrisiko for mistenktes datasystemer som mulig» (punkt 23.3.5 side 248). Det pekes på at dette til en viss grad vil regulere seg selv, siden ødeleggelse eller forstyrrelse av elementer i brukerens datasystemer ved dataavlesingen vil medføre økt oppdagelsesrisiko, og dermed økt risiko for at metodebruken avsløres og at etterforskningen blir skadelidende.
Med hensyn til eventuelle «sikkerhetshull», gjør utvalget samme sted gjeldende at disse må tettes «så snart som mulig etter at de er oppstått». Det pekes på at politiet må iverksette nødvendige tiltak for å hindre at uvedkommende utnytter svakheter i den programvaren politiet benytter, og at overføring av informasjon tilbake til politiet ikke avlyttes av andre. Utvalget vurderer sikkerhetsrisikoen, herunder faren for at andre utnytter svakheter eller sikkerhetshull som oppstår ved dataavlesingen, som «liten, og uansett innenfor et akseptabelt nivå». Faren for misbruk må etter utvalgets oppfatning inngå som et element i forholdsmessighetsvurderingen i hvert enkelt tilfelle.
14.6.9 Kontrollen med inngrepet
I utredningen kapittel 11 peker utvalget på at bruk av de evaluerte tvangsmidlene bare kan aksepteres dersom kontrollen med inngrepet er forsvarlig. Dette standpunktet er gjentatt under punkt 23.3.6 side 249 med hensyn til dataavlesing som gjennomføringsmåte for kommunikasjonsavlytting, hemmelig ransaking og beslag. Etter utvalgets oppfatning kreves det «skjerpet kontroll med og dokumentasjon av bruken av et slikt tvangsmiddel», fordi dataavlesing kan etterlate seg sikkerhetshull, og fordi det eksisterer en misbruksfare ved at dataavlesingen kan gi tilgang til informasjon som politiet ikke har hjemmel til å innhente.
I henhold til utvalgets forslag vil bruken av dataavlesing ved kommunikasjonsavlytting, hemmelig ransaking og beslag, være underlagt kontroll av Kontrollutvalget for kommunikasjonskontroll, som etter straffeprosessloven § 216 h skal føre kontroll med politiets og påtalemyndighetens behandling av saker etter straffeprosessloven kapittel 16 a. Utvalgets forslag inkluderer en henvisning i straffeprosessloven § 200 a første ledd om at § 216 h skal gjelde tilsvarende ved hemmelig ransaking.
Utvalget vurderer det som nødvendig å etablere et «loggesystem (protokoll)» for bruken av dataavlesing, og at dette bør gjennomføres gjennom bestemmelser etter lignende modell som kommunikasjonskontrollforskriften § 7. Utvalget foreslår derfor en ny § 7 a i forskriften, jf. punkt 32.4 side 376. Om dette heter det under punkt 23.3.6 side 249 i utredningen at:
«Det er etter utvalgets mening nødvendig å sikre notoritet rundt hjemmelen for det aktuelle innbruddet i datasystemet, påtalemyndighetens begjæring eller eventuelle bruk av hastekompetanse, rettens kjennelse, begjæringer om bistand fra andre organer i gjennomføringen, angivelse av hvilket datasystem som har vært gjenstand for innbrudd, når innbruddet fant sted, eventuelle forlengelser, innbruddets opphør, alle relevante parametere i datasystemet før og etter innbruddet, hvilken programvare eller hardware som har vært benyttet, hvilke risiki datasystemet kan ha vært utsatt for og hva som har vært foretatt for å avverge skade på datasystemet og andres utnyttelse av eventuelle sikkerhetshull, eventuelle skader på datasystemet, hvilke ressurser som har medgått, hvilke opplysninger som er fremskaffet og betydningen (effektivitet) i den konkrete saken, sletting av innholdsdata, samt lagringsperiode for metadata. Det påligger vedkommende departement som forskriftsmyndighet å påse at forskriften dekker registrering/logging av alle relevante parametre vedrørende gjennomføringen av dataavlesing på en slik måte at notoritet og manipulasjonssikkerhet ivaretas. Det er en forutsetning at disse forhold også ivaretas gjennom det datasystem politiet benytter ved gjennomføringen av dataavlesing.»
Videre foreslår utvalget et nytt femte punktum i kommunikasjonskontrollforskriften § 10 første ledd (jf. punkt 32.4 side 377), som innebærer at politimestrenes innberetning til Riksadvokaten med opplysninger om kommunikasjonskontroll, og Riksadvokatens innrapportering til Justis- og beredskapsdepartementet, også skal inneholde opplysninger om de sakene hvor kommunikasjonsavlyttingen har funnet sted ved innbrudd i et datasystem.
14.6.10 Evaluering
Under punkt 23.3.6 side 249 i utredningen, peker Metodekontrollutvalget på at det kan være grunn til å gi de foreslåtte lovendringene en virkeperiode på for eksempel fem år, for å «sikre at en slik evaluering faktisk finner sted».
14.7 Høringsinstansenes syn
14.7.1 Behovet for dataavlesing
Flere av høringsinstansene peker på at den teknologiske utviklingen – herunder økt bruk av og kunnskap om kryptering og andre former for informasjonsbeskyttelse – har medført at bruken av skjulte tvangsmidler, som kommunikasjonsavlytting og skjult ransaking, ikke gir like godt informasjonsutbytte som tidligere. Metodenes effektivitet er redusert, og det er anført at en utvidet adgang til bruk av datateknologi, herunder skjulte innbrudd i datasystemer som brukes av mistenkte, er nødvendig.
Kripos uttaler blant annet følgende:
«Kripos kan bekrefte at det brukes krypterte nettforbindelser og nettsesjoner i saker hvor kommunikasjonskontroll har vært benyttet, og at det ofte forekommer krypterte autentiseringsdata (passord og adgangskoder til internettjenester) som politiet ikke kan dra nytte av pga krypteringen. Etterforskningen er ofte vesentlig tyngre uten slike data i lesbar form.
Det som uten tvil vanskeliggjør kommunikasjonskontroll er kryptering av hele nettforbindelsen eller nettsesjonen, og de fleste krypteringsprotokollene som brukes i dag for kommunikasjon benytter vilkårlige nøkler som skiftes ut jevnlig. Den populære tjenesten Google Mail er et eksempel hvor nettsesjonen (alle datapakkene mellom Googles server og brukerens dataanlegg) krypteres uten at brukeren gjør dette valget selv.
[…]
Det er utvilsomt at politiet kan ransake og ta beslag i en datamaskin eller annet informasjonssystem, eksempelvis en kopimaskin, når vilkårene etter strpl §192 og §203 foreligger. De påfølgende datatekniske undersøkelsene vil være avgjørende for hvor stor del av innholdet av den beslaglagte datamaskinen eller informasjonssystemet politiet kan dekode og gjøre lesbart. Store deler av innholdet kan være kryptert. Det er altså ikke tilgangen til beslaget som er problematisk, men i hvor stor grad den teknologiske utviklingen hindrer at beviset kan fremkalles. Dersom politiet hadde funnet en universalmetode for å fremkalle alle tenkelige dataspor ved å knekke en hver kryptering, ville bestemmelsene om ransaking og beslag hatt like stor betydning som tidligere. Slik er det imidlertid ikke. Den teknologiske utviklingen har gjort at elektroniske bevis er mindre tilgjengelige nå enn før.
Elektroniske bevis er utvilsomt av stor betydning. Bruken av elektroniske hjelpemidler har økt drastisk de siste tiårene. Mye av det som tidligere forelå i papirform foreligger nå elektronisk. Det sendes ikke lenger brev, men e-post. Notater skrives ikke på notatlapper, men på en datamaskin. Det innhentes ikke plantegninger over bankhvelv, men viktig informasjon finnes via internett eller mottas elektronisk på et annet lagringsmedium. Når dette blir gjort uttilgjengelig for bevissikring ved at det er kryptert, har effekten av ransaking og beslag som metoder blitt vesentlig redusert.
[…]
Det er vanskelig for politiet å ha en begrunnet oppfatning av hvilken informasjon en ikke får tilgang til når krypteringen ikke kan brytes. Det kan være andre grunner for å kryptere informasjon enn for å skjule kriminalitet. Stadig mer informasjon i datasystemer blir kryptert av programvaren uten at brukeren selv er klar over det. Uavhengig hva som er årsaken til at informasjonen blir mindre tilgjengelig, er det uansett en utvikling som utvilsomt gjør metodene ransaking og beslag mindre anvendelige. Det en kan slå fast med sikkerhet er at mye informasjon som tidligere var tilgjengelig ved en fysisk ransaking nå lagres elektronisk, som nærmere beskrevet ovenfor. Slik sett er det ikke vanskelig å begrunne behovet for at politiet må gis adgang til å bruke metoder som er egnet til å bryte en elektronisk kryptering, på samme måte som nødvendige metoder kan benyttes for å bryte opp en safe.»
Behovet for å kunne benytte dataavlesing som gjennomføringsmåte for kommunikasjonsavlytting, ransaking og beslag bekreftes også av Riksadvokaten, Politiets sikkerhetstjeneste (PST), Økokrim og Det nasjonale statsadvokatembetet for bekjempelse av organisert og annen alvorlig kriminalitet (NAST). Økokrim uttaler blant annet at det «deler utvalgets konklusjon om at bruken av kryptering øker», og at embetet i flere saker har opplevd at kryptering har vanskeliggjort etterforskningen. Etter Økokrims oppfatning er dataavlesing «en svært effektiv måte å få tilgang til informasjon uten hinder av krypteringen». De ovennevnte høringsinstansene uttrykker støtte til utvalgets forslag om å tillate dataavlesing, men flere har også pekt på at dataavlesing bør innføres som selvstendig tvangsmiddel, eller på annen måte tillates i større utstrekning enn det utvalget har foreslått. PST uttaler i denne sammenheng følgende:
«Vi finner det imidlertid nødvendig at også dataavlesing som selvstendig metode for å gjennomføre kommunikasjonskontroll, innføres. Vi viser i den forbindelse til vårt brev til Riksadvokaten, sendt Metodekontrollutvalget til orientering, av 19. desember 2008 vedrørende dette.
Som poengtert i vårt brev er det vanskelig å se noen prinsipielle motforestillinger mot selve informasjonstilgangen dataavlesing som selvstendig metode kan medføre. Politiet har allerede hjemler til inngripende tvangsmidler med virkning fremover i tid. Ved tilgang på informasjon gjennom dataavlesning kan politiet i et idealtilfelle, gjennom spisset og effektiv informasjonsinnhenting, på kortere tid og ved mindre integritetskrenkelser settes i stand til bedre å bekjempe de alvorligste straffbare handlingene.
Dataavlesing fremstår som den sentrale metode for å gjennomføre kommunikasjonskontroll i fremtiden. Det eneste som kan avgi en helhetlig bilde av kommunikasjonen osv, mellom de kriminelle er i brukergrensesnittet mellom maskin og bruker, dvs. mellom apparatet og objektet.
Dataavlesing som selvstendig metode synes per nå å representere den eneste tekniske muligheten for å gjennomføre slik avlytting/avlesing. Gjennom dataavlesing kan objektets produksjon av viktige dokumenter, herunder krypterte filer, avdekkes. Dette kan gjelde dokumenter som kanskje ikke finnes på det tidspunktet en ransaking av pc-en finner sted, og som kanskje aldri blir sendt elektronisk og derfor heller ikke vil bli fanget opp i forbindelse med en kommunikasjonskontroll. En eventuelt gjentatt ransaking av samme objekt – kanskje flere ganger – gir ingen garanti for at slike dokumenter avdekkes. Eneste mulighet for å gi politiet tilgang til slik informasjon er derfor gjennom dataavlesing.»
NAST peker på generelle svakheter ved lovens skille mellom hemmelig ransaking og kommunikasjonskontroll «i lys av den teknologiske utvikling» (omtales nærmere nedenfor under punkt 14.7.3), og mener at dataavlesing bør innføres som selvstendig metode. NAST kan ikke se at det vil være mer integritetskrenkende enn for eksempel kommunikasjonskontroll. I denne sammenheng uttales:
«Det er behov for metoden for å fange opp dekrypteringsnøkler, slik at politiet kan utnytte kryptert informasjonsfangst uavhengig av om den stammer fra data som er lagret eller som har vært innhentet ved kommunikasjonskontroll.
Metodekontrollutvalget har tatt utgangspunkt i at metodene skal møte etterforskingsbehovet stilt overfor «miljøer preget av elementer som sterk intern justis, profesjonalitet, organisering, mobilitet og internasjonale kontakter.» (utredningen s. 110).
Utgangspunktet er altså mennesker i bevegelse, flere som samarbeider og følgelig utnytter elektroniske kommunikasjonstjenester, profesjonelle som vet å beskytte kommunikasjonen ved kryptering.
Hvis lovens formål er å gi politiet mulighet til å følge med på kommunikasjonen mellom kriminelle, er det både behov for kommunikasjonskontroll som i dag, og for gjentatt hemmelig ransaking som kan følge med på en epostkonto eller annen brukerkonto i nettet. Metodene dekker samme formål. Utvalget har drøftet gjentatt ransaking under merkelappen «dataavlesing» og kommet til at man ikke vil anbefale metoden, «fordi det vil gi politiet anledning til systematisk å kartlegge mistenktes bruk av et datasystem over tid, herunder opplysninger som ikke blir lagret i datasystemet og dermed ikke vil kunne hentes ut ved tradisjonell hemmelig ransaking. Etter utvalgets syn innebærer dette en for stor integritetskrenkelse i forhold til det anførte behovet.» (s. 246).
Første del av begrunnelsen er ikke lett å forstå sammenlignet med at man aksepterer bruk av kommunikasjonskontroll. Det ville gitt bedre sammenheng i regelverket om utvalget hadde utformet en ransakingsregel som ga politiet adgang til å foreta informasjonsinnhenting fra brukerkontoen/datasystemet et ubegrenset antall ganger, også med bruk av dataprogram som automatisk rapporterer om endringer, innenfor en nærmere bestemt tidsperiode.
Andre del av begrunnelsen i sitatet gjelder data som ikke blir lagret, noe som i praksis er passord for tilgang og dekryptering. At dette er nødvendige data for politiet også for enkeltstående tilfeller av ransaking, bør være hevet over tvil, så også denne delen av begrunnelsen er vanskelig å forstå. Det er følgelig behov for å utnytte automatiske metoder for å kopiere lagret innhold og rapportere om bruk av datamaskinen (tastetrykk), samt å kopiere trafikk mellom kommunikasjonsanlegg, og alt dette bør reguleres i samme bestemmelse.»
Også Kripos gir uttrykk for at dataavlesing bør tillates i videre utstrekning enn det utvalget foreslår – særlig i forbindelse med ransaking, som etter Kripos’ oppfatning må tillates utført fortløpende for at metoden ikke skal miste sitt anvendelsesområde for elektroniske spor. Det vises til den danske løsningen, hvor dataavlesing er innført i en egen bestemmelse, men understrekes at den lovtekniske løsningen ikke er avgjørende. Kripos’ synspunkter knyttet til dataavlesing ved ransaking og behovet for å kunne gjennomføre fortløpende eller kontinuerlig ransaking omtales nærmere nedenfor under punkt 14.7.3. Kripos er kritisk til avgrensningene i adgangen til å benytte dataavlesing etter utvalgets forslag, «til tross for at utvalget også anerkjenner at bruken av kryptering av kommunikasjon øker, og vil fortsette å øke i fremtiden».
Politidirektoratet har «klare innvendinger mot at dataavlesning ikke foreslås innført som egen metode». Under henvisning til Kripos’ redegjørelse mener direktoratet at «utvalget ikke i tilstrekkelig grad tar innover seg den teknologiske utviklingen og de utfordringer politiet møter i så måte».
Oslo politidistrikt gir uttrykk for at metoden «dataavlesing» må «forstås på samme måte som i den danske retsplejeloven § 791 b», og uttaler følgende:
«Oslo politidistrikt konstaterer at i Danmark fikk man hjemmel til dataavlesning allerede i 2002. Utvalget har ikke funnet å kunne anbefale metoden, bl.a. begrunnet i at det ikke er dokumentert tilstrekkelig behov for dette. Oslo politidistrikt finner grunn til å bemerke at det forutsettes at dataavlesning kun skal benyttes ved mistanke om alvorlig, oftest organisert, kriminalitet og at bruken vil være begrenset. Vi mener utvalget i alt for stor grad er opptatt av at man kan påvise et nærmere behov for en metode som vi ikke har hatt anledning til å benytte, og at det tydeligvis ikke legges vekt på den tekniske utvikling som gjør at politiet hele tiden kommer på etterskudd i forhold til de muligheter lovbrytere kan gjøre seg nytte av.
Metoden skulle være tilstrekkelig utredet, og det blir da opp til de politiske myndigheter å treffe et valg om politiet skal få adgang til et nyttig redskap ved etterforskning i alvorlige straffesaker. Vi mener at det bør innføres en lovhjemmel til dette tilsvarende den danske.»
Økokrim uttaler at det oppfatter utvalgets forslag som en «pragmatisk mellomløsning», som vil gi tilstrekkelige muligheter til å ivareta Økokrims behov i dagens situasjon. Økokrim peker likevel på at:
«[…] dersom dataavlesing innføres i tråd med utvalgets forslag (det kun tillates i tilknytning til kommunikasjonskontroll og hemmelig ransaking), vil enkelte mulige sporsteder forbli utilgjengelig for politiet. Alt som produseres i informasjonssystemer uten å lagres (eller som lagres utilgjengelig dvs. kryptert eller skjult på annen måte som steganografi), eller som ikke kommuniseres ut via avlyttbare kanaler, kan forbli utilgjengelig. En kan også tenke situasjoner hvor to personer i samme rom ikke snakker sammen, men bruker en datamaskin til å kommunisere uten at noe noen gang lagres eller kommuniseres. I slike tilfeller vil ikke romavlytting gi noen informasjon, og dataavlesing ville ha vært eneste mulighet til å dokumentere hva som “blir sagt”.»
Utvalgets forslag om å tillate dataavlesing som gjennomføringsmåte for kommunikasjonsavlytting og hemmelig ransaking og beslag støttes av Norges politilederlag, Telemark politidistrikt, Hordaland politidistrikt og Fornyings-, administrasjons- og kirkedepartementet.
Oslo statsadvokatembeter viser til utvalgets redegjørelse om utfordringene med å fremskaffe dokumentasjon eller tallmateriale som belyser behovet for dataavlesing, og uttaler at det «kan synes overraskende at utvalget fremmer forslag som er så vidt vidtgående når utvalget selv poengterer at det ikke har fått tilstrekkelig dokumentasjon for behovet for å innføre fremgangsmåten». Videre heter det i høringsuttalelsen:
«Når utvalget likevel foreslår å åpne for skjult dataavlesning, er dette begrunnet med at det er nødvendig for å opprettholde effektiviteten av dagens kommunikasjonskontroll og for å kunne gjennomføre en hemmelig ransakning. Etter det man forstår er begrunnelsen å videreføre de i dag tilgjengelige metoder «en digital verden.» Derimot forstår man utvalget slik at de ikke foreslår å tillate gjentatte ransakinger på en og samme beslutning. Dette ville i prinsippet åpne for en sammenhengende «overvåkning» av datamaskinene.
Oslo statsadvokater er i prinsippet enig i denne avgrensing. Likevel oppstår det flere vesentlige og vanskelige spørsmål. Et moment i denne sammenheng vil være at man kan etablere tilfredsstillende kontrollsystemer som sikrer mot misbruk eller påstander mot misbruk.»
Advokatforeningen uttaler at utvalgets forslag ikke «foranlediger […] særskilte merknader fra Advokatforeningens side».
Flere høringsinstanser mener at dataavlesing ikke bør tillates, verken som gjennomføringsmåte for eksisterende tvangsmidler eller som selvstendig tvangsmiddel.
Datatilsynet gir uttrykk for at dataavlesing – selv som en videreføring av eksisterende metoder – vil innebære at «tanker, assosiasjoner og ønsker som kanskje engang aldri var tenkt kommunisert til noen andre blir gjenstand for politiets behandling». Datatilsynet mener at man «[b]illedlig kan [...] si det slik at det ikke bare er ens kommunikasjon som avlyttes, men ens dagbok», og at metoden «er så inngripende at den ikke bør innføres, selv som et virkemiddel for å gjennomføre andre metoder».
Norsk forening for kriminalreform (KROM) siterer utvalgets uttalelse på side 248 i utredningen om at det neppe er til å unngå at gjennomføringen av dataavlesingen vil kunne fange opp opplysninger som ikke var ment kommunisert eller lagret, og som ikke ville blitt fanget opp ved kommunikasjonsavlytting eller hemmelig ransaking og beslag uten bruk av dataavlesing. KROM viser til at dette «kan gjelde uskyldige tredjepersoners bruk av maskinen, men også rent personlige tanker, tanker som vedkommende mistenkt ikke har tenkt lagret eller å bli konfrontert med senere», og at dataavlesing derfor må «utredes ytterligere før det innføres som en yttereligere metode for skjulte etterforskningsskritt». KROM mener videre at «dekrypteringsmetoder vil være et mer adekvat satsingsområde enn å åpne for dataavlesing».
NRK støtter heller ikke utvalgets forslag om å tillate dataavlesing ved gjennomføringen av kommunikasjonskontroll og hemmelig ransaking. NRK uttaler at «[s]elv om politiet rettslig sett kun har tilgang til det som kommuniseres til og fra datamaskinen, vil politiet faktisk kunne skaffe seg tilgang til alt som ligger på datamaskinen, eksempelvis eldre kommunikasjon på e-post mellom kilde og journalist, og denne faktiske tilgangen vil i seg selv være tilstrekkelig til å medføre en «chilling effect»».
Forsvarergruppen av 1977 mener at utvalgets forslag om å tillate dataavlesing som gjennomføringsmåte ved kommunikasjonsavlytting og hemmelig ransaking og beslag, men ikke som metode for fortløpende overvåking av all aktivitet i et datasystem, er en «fornuftig tilnærming». Forsvarergruppen støtter likevel ikke forslaget, under henvisning til «de betenkeligheter som gjør seg gjeldende overfor informasjon som ikke er ment kommunisert til noen, samt overfor tredjepersoners bruk av for eksempel felles datamaskin i husstand». Etter Forsvarergruppens oppfatning gjør dette dataavlesing «særlig integritetskrenkende».
14.7.2 Dataavlesing for å muliggjøre kommunikasjonsavlytting
Kripos gir uttrykk for at utvalgets forslag på dette punkt «i de fleste tilfeller vil løse politiets utfordringer som vanskeliggjør kommunikasjonskontroll – i særlig grad kryptering». Kripos uttaler videre:
«Utvalgets forslag betyr at avlyttingspunktet flyttes fra teletilbyderen («den lukkede transportfasen») og inn til mistenktes kommunikasjonsanlegg før den krypteres og gjøres uleselig for politiet («den åpne transportfasen»). Kripos er enig i at noe annet ville føre til at kommunikasjonskontroll som metode gradvis vil ha mindre verdi.»
NAST uttaler derimot at:
«NAST har problem med å forstå utvalgets begrunnelse for å innføre dataavlesing i form av adgang til å foreta datainnbrudd for å foreta kommunikasjonskontroll, jf. forslag til nytt femte ledd i strpl. § 216a. Kommunikasjonskontroll utføres vanligvis med bistand fra tilbyder, en situasjon som ikke gir behov for å begå datainnbrudd for å gjennomføre tilegnelsen av innholdsdata. Dersom kommunikasjonen er kryptert er det imidlertid behov for å få tilgang til dekrypteringsnøkler fra tilbyder, slik at kommunikasjonen kan konverteres til klartekst. Slik forslaget til strpl. § 216a nest siste ledd er utformet, omfattes ikke denne situasjonen, jf. at det gir tillatelse til «å foreta innbrudd i et datasystem», noe som strengt tatt ikke gjelder kommunikasjonskontroll, men ransaking. Det burde imidlertid fremgå av loven at tillatelse til kommunikasjonskontroll med bistand fra tilbyder gir politiet rett til å motta kommunikasjonen i klartekst dersom tilbyder er i stand til å dekode innholdet.»
Flere høringsinstanser er kritiske til utvalgets forslag om at tillatelse til dataavlesing bare skal gis dersom kommunikasjonsavlyttingen «er vanskeliggjort». Kripos uttaler at dette er et «lite hensiktsmessig vilkår», og det bør være nok at tradisjonell kommunikasjonskontroll er vurdert og funnet utilstrekkelig, samt at det gis en særskilt begrunnelse for dette. Kripos begrunner dette slik:
«Ellers vil politiet risikere å miste viktig informasjon i en periode hvor man gjør et forsøk på tradisjonell kommunikasjonskontroll, til tross for at politiet har grunn til å tro at mistenkte benytter krypterte tjenester eller andre beskyttelsestiltak som vanskeliggjør kommunikasjonskontroll. Denne informasjonen kan eksempelvis ha fremkommet gjennom kommunikasjonskontroll av mistenktes telefon eller fra annen etterforskning.»
Lignende synspunkter tilkjennegis av Riksadvokaten, som uttaler at det bør overveies om det kan være tilstrekkelig at tradisjonell kommunikasjonsavlytting «antas vanskeliggjort». Riksadvokaten peker på at det i så fall bør presiseres i motivene at det kreves mer enn en løs antakelse om at dette er situasjonen, «for eksempel at det godtgjøres at politiet har erfaring for at det i det aktuelle miljøet er vanlig å benytte kommunikasjon som ikke kan avlyttes ved tradisjonelle midler».
14.7.3 Dataavlesing som gjennomføringsmåte for hemmelig ransaking
Kripos gir for det første uttrykk for at straffeprosessloven § 200 a allerede gir adgang til hemmelig ransaking uten politiets fysiske tilstedeværelse, og at datainnbrudd kan være en gjennomføringsmåte ved ransaking av datasystem etter beslutning om ransaking i medhold av straffeprosessloven § 192, eventuelt med utsatt underretning etter straffeprosessloven § 200 a. Etter Kripos’ oppfatning kan politiet «bryte seg inn i et datasystem på samme måte som man kan bryte seg inn i en leilighet, som ellers ville være et straffbart innbrudd etter strl § 147». Det vises i denne sammenheng til at det ikke er tradisjon for å beskrive gjennomføringsmåter for de enkelte tvangsmidler i detalj i straffeprosessloven, og at dersom det likevel skulle være behov for å presisere adgangen i loven, bør dette gjøres i straffeprosessloven § 200.
Videre peker Kripos på at ransaking av datasystemer innebærer utfordringer som følge av den teknologiske utviklingen. Dersom mistenkte beskytter lagret innhold i datasystemet med kryptering, eller ikke lagrer informasjonen («flyktige data»), er den eneste måten å få tilgang til informasjonen å slå til mens den ligger åpen hos mistenkte, altså mens mistenkte selv har åpnet krypteringen. Kripos begrunner dette med at «krypteringsnøklene som beskytter informasjonen som regel er flyktige, og ikke lagret, det er ikke snakk om et brukernavn og passord». Det understrekes at «et teknologisk kappløp med krypteringsløsninger» ikke er gjennomførbart.
Kripos er også kritisk til utvalgets tilnærming til elektroniske bevis, og uttaler:
«Utvalget drøfter i pkt 23.2.3 dataavlesing opp mot sensitivitetsprinsippet. Kripos’ utgangspunkt er at ransaking av et datasystem er likestilt med ransaking for øvrig. Enhver ransaking etter strpl §192 stiller politiet overfor de samme problemstillinger som utvalget drøfter, nemlig at politiet må søke gjennom en rekke ting/gjenstander/informasjon for å finne ting som «antas å ha betydning som bevis» etter strpl §203. Det innebærer at politiet ved en tradisjonell ransaking av en bolig går gjennom tidvis meget personsensitiv informasjon som håndnotater, dagbøker, bilder av personlig karakter, brev, forretningshemmeligheter mv. Deretter gjøres det en vurdering av hva som har bevisverdi i den konkrete saken. Typen opplysninger som gjennomgås i forbindelse med en tradisjonell ransaking skiller seg ikke fra opplysninger som forefinnes i et datasystem. Det er i begge tilfeller opplysninger som kan være av meget personlig karakter, og som ikke er ment for andre enn besitteren. Det er som oftest opplysninger som ikke er tenkt kommunisert til andre. Likevel kan politiet vurdere at opplysningene har betydning som bevis.
Utvalgets vurderinger stiller elektroniske bevis i en unaturlig stilling til tross for at de etter Kripos oppfatning ikke skiller seg fra øvrige opplysninger som kan fremskaffes ved tradisjonell ransaking. Det er den teknologiske utviklingen som har gjort at opplysningene nå forefinnes elektronisk og ikke som fysiske bevis, eksempelvis som e-post i stedet for brev. En tilnærming hvor ransaking av datasystemer sidestilles med ordinær ransaking taler for at dataavlesing bør tillates.
Utvalget nevner særskilt datasystemer som inneholder særlig sensitiv informasjon, eksempelvis et datasystem på et legekontor. Kripos er enig i at denne type informasjon står i en særstilling, men dette kan reguleres med unntaksbestemmelser slik det er gjort for kommunikasjonskontroll, se strpl §216c annet ledd.»
Etter Kripos’ oppfatning skiller dataavlesing seg fra tradisjonell ransaking fordi den må gjennomføres fortløpende eller kontinuerlig dersom det skal være gjennomførbart i krypterte systemer. Det må derfor tas stilling til om fortløpende ransaking av datasystem skal tillates, «for at ransaking som metode skal ha samme effekt som tidligere». Det pekes på at dette vil være et større inngrep enn en enkeltstående ransaking, og et større inngrep i personvernet enn tradisjonell ransaking, mens gjentatt ransaking vil stå i en mellomstilling.
Med hensyn til gjentatt ransaking mener Kripos at det «kan stilles spørsmål ved om dagens ransakingshjemler gir adgang til å gi tillatelse til mer enn én ransaking av samme objekt om gangen», og uttaler:
«Det er på det rene at en og samme ransakingsbeslutning kan omfatte flere mistenkte/flere objekter. Det er ikke noe vilkår at ransakingen utføres på et bestemt tidspunkt, og heller ikke at ransaking mot samtlige objekter finner sted samtidig. Det er også tillatt å ta seg inn på åstedet flere ganger, dersom ransakingen av praktiske grunner må avbrytes før den er ferdig gjennomført. Da dreier det seg fortsatt om samme ransaking. Det er videre på det rene at samme objekt kan ransakes flere ganger i samme sak, dersom vilkårene er til stede hver gang og det gis ny beslutning for hver gang.
Spørsmålet er om samme objekt også kan ransakes flere ganger med grunnlag i en og samme beslutning, dersom retten etter en konkret vurdering finner at vilkårene er tilstede over en gitt tidsperiode. Lovens ordlyd er ikke til hinder for dette. Rettstilstanden synes imidlertid uavklart. I NOU 2004: 6 s 93 andre spalte sier utvalget at «kommunikasjonsavlytting kan gjelde et bestemt tidsrom, mens en ransakingstillatelse er begrenset til én undersøkelse», uten å problematisere dette nærmere. Dette er også lagt til grunn av metodekontrollutvalget i utredningen s 246, 1. spalte 4. avsnitt.»
Ifølge Kripos kan det at ransakingsbestemmelsen tradisjonelt har vært forstått og praktisert slik at det kun besluttes én ransaking av samme objekt om gangen, blant annet skyldes at gjentatt ransaking er lite aktuelt i en åpen etterforskning. Det pekes på at en åpen ransaking «etter sin art er avslørende», og at det derfor normalt er lite hensiktsmessig å foreta en ny ransaking når den første er gjennomført, og åstedet er frigitt. Etter Kripos’ oppfatning er situasjonen en annen ved skjult etterforskning, og det gis uttrykk for at den tradisjonelle forståelsen av straffeprosessloven § 197 derfor ikke forhindrer at bestemmelsen «i et gitt tilfelle vurderes annerledes når man står overfor en hemmelig ransaking med hjemmel i §200a». Kripos gir følgende illustrasjon i denne sammenheng:
«Som eksempel på hemmelig ransaking av et fysisk rom kan nevnes et tilfelle hvor politiet besitter informasjon om at en bestemt leilighet vil bli brukt som depot for et narkotikaparti som skal innføres til Norge. Man vet imidlertid ikke når partiet vil ankomme. Kommunikasjonskontroll kan gi politiet en pekepinn om dette. Men det vil uansett være et behov for å gå inn og sjekke leiligheten med jevne mellomrom. Dette kan selvsagt løses ved at retten tar stilling til spørsmålet hver eneste gang politiet skal inn og undersøke. Men det er som nevnt intet ved ordlyden i § 200a, jfr §197 som hindrer retten i å gi politiet tillatelse til å undersøke samme leilighet flere ganger over en gitt tidsperiode.
Det samme behovet for fortsatt ransaking gjelder for et virtuelt rom i cyberspace. I forbindelse med skjult etterforskning er det ofte behov for gjentatt ransaking av elektroniske lagringsmedier fordi innholdet endres. En e-postkonto hvor det jevnlig tilkommer nye bevis av vesentlig betydning for saken vil det eksempelvis være nødvendig å ransake med jevne mellomrom. Teknisk sett kan politiet gjennomføre ransakingen ved bruk av dataprogrammer. At retten i et slikt tilfelle gir tillatelse til flere ransakinger i samme beslutning er som nevnt forenlig med lovens ordlyd.»
Etter Kripos’ oppfatning er hyppigheten av ransakinger, og den totale tidsperioden det gis tillatelse til ransakinger i, spørsmål som «hører naturlig inn under forholdsmessighetsvurderingen i strpl §170a». Det pekes på at også objektet for ransakingen vil være et relevant vurderingsmoment, og at det eksempelvis må anses mer inngripende å ransake mistenktes bolig enn «å ransake en e-postkonto som er opprettet med det formål å tjene som informasjonskanal for de mistenkte som ledd i den straffbare handling». I tillegg vises det til at omfanget av beslutningen også vil avhenge av mistankens styrke og hvor sentralt ransakingsobjektet synes å være, og at det kan være naturlig å gi en éngangsbeslutning først, og eventuelt en videre beslutning etter hvert, dersom ransaking «avdekker et mønster som viser at det jevlig tilkommer nye bevis av vesentlig betydning».
Videre peker Kripos på at spørsmålet om gjentatt ransaking hjemles i dagens regelverk ikke er avklart av Høyesterett, men at høringsinstansen kjenner til at problemstillingen «ved enkelte anledninger har vært prøvd av både tingrett og lagmannsrett». Videre uttaler Kripos:
«Som eksempel nevnes en skjult etterforskning ved Kripos for noen år tilbake (som ikke lenger er taushetsbelagt) hvor tingretten ga tillatelse til å ransake en e-postkonto. Etterforskningen viste at de mistenkte benyttet kontoen til å utveksle informasjon om det straffbare forhold, særlig om forestående møtevirksomhet. Siden de mistenkte var svært forsiktige i sin telefonbruk, var hemmelig ransaking av e-postkontoen et nødvendig supplement til den øvrige etterforskningen. KK-bestemmelsen ga som kjent ikke hjemmel til å sikre dette bevismaterialet, siden det ikke var snakk om e-post som ble sendt fra et kommunikasjonsanlegg til et annet. Informasjonen ble derimot utvekslet ved at mistenkte skrev utkast til meldinger, som ble lagret på kontoen. Enhver med tilgang (passord) kunne logge seg inn og lese utkastet. Kontoen fungerte følgelig som en slags oppslagstavle, hvor beskjeder ble formidlet uten å bli sendt fra A til B. Politiet hadde i dette tilfellet riktig passord. Det tilkom jevnlig ny informasjon på kontoen, og det var derfor behov for flere ransakinger. Tingretten ga på denne bakgrunn tillatelse til gjentatt ransaking. Kjennelsen ble ikke påanket av §100a-forsvareren.»
Kripos antar på denne bakgrunn at straffeprosessloven § 197 gir hjemmel for å tillate flere ransakinger av samme objekt innenfor en avgrenset tidsperiode – i én beslutning, og at dette kan skje som ledd i skjult etterforskning dersom vilkårene i § 200 a er oppfylt. Etter Kripos’ oppfatning er det en forutsetning at politiet forlater stedet eller det virtuelle rommet hver gang en ransaking er gjennomført. I motsatt fall «er det snakk om en kontinuerlig overvåkning («fortløpende ransaking»), som åpenbart ikke hjemles i dagens ransakingsbestemmelser».
Kripos peker videre på at gjentatt ransaking ikke er tilstrekkelig for å sikre «flyktige opplysninger» – altså opplysninger som ikke lagres – i elektroniske informasjonssystemer. Som eksempler nevnes krypteringsnøkler, passord og «annet som kan brukes til å bryte kryptering». Etter Kripos’ oppfatning er det i mange situasjoner «avgjørende […] å ha anledning til å bevissikre disse» gjennom fortløpende eller kontinuerlig ransaking. Dette utdypes slik:
«Dersom en gjennomfører ransaking på et tilfeldig tidspunkt i håp om at mistenkte har åpnet de krypterte filene vil det være mer eller mindre tilfeldig hvilken informasjon som er tilgjengelig. Hyppig gjentakelse i den fysiske verden kan betraktes som sneglefart i et elektronisk datasystem. I praksis kan de flyktige opplysningene eller de åpne krypterte filene kun bevissikres ved en kontinuerlig tilstedeværelse. Det frekvensbeskrivende begrepet «gjentatt» gir i praksis ikke en slik grad av tilstedeværelse. Det må i så fall gjennomføres et stort antall «stikkprøve»-ransakinger som i praksis blir lite gjennomførbart og antakeligvis ikke mulig. Det gir også sikringsmuligheten et tilfeldighetspreg. Adgangen til fortløpende ransaking vil derfor være eneste praktiske løsning på krypteringsproblemet.»
Kripos mener derfor at «dataavlesing må innføres som en gjennomføringsmåte også for ransaking, slik at denne metoden ikke skal miste sitt anvendelsesområde for elektroniske spor». Det er etter Kripos’ oppfatning av mindre betydning om dette lovteknisk gjennomføres ved at dataavlesing defineres som egen metode, eller som gjennomføringsmåter for henholdsvis kommunikasjonskontroll og ransaking. Det vises imidlertid til den danske løsningen, hvor dataavlesing er inntatt i en egen bestemmelse.
Politidirektoratet støtter Kripos’ synspunkter, og uttaler:
«Et grunnleggende utgangspunkt, som utvalget synes enig i, må være at politiet gis de samme forutsetninger for å gjennomføre en ransaking med tanke å innhente bevis (informasjon) som er lagret elektronisk, som ved en tradisjonell ransaking. Direktoratet anser i så henseende at den teknologiske utviklingen (økt grad av kryptering) har ført til at politiet ikke har de samme muligheter til å innehente/beslaglegge informasjon som er lagret elektronisk som fysisk. Direktoratet viser her til at Kripos «mener det som skiller dataavlesing fra tradisjonell ransaking, er at det av teknologiske årsaker må gjennomføres fortløpende (kontinuerlig) om det skal være gjennomførbart i krypterte systemer». Som Kripos peker på videre er det vanskelig å ha en begrunnet oppfatning om hvilken informasjon politiet ikke får tilgang til når krypteringen ikke kan brytes. Den omstendighet at det ligger informasjon der som politiet ikke klarer å få tilgang til er i seg selv klart uholdbart. Politidirektoratet støtter derfor Kripos tilrådning om at det må vurderes nærmere om fortløpende ransaking av datasystem skal tillates.
Politidirektoratet viser ellers til Kripos' utførlige merknader på dette punkt, som direktoratet i det vesentlige kan slutte seg til.»
Også Riksadvokaten slutter seg langt på vei til Kripos’ vurderinger av hva det i praksis er behov for:
«For riksadvokaten er det overordnede krav til ny lovgivning at den gir tilstrekkelige hjemler til at det rent faktisk blir mulig å få tilgang til kommunikasjonen på samme måte som ved for eksempel tradisjonell avlytting av telefonsamtaler. Hva som kreves for å gjennomføre dette i praksis er et utpreget teknisk spørsmål og en viser her til høringsuttalelsen fra Kripos. Det kan formentlig være hensiktsmessig om departementet i det videre arbeid med spørsmålet orienterer seg noe nærmere om de tekniske muligheter og begrensninger.
Riksadvokaten har som det fremgår av utredningen tilrådd at hemmelig ransaking og beslag kan gjennomføres uten fysisk tilstedeværelse. Utvalget må forstås slik at det slutter seg til dette på side 246 første spalte og særlig tydelig i sammendraget (side 27). Det er formentlig tilstrekkelig at dette uttales klart i lovforarbeidene uten at det nedfelles i en egen bestemmelse.»
NAST har som nevnt ovenfor under punkt 14.7.1 pekt på at lovens skille mellom hemmelig ransaking og kommunikasjonskontroll er en svakhet, den teknologiske utviklingen tatt i betraktning. Det vises til at ransaking tradisjonelt har vært knyttet til fysiske rom og personer, mens kommunikasjonskontroll gjelder elektronisk kommunikasjon. NAST konstaterer derfor at opplysningsgrunnlaget er «artsforskjellig, nemlig fysiske objekter vs. elektroniske data». Videre pekes det på at det lenge har vært klart at også datasystemer kan være gjenstand for ransaking, og at opplysningsgrunnlaget da er av samme art som ved kommunikasjonskontroll, nemlig elektroniske data. Forskjellen er ifølge NAST bare at ved kommunikasjonskontroll er dataene under overføring, mens ved ransaking er de lagret. I begge tilfeller er opplysningsverdien avhengig av at dataene er tilgjengelige i klartekst – altså at dataene er dekryptert eller i utgangspunktet ukryptert. NAST konstaterer derfor at «teknologiutviklingen har ledet til at ransaking og kommunikasjonskontroll kan rette seg mot samme type objekt (elektroniske data), og kan stå overfor samme utnyttelsesproblem på grunn av kryptering».
Videre gir NAST uttrykk for at «[n]este aspekt av problemet er den rettslige definisjonen av objektet for kommunikasjonskontroll, nemlig «samtaler eller annen kommunikasjon til og fra bestemte telefoner, datamaskiner eller andre anlegg for elektroniske kommunikasjon», jf. strpl. § 216a tredje ledd. I korthet er det tale om elektronisk kommunikasjon, dvs, data under overføring». NAST viser til at definisjonen er bygd ut «i takt med ekomlovgivningen», men at kommunikasjonskontroll opprinnelig gjaldt avlytting av samtaler mellom to forskjellige samtaleparter – noe som «fulgte med nødvendighet av det gamle fasttelefonisystemet». De strenge vilkårene for kommunikasjonskontroll «reflekterte følgelig det fundamentale vernet om kommunikasjonsfortroligheten, ikke bare for siktede, men også for den annen part i kommunikasjonen». Etter NASTs oppfatning har teknologiutviklingen ledet til at den tradisjonelle forutsetningen om at kommunikasjonen går mellom forskjellige parter ikke kan opprettholdes bare fordi datastrømmen går mellom forskjellige kommunikasjonsanlegg. Årsaken er ifølge NAST at «datastrømmen like gjerne kan skyldes personens kontakt med egne data som er lagret på en server i «internettskyen», og at det dermed er et «annet aspekt av privatlivets fred enn kommunikasjonsfortroligheten» som berøres.
NAST mener at områdene for kommunikasjonskontroll og ransaking er i ferd med å gli over i hverandre, «også fordi det ikke lenger kan legges til grunn at data ikke er vernet av kommunikasjonsfortroligheten, bare fordi de er lagret». Som et «velkjent eksempel fra praksis» trekker NAST frem kriminelles bruk av en e-postkonto til å skrive beskjeder til hverandre uten at meldingene sendes. Hver deltaker logger seg inn med brukernavn og passord, og leser de lagrete meldingene. Det er ifølge NAST ikke tvilsomt at informasjonsoverføringen representerer kommunikasjon, men metoden som står til rådighet er likevel ikke kommunikasjonskontroll, men derimot ransaking, eller utleveringspålegg overfor tilbyder. Videre uttaler NAST:
«Slik utviklingen går, er det naturlig å anse stadig mer av datamengden som kommunikasjon, fordi informasjonen forvaltes i nettverk. For eksempel er det vanlig å forvalte sin informasjon via servere utenfor sin egen personlige datamaskin (kommunikasjonsanlegg). Man er heller ikke avhengig av å disponere en egen datamaskin, fordi informasjonen kan lagres, hentes og spres via servere i «internettskyen» ved bruk av offentlige terminaler, for eksempel på internettkafe eller bibliotek. Videre blir lagrete data ofte (videre)sendt, for eksempel som vedlegg til epost, og representerer derfor kommunikasjon.
Det er neppe gitt hva som er hensiktsmessig eller korrekt metodebruk, kommunikasjonskontroll eller hemmelig ransaking, og politiet vil ende opp med å begjære begge deler for å være på den sikre siden. Kommunikasjonskontroll kan imidlertid være «feil» tvangsmiddel dersom det gjelder en forutsetning om forskjellige samtaleparter. Ransaking er på den annen side utilstrekkelig dersom det ikke er adgang til regelmessig nedlasting fra brukerkontoen, slik at politiet kan følge med på informasjonsutvekslingen. Så vidt forstås er gjeldende lære at ransakingsbestemmelsen i strpl. 200a ikke gir adgang fil dette. Tolkningen følger ikke eksplisitt av ordlyden, men viser vel at konseptet «ransaking» er forankret i åpen metodebruk i det fysiske rom. I slike tilfeller har det ikke vært behov for ransaking flere ganger under samme tillatelse, fordi siktede alt første gang ble gjort oppmerksom på etterforskingsskrittet og har kunnet innrette seg deretter. Men ved hemmelig metodebruk er gjentatt ransaking hensiktsmessig, både for fysiske og virtuelle rom.»
NAST mener at teknologiutviklingen har ledet til at «et rettslig skille mellom lagrede data og data under overføring blir kunstig», og at lovgiver derfor bør vurdere å lage én dekkende regel for hemmelig tilgang til elektroniske data.
Videre gjør NAST gjeldende at det bør være adgang til gjentatt ransaking – både fysisk og virtuelt. Om dette uttaler NAST at «[s]elv om det ikke kan ses at ordlyden i gjeldende ransakingsregler er til hinder for hemmelig gjentatt ransaking, fysisk og virtuelt, hersker det en usikkerhet som påkaller behov for rettslig avklaring». I tillegg peker NAST på at ransaking av virtuelle rom innebærer bruk av dataprogram – altså en automatisert ransakingsprosess – hvilket i seg selv tilsier at det bør være adgang til gjentatt automatisert ransaking.
Enn videre mener NAST at det er behov for dataavlesing som selvstendig metode, for å utnytte automatiske metoder for å kopiere lagret innhold og rapportere om bruk av datamaskinen (tastetrykk), samt å kopiere trafikk mellom kommunikasjonsanlegg – altså en form for fortløpende ransaking.
Telemark politidistrikt mener også at gjentatt ransaking under én beslutning bør tillates. Distriktet uttaler følgende:
«Utvalget vil ikke foreslå en adgang til fortløpende eller gjentatt ransaking av kommunikasjonsanlegg. Påtalemyndigheten må etter utvalgets forslag be om rettens kjennelse for hver ny ransaking. Argumentet er hovedsakelig at en slik adgang vil innebære en for stor integritetskrenkelse. Det er etter mitt skjønn vanskelig å se den prinsipielle forskjellen mellom en rettslig kjennelse for hemmelig ransaking av et dataanlegg i en periode, eller flere kjennelser om det samme i den samme perioden. I de saker hvor slik hemmelig ransaking vil være mest aktuelt, vil det kunne være en slik overvåking over tid som er relevant for etterforskningen. Flere av de andre skjulte etterforskningsmetodene brukes over til dels lang tid for å avdekke kriminelle nettverk og de ulike aktørenes roller.»
Oslo statsadvokatembeter mener derimot at gjentatte ransakinger under én beslutning ikke bør tillates, fordi det «i prinsippet [ville] åpne for en sammenhengende «overvåkning» av datamaskinene».
14.7.4 Gjennomføringen av dataavlesing
Forsvarergruppen av 1977 viser til at utvalget har konstatert at det neppe er til å unngå at gjennomføringen av dataavlesing vil kunne fange opplysninger som ikke var ment kommunisert, og at det derfor er viktig at dataavlesingen innrettes slik at det ikke fanges opp opplysninger ut over det som er nødvendig for å gjennomføre kommunikasjonsavlytting eller ransaking. Forsvarergruppen uttaler under henvisning til dette:
«På denne bakgrunn mener Forsvarergruppen at, dersom forslaget vedtas, departementet umiddelbart bør igangsette et arbeid for å utarbeide datafaglige/tekniske retningslinjer ift hvordan slik dataavlesning skal innrettes, med klare føringer om å sikre å motvirke at dataavlesning får slike konsekvenser som beskrevet. At for eksempel nedtegnelser av private tanker, fantasier eller lignende som mistenkte (eller tredjepersoner) aldri har ment satt ut i livet/kommunisert eller lignende, skal komme i hende på politiet, og i verste fall bli misbrukt, finner Forsvarergruppen at vil representere en så alvorlig krenkelse at kostnadene ved dette virkemiddelet vil overstige gevinsten ved det, jfr også sensitivitetsprinsippet og kravet om formålsbestemthet (utredningens kap. 6).»
Oslo statsadvokatembeter peker på at det er liten grunn til å tro at politiet vil anvende hardware-baserte fremgangsmåter i særlig utstrekning, fordi disse «i de fleste tilfeller vil være operativt vanskelige». Videre uttales det at en «softwareløsning vil være vesentlig enklere å anvende», men at «behovet for kontroll og etterprøvbarhet er størst ved anvendelse av denne fremgangsmåten samtidig som den er vanskelig å få gjennomført».
14.7.4.1 Kontrollen med inngrepet
Kripos viser til utvalgets uttalelser om at kravet til rettssikkerhet medfører at det må stilles krav til kontrollsystemer for bruken av dataavlesing, og sier seg enig i dette. Videre uttaler Kripos at innføring av dataavlesing «stiller krav til at omfang og gjennomføringsmåte må dokumenteres», og at det er hensiktsmessig å regulere dette i egne retningslinjer eller i forskrift.
Forsvarergruppen av 1977 gir sin «ubetingede støtte» til utvalgets forslag om at reglene skal evalueres, og til å gi lovendringen en bestemt virkeperiode «for å sikre at slik evaluering faktisk finner sted».
Oslo statsadvokatembeter peker på at dataavlesing som fremgangsmåte «gir en betydelig mengde overskuddsinformasjon», og uttaler:
«Dette kan gjelde personlige forhold, men også knyttet til den enkeltes økonomiske forhold. Politiet vil ved anvendelse av metoden få tilgang til den enkeltes passord ved utførelse av banktjenester, varekjøp m.v., og passord som anvendes i forhold til det offentlige og dets tjenester. Videre må det fremheves at metoden ikke gir en særlig god notoritet som kan sikre mot misbruk. Rett nok har utvalget skissert på en detaljert liste tiltak som kan sikre notoritet på oppkopling og avkopling, men det bør understrekes at det kan være van[s]kelig å sikre notoritet og kontroll på det materialet som innhentes. Det må i den forbindelse understrekes at datamaskiner kan inneholde en stor mengde tekst og bilde/filmateriale og at gjennomgangen og kontrollen kan være svært ressurskrevende.
Politiet må i alle tilfelle registrere og dokumentføre det materialet som lastes ned. Dette gjelder også selv om materialet bedømmes som irrelevant av politiet. En sletting i en tidlig fase vil alltid åpne for påstander fra forsvareren om at politiet har slettet materiale som taler til fordel for siktede. En nøyaktig registrering av nedlastet materiale vil åpenbart kunne bli ressurskrevende for politiet.»
Videre gir Oslo statsadvokatembeter uttrykk for at innføringen av dataavlesing som gjennomføringsmåte bør forutsette at man kan «etablere tilfredsstillende kontrollsystemer som sikrer mot misbruk eller påstander mot misbruk». Dette kan «være av avgjørende betydning for å gi «legitimitet» for de regler som innføres». Oslo statsadvokatembeter understreker «at man i prinsippet gir politiet tilgang til samtlige datamaskiner som befinner seg i Norge og i en viss utstrekning utenfor landets grenser», og uttaler videre at dette «innebærer at den innebyggede kontrollmekanisme som fordrer fysisk medvirkning fra utenforstående (teleselskaper/internettleverandører) blir delvis borte». Oslo statsadvokatembeter mener at det «åpenbart [er] av sentral betydning» at eventuelle nye regler om utsatt underretning også blir vurdert i denne sammenheng.
14.8 Departementets vurderinger
14.8.1 Grunnleggende forutsetninger for departementets vurderinger
Politiets adgang til skjult tvangsmiddelbruk skal ikke være videre enn det som er nødvendig for å møte behovet for effektiv kriminalitetsbekjempelse. Det er heller ikke gitt at politiet skal ha anledning til å benytte metoder som i art og omfang er så vidtfavnende at de dekker behovet fullt ut. I denne sammenheng legger departementet særlig vekt på at bruken av tvangsmidler ikke bare kan utgjøre inngrep overfor mistenkte, men også tredjepersoner som på ulike måter kan bli berørt av metodebruken. Selv om utvidelser av tvangsmiddelhjemlene eller innføring av nye tvangsmidler kan gi en stor samfunnsmessig gevinst i form av mer effektiv kriminalitetsbekjempelse, er det ikke grunnlag for å foreslå utvidelser som kan virke uforholdsmessig inngripende overfor mistenkte eller tredjepersoner. Et avgjørende moment i denne vurderingen vil være om behovet for effektiv kriminalitetsbekjempelse kan tilfredsstilles med mindre inngripende midler.
Videre er det avgjørende at eventuelle utvidelser innrettes slik at den enkeltes krav på materiell og prosessuell rettssikkerhet ivaretas. Inngrep skal bare kunne skje med grunnlag i tilstrekkelig klar lovhjemmel og på vilkår som sikrer at inngrepet ikke går ut over det som er nødvendig for å tjene det forhåndsbestemte formålet, altså kriminalitetsbekjempelse. Inngrepshjemlene må ledsages av objektive kontrollmekanismer for å hindre at noen utsettes for uforholdsmessig eller unødvendig belastning som følge av tvangsmiddelbruken og for å hindre misbruk av tvangsmiddeladgangen. I denne sammenheng er det etter departementets oppfatning vesentlig at bruken av skjulte tvangsmidler som hovedregel skjer med grunnlag i en forutgående tillatelse fra retten. I tilfeller hvor det er aktuelt å gi påtalemyndigheten hastekompetanse til å beslutte at inngrep skal foretas, må det skje en etterfølgende domstolskontroll.
Bruken av skjulte tvangsmidler innebærer også at den inngrepet rettes mot først i ettertid, og i noen tilfeller heller ikke da, får vite om at det er benyttet tvangsmidler. Det er derfor nødvendig å sørge for at mistenktes interesser ivaretas av andre. Departementet peker i denne forbindelse særlig på bestemmelsen i straffeprosessloven § 100 a om oppnevning av offentlig advokat for mistenkte ved behandlingen av saker om bruk av skjulte tvangsmidler. I tillegg mener departementet at det er nødvendig å sørge for at egnede kontrollorganer fører et mer helhetlig tilsyn med bruken av skjulte tvangsmidler, slik kontrollutvalget for kommunikasjonskontroll og EOS-utvalget gjør. For departementet er det en forutsetning at også bruken av eventuelle nye skjulte tvangsmidler underkastes et tilsvarende kontrollregime.
14.8.2 Behovet for dataavlesing – tradisjonelle tvangsmidler og ny teknologi
Både Metodekontrollutvalget og flere av høringsinstansene har pekt på den raske teknologiske utviklingen i samfunnet. Moderne løsninger for elektronisk behandling og formidling av informasjon legger til rette for effektiv kommunikasjon og stor bevegelsesfrihet. Departementet ser også at det er en økende bevissthet om viktigheten av informasjonsbeskyttelse i samfunnet generelt, og allmenhetens kunnskaper om – og evne til – slik beskyttelse virker å være større enn tidligere. Etterspørselen etter løsninger som verner mot at utenforstående skaffer seg uberettiget tilgang til informasjon som bearbeides og kommuniseres med elektroniske hjelpemidler, synes å være stor. En rekke av de løsningene som er i utbredt bruk i dag leveres med sterk informasjonsbeskyttelse som «standardoppsett». Først og fremst er det tale om kryptering. Det vil si at brukeren av informasjonsbærende utstyr produserer eller bearbeider informasjonen «åpent», men at den sendes eller lagres kryptert. Krypteringen kan skje ved at brukeren aktivt benytter krypteringsprogrammer og «lukker» informasjonen når den overføres eller lagres, eller ved automatisk kryptering gjennom løsninger som tjenesteleverandøren har implementert. Det sistnevnte skjer uten at den enkelte bruker tar et bevisst valg om å kryptere.
Bedre informasjonsbeskyttelse er en fordel, så lenge beskyttelsen har som formål å verne lovlig aktivitet. Beskyttelsesmulighetene kan imidlertid også benyttes for å hindre utenforstående innsyn i informasjon og kommunikasjon som gjelder kriminelle handlinger. Kriminelle miljøer vil ofte ha kunnskap om politiets arbeidsmetoder, og kan ha både vilje og betydelig evne til å benytte tilgjengelige teknologiske løsninger for å skjule informasjon som knytter seg til den kriminelle virksomheten. Høy informasjonsteknologisk kompetanse er heller ingen absolutt forutsetning i så måte. Kriminelle kan på lik linje med andre benytte seg av kommersielle standardløsninger for kryptering av kommunikasjon og lagret informasjon.
Fremveksten av krypteringsløsninger og andre metoder for informasjonsbeskyttelse fører utvilsomt til utfordringer for politiet. I forbindelse med forebygging, avverging og etterforskning av alvorlig kriminalitet, kan politiet ha behov for å skaffe seg tilgang til kommunikasjon eller informasjon som finnes lagret i elektronisk utrustning som disponeres av mistenkte, uten den mistenktes viten. Etter departementets oppfatning viser utredningen og høringen at de eksisterende skjulte tvangsmidlene har tapt mye av sin effekt som følge av den teknologiske utviklingen, herunder fremveksten av ulike løsninger for informasjonsbeskyttelse. Adgangen til meningsinnholdet i informasjonen er rettslig sett uendret, men i praksis vanskeliggjort.
Kommersielle krypteringsløsninger baseres på svært komplekse krypteringsalgoritmer. Forsøk på å «knekke» kryptering krever meget store ressurser i form av tid, datakraft og kompetanse, og det er beskjedne utsikter til å lykkes. Det synes ikke å være en praktisk gjennomførbar løsning for politiets utfordringer per i dag. I utgangspunktet er politiet derfor avhengig av å kunne tilegne seg den aktuelle informasjonen «i klartekst» på annen måte. I noen tilfeller kan det være mulig å skaffe seg tilgang til kryptert informasjon gjennom innhenting og bruk av passordene eller kodene som brukes som krypteringsnøkler. Det forutsetter at politiet får tak i disse opplysningene gjennom annen metodebruk, eller at mistenkte eller andre oppgir disse til politiet. Kjennskap til passord og lignende vil imidlertid i mange tilfeller være utilstrekkelig. Flere av høringsinstansene har påpekt at krypteringsnøklene, som beskytter informasjonen, som regel er flyktige, og at det nettopp ikke er snakk om et fast brukernavn eller passord. De har gitt uttrykk for at det derfor er behov for å gi politiet tilgang til informasjonen når den ligger åpen – for eksempel når en mistenkt har åpnet et tekstdokument for behandling på sin datamaskin, eller når lyden fra en ip-basert telefonsamtale overføres fra mikrofonen eller til høyttaleren på mistenktes smarttelefon eller datamaskin.
Et annet sentralt trekk ved utviklingen innen elektronisk kommunikasjon synes å være at det i stadig større utstrekning benyttes kommunikasjonstjenester som ikke er bundet til et bestemt kommunikasjonsanlegg eller en bestemt nettverksforbindelse, men derimot til en virtuell brukerkonto som innehaveren med et brukernavn og passord, og eventuelt tilpasset programvare, kan benytte fra en rekke plattformer – for eksempel smarttelefoner, nettbrett og bærbare datamaskiner. Disse enhetene er mobile og kan benytte flere typer av både faste og trådløse nettverksforbindelser. Spekteret av tilgjengelige kommunikasjonstjenester er vidt, og én og samme tjeneste kan gi tilgang til mange varianter av nettverksbasert kommunikasjon. Ett eksempel er Skype, hvor en bruker blant annet kan føre telefonsamtaler, også gruppesamtaler (ringe til andre skype-brukere gjennom ip-telefoni, ringe til mobiltelefoner og fasttelefoner), føre videosamtaler med én person eller en gruppe, sende og motta videobeskjeder, direktemeldinger («chat»), tekstmeldinger (SMS) og dele filer og skjermbilder.
I den straffeprosessuelle reguleringen av skjulte tvangsmidler går det et skille mellom informasjon som er lagret, og informasjon som overføres mellom en avsender og en mottaker. Ransaking og beslag, eventuelt utleveringspålegg, må benyttes for tilgang til elektronisk lagret informasjon, mens kommunikasjonsavlytting er det tilgjengelige tvangsmiddelet for å fange opp informasjon under overføring mellom ulike kommunikasjonsanlegg. Dette skillet settes på prøve av fleksible løsninger for elektronisk informasjonshåndtering. Disse tjenestene fungerer naturligvis ubundet av den straffeprosessuelle sondringen mellom kommunikasjon og lagret informasjon.
Utfordringene blir etter departementets oppfatning særlig tydelige når en ser på bruken av for eksempel internettbaserte e-post- og fildelingstjenester. Tjenestene åpner for at flere – ved å dele tilgangen til én og samme brukerkonto – kan gå sammen om å opprette, lese og redigere dokumenter eller andre filtyper som lagres på tjenestetilbydernes servere, uten at informasjonen utveksles direkte mellom de involvertes kommunikasjonsanlegg. Et kjent eksempel, som flere av høringsinstansene har pekt på, er kriminelle som fra hver sine kommunikasjonsanlegg «logger seg på» samme e-postkonto for å utveksle informasjon. Informasjonen blir da ikke sendt mellom ulike e-postadresser. Dette er utvilsomt en form for kommunikasjon, i hvert fall i faktisk forstand, men det er likevel ikke gitt at kommunikasjonsavlytting etter straffeprosessloven § 216 a gir tilgang til informasjonen som utveksles.
Bestemmelsen om kommunikasjonsavlytting gir riktignok adgang til å avlytte signalstrømmen mellom den enkelte brukers kommunikasjonsanlegg og tjenesteleverandørens kommunikasjonsanlegg, men dette vil normalt ikke gi et fullstendig bilde av informasjonen som utveksles mellom de involverte personene. I tillegg kommer det at den enkelte brukers kontakt med brukerkontoen ikke er bundet til et bestemt kommunikasjonsanlegg. Brukeren kan benytte ulike enheter, som nettbrett, datamaskin og smarttelefon, og veksle mellom flere internettforbindelser, for eksempel offentlig tilgjengelige trådløse nettverk på ulike steder. I denne sammenheng er det også av betydning at meningsinnholdet i informasjonen som utveksles, ofte er gjort utilgjengelig for utenforstående gjennom krypteringsløsninger som beskytter informasjonen når den er under overføring. Det vil derfor uansett kunne være svært vanskelig å gjennomføre effektiv kommunikasjonsavlytting.
Politiet kan eventuelt anvende tvangsmidlene skjult ransaking og beslag for å tilegne seg elektronisk lagret informasjon knyttet til en e-postkonto eller tilsvarende, for på den måten å danne seg et bilde av informasjonsutvekslingen mellom de involverte. Ransakinger forutsettes imidlertid gjennomført som enkeltstående handlinger. Politiet skaffer seg tilgang (hvilket kan være en stor praktisk utfordring), gjennomsøker objektet for ransakingen og beslaglegger eventuell informasjon som kan ha betydning som bevis, og trekker seg deretter ut. En ransakingstillatelse gir derimot ikke adgang til å overvåke ransakingsobjektet (for eksempel forbli pålogget på en e-postkonto eller datamaskin) over tid for å fange opp ny aktivitet eller ny informasjon som produseres fortløpende av mistenkte eller andre. Selv om det hyppig begjæres og gjennomføres nye ransakinger av samme objekt, vil hver enkelt ransaking bare gi øyeblikksbilder, og ikke nødvendigvis noen tilfredsstillende oversikt over den informasjonsutvekslingen som faktisk finner sted mellom de involverte. Mellom hver ransaking kan ny informasjon ha blitt tilført og slettet.
Metodekontrollutvalget har konstatert at det ikke har vært mulig «å tallfeste behovet for dataavlesing». Departementet ser heller ikke at det er mulig å foreta noen slik tallfesting. Utredningen og høringen viser likevel et klart behov for å supplere bestemmelsene om kommunikasjonsavlytting og hemmelig ransaking, med bestemmelser som er bedre tilpasset det rådende teknologiske virkelighetsbildet. Dette behovet er etter departementets oppfatning enda sterkere i dag enn da Metodekontrollutvalget presenterte sin utredning. Det er nødvendig med endringer for å gjenopprette den effekten disse metodene hadde tidligere, men også for å gjøre politiet bedre rustet til å møte de utfordringene den teknologiske utviklingen kan forventes å gi fremover i tid.
De utfordringene som kryptering og mobilitet skaper for politiets faktiske informasjonstilgang ved kommunikasjonsavlytting, kan etter departementets oppfatning forsøkes møtt med å legge til rette for å flytte «avlyttingspunktet» tettere på den mistenkte – inn i det kommunikasjonsanlegget mistenkte benytter seg av. Det gir rom for å fange opp innholdet i kommunikasjonen når den ligger åpen (ukryptert) i mistenktes anlegg. Bruk av spesiell programvare kan for eksempel legge til rette for at politiet tar del i de ukrypterte lydsignalene fra en ip-basert telefonsamtale før de krypteres på vei ut på linjen, og dekryptert etter at de har kommet inn fra linjen. Slike fremgangsmåter kan også legge til rette for mer målrettet avlytting, hvor faren for å fange opp utenforståendes kommunikasjon reduseres. Politiet bør også få anledning til å benytte nye fremgangsmåter for å møte utfordringene som kryptering og andre beskyttelsestiltak skaper for tilgangen til annen elektronisk fremstilt og lagret informasjon. Departementet viser i denne sammenheng til uttalelsene fra flere av høringsinstansene innen politiet og påtalemyndigheten, hvor det gis uttrykk for at hjemlene for skjult ransaking og beslag ikke holder tritt med den teknologiske utviklingen.
I det følgende vurderer departementet om behovet bør dekkes ved å endre de eksisterende hjemlene for kommunikasjonsavlytting og skjult ransaking, eller ved å innføre et nytt, selvstendig tvangsmiddel.
14.8.3 Dataavlesing som gjennomføringsmåte for kommunikasjonsavlytting og hemmelig ransaking
Metodekontrollutvalget har foreslått at dataavlesing skal kunne benyttes for å gjennomføre kommunikasjonsavlytting etter straffeprosessloven § 216 a og hemmelig ransaking av datasystemer etter § 200 a.
For kommunikasjonsavlytting har utvalget foreslått et nytt fjerde ledd i § 216 a. Etter forslaget skal retten kunne gi politiet tillatelse til «å foreta innbrudd i et datasystem for å kunne gjennomføre kommunikasjonsavlyttingen», dersom denne er vanskeliggjort på grunn av teknologiske eller andre innretninger. Kommunikasjonsavlyttingen kan tenkes gjennomført ved bruk av programvarebaserte løsninger, der det installeres et program i mistenktes kommunikasjonsanlegg som gjør politiet i stand til å hente ut informasjonen mens denne er tilgjengelig i ukryptert form. Denne og andre varianter kan etter departementets oppfatning innebære en viss forskyvning av avlyttingspunktet sammenlignet med «tradisjonell» kommunikasjonsavlytting, siden det kan være aktuelt å fange opp for eksempel lydstrømmen i en ip-telefonsamtale når den passerer mellom mikrofon og operativsystemets drivere, og mellom operativsystemets drivere og høyttaler på en datamaskin.
For hemmelig ransaking har utvalget foreslått en tilføyelse i § 200 a første ledd om at retten skal kunne gi politiet tillatelse til «samtidig eller senere å foreta innbrudd i et datasystem for å kunne gjennomføre ransaking etter bestemmelsen her».
Utvalget har lagt til grunn at det ikke er hensiktsmessig eller mulig å beskrive gjennomføringsmåten i detalj, verken i forbindelse med kommunikasjonsavlytting eller hemmelig ransaking og beslag. Det har pekt på at «de tekniske mulighetene er mange og forskjelligartede», og at «den teknologiske utviklingen formodentlig vil innebære at en slik beskrivelse raskt blir utdatert» (utredningen punkt 23.3.5 side 247). Utvalget ser for seg at politiet blant annet skal kunne installere programvare i mistenktes datamaskin som gjør politiet i stand til å hente ut informasjon fra datasystemet, og at dette kan gjøres ved å utnytte sikkerhetshull i datasystemet, sende programmet som skjult vedlegg til e-post, eller installere programmet i forbindelse med en hemmelig ransaking «eller etter å ha utført innbrudd i datasystemet». Utvalget har også pekt på muligheten for å bruke maskinvarebaserte løsninger, der det fysisk installeres komponenter på mistenktes datamaskin som gjør politiet i stand til å skaffe seg informasjon. Som eksempel på dette nevnes utstyr for tastetrykksregistrering og oppfanging av lydsignaler ved kommunikasjon over internett.
Departementet er enig i at det bør tas høyde for nye teknologiske løsninger og ser også teknologinøytrale beskrivelser som en fordel. Spekteret av fremgangsmåter som utvalget vil tillate, synes imidlertid å være mer vidtfavnende enn det som faller naturlig inn under den foreslåtte formuleringen «innbrudd i et datasystem». Utvalgets forslag til lovtekst kan derfor etterlate en viss usikkerhet om yttergrensene for fremgangsmåtene politiet skal kunne benytte. Dette gjelder særlig for den tiltenkte adgangen til å installere og benytte program- og maskinvare i datasystemet. Med tanke på ransaking er det også grunn til å peke på straffeprosessloven § 200 annet ledd siste punktum, hvor det er bestemt at det «kan åpnes adgang med makt» dersom det er nødvendig for å gjennomføre ransaking. Bestemmelsen gjelder både åpen og skjult ransaking, og den er åpenbart utformet med ransaking av fysiske rom for øye. Det samme gjelder ransakingsbestemmelsene for øvrig, men det legges like fullt til grunn at de også hjemler både åpen og skjult elektronisk ransaking. Det kan derfor være rimelig å hevde at også straffeprosessloven § 200 annet ledd siste punktum er anvendelig ved elektronisk ransaking, og følgelig allerede gir politiet hjemmel for å bryte beskyttelse i datasystemer i den utstrekning det er nødvendig for å gjennomføre ransaking av disse. Likevel er det etter departementets vurdering behov for en tydeligere hjemmel for å gjøre innbrudd i datasystemer i forbindelse med skjult ransaking, både med hensyn til slike fremgangsmåter som allerede er hjemlet i straffeprosessloven og eventuelle utvidelser.
Utvalget har ikke funnet grunnlag for å innføre dataavlesing som nytt selvstendig tvangsmiddel, fordi det «finner […] at det ikke er dokumentert et tilstrekkelig behov» for dette (utredningen punkt 23.3.1 side 244). Det er presisert at forslagene innebærer at dataavlesing bare skal kunne benyttes i den utstrekning det er nødvendig for å kunne gjennomføre henholdsvis kommunikasjonsavlytting og hemmelig ransaking, og at bruken for øvrig må skje innenfor rammene av de respektive tvangsmiddelhjemlene. Samtidig pekes det på følgende (utredningen punkt 23.3.5 side 248):
«Det er neppe til å unngå at gjennomføringen av dataavlesingen vil kunne fange opp opplysninger som ikke var ment kommunisert eller lagret, og som dermed ikke ville blitt fanget opp ved tradisjonell kommunikasjonsavlytting eller hemmelig ransaking og beslag. For eksempel vil såkalt key-logging, altså det at tastetrykkene på et tastatur registreres, ikke kunne skje uten en viss usikkerhet knyttet til om opplysningene ellers ville kunne fanges opp ved de eksisterende metoder. I så fall vil innføring av dataavlesing som gjennomføringsmåte slik utvalget foreslår også kunne innebære en utvidelse av eksisterende hjemler. Utvalget presiserer derfor at dataavlesingen må innrettes slik at det ikke fanges opp opplysninger ut over det som er nødvendig for å kunne gjennomføre en kommunikasjonsavlytting eller en hemmelig ransaking og beslag. Dersom det er nødvendig for politiet å skaffe seg mistenktes oppstartspassord til et datasystem, må gjennomføringen av eventuell key-logging innrettes slik at det er tastetrykkene i oppstartsfasen som registreres, ikke en fortløpende registrering av alle tastetrykk over en lengre periode som derved gir informasjon ut over det som er nødvendig.»
Så vidt departementet kan se, tar utvalget med forslagene sikte på å overvinne krypteringsproblemet ved henholdsvis kommunikasjonsavlytting og hemmelig ransaking og beslag. Innføringen av dataavlesing som gjennomføringsmåte innenfor rammene av de eksisterende tvangsmiddelhjemlene, og med de begrensningene som er gjengitt ovenfor, medfører at det trekkes opp et tydelig skille med hensyn til hvilken type informasjon som kan innhentes gjennom dataavlesingen, avhengig av om den i det enkelte tilfelle hjemles i straffeprosessloven §§ 216 a eller 200 a. Dersom dataavlesingen skjer for å gjennomføre kommunikasjonsavlytting, kan politiet etter forslaget fange opp kommunikasjonen før den krypteres eller etter at den er dekryptert. Utvalget forutsetter også at politiet skal kunne fange opp krypteringsnøkler som så benyttes for å dekryptere kommunikasjonen i transportfasen. Derimot gir en tillatelse til å benytte dataavlesing for å gjennomføre kommunikasjonsavlytting ikke anledning til å fange opp annen informasjon, som for eksempel krypteringsnøkler som kan være nødvendige for en senere ransaking og dekryptering av lagret informasjon.
Når det gjelder hemmelig ransaking, skal dataavlesing ifølge utvalget kunne benyttes for å gjennomføre dette uten fysisk tilstedeværelse, for eksempel over internett. Forslaget innebærer at politiet skal kunne benytte dataavlesing for å skaffe seg tilgang til det datasystemet som skal ransakes. Utvalget forutsetter imidlertid også at politiet skal ha anledning til å fange opp krypteringsnøkler som er nødvendige for å dekryptere lagret informasjon, for eksempel ved bruk av tastetrykksavleser eller tilsvarende. Selv om utvalget presiserer at det ikke skal være anledning til å følge med på annen aktivitet, eller fange opp annen informasjon, forutsetter dette en viss overvåking av den fortløpende bruken av datasystemet. Samtidig mener utvalget at det ikke bør gis tillatelse til gjentatt eller fortløpende hemmelig ransaking, fordi det ville «innebære en klar utvidelse» sammenlignet med dagens ransakingsregler, og «fordi det vil gi politiet anledning til systematisk å kartlegge mistenktes bruk av et datasystem over tid, herunder opplysninger som ikke blir lagret i datasystemet og dermed ikke vil kunne hentes ut ved tradisjonell hemmelig ransaking». Etter utvalgets syn ville det innebære «en for stor integritetskrenkelse i forhold til det anførte behovet» (utredningen punkt 23.3.3 side 246).
Ransaking, herunder hemmelig ransaking etter straffeprosessloven § 200 a, forutsettes etter gjeldende rett utført som en enkeltstående og tidsmessig avgrenset handling. Når politiet har skaffet seg adgang til objektet og innledet ransakingen, skal inngrepet avsluttes så snart objektet er gjennomsøkt. Ransakingsbestemmelsene gir ikke anledning til vedvarende overvåking fremover i tid. Etter departementets oppfatning står utvalgets forslag om å tillate fortløpende overvåking av datasystemet for å fange opp tilgangskoder mv. (for å kunne gjennomføre ransaking) i et motsetningsforhold til utvalgets forutsetning om hemmelig ransaking som en enkeltstående handling.
Utvalgets forslag angir ikke hvor lenge politiet skal ha anledning til å følge med på datasystemet for å fange opp tilgangskoder mv. i forbindelse med hemmelig ransaking. Ved kommunikasjonsavlytting følger det av straffeprosessloven § 216 f første ledd første punktum at retten kan gi tillatelse for inntil 4 uker om gangen. Rettens angivelse av tidsperiode vil dermed også være bestemmende for hvor lenge dataavlesingen kan foregå. Avlyttingen skal også stanses før utløpet av fristen dersom vilkårene for avlytting ikke lenger antas å være til stede, eller dersom kontroll ikke lenger anses hensiktsmessig, jf. § 216 f annet ledd. Ved hemmelig ransaking gir rettens tillatelse ingen tilsvarende angivelse av hvilken tidsperiode ransakingen skal kunne strekke seg over. Følgelig vil det etter utvalgets forslag ikke gjelde noen uttrykkelig begrensning med hensyn til hvor lenge politiet skal kunne overvåke et datasystem for å fange opp tilgangskoder mv. som er nødvendige for å gjennomføre ransaking. De alminnelige begrensningene i straffeprosessloven § 170 a, at et tvangsmiddel bare kan brukes når det er tilstrekkelig grunn til det og det ikke ville virke uforholdsmessig, gjelder likevel. Politiet vil i så måte uansett ha plikt til å avslutte dataavlesingen dersom det ikke lenger er behov for den, eller dersom den har pågått så lenge at en fortsettelse ville virke uforholdsmessig inngripende. Etter departementets oppfatning medfører utvalgets forslag likevel en usikkerhet som kan være problematisk sett hen til kravet om tilstrekkelig klar lovhjemmel. Videre kan fraværet av en uttrykkelig tidsbegrensning gjøre det vanskelig for retten å foreta en reell forholdsmessighetsvurdering når en begjæring om hemmelig ransaking ved hjelp av dataavlesing skal vurderes.
Flere av høringsinstansene har dessuten tatt til orde for at skjult elektronisk ransaking bør tillates gjennomført fortløpende over tid. I denne sammenheng pekes det blant annet på at kriminelle bruker skylagringstjenester og e-postkontoer for å kommunisere i forbindelse med sin virksomhet, jf. også omtalen av dette ovenfor. Dette er en form for kommunikasjon som politiet ikke får tilfredsstillende tilgang til i medhold av bestemmelsene om kommunikasjonsavlytting. De aktuelle objektene kan riktignok ransakes, men det vil være mer eller mindre tilfeldig om informasjonen fortsatt er tilgjengelig på tidspunktet for ransakingen. Det pekes på lignende utfordringer ved ransaking av for eksempel en datamaskin. Informasjon kan være slettet på tidspunktet for ransakingen, eller mistenkte kan ha beskyttet lagret innhold med kryptering eller ikke lagret informasjonen i det hele tatt («flyktige data»). Ifølge Kripos vil det i mange tilfeller være avgjørende å kunne slå til mens informasjonen ligger åpen hos mistenkte, altså mens mistenkte selv har åpnet krypteringen. Ofte vil en adgang til å benytte tastetrykksregistrering eller lignende for å fange opp passord ikke være tilstrekkelig, fordi krypteringsnøklene som beskytter informasjonen som regel er flyktige. Det hevdes derfor at utbyttet av en enkeltstående ransaking vil være preget av tilfeldigheter og mer fungere som en «stikkprøve».
Departementet ser at skjult ransaking av for eksempel datamaskiner og e-postkontoer medfører særskilte utfordringer sammenlignet med tradisjonell fysisk ransaking. Utvalgets forslag om å tillate dataavlesing som gjennomføringsmåte innebærer i utgangspunktet ingen endring av de øvrige rettslige rammene for hemmelig ransaking. Forslaget vil derfor trolig ikke fullt ut løse de problemene som flere av høringsinstansene har pekt på, særlig med hensyn til flyktige data og krypteringsnøkler, mistenktes sletting av informasjon og kommunikasjonsformer som ikke kan fanges opp gjennom kommunikasjonsavlytting. Politiets adgang til å tilegne seg innholdet i fortrolig elektronisk informasjon bør ikke være avhengig av hvilken konkret teknologisk løsning mistenkte velger å benytte.
14.8.4 Bør dataavlesing innføres som eget tvangsmiddel?
Dataavlesing etter utvalgets forslag, som gjennomføringsmåte innenfor rammene av etablerte tvangsmiddelhjemler (kommunikasjonsavlytting og skjult ransaking), kan utfordre de alminnelige skrankene for bruk av disse tvangsmidlene. Departementet mener dessuten at politiet bør gis adgang til å benytte dataavlesing i videre utstrekning enn det som følger av utvalgets forslag. Utvalgets forslag synes ikke å ta høyde for utfordringene politiet har med hensyn til effektiv avlytting av kommunikasjon som foregår i former som straffeprosessloven § 216 a ikke gir egnet grunnlag for å kontrollere. Etter departementets vurdering bør dataavlesing heller innføres som et selvstendig tvangsmiddel. Departementet foreslår derfor et nytt kapittel 16 d i straffeprosessloven, med to nye bestemmelser som hjemler dataavlesing – straffeprosessloven §§ 216 o og 216 p.
Dataavlesing som metode bør gi politiet anledning til å skaffe seg tilgang til opplysninger i et datasystem, herunder opplysninger om bruken av datasystemet over tid. Det er en forutsetning at avlesingen kan skje uten samtidig underretning til mistenkte eller andre, på lignende måte som ved for eksempel romavlytting, kommunikasjonsavlytting og hemmelig ransaking. Etter departementets oppfatning bør en hjemmel for dataavlesing gi politiet anledning til å foreta innbrudd for å skaffe seg adgang til datasystemet som skal avleses. Politiet bør ha forholdsvis stor valgfrihet med hensyn til hvilke fremgangsmåter som benyttes for å skaffe adgang til datasystemet og til å gjennomføre avlesingen. Politiet bør blant annet kunne installere og benytte egnet programvare og teknisk utstyr, utnytte eksisterende sikkerhetshull eller sårbarheter i datasystemet og bruke andre tilgjengelige teknikker for å besørge nødvendig program- eller maskinvare installert i datasystemet, som for eksempel å sende programmet som skjult vedlegg til e-post eller fordekt i et annet vedlegg, bruke tilgjengelige nettverksforbindelser til å hente ut informasjonen som avdekkes, samt å foreta innbrudd for å installere og fjerne programvare eller maskinvare dersom det er nødvendig for å kunne gjennomføre dataavlesingen.
I likhet med utvalget mener departementet at det ikke er hensiktsmessig eller mulig å beskrive gjennomføringsmåtene i detalj. Til det er de tekniske mulighetene for mange og den teknologiske utviklingen for rask og uoverskuelig. Politiet bør også av taktiske årsaker levnes en viss mulighet til å utvikle og benytte fremgangsmåter som i hvert fall ikke umiddelbart, og ikke i detalj, blir kjent.
Et fravær av detaljerte beskrivelser må imidlertid ledsages av tydelige ytre grenser for hva politiet skal ha anledning til å foreta seg med grunnlag i en tillatelse til dataavlesing. Det er informasjon som genereres i og av datasystemet, og mistenktes bruk av datasystemet, som skal kunne kontrolleres gjennom dataavlesing. Departementet understreker at en tillatelse til dataavlesing derimot ikke skal gi politiet adgang til å manipulere datasystemet for å drive andre former for skjult overvåking. Politiet kan for eksempel ikke selv aktivere mikrofoner tilknyttet datasystemet for å fange opp lyd i et rom, eller slå på et tilknyttet kamera for å skaffe seg stillbilder eller levende bilder fra stedet der datasystemet befinner seg. Slik overvåking må eventuelt hjemles i henholdsvis straffeprosessloven § 216 m (romavlytting) og kapittel 16 a (skjult kameraovervåking).
Med hensyn til hvilke typer informasjon politiet bør kunne gjøre seg kjent med ved dataavlesing, mener departementet at metoden for det første må omfatte tilgang til samme type elektronisk informasjon som politiet ellers har rettslig adgang til gjennom kommunikasjonsavlytting og hemmelig ransaking og beslag. Ett av de viktigste formålene med å innføre dataavlesing som metode er nettopp å kompensere for det effekttapet henholdsvis kommunikasjonsavlytting og hemmelig ransaking har hatt, som følge av den teknologiske utviklingen. Ved dataavlesing bør politiet imidlertid ikke være bundet av noen tilsvarende sondring mellom elektronisk lagret informasjon og kommunikasjon, jf. også punkt 14.8.2 ovenfor.
Skrankene for bruken av dataavlesing bør fastsettes med utgangspunkt i en vurdering av hvordan og hvor mye metoden kan gripe inn i privatlivets fred og kommunikasjonsfortroligheten. Langt på vei er det snakk om å introdusere nye og mer effektive fremgangsmåter for å skaffe politiet tilgang til informasjon som det allerede har rettslig adgang til gjennom kommunikasjonsavlytting og hemmelig ransaking og beslag. Dataavlesing kan likevel hevdes å innebære en noe større integritetskrenkelse enn tradisjonell kommunikasjonsavlytting og hemmelig ransaking, siden gjennomføringen kan forutsette innbrudd og en form for «tilstedeværelse» over tid i datasystemet. Departementet mener like fullt at det ikke vil være snakk om så alvorlige inngrep at det i seg selv utelukker slik metodebruk i bekjempelsen av alvorlig kriminalitet. Det må også tas i betraktning at inngrepet kan være beskjedent sammenlignet med den krenkelsen som ofrene for den alvorlige kriminaliteten må tåle.
Det bør også understrekes at dataavlesing åpner for mer målrettet informasjonsinnhenting enn de eksisterende hjemlene for henholdsvis kommunikasjonsavlytting og hemmelig ransaking og beslag. Ved «tradisjonell» avlytting av elektronisk kommunikasjon vil avlyttingspunktet ofte være på internettforbindelsen (i transportfasen), hvor politiet samler inn materialet med bistand fra tele- eller internettilbyder. Ved avlytting av ip-basert kommunikasjon innebærer dette at politiet i utgangspunktet kontrollerer all kommunikasjon over internettforbindelsen. Mistenkte kan dele både kommunikasjonsanlegget (for eksempel datamaskin) og internettforbindelsen med familiemedlemmer eller andre utenforstående husstandsmedlemmer, som dermed også kan bli kontrollert. Bruk av dataavlesing åpner for å rette avlyttingen mot for eksempel en spesifikk datamaskin eller smarttelefon som det er grunn til å tro at mistenkte benytter, eller en bestemt brukerkonto (for eksempel til e-post eller en annen kommunikasjonstjeneste) som disponeres av vedkommende. Tredjepersoner kan dermed i en del tilfeller skjermes bedre mot personverninngrep.
Etter departementets oppfatning tilsier det ovennevnte at dataavlesing i en del tilfeller kan lede til at overvåkingen kan gjennomføres på en mer skånsom måte enn det straffeprosessloven § 216 a i dag åpner for. Videre vil metoden kunne brukes for å gjennomføre hemmelig ransaking av datasystemer uten fysisk tilstedeværelse, i flere tilfeller enn det gjeldende rett gir praktisk rom for. Den kan derfor også medføre at det blir mindre behov for å gjøre fysisk innbrudd, og dermed legge til rette for en mindre integritetskrenkende gjennomføringsmåte.
Med forslaget om å tillate dataavlesing vil departementet imidlertid også åpne for at politiet fortløpende gjør seg kjent med andre opplysninger knyttet til bruken av et datasystem som det ikke har anledning til å innhente etter gjeldende rett. Dette inkluderer opplysninger om inntastinger på et tastatur, bruk av programvare og behandling av ulike filer som ikke resulterer i data som blir lagret eller kommunisert, eller som senere blir utilgjengelig for politiet fordi dataene da lagres eller kommuniseres i kryptert form. Etter departementets oppfatning er en slik utvidelse nødvendig for å kunne møte utfordringene knyttet til kryptering og moderne kommunikasjonstjenester på en tilstrekkelig effektiv måte, herunder for å dekke det anførte behovet for å kunne gjennomføre «fortløpende ransaking», se særlig punkt 14.7.3 og 14.8.2 ovenfor.
Enkelte av høringsinstansene har, i sine begrunnelser for hvorfor dataavlesing ikke bør tillates, pekt særskilt på at dataavlesingen vil kunne fange opp opplysninger som ikke var ment kommunisert til noen, og som heller ikke var ment å skulle lagres. Dette vil ifølge høringsinstansene fremstå som særlig integritetskrenkende. Departementet er enig i at det å gi politiet mulighet til å tilegne seg kunnskap om enkeltindividers personlige betraktninger, medfører et vesentlig personverninngrep. Slike inngrep er imidlertid ikke noe nytt i forbindelse med politiets tvangsmiddelbruk. Bestemmelsene om ransaking og beslag er eksempler på dette. Politiet kan søke etter og beslaglegge personlige notater, for eksempel skriftlige dagbøker, dersom de antas å kunne ha betydning som bevis. Informasjonen kan ha både sensitiv og privat karakter, men er like fullt rettslig sett gjort tilgjengelig for politiet, med de begrensninger som følger av bestemmelsene om avlyttings- og beslagsforbud. Dette gjelder selv om mistenkte ikke har ment eller sett for seg at andre skulle kunne få innsyn i materialet. Politiet kan også gjøre seg kjent med materiale som den mistenkte har forsøkt å slette eller tilintetgjøre (forutsatt at det er praktisk mulig å rekonstruere det). Rettslig sett skilles det heller ikke mellom dagboknotater i mistenktes fysiske dagbok og tilsvarende notater ført i et tekstbehandlingsprogram på en datamaskin. Hvorvidt informasjonen er lagret fysisk eller elektronisk, bør i utgangspunktet ikke ha noe å si for nivået av rettslig beskyttelse mot inngrep. Forslaget om dataavlesing innebærer i så måte ikke at det åpnes for mer vesentlige inngrep, i form av innsyn i personlig informasjon som er lagret elektronisk, enn adgangen som allerede følger av gjeldende rett.
Som metode vil dataavlesing imidlertid også gi et visst rom for innsyn i personlige betraktninger eller lignende som brukeren ikke har tenkt å lagre (og langt mindre å dele med andre). Forutsetningen for at denne situasjonen skal oppstå må vel i så fall være at mistenkte eller andre benytter en datamaskin, og for eksempel et tekstbehandlingsprogram, til å formulere betraktninger eller tilsvarende, uten å lagre det som er formulert. Det kan ikke utelukkes at noen vil bruke et datasystem på denne måten for å «tenke høyt», men departementet legger til grunn at det er heller uvanlig. Departementet mener uansett at en slik beskjeden risiko for å avdekke personlige betraktninger og formulerte tanker som verken blir lagret eller kommunisert, ikke kan veie tyngre enn de viktige samfunnsinteressene som søkes vernet ved å gi politiet anledning til å benytte effektive virkemidler i bekjempelsen av alvorlig kriminalitet. En adgang til å føre en viss fortløpende kontroll med bruken av nærmere angitte datasystemer, betinget av at strenge vilkår er oppfylt, er etter departementets oppfatning en nødvendig forutsetning for at virkemidlene skal kunne bli tilstrekkelig effektive.
Dataavlesing kan bidra til at politiet klarer å tilegne seg kunnskap om innholdet i kommunikasjon og elektronisk lagret personlig informasjon i flere tilfeller enn det klarer i dag (på grunn av kryptering og andre teknologiske utfordringer). I denne forbindelse er det imidlertid snakk om å gi politiet adgang til å bruke praktiske midler for å gjennomføre den informasjonsinnhentingen som det allerede har en befestet og akseptert rettslig adgang til etter gjeldende rett. At dataavlesing kan bidra til at politiet i større utstrekning faktisk lykkes med informasjonsinnhentingen, kan etter departementets oppfatning ikke brukes som argument mot å tillate dataavlesing. Nivået for beskyttelsen mot personverninngrep må fastlegges ut fra en rettslig avveining av de motstående interessene. Selve beskyttelsen må sikres gjennom passende vilkår for bruk av metoden. Dersom vilkårene for bruk først er oppfylt, må målsetningen være at metoden også er effektiv i praksis. Verken mistenkte eller andre kan bygge noen berettiget forventning om vern på en forutsetning om at politiet ikke vil lykkes med den praktiske gjennomføringen av et lovlig inngrep.
All bruk av skjulte tvangsmidler tillates med grunnlag i en forventning om at politiet evner å respektere de skrankene som lovgiver og retten angir for bruken. Departementet kan ikke se at politiet ikke bør vises den samme tilliten i forbindelse med dataavlesing. På samme måte som ved bruk av andre tvangsmidler er det likevel en forutsetning at det gis retningslinjer for den praktiske gjennomføringen av metoden og at det etableres rutiner for å kontrollere at den ikke benyttes utenfor lovens rammer. Departementet legger til grunn at dataavlesing vil etterlate få ytre spor, og at det derfor er særlig viktig at politiets bruk av metoden dokumenteres på en måte som setter kontrollorganene i stand til å vurdere om det som er utført ligger innenfor de lovlige rammene, og så vidt mulig også til å konstatere at det ikke har blitt utført noe annet eller noe mer enn det som oppgis. Dette omtales nærmere under punkt 14.8.8 og 14.8.10 nedenfor.
Fremgangsmåtene som det kan være aktuelt for politiet å benytte seg av for å foreta dataavlesing, innebærer også en viss risiko for at det utilsiktet voldes skade på datasystemet og for at andre enn politiet settes i stand til å skaffe seg uberettiget tilgang til datasystemet eller opplysninger som behandles i systemet. For eksempel kan det tenkes at det ved gjennomføringen skapes sikkerhetshull eller oppstår fare for at andre kan «overta» eller utnytte programvaren som politiet benytter. Metodekontrollutvalget omtaler disse problemstillingene slik under punkt 23.3.5 (side 248) i utredningen:
«Utvalget har vært opptatt av at dataavlesingen må innebære så liten sikkerhetsrisiko for mistenktes datasystemer som mulig. Utvalget er av den oppfatning at dette til en viss grad vil regulere seg selv. Dersom programvaren som brukes i forbindelse med dataavlesingen ødelegger eller forstyrrer elementer i brukerens datasystemer, vil oppdagelsesrisikoen øke, med den mulige virkning at metodebruken avsløres og etterforskingen spoleres. Det er dermed i politiets egen interesse å utvikle sikre programvareløsninger. Skulle datasystemet i større eller mindre grad bli ødelagt av politiets metodebruk, anser utvalget det klart at politiet vil være erstatningsansvarlig for dette.
Utvalget er videre opptatt av at eventuelle sikkerhetshull må tettes så snart som mulig etter at de er oppstått. All programvare inneholder feil eller mangler som i større eller mindre grad kan utgjøre en sårbarhet for det aktuelle datasystemet. Ved politiets installasjon av programvare for å muliggjøre dataavlesing kan slike svakheter utnyttes. Det innebærer at også andre kan utnytte de samme svakhetene. I tillegg vil politiets programvare kunne inneholde svakheter som kan utnyttes av andre. Ved installasjon av hardware- eller softwarebaserte avlyttingsløsninger som skal kommunisere data tilbake til politiet over en eller annen form for kommunikasjonsnettverk, som for eksempel kan være radio, Internettet eller GSM-nettet, vil det være nødvendig å sette inn tiltak for å hindre uvedkommende i å fange opp disse dataene, eller overta og kontrollere avlyttingsløsningen. Det er for utvalget opplyst at selv kriminelle som foretar innbrudd i datasystem regelmessig tetter de sikkerhetshull som er utnyttet, for å verne om det datasystemet de har skaffet seg kontroll over. Det samme vil selvsagt også politiet kunne gjøre.
Utvalget mener etter dette at sikkerhetsrisikoen, herunder faren for at andre utnytter sikkerhetshull som er oppstått i forbindelse med dataavlesingen er liten, og uansett innenfor et akseptabelt nivå. Spørsmålene må imidlertid bli en del av forholdsmessighetsvurderingen i den enkelte sak. Ettersom gjennomføringsmåten må tilpasses den enkelte sak, og metodebruken vil utvikle seg i takt med den teknologiske utviklingen, er det ikke mulig generelt å gi føringer på denne forholdsmessighetsvurderingen. Påtalemyndigheten må foreta en vurdering av dette spørsmålet i forbindelse med begjæringen til retten om tillatelse til å bruke metoden, og samtidig gjøre domstolen i stand til å foreta en selvstendig vurdering av dette. Det vil til slutt være opp til retten å vurdere om sikkerhetsrisikoen i den enkelte sak er akseptabel.»
Langt på vei kan departementet slutte seg til utvalgets vurderinger ovenfor. Politiet vil være tjent med å velge løsninger som gir minst mulig oppdagelsesrisiko. Etter departementets oppfatning er likevel denne konstateringen isolert sett utilstrekkelig som vern mot skade på datasystemet. Det bør stilles krav til politiets valg av fremgangsmåter for å minimere risikoen for skade og misbruk. Kravene bør fremgå av selve lovhjemmelen for dataavlesing. I denne sammenheng bør det også settes som vilkår at dataavlesing bare skal kunne utføres av personell som har tilstrekkelig kompetanse til å ivareta et slikt krav til forsvarlighet. Departementet viser til den nærmere omtalen av lovforslaget under punkt 14.8.8 nedenfor.
Departementet legger videre til grunn at det, til tross for at det stilles krav til kompetanse og gjennomføringsmåte, vil kunne oppstå noen tilfeller hvor datasystemet påføres skade som følge av dataavlesingen. Etter departementets vurdering kan dette imidlertid ikke tjene som grunnlag for en prinsipiell motforestilling mot metoden, så fremt det i loven oppstilles vilkår for bruken av dataavlesing som er tilfredsstillende med hensyn til å avverge unødvendig skaderisiko. Politiet vil, som ved annen bruk av tvangsmidler, også kunne pådra seg erstatningsansvar etter de alminnelige erstatningsreglene og de særskilte bestemmelsene i straffeprosessloven kapittel 31.
14.8.5 På hvilke områder bør det åpnes for dataavlesing?
Hvor dataavlesing brukes med sikte på strafforfølgning, foreslår departementet å gjøre det til et vilkår at den dataavlesingen retter seg mot med skjellig grunn kan mistenkes for å ha begått eller forsøkt å begå en alvorlig straffbar handling, jf. forslaget til straffeprosessloven ny § 216 o første ledd. Dataavlesing i forebyggende og avvergende øyemed omtales under punkt 14.8.11 nedenfor.
Spørsmålet er hvilke straffbare handlinger mistanken må knytte seg til for at dataavlesing skal kunne iverksettes. I proposisjonen punkt 14.8.11 går departementet inn for at adgangen til å benytte skjulte etterforskningsmetoder fremdeles skal være knyttet til det enkelte straffebuds øvre strafferamme. Departementet mener at det samme bør gjelde for dataavlesing.
Som det er påpekt ovenfor, skal dataavlesing som metode blant annet kompensere for at hjemlene for kommunikasjonsavlytting og hemmelig ransaking bare i begrenset utstrekning er effektive ved avlytting av elektronisk kommunikasjon og ransaking av elektroniske lagringsmedier. Departementet mener derfor, som et utgangspunkt, at det bør vurderes å gi dataavlesing anvendelse i etterforskningen av samme typer saker som kommunikasjonsavlytting og hemmelig ransaking. Det alminnelige strafferammekravet for anvendelse av kommunikasjonsavlytting og hemmelig ransaking fremgår av henholdsvis straffeprosessloven §§ 216 a første ledd bokstav a og 200 a første ledd. Tvangsmidlene kan som hovedregel iverksettes dersom noen med skjellig grunn mistenkes for å ha begått en handling eller forsøk på handling som kan medføre fengsel i ti år eller mer. Forhøyelse av maksimumsstraffen ved gjentakelse eller sammenstøt av forbrytelser kommer ikke i betraktning. Ved å sette grensen ved strafferammer på minst ti år, vil de mest alvorlige forbrytelsene bli omfattet. Departementet viser for så vidt til punkt 6.1.4.
Dataavlesing vil som metode også ha likhetstrekk med kommunikasjonsavlytting og hemmelig ransaking når det gjelder karakteren til de integritetsinngrepene metodebruken innebærer. Som påpekt under punkt 14.8.4 ovenfor kan dataavlesing etter omstendighetene også fremstå som noe mer inngripende enn kommunikasjonsavlytting og hemmelig ransaking. Departementet mener derfor at det alminnelige strafferammekravet ikke kan være lavere enn for kommunikasjonsavlytting og hemmelig ransaking, og foreslår at det i straffeprosessloven ny § 216 o første ledd i utgangspunktet settes et tilsvarende vilkår om at noen med skjellig grunn kan mistenkes for å ha begått en handling eller forsøk på handling som kan medføre fengsel i ti år eller mer.
Likevel kan visse andre lovbrudd medføre etterforskningsmessige utfordringer som tilsier at dataavlesing bør tillates benyttet, selv om det ordinære strafferammekravet ikke er oppfylt. For kommunikasjonsavlytting og hemmelig ransaking har slike ekstraordinære behov kommet til uttrykk i henholdsvis straffeprosessloven §§ 216 a første ledd bokstav b og 200 a første ledd. Begge nevner straffeloven §§ 121, 123, 125, 126, 127 jf. 123, 128 første punktum og 129 om lovbrudd mot statens selvstendighet og sikkerhet i form av etterretningsvirksomhet, avsløring av statshemmeligheter, deltagelse i voldelig sammenslutning mv. (straffeloven 1902 § 90, § 91, § 91 a, §§ 94 jf. 90, §§ 104 a annet ledd jf. første ledd annet punktum), straffeloven § 136 a om kvalifiserte former for deltakelse i terrororganisasjon (straffeloven 1902 § 147 d), samt straffeloven §§ 231, 332 jf. 231, 335 jf. 231, 337 jf. 231, og 340 jf. 231 om narkotikaforbrytelser og heleri og hvitvasking av utbytte fra narkotikaforbrytelser (straffeloven 1902 §§ 162 eller 317, jf. § 162). Straffeprosessloven § 216 a første ledd bokstav b nevner i tillegg eksportkontrolloven § 5 om overtredelser av forbudet mot utførsel av varer mm. av strategisk betydning.
I proposisjonen her foreslås det at kommunikasjonsavlytting etter straffeprosessloven § 216 a også skal kunne anvendes ved skjellig grunn til mistanke om overtredelse av straffeloven § 136 om oppfordring, rekruttering og opplæring til terror (straffeloven 1902 § 147 c), § 254 om frihetsberøvelse (straffeloven 1902 § 223), § 311 om overgrepsbilder av barn (straffeloven 1902 § 204 a) og § 257 om menneskehandel (straffeloven 1902 § 224), samt utlendingsloven § 108 femte ledd om grov menneskesmugling se punkt 7.4 ovenfor. Dette er sakstyper hvor det det kan være behov for særskilte etterforskningsmetoder. Ved menneskesmugling, menneskehandel og overgrepsbilder av barn er den kriminelle virksomheten ofte godt organisert og utført på måter som gjør den vanskelig å avdekke. De fornærmede har dessuten sjelden vilje eller evne til å bidra til oppklaring og iretteføring. Frihetsberøvelse står i en noe annen stilling, men departementet konstaterer at det er behov for å kunne benytte kommunikasjonsavlytting også i slike saker.
Departementet bemerker at anvendelsesområdet for inngripende tvangsmidler ikke kan fastlegges alene med grunnlag i samfunnets behov for beskyttelse mot kriminalitet. Personvernhensyn kan tilsi at bruk av slike tvangsmidler bør være utelukket i en del situasjoner, selv om det kan påvises et reelt behov for metoden. Utvalget av straffbare forhold som kan etterforskes ved hjelp av kommunikasjonsavlytting og hemmelig ransaking bygger etter departementets oppfatning på en slik vurdering. Departementet mener at de hensynene som begrunner anvendelse av kommunikasjonsavlytting og hemmelig ransaking i disse sakene også gjør seg gjeldende for dataavlesing. Et vesentlig siktemål med forslaget om å tillate dataavlesing som metode er, som nevnt ovenfor, å innføre et virkemiddel for informasjonsinnhenting som kan være effektivt i tilfeller hvor kommunikasjonsavlytting etter § 216 a ikke kan ventes å føre frem.
Departementet kan i utgangspunktet ikke se at det vil være vesentlig mer inngripende å benytte dataavlesing i slike saker enn det vil være å benytte kommunikasjonsavlytting eller hemmelig ransaking, eller å benytte begge de sistnevnte tvangsmidlene parallelt. Derfor foreslår departementet at det også åpnes for dataavlesing etter straffeprosessloven ny § 216 o når noen med skjellig grunn kan mistenkes for handlinger som rammes av straffeloven §§ 121, 123, 125, 126, 127 jf. 123, 128 første punktum, 129, 136, 136 a, 231, 254, 257, 311, 332 jf. 231, 335 jf. 231, 337 jf. 231, eller 340 jf. 231 (straffeloven 1902 §§ 90, 91, 91a, 94 jf. 90, 104 a første ledd annet punktum, 104 a annet ledd jf. første ledd annet punktum, § 162 eller § 317, jf. § 162, § 204 a, 223, 224), eller av eksportkontrolloven § 5 eller utlendingsloven § 108 femte ledd.
Det er grunn til å understreke at adgangen til bruk av dataavlesing vil være underlagt en vesentlig tilleggsbegrensning. I henhold til straffeprosessloven § 170 a kan et tvangsmiddel bare brukes når det er tilstrekkelig grunn til det, og inngrepet etter sakens art og forholdene ellers ikke vil være uforholdsmessig. Forholdsmessighetskravet vil kunne ha særlig betydning for adgangen til dataavlesing i saker som gjelder forbrytelser med en vesentlig lavere strafferamme enn fengsel inntil 10 år. Departementet viser i denne sammenheng særlig til det som er sagt om kommunikasjonsavlytting ved mistanke om simple narkotikaforbrytelser og besittelse av overgrepsbilder av barn under henholdsvis punkt 7.4.2.4 og 7.4.8.3 ovenfor.
14.8.6 Andre vilkår for å iverksette dataavlesing
Departementets forslag til nye §§ 216 o og 216 p i straffeprosessloven regulerer politiets adgang til å foreta dataavlesing. Grunnvilkåret for å tillate dataavlesing skal være at noen med skjellig grunn må kunne mistenkes for å ha begått eller forsøkt å begå en av handlingene som det er redegjort for under punkt 14.8.5 ovenfor. Departementet har med andre ord valgt å bygge på det tradisjonelle mistankekravet som gjelder for bruk av de mest inngripende tvangsmidlene i straffeprosessloven. Kravet innebærer at retten må anse det som mer sannsynlig at den inngrepet vil rette seg mot har begått eller forsøkt å begå en slik handling, enn at vedkommende ikke har det. Det må altså foreligge sannsynlighetsovervekt. Dette reduserer risikoen for at overvåkingen vil berøre personer som likevel ikke kan knyttes til kriminelle handlinger.
Som det er redegjort for under punkt 14.8.1 ovenfor, bør dataavlesing bare tillates i saker hvor det er et reelt behov for slik metodebruk, for eksempel fordi det må antas at mindre inngripende etterforskningsmetoder vil komme til kort. Departementet går derfor inn for at tillatelse til dataavlesing bare kan gis dersom det må antas at dataavlesing vil være av vesentlig betydning for å oppklare saken, og at oppklaring ellers i vesentlig grad vil bli vanskeliggjort, jf. ny § 216 o tredje ledd. Tilsvarende vilkår gjelder for kommunikasjonsavlytting, jf. straffeprosessloven § 216 c første ledd, og for hemmelig ransaking, jf. § 200 a annet ledd.
Departementet har også vurdert om det burde være et vilkår for dataavlesing at andre konkret angitte tvangsmidler først har blitt forsøkt benyttet, men ikke har ført frem. Departementet har kommet til at det ikke er grunnlag for noen slik begrensning. Det legges til grunn at de konkrete omstendighetene i hvert enkelt tilfelle vil være avgjørende for om dataavlesing vil fremstå som mer eller mindre inngripende enn for eksempel kommunikasjonsavlytting etter § 216 a eller hemmelig ransaking etter § 200 a (eller eventuelt begge brukt parallelt), jf. også punkt 14.8.4 ovenfor. Et absolutt krav om at andre tvangsmidler først må ha vært forsøkt brukt, kunne derfor ha virket mot sin hensikt.
Departementet antar likevel at det kan være krevende for retten å gjøre konkrete vurderinger av hvorvidt andre tvangsmidler vil kunne gi tilfredsstillende resultater, og i så fall om dette ville virke mindre inngripende enn å benytte dataavlesing. Departementet understreker derfor at påtalemyndigheten, når den begjærer tillatelse til dataavlesing, må gi retten informasjon som er tilstrekkelig til at retten kan foreta en reell vurdering av behovet for tvangsmiddelbruken.
Forholdsmessighetsprinsippet i straffeprosessloven § 170 a vil som nevnt ovenfor gjelde for dataavlesing. Dersom dataavlesing vil være et uforholdsmessig inngrep, kan det ikke tillates selv om de øvrige vilkårene er oppfylt. Denne begrensningen bidrar til å sikre at bruken av dataavlesing i praksis finner sted innenfor rammene av EMK artikkel 8 om retten til privatliv.
For ytterligere å målrette hjemmelen for dataavlesing, foreslår departementet at straffeprosessloven § 216 c annet ledd skal gjelde tilsvarende ved dataavlesing. Det innebærer at tillatelse til avlesing av datasystemer som er tilgjengelig for et større antall personer bare kan gis når det foreligger særlige grunner. Det samme gjelder dersom det er spørsmål om å avlese datasystemer som tilhører advokat, lege, prest eller andre som erfaringsmessig benytter slikt datasystem til å behandle opplysninger av svært fortrolig art, eller som tilhører redaktør eller journalist, såfremt vedkommende ikke selv er mistenkt i saken.
Departementet legger i sitt lovforslag opp til at dataavlesing skal kunne besluttes selv om straff ikke kan idømmes på grunn av bestemmelsene i straffeloven § 20 første ledd (straffeloven §§ 44 eller 46). Det samme skal gjelde når tilstanden har medført at den mistenkte ikke har utvist skyld. Tilsvarende bestemmelser finnes blant annet i straffeprosessloven § 196 (ransaking), § 216 a annet ledd (om kommunikasjonsavlytting) og § 216 m annet ledd (romavlytting).
14.8.7 Hvilke datasystemer skal kunne avleses?
Departementet foreslår for det første at politiet skal kunne få tillatelse til å foreta avlesing av ikke offentlig tilgjengelige opplysninger i et «datasystem», jf. forslaget til straffeprosessloven ny § 216 o første ledd. Departementet har dermed valgt å benytte betegnelsen «datasystem» for å angi de objektene som skal kunne avleses. Denne betegnelsen brukes også flere steder i straffe- og straffeprosesslovgivningen, se straffeprosessloven § 199 a, straffeloven 1902 §§ 145 b og 145 c og straffeloven §§ 201, 204 og 206. Begrepet bygger, slik det er brukt i disse bestemmelsene og i forslaget her, på definisjonen av «computer system» i Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi artikkel 1 bokstav a:
««computer system» means any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data.»
Datasystem skal i henhold til konvensjonen forstås som enhver innretning, bestående av maskinvare og data, som foretar behandling av data ved hjelp av dataprogrammer, jf. blant annet Ot.prp. nr. 22 (2008–2009) punkt 16.2 side 400. Departementet mener at dette også passer godt for det tilsiktede virkeområdet for dataavlesing, i det «datasystem» blant annet vil omfatte smarttelefoner, datamaskiner og andre anlegg for elektronisk kommunikasjon som foretar behandling av data ved hjelp av dataprogrammer. I informasjonsteknologisk terminologi brukes begrepet datasystem også for å betegne flere terminaler (gjerne datamaskiner) som er knyttet sammen med nettverksforbindelser, jf. alternativet «group of interconnected or related devices» i definisjonen ovenfor. Slik uttrykket brukes i forslaget her, er det imidlertid ikke noen betingelse at den aktuelle innretningen er tilknyttet noe slikt nettverk. Derfor omfattes også innretninger for databehandling som ikke brukes til kommunikasjon, som for eksempel datamaskiner uten nettverksforbindelse. Uttrykket «datasystem» er forholdsvis teknologinøytralt, hvilket departementet anser som en fordel med hensyn til den forventede teknologiske utviklingen.
Etter departementets forslag skal en tillatelse til dataavlesing gi adgang til å avlese «bestemte» datasystemer eller brukerkontoer til nettverksbaserte kommunikasjons- og lagringstjenester, jf. forslaget til ny § 216 o fjerde ledd. I formuleringen «bestemte» ligger det et krav om at datasystemet eller brukerkontoen som skal avleses må identifiseres i politiets begjæring (og i politiets beslutning, dersom hastekompetansen benyttes) og i rettens kjennelse. Angivelsen må være så spesifikk som mulig for å unngå tvil om hvilke objekter som tillates avlest. Er det aktuelle datasystemet en mobiltelefon, vil for eksempel telefonens IMEI-nummer kunne brukes. Brukerkontoer kan identifiseres med brukernavn, eller e-postadresse dersom det er snakk om en e-postkonto. Ellers må identifiseringen også kunne skje ved at utstyrets fabrikat opplyses, eller ved angivelse av det geografiske sted hvor utstyret befinner seg og av hvem som har rådighet over det.
Departementets forslag innebærer som nevnt at dataavlesing også skal kunne rettes mot brukerkontoer til nettverksbaserte kommunikasjons- og lagringstjenester. Fellestrekket ved slike tjenester er at utnyttelsen ikke er bundet til bestemte datasystemer. Hver bruker har et virtuelt avgrenset område som er identifisert ved et brukernavn, og som kan benyttes fra et hvilket som helst passende datasystem med nødvendig nettverksforbindelse og programvare, ved å oppgi brukernavnet og som regel et passord eller en annen form for tilgangskode. Dersom mistenkte bruker slike tjenester via mange ulike nettverkstilkoblinger (for eksempel trådløse internettsoner) og flere forskjellige datasystemer, kan politiet være avskåret fra effektiv kontroll gjennom dataavlesing rettet mot bestemte datasystemer. Politiet bør derfor ha en viss adgang til å gjøre seg kjent med mistenktes bruk av en slik brukerkonto, uavhengig av hvilke datasystemer den mistenkte benytter for å skaffe seg tilgang til kontoen. Avlesing som begrenser seg til en bestemt brukerkonto kan også være mindre inngripende enn avlesing av for eksempel all aktivitet på en datamaskin.
Adgangen til å avlese bestemte brukerkontoer forutsetter at politiet har eller får kjennskap til de nødvendige tilgangsopplysningene (normalt brukernavn og passord), og skaffer seg tilgang til brukerkontoen via politiets egne datasystemer og nettverkstilkoblinger. Dersom det er nødvendig å gå via datasystem som brukes av mistenkte for å oppnå tilgang til brukerkontoen, må politiet fortsatt innhente tillatelse til å avlese det aktuelle datasystemet.
Dataavlesing skal etter departementets forslag bare kunne rettes mot datasystemer eller brukerkontoer som den mistenkte «besitter eller kan antas å ville bruke», jf. forslaget til ny § 216 o fjerde ledd første punktum. Tilsvarende gjelder for kommunikasjonsavlytting, jf. straffeprosessloven § 216 a tredje ledd, og departementet forutsetter at kriteriet skal forstås på samme måte etter forslaget til ny § 216 o fjerde ledd. Med «bruke» siktes det til den direkte bruken av for eksempel en datamaskin, smarttelefon eller andre typer terminaler. Det er bare datasystemer som er i slik bruk av mistenkte, eller som det kan antas at han vil bruke, som kan avleses. En tillatelse til å avlese et bestemt datasystem, for eksempel en datamaskin, gir anledning til å avlese all informasjon som er tilgjengelig fra maskinen, uavhengig av om informasjonen er lagret lokalt i maskinen eller et annet sted. Det samme gjelder ved avlesing av en bestemt brukerkonto. Derimot er det ikke adgang til å foreta direkte avlesing av eksempel servere hos tjenesteleverandører mv. som mistenkte bare indirekte gjør bruk av. Tilgangen til opplysningene må skaffes gjennom mistenktes datasystem eller brukerkonto.
Det bør kreves at det med grunnlag i objektive kriterier kan konstateres en viss sannsynlighet for at mistenkte vil bruke det datasystemet eller den brukerkontoen som ønskes avlest. Etter departementets oppfatning bør det ikke kreves sannsynlighetsovervekt, men det må være objektive holdepunkter for at mistenkte vil bruke det aktuelle datasystemet. Rene formodninger er altså ikke tilstrekkelig.
14.8.8 Bestemmelser om gjennomføringen av dataavlesing
Som påpekt under punkt 14.8.4 mener departementet at det ikke er mulig å gi noen uttømmende og samtidig hensiktsmessig beskrivelse av fremgangsmåtene ved dataavlesing i lovteksten. Departementets forslag innebærer derfor at politiet får forholdsvis stor frihet til å velge hvilken praktisk fremgangsmåte som skal benyttes for å gjennomføre dataavlesing i hvert enkelt tilfelle. I forslaget til straffeprosessloven ny § 216 p første ledd annet punktum heter det følgelig at dataavlesing kan foretas «ved hjelp av tekniske innretninger, dataprogram eller på annen måte». Meningen er at politiet skal kunne benytte tekniske hjelpemidler, programvare og kunnskap for å gjennomføre dataavlesingen. Adgangen til å benytte tekniske hjelpemidler og dataprogram innebærer at politiet blant annet skal kunne installere egnet programvare eller fysiske komponenter i datasystemet som skal avleses. Det samme gjelder maskinvare som kan knyttes til datasystemet, men som ikke er en nødvendig del av det. Eksempler på slik maskinvare er tilbehør som tastaturer og hodetelefoner, samt eksterne lagringsmedier – herunder «minnepinner». At dataprogrammer og tekniske innretninger også kan installeres i slikt tilbehør foreslås presisert i § 216 p første ledd.
For at avlesingsadgangen skal kunne benyttes i praksis, er det nødvendig at politiet gis anledning til å skaffe seg tilgang til datasystemet, både for å kunne iverksette avlesingen og for å hente ut den informasjonen som fremkommer ved avlesingen. Å skaffe tilgang til datasystemet kan formodentlig by på utfordringer, all den tid forutsetningen er at avlesingen skal skje uten mistenktes kunnskap og medvirkning. Departementet foreslår derfor blant annet at straffeprosessloven § 199 a skal gjelde tilsvarende ved dataavlesing, slik at enhver som har befatning med datasystemet kan pålegges å gi politiet nødvendige opplysninger for å gi tilgang til det datasystemet som skal avleses. Politiet må også ha anledning til å bryte eller omgå beskyttelse i datasystemet (foreta datainnbrudd). Dette foreslås presisert i ny § 216 p første ledd.
I tillegg mener departementet at politiet bør kunne foreta fysisk innbrudd for å plassere og fjerne utstyr og programvare som er nødvendig for å gjennomføre avlesingen. Dette er særlig viktig i tilfeller hvor datasystemet befinner seg i lukkede rom, og det ikke synes mulig å gjennomføre dataavlesingen «over nettet», enten fordi systemet ikke er koblet til internett eller annet nettverk, eller fordi det av andre årsaker ikke er mulig for politiet å foreta avlesingen uten fysisk tilgang til datasystemet. Politiet har etter gjeldende rett tilsvarende adgang til å foreta innbrudd for å gjennomføre hemmelig ransaking etter straffeprosessloven §§ 200 a, jf. 200 annet ledd tredje punktum, og for å foreta romavlytting, jf. § 216 m femte ledd. I sistnevnte bestemmelse heter det at når retten ikke bestemmer noe annet, kan politiet foreta innbrudd for å plassere eller fjerne utstyr som er nødvendig for å gjennomføre avlyttingen. Departementet foreslår at adgangen til å foreta innbrudd for å gjennomføre dataavlesing formuleres på lignende måte i ny § 216 p første ledd, slik at politiet – når retten ikke bestemmer noe annet – kan foreta innbrudd for å plassere eller fjerne tekniske innretninger og programvare som er nødvendig for å gjennomføre dataavlesingen. Dersom politiet også skulle ønske å ransake stedet hvor datasystemet befinner seg, må det derimot innhente særskilt tillatelse til dette etter reglene om ransaking.
Kravet om at utstyret må være nødvendig for å gjennomføre avlesingen innebærer at retten ikke bør gi tillatelse til å foreta innbrudd dersom politiet vil kunne gjennomføre avlyttingen på en annen og tilfredsstillende måte uten at det blir behov for innbrudd. Det følger for øvrig også av forholdsmessighetsprinsippet i straffeprosessloven § 170 a at politiet plikter å vurdere om avlesing kan skje uten at det er nødvendig å begå innbrudd. Retten må i lys av samme bestemmelse også vurdere om innbrudd medfører at avlesingen vil utgjøre et uforholdsmessig inngrep.
Departementet legger til grunn at effektiv gjennomføring av dataavlesing krever særskilt kompetanse. Bruk av metoden kan også skape risiko for skade på datasystemene som avleses, og for at uvedkommende kan misbruke datasystemene, se også punkt 14.8.4 ovenfor. Dataavlesing bør derfor bare kunne utføres av personell med tilstrekkelig informasjonsteknologisk kompetanse. Et slikt kvalifikasjonskrav kan også bidra til å forebygge og redusere risiko for skade på eller misbruk av datasystemene som avleses. Departementet foreslår derfor at det i straffeprosessloven ny § 216 p første ledd settes som krav at dataavlesingen må foretas av personell som er særlig skikket til det og som er utpekt av politimesteren, sjef PST eller den som bemyndiges.
Videre foreslår departementet at det i straffeprosessloven ny § 216 p annet ledd stilles krav til politiets valg av fremgangsmåter for å minimere risikoen for skade og misbruk. Med dette menes det for det første at politiet ved gjennomføringen av dataavlesing bør være forpliktet til å velge løsninger som ikke skaper unødig fare for skade eller driftshindringer på datasystemet som skal avleses. Enhver fare for skade eller driftshindring kan imidlertid ikke utelukke at dataavlesing likevel gjennomføres. Politiets forpliktet er i denne sammenheng å påse at det ikke unødig voldes fare for skade eller driftshindring. I dette ligger det at politiet i valget mellom flere alternativer kan ha plikt til å velge mer omstendelige fremgangsmåter, og til å foreta grep som strengt tatt ikke er nødvendig for å lykkes med gjennomføringen, dersom det reduserer faren for skade eller driftshindring. Videre bør politiet – så langt det er praktisk mulig – være forpliktet til å sørge for at gjennomføringen av avlesingen ikke setter uvedkommende i stand til å skaffe seg uberettiget tilgang til datasystemet, for eksempel ved å utnytte sårbarheter eller «sikkerhetshull» som oppstår som følge av politiets fremgangsmåte. Derimot kan politiet ikke være forpliktet til å utbedre sårbarheter eller sikkerhetshull som allerede eksisterer i datasystemet.
For å understreke viktigheten av at det ikke gjøres større inngrep i noens privatliv enn nødvendig, foreslår departementet videre at det i straffeprosessloven ny § 216 p annet ledd sies uttrykkelig at avlesingen må innrettes slik at det ikke unødig fanges opp opplysninger om andre enn mistenktes bruk av datasystemet. Avlesingen skal altså være så målrettet som mulig. Dette har særlig betydning i tilfeller hvor mistenkte deler datasystemet med andre – for eksempel der en datamaskin også brukes av andre medlemmer av husstanden.
Videre bør det kreves forholdsvis nøyaktig registrering av hva politiet foretar seg ved dataavlesing. Notoritet med hensyn til hvilke skritt politiet har tatt, er en forutsetning for å sikre tilfredsstillende kontroll med politiets metodebruk. Det bør derfor kreves at det føres protokoll med opplysninger om metodebruken i hver enkelt sak. I kommunikasjonskontrollforskiften § 7 er det gitt bestemmelser om protokollføring ved kommunikasjonskontroll etter straffeprosessloven §§ 216 a og 216 b. Bestemmelsene får også anvendelse ved romavlytting etter § 216 m. Etter departementets vurdering bør det gis særskilte bestemmelser om logg- eller protokollføring ved dataavlesing, som er tilpasset denne metodens særpreg.
14.8.9 Øvrige prosessuelle bestemmelser
Kompetansen til å gi tillatelse til dataavlesing bør etter departementets oppfatning legges til retten. Rettens avgjørelse bør begrunnes, og det foreslås derfor at avgjørelsen skal treffes ved kjennelse. Selv om tillatelse i utgangspunktet skal gis av retten, mener departementet at påtalemyndigheten bør gis kompetanse til å beslutte dataavlesing i saker hvor rettens kjennelse ikke kan avventes uten stor fare for at etterforskningen vil lide. I slike saker bør ordre fra påtalemyndigheten kunne tre i stedet for rettens kjennelse, slik regelen også er ved kommunikasjonsavlytting, jf. straffeprosessloven § 216 d, og ved hemmelig ransaking, jf. § 200 a sjette ledd. Departementet foreslår derfor at straffeprosessloven § 216 d skal gjelde tilsvarende ved dataavlesing. Dette innebærer også at det er påtalemyndigheten som har kompetanse til å avgjøre om det skal begjæres tillatelse til dataavlesing eller treffes hastebeslutning etter § 216 d første ledd. I utgangspunktet er det politimesteren eller visepolitimesteren som skal avgjøre spørsmålet, jf. § 216 d annet ledd første punktum.
Dataavlesing skal kunne gjennomføres fortløpende over noe tid, men ikke lenger enn strengt nødvendig. Rettens tillatelse må derfor angi en tidsperiode som dataavlesingen skal kunne foregå innenfor. Ved kommunikasjonskontroll er hovedregelen at tillatelsen ikke kan gis for mer enn fire uker om gangen, jf. straffeprosessloven § 216 f første ledd annet punktum. Kontrollperioden kan forlenges etter ny begjæring fra påtalemyndigheten. Dersom mistanken gjelder overtredelse av straffeloven kapittel 17 (straffeloven 1902 kapittel 8 eller 9), kan tillatelsen likevel gis for inntil åtte uker om gangen dersom etterforskningens art eller andre særlige omstendigheter tilsier at fornyet prøving etter fire uker vil være uten betydning, jf. § 216 f første ledd tredje punktum. Departementet foreslår at de samme reglene skal gjelde ved dataavlesing, men likevel slik at retten ikke skal kunne tillate dataavlesing for mer enn to uker om gangen. Begrunnelsen for dette er at dataavlesing etter omstendighetene kan fremstå som et større integritetsinngrep enn kommunikasjonsavlytting, hvilket tilsier at det legges til rette for en hyppigere prøving av om det er grunnlag for å fortsette avlesingen.
Videre foreslår departementet at straffeprosessloven § 216 f annet ledd skal gjelde tilsvarende ved dataavlesing etter ny § 216 o. Det innebærer at dataavlesingen skal stanses før utløpet av fristen som er satt i rettens kjennelse, dersom vilkårene for kontroll ikke lenger antas å være til stede, eller dersom avlesing ikke lenger anses hensiktsmessig. Bestemmelsen vil for eksempel være aktuell dersom politiet, etter at avlesing er iverksatt, mottar opplysninger som viser at det ikke lenger er skjellig grunn til mistanke mot den som avlesingen er rettet mot. En tilsvarende begrensning kan nok sies å følge allerede av forholdsmessighetsprinsippet som kommer til uttrykk i straffeprosessloven § 170 a, men departementet mener at det er hensiktsmessig å synliggjøre dette ytterligere gjennom en henvisning til § 216 f annet ledd.
Departementet foreslår også at straffeprosessloven § 216 e skal gjelde tilsvarende, slik at sak om dataavlesing kan bringes inn for tingretten på det sted hvor det mest praktisk kan skje. Avgjørelsen treffes uten at den mistenkte eller den som avgjørelsen ellers rammer, gis adgang til å uttale seg. Kjennelsen blir heller ikke meddelt dem.
Etter straffeprosessloven § 100 a skal retten, når den behandler begjæringer om bruk av skjulte tvangsmidler, oppnevne offentlig advokat. Advokaten skal vareta den mistenktes interesser i forbindelse med rettens behandling av begjæringen. I proposisjonen foreslår departementet at det lovfestes i § 100 a annet ledd at advokaten også skal vareta eventuelle tredjepersoners interesser, se punkt 6.6.5 ovenfor. Departementet mener at det må oppnevnes offentlig advokat til å vareta den mistenktes og eventuelle tredjepersoners interesser også i forbindelse med behandling av begjæringer om tillatelse til dataavlesing. Det foreslås derfor at straffeprosessloven ny § 216 o inkluderes i oppregningen i § 100 a første ledd første punktum.
Etter departementets oppfatning bør også en rekke av de øvrige prosessuelle reglene om kommunikasjonskontroll gis tilsvarende anvendelse ved dataavlesing. Med hensyn til underretning til mistenkte og den som har rådighet over datasystemet, mener departementet at bestemmelsene om underretning ved kommunikasjonskontroll, med de endringene som foreslås i punkt 6.10 ovenfor, bør gjelde tilsvarende ved dataavlesing. Hovedregelen vil da være at mistenkte og den som har rådighet over datasystemet skal underrettes om dataavlesingen når den er avsluttet, men likevel slik at retten kan beslutte utsatt eller unnlatt underretning på de vilkårene som fremgår av forslaget til endringer i § 216 j.
Videre foreslår departementet at straffeprosessloven § 216 i om taushetsplikt og bruk av opplysninger som fremkommer ved kommunikasjonskontroll (og ved romavlytting, jf. § 216 m) skal gjelde tilsvarende for opplysninger som fremkommer ved dataavlesing.
Bruk av dataavlesing vil sannsynligvis medføre at det også blir fanget opp informasjon som ikke er relevant for etterforskningen, selv om avlesingen skal innrettes slik at dette unngås så langt det er praktisk mulig. Det er også tilfellet ved kommunikasjonskontroll. For å ivareta personvernhensyn inneholder straffeprosessloven § 216 g regler om sletting av overskuddsmateriale fra kommunikasjonskontroll. Bestemmelsen ble endret ved lov 21. juni 2013 nr. 86, og foreskriver nå at materiale som ikke er fremlagt som bevis skal slettes ved rettskraftig dom dersom det åpenbart er uten betydning for saken, og ellers sperres. Dersom saken henlegges, skal materiale fra kommunikasjonskontroll som hovedregel slettes. Påtalemyndigheten kan likevel beslutte at materialet i stedet skal sperres dersom det er grunn til å regne med at siktede vil kreve erstatning i anledning av forfølgning eller at materialet kan få vesentlig betydning for senere etterforskning eller forebygging. Opplysninger som er omfattet av vitneforbud eller -fritak etter straffeprosessloven §§ 117 til 120 og 122 skal slettes så snart som mulig. De omtalte lovendringene har foreløpig ikke trådt i kraft. Departementet foreslår at § 216 g skal gjelde tilsvarende for materiale som innhentes ved dataavlesing.
14.8.10 Etterfølgende kontroll
Politiets og påtalemyndighetens behandling av saker om dataavlesing må etter departementets oppfatning være gjenstand for etterfølgende kontroll. Kontrollutvalget for kommunikasjonskontroll fører slik kontroll med politiets og påtalemyndighetens bruk av kommunikasjonskontroll og romavlytting, jf. straffeprosessloven §§ 216 h og 216 m siste ledd. Det er gitt nærmere regler om kontrollutvalgets oppgaver og saksbehandling i kommunikasjonskontrollforskriften kapittel 2.
Departementet foreslår at straffeprosessloven § 216 h skal gjelde tilsvarende for dataavlesing etter straffeprosessloven nytt kapittel 16 d, slik at kontrollutvalget også skal føre kontroll med bruken av dataavlesing. Etter departementets oppfatning kan det være grunn til å gi særskilte forskriftsbestemmelser om kontrollutvalgets oppgaver og saksbehandling i saker om dataavlesing, som tilpasses metodens særpreg.
Departementet understreker for øvrig at det må legges til rette for at kontrollutvalget kan utføre en effektiv og reell kontroll med bruken av dataavlesing. Metodens karakter tilsier at utvalget vil være avhengig av å ha høy teknologisk kompetanse tilgjengelig. I denne sammenheng viser departementet også til Metodekontrollutvalgets utredning punkt 11.10.2 side 140, hvor det konstateres at kontrollutvalget «må ha tilgjengelig tilstrekkelig teknologisk kompetanse, og at uavhengighetshensyn og kontinuitetshensyn kan tilsi at slik kompetanse finnes blant utvalgsmedlemmene og ikke for eksempel innleies fra eksterne.» Departementet legger til grunn at det kan være nødvendig å styrke kontrollutvalgets budsjett som følge av den her foreslåtte utvidelsen av dets ansvarsområde og det økte behovet for teknologisk kompetanse, se punkt 15.9 nedenfor.
PSTs bruk av skjulte tvangsmidler i forebyggingssaker og etterforskningssaker kontrolleres av EOS-utvalget, jf. lov om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-loven) og Stortingets instruks om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-instruksen). EOS-utvalgets kontroll vil følgelig omfatte PSTs bruk av dataavlesing.
14.8.11 Dataavlesing i avvergende og forebyggende øyemed
Etter departementets oppfatning bør dataavlesing også kunne benyttes i avvergende øyemed som ledd i etterforskning, på lik linje som kommunikasjonsavlytting og hemmelig ransaking. Departementet foreslår derfor at straffeprosessloven ny § 216 o tas med i oppregningen av tvangsmidler som kan benyttes etter § 222 d første og annet ledd. Tillatelse til å benytte dataavlesing bør bare kunne gis når særlige grunner tilsier det, jf. § 222 tredje ledd.
Departementet er av samme oppfatning med hensyn til PSTs adgang til å benytte tvangsmidler i sin forebyggende virksomhet etter politiloven § 17 d. Det foreslås derfor at straffeprosessloven ny § 216 o også tas med i oppregningen av tvangsmidler i politiloven § 17 d første ledd, og at tillatelse bare skal kunne gis når særlige grunner tilsier det, jf. § 17 d annet ledd.