Høringsbrev

Høringsinstanser

Høring – NOU 2003: 27 Lovtiltak mot datakriminalitet

1 Hva høringen gjelder, høringsfrist mv.

Justisdepartementet sender med dette på høring Datakrimutvalgets delutredning I – NOU 2003: 27 Lovtiltak mot datakriminalitet.

Datakrimutvalget ble oppnevnt ved kongelig resolusjon 11. januar 2002. Utvalget fikk i oppgave å utrede lovtiltak mot datakriminalitet. Mandatet hadde to hoveddeler:

1. Å vurdere hvilke lovendringer som er nødvendig i norsk rett for å gjennomføre Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi.

2. Å foreta en mer fullstendig gjennomgåelse av straffeloven og straffeprosessloven for å avdekke om det er behov for ytterligere lovendringer for å bekjempe datakriminalitet mer effektivt.

I delutredning I, som nå sendes på høring, fremmer utvalget forslag til gjennomføring i Norsk rett av europarådskonvensjonen. Det er en prioritert oppgave for departementet å legge til rette for at Norge kan ratifisere konvensjonen så snart som mulig. – Konvensjonen i engelsk tekst er tatt inn som vedlegg I til Datakrimutvalgets utredning.

Høringsfristen er 3. mai 2003. Departementet ber høringsinstansene vurdere om det er behov for å forelegge høringsbrevet for eventuelle underliggende instanser som ikke er oppført på listen over høringsinstanser. Vi ber om å få høringssvarene på diskett eller e-post i tillegg til i ordinært brev. E-post kan sendes til helene.wegner@jd.dep.no.

Flere eksemplarer av høringsnotatet kan fås ved henvendelse til Lovavdelingen på telefon 22 24 53 99 eller 22 24 53 61. Høringsnotatet er også tilgjengelig på internett i departementets elektroniske informasjonstjeneste ODIN, på http://odin.dep.no/jd/norsk/publ/hoeringsnotater/index-b-n-a.html.

Datakrimutvalget har på noen punkter foreslått at Norge benytter adgangen til å reservere seg eller avgi en erklæring om at forpliktelsene i konvensjonen ikke vil bli gjennomført fullt ut. Etter departementets syn bør Norge ikke reservere seg på flere punkter enn strengt nødvendig. Departementet har derfor gjort en foreløpig vurdering av behovet for at Norge reserverer seg, se punktene 2 til 5 nedenfor, og ber særskilt om høringsinstansenes syn på dette spørsmålet.

2 Anskaffelse av barnepornografi

Artikkel 9 i konvensjonen pålegger statene å kriminalisere en rekke former for befatning med barnepornografi ved bruk av elektroniske hjelpemidler, jf. NOU 2003: 27, nedenfor kalt utredningen, side 24-26. Konvensjonen artikkel 9 nr. 1 bokstav d pålegger statene å kriminalisere anskaffelse (”procuring”) av barnepornografi ved bruk av et datasystem.

Utvalget vurderer forholdet til norsk rett på dette punktet slik på side 25:

”Selve anskaffelseshandlingen er ikke straffbar etter norsk rett. Etter utvalgets oppfatning er behovet for et eget straffalternativ som rammer anskaffelsen, overflødig ved siden av alternativene ”besitter” og ”innfører”. Handlingen vil kunne straffes som besittelse idet materialet er lastet ned. Utvalget har derfor kommet frem til at Norge bør benytte reservasjonsadgangen i artikkel 9 nr. 4 for så vidt gjelder artikkel 9 nr. 1 bokstav d.”

Det går ikke uttrykkelig frem av utredningen hvorfor utvalget likevel ser behov for en reservasjon, men departementet antar det skyldes et ønske om en mest mulig klar og uttrykkelig gjennomføring av konvensjonen. Utvalget har tatt sikte på å arbeide videre med spørsmålet i arbeidet med den andre delutredningen (side 26).

Departementet er enig med utvalget når det går inn for at ”enhver befatning med datarelatert barnepornografi bør kriminaliseres”, jf. utredningen side 26. Gjerningsbeskrivelsen i straffeloven § 204 knytter ikke strafftrusselen uttrykkelig til anskaffelse av barnepornografi, men de ulike alternativene har et dekningsfelt som i sum gjør det vanskelig å tenke seg praktiske anskaffelseshandlinger som ikke rammes av § 204. Norsk rett oppfyller derfor etter departementets syn forpliktelsen etter konvensjonen artikkel 9 nr. 1 bokstav d. Dermed skulle det ikke være behov for å reservere seg i forhold til artikkel 9 nr. 4 bokstav d. Det er likevel et spørsmål om "anskaffelse" av pedagogiske grunner bør nevnes uttrykkelig i lovteksten.

Stortinget vedtok 16. juni 2003 følgende anmodning til Regjeringen (foreslått i Innst. O nr. 92 (2002-2003)):

”Stortinget ber Regjeringen utarbeide et eget straffebud om barnepornografi som klart definerer at barnepornografi ikke er alminnelig pornografi, men en skildring av overgrep mot barn. Forslaget fremmes for Stortinget så raskt som mulig, uavhengig av fremleggelse av ny straffelov.”

Regjeringen tar sikte på å fremme forslag om et eget straffebud om barnepornografi i 2004. Spørsmålet om å tilpasse ordlyden til datakrimkonvensjonens artikkel 9 nr. 1 bokstav d slik at også anskaffelse av barnepornografi uttrykkelig blir rammet, vil bli behandlet i et særskilt høringsnotat om dette. Departementet inviterer likevel høringsinstansene nå til å uttale seg om hvorvidt det er nødvendig å endre straffeloven § 204 for å oppfylle forpliktelsene i konvensjonen. Vi nevner i den forbindelse at det danske Justitsministeriet har kommet til det ikke er nødvendig å benytte reservasjonsadgangen. Den danske straffeloven § 235 rammer den som utbrer, besitter eller mot vederlag gjør seg bekjent med barnepornografi.

3 Ulovlig tilgang til et datasystem

Artikkel 2 i konvensjonen forplikter statene til å kriminalisere ulovlig tilgang til et datasystem. Bestemmelsen åpner for at statene setter beskyttelsesbrudd som tilleggsvilkår for straffansvar.

Etter gjeldende norsk rett er det et vilkår for straff at gjerningspersonen oppnådde ulovlig tilgang ved brudd på en beskyttelse eller på liknende måte uberettiget skaffet seg adgang til dataene, jf. straffeloven § 145 annet ledd. Det er først i slike tilfeller at det er treffende å tale om ”datainnbrudd”.

Datakrimutvalget legger til grunn at straffeloven § 145 oppfyller forpliktelsene i artikkel 2, bortsett fra vilkåret om beskyttelsesbrudd, jf. utredningen side 15. Utvalget foreslår ikke lovendringer, men går i stedet inn for at Norge skal avgi en erklæring om at man ønsker å sette beskyttelsesbrudd som vilkår for straffansvar.

En annen mulig løsning, som gjennomfører forpliktelsene i artikkel 2 fullt ut slik at det ikke er behov for noen erklæring, er å fjerne vilkåret om beskyttelsesbrudd i straffeloven § 145 annet ledd. I den danske straffeloven er det for eksempel ikke stilt krav til beskyttelsesbrudd i § 263 annet ledd som rammer den som uberettiget skaffer seg adgang til en annens opplysninger eller programmer:

”Med bøde eller fængsel indtil 6 måneder straffes den, som uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et anlæg til elektronisk databehandling.”

Hvis vilkåret om beskyttelsesbrudd fjernes i straffeloven § 145 annet ledd, vil man få en bestemmelse som er tilnærmet likelydende den danske:

”Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler.”

Straffelovrådet begrunnet i sin tid kravet om beskyttelsesbrudd med at det påhviler innehaveren av et anlegg å sørge for beskyttelse mot innsyn fra uberettigede. Først når det er tatt rimelige foranstaltninger, skal vedkommende kunne kreve hjelp fra strafferettsapparatet, se NOU 1985: 31 Datakriminalitet s. 31. Departementet sluttet seg langt på vei til Straffelovrådets begrunnelse i Ot.prp. nr. 35 (1986-87) Om endringer i straffeloven (datakriminalitet). Departementet føyde likevel til alternativet ”på liknende måte” for å sikre at bestemmelsen rammer all adgang til data som må karakteriseres som kvalifisert uberettiget, jf. proposisjonen side 20.

Sett på bakgrunn av den teknologiske utviklingen som har funnet sted siden Straffelovrådet avga sin utredning i 1985, er det grunn til å vurdere om denne begrunnelsen står like sterkt i dag. Den kraftige økningen i bruk av datasystemer til kommunikasjon gjør at muligheten for å skaffe seg uberettiget adgang til data er større nå. Slik sett er behovet for å beskytte datasystemers integritet og tilgjengelighet større enn i 1985.

Det må imidlertid også ses hen til mulighetene for å beskytte seg mot at andre uberettiget skaffer seg tilgang. Departementets erfaringer fra arbeid med personvernregelverk tilsier at utbredelsen av beskyttelsestiltak varierer ganske meget. For mer profesjonelle brukere vil det som regel være en selvfølge å ta i bruk midler som beskytter elektronisk kommunikasjon mot at andre uberettiget skaffer seg tilgang. For elektronisk behandling av personopplysninger pålegger personopplysningsloven § 13 den behandlingsansvarlige en plikt til å sørge for tilfredsstillende informasjonssikkerhet. De mer profesjonelle brukere av datasystemer, som for eksempel bedrifter og offentlige organer, får av den grunn neppe noe økt strafferettslig vern dersom vilkåret om beskyttelsesbrudd fjernes. Straffelovrådets vurdering fra 1985 (”strafferettslig vern bare dersom man beskytter seg”) har, anvendt på denne gruppen, fortsatt en viss bærekraft.

For så vidt gjelder enkeltpersoner som bruker datasystemer til privat kommunikasjon, varierer trolig utbredelsen av beskyttelsestiltak mer. Enkelte oppfatter bruk av beskyttelsestiltak som så ressurskrevende og tungvint at slike tiltak ikke tas i bruk, og det er ikke gitt at de av den grunn skal nektes strafferettslig vern mot at andre uberettiget skaffer seg tilgang til dataene. På denne bakgrunnen kan det hevdes at det er behov for å kriminalisere alle former for inntrengning i et datasystem. Om det er brutt noen beskyttelse, kan det i så fall tas hensyn til i straffutmålingen.

Departementet ber høringsinstansene vurdere om det fremdeles bør stilles vilkår om beskyttelsesbrudd for straffansvar i § 145 annet ledd. Dersom vilkåret skal fjernes, må det også tas stilling til om det er en lovteknisk hensiktsmessig løsning å la bestemmelsen fortsatt være en del av § 145, som i første ledd stiller krav om at hindringer må overvinnes for å få tilgang til de vernede godene.

4 Anmodninger om sikringspålegg

Artikkel 29 forplikter statene til å sikre lagrede data, jf. artikkel 16, hvis en statspart anmoder om det. En statspart kan som utgangspunkt ikke sette dobbelt straffbarhet som vilkår for å etterkomme anmodninger. Men i artikkel 29 nr. 4 er stater som har dobbelt straffbarhet som et vilkår for å etterkomme anmodninger om bruk av tradisjonelle tvangsmidler, gitt anledning til å reservere seg.

Datakrimutvalget foreslår en ny § 215 a i straffeprosessloven om sikringspålegg. Et sikringspålegg innebærer etter forslaget at påtalemyndigheten vil kunne pålegge for eksempel en tjenestetilbyder å ta kopi av bestemte data for å sikre bevisverdien. Politiet vil ikke få tilgang til dataene før vilkårene for alminnelig beslag er oppfylt. Utvalget anbefaler at Norge bruker reservasjonsadgangen etter artikkel 29 nr. 4 ettersom dobbelt straffbarhet som vilkår for utlevering og annen bistand er et fast innarbeidet prinsipp i norsk rett, jf. utredningen side 37 flg.

Justisdepartementet ønsker høringsinstansenes syn på om reservasjonsadgangen bør benyttes. Mot å benytte reservasjonsadgangen taler at sikringspålegg er et relativt lite inngripende tvangsmiddel. På den annen side er det like fullt tale om bruk av et tvangsmiddel som innebærer et visst inngrep i vedkommendes personvern. Ved ikke å benytte reservasjonsadgangen åpner man for å bruke et tvangsmiddel til tross for at den det rammer ikke er mistenkt for å ha begått en handling som er straffbar i Norge. Det må legges til at konvensjonens krav om kriminalisering reduserer risikoen for at en datarelatert handling er straffbar i én stat og ikke i en annen.

Hvis Norge ikke benytter reservasjonsadgangen, må bestemmelsene om rettshjelp i lov om utlevering av lovbrytere m.v. endres. I § 24 nr. 3 i utleveringsloven heter det i dag at en begjæring ikke kan etterkommes dersom den handlingen forfølgningen gjelder, eller en tilsvarende handling, ikke er straffbar etter norsk lov.

Justisdepartementet ber høringsinstansene vurdere om Norge bør benytte reservasjonsadgangen i artikkel 29 nr. 4.

5 Andre spørsmål

Datakrimutvalget foreslår at Norge benytter reservasjonsadgangen på to punkter til. Det gjelder for det første anvendelsesområdet til reglene om kommunikasjonskontroll i form av innhenting av trafikkdata, jf. utredningen side 47 flg. Etter artikkel 20 er statene som utgangspunkt forpliktet til å tillate innhenting av trafikkdata i sanntid i forbindelse med samtlige straffebud fastsatt i samsvar med artikkel 2 til 11. Straffeprosessloven § 216 b om kommunikasjonskontroll som ikke er avlytting, krever som hovedregel at den straffbare handlingen som etterforskes, har en lengstestraff på minst 5 år. De norske bestemmelsene som samsvarer med artikkel 6, 7 og 10 (spredning av tilgangsdata, dokumentfalsk og vern av opphavsrett mv.), oppfyller ikke kravet til 5 års strafferamme. Datakrimutvalget foreslår at man benytter reservasjonsadgangen i artikkel 14 nr. 3 bokstav a.

Departementet ser det som ønskelig at Norge i størst mulig grad oppfyller forpliktelsene i konvensjonen slik at det ikke er behov for flere reservasjoner enn strengt nødvendig. Spørsmålet om økt tilgang til trafikkdata krever imidlertid en grundigere behandling enn det er mulig å utføre i høringsbrevet her innenfor den tidsrammen som står til rådighet. Departementet går derfor inn for at Norge i første omgang reserverer seg på dette punktet, og at utvalget vurderer spørsmålet nærmere som ledd i arbeidet med den andre delutredningen om datakriminalitet.

For det andre foreslår Datakrimutvalget at Norge bør benytte reservasjonsadgangen i artikkel 6 om ulovlig tilgjengeliggjøring av tilgangsdata, jf. utredningen side 18 flg. Bestemmelsen har som formål å hindre de straffbare handlingene som er nevnt i konvensjonen artiklene 2-5. Dette søkes oppnådd ved å pålegge statene å kriminalisere ulike former for befatning med utstyr som kan være hjelpemiddel til å begå de nevnte forbrytelsene.

Reservasjonsadgangen gjelder for det første artikkel 6 nr. 1 bokstav a underpunkt i om kriminalisering av produksjon, salg, kjøp, import, distribusjon og andre former for tilgjengeliggjøring av elektroniske innretninger, utstyr og dataprogrammer som primært er designet for eller tilpasset til å begå straffbare handlinger som beskrevet i artikkel 2 til 5.

I tillegg er det mulig å reservere seg mot bokstav a underpunkt ii om kriminalisering av tilsvarende befatning med passord, tilgangskoder og lignende informasjon som er egnet til å gi tilgang til hele eller deler av et datasystem. Reservasjonsadgangen her gjelder ikke salg, distribusjon og andre former for tilgjengeliggjøring, jf. artikkel 6 nr. 3.

Endelig tillater konvensjonen at statene reserverer seg mot kriminaliseringsplikten i bokstav b, som gjelder besittelse av tilgangsmidler som nevnt i bokstav a, med den hensikt at de skal benyttes til å begå en straffbar handling som beskrevet i artikkel 2 til 5.

Datakrimutvalget har grundig vurdert spørsmålet om reservasjonsadgangen bør benyttes. Utvalget peker på at bestemmelsen gjelder forberedelseshandlinger, og at slike handlinger normalt ikke krenker beskyttelsesverdige interesser. Utvalget har ikke funnet tilstrekkelig grunn til å kriminalisere disse handlingene. Videre gjelder artikkel 6 dataprogrammer og lignende som både kan brukes til lovlige og ulovlige formål. Utvalget mener at kriminalisering av gjerningspersonens subjektive forestillinger vil føre til en uheldig subjektivisering av strafferetten. Utvalget påpeker også at kriminalisering vil øke kontrollnivået i den private sfæren.

Departementet ber om høringsinstansenes syn på om reservasjonsadgangen bør benyttes, og eventuelt på om spørsmålet bør vurderes på nytt under arbeidet med den andre delutredningen.

Med hilsen