NOU 2003: 27

Lovtiltak mot datakriminalitet— Delutredning I om Europarådets konvensjon om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi

Til innholdsfortegnelse

2 Straffebestemmelser

2.1 Innledende bemerkninger

I den forklarende rapporten til konvensjonen fremheves det at harmonisering av straffebud vil lette bekjempelsen av datakriminalitet, både på nasjonalt og internasjonalt nivå. Videre reduseres risikoen for jurisdiksjoner med lavere standard, såkalte «data havens». Det internasjonale samarbeidet vil også bli styrket ved utveksling av erfaringer med andre stater. Dernest vil harmonisering av nasjonale straffebestemmelser muliggjøre utlevering av lovbrytere statene imellom.

Straffebestemmelsene i kapittel 2 fastsetter minstekrav til gjennomføringen av konvensjonen i nasjonal rett. Statene kan for øvrig opprettholde eller vedta straffebestemmelser som er mer vidtgående enn konvensjonens bestemmelser. Konvensjonsbestemmelsene er i stor utstrekning basert på retningslinjene i Europarådets rekommandasjoner R(89) og R(95) om datakriminalitet og det arbeidet som tidligere har vært utført av blant annet OECD og FN. Konvensjonen benytter teknologinøytral tekst slik at bestemmelsene kan få anvendelse både på nåværende og fremtidig teknologi.

Statene kan avgrense mot mindre eller ubetydelige handlinger («petty or insignificant misconduct») ved implementering av bestemmelsene i artikkel 2 til 10, se den forklarende rapporten punkt 37.

Straffebestemmelsene rammer bare forsettlige handlinger. Forsettskravet fastlegges i samsvar med nasjonal rett. I enkelte tilfeller åpner konvensjonen for subjektive tilleggskrav. For eksempel kan konvensjonsstatene oppstille vinnings hensikt som et vilkår for å straffe for databedrageri, jf. artikkel 8.

Konvensjonen åpner for at statene kan reservere seg mot å gjennomføre enkelte av bestemmelsene, jf. artikkel 42, og for deklarasjoner om tilleggsvilkår, jf. artikkel 40.

I enkelte artikler er det et vilkår at handlingen er uberettiget eller rettsstridig («without right»). Det innebærer at en handling ikke alltid vil være straffbar selv om de øvrige vilkårene i straffebudet er oppfylt. I tillegg til de vanlige straffrihetsgrunnene som samtykke, nødrett og nødverge, kan også andre omstendigheter føre til at straffansvar ikke inntrer. Det fremgår av den forklarende rapporten punkt 38 at konvensjonen ikke setter grenser for hvilke omstendigheter som skal kunne føre til at handlingen ikke er straffbar. Statene kan for eksempel bestemme at en handling er straffri hvis den er lovlig foretatt av offentlig myndighet, for eksempel for å trygge den offentlige ro og orden, beskytte nasjonale interesser eller under etterforsking av straffbare handlinger.

2.2 Datainnbrudd – artikkel 2

2.2.1 Folkerettslige forpliktelser

Konvensjonen artikkel 2 omhandler datainnbrudd («illegal access») og lyder:

«Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system.»

Artikkel 2 beskytter datasystemers integritet og tilgjengelighet, og rammer selve den rettsstridige tilgang til eller inntrengning i et datasystem. Bestemmelsen er ment å rekke vidt og omfatter i følge den forklarende rapporten punkt 44 både «hacking», «cracking» og «computer trespass».

Bestemmelsen rammer rettsstridig tilgang til datasystemer – både enkeltstående maskiner og elektroniske nettverk, jf. definisjonen av «datasystem» i artikkel 1 bokstav a, se punkt 1.4.

Der er ikke et vilkår at gjerningsmannen har gjort seg kjent med innholdet av dataene som han har skaffet seg tilgang til. Det avgjørende er om innholdet eller deler av det er gjort tilgjengelig for vedkommende.

Videre kan det være et vilkår for straffansvar at tilgangen er urettmessig («without right»), se punkt 2.1. Autorisert testing for å avsløre svakheter i sikkerhetssystemet faller dermed utenfor bestemmelsens anvendelsesområde. Det å skaffe seg tilgang til de delene av et system som etter sin art er ment å være åpne for allmennheten, rammes heller ikke av bestemmelsen. Eksempler kan være besøk på en nettside, eller bruk av informasjonskapsler («cookies»).

Statene er i artikkel 2 annet punktum gitt anledning til å innskrenke området for den straffbare handlingen ved å fastsette nærmere angitte tilleggsvilkår for at straffansvar skal inntre, jf. artikkel 40. Et mulig tilleggsvilkår for straffansvar er at tilgangen til datasystemet ble oppnådd ved beskyttelsesbrudd («infringing security measures»).

2.2.2 Gjeldende rett

Datainnbrudd rammes av straffeloven § 145 annet ledd. Formålet med bestemmelsen er å beskytte både samfunnets og privates interesse i konfidensialitet og behovet for å kunne stole på datasystemers pålitelighet (integritetshensynet). Videre beskytter bestemmelsen den kommersielle verdien av dataene (vederlagsinteressen). Det siste følger av Ot.prp. nr. 35 (1986-87) s. 21 og Rt. 1994 s. 1610.

Bestemmelsen rammer det å skaffe seg tilgang til data ved å bryte en beskyttelse. Ikke enhver form for sikkerhetsforanstaltninger regnes som beskyttelse i § 145 sin forstand. I NOU 1985: 31 Datakriminalitet heter det på side 31:

«Tanken bak bestemmelsen er at det primært hviler på innehaveren av anlegget å sørge for beskyttelse mot innsyn fra uberettigede. Først når det er tatt rimelige foranstaltninger i så måte, kan han kreve hjelp fra strafferettsapparatet».

En tilsvarende avgrensning ble lagt til grunn av departementet i Ot.prp. nr. 35 (1986-87) s. 20. Departementet tilføyde imidlertid alternativet «eller på lignende måte» i bestemmelsen. Hensikten var å markere at formuleringen i annet ledd rammer tilfeller hvor tilgangen til data er å anse som «kvalifisert uberettiget», jf. Ot.prp. nr. 35 (1986-87) s. 20. Høyesterett stiller i tråd med ordlyden krav til en viss beskyttelse for at dataene skal være vernet av straffeloven § 145 annet ledd, jf. Rt. 1998 side 1971, men det er ikke avklart hvor mye som skal til. I tvilstilfeller vil henvisningen til brevbruddsbestemmelsen i første ledd kunne gi veiledning, jf. NOU 1985: 31 Datakriminalitet side 31. Fordi et brev enkelt kan åpnes av uvedkommende ved at forseglingen brytes, er ikke formålet med forseglingen å gjøre innholdet fysisk utilgjengelig for andre. Hensikten med forseglingen er å markere at innholdet ikke er offentlig tilgjengelig. Det samme hensynet bør også være relevant for tolkningen av kravet til beskyttelsesbrudd i annet ledd. Det tilsier at hvis den som påberoper beskyttelse har iverksatt skritt som gjør at utenforstående må forstå at innholdet ikke er allment tilgjengelig, så bør vilkåret anses oppfylt.

«Data eller programutrustning» skal tolkes vidt. «Data» omfatter all elektronisk lagret informasjon. Med «programutrustning» menes instruksjonene til datamaskinen, det vil si dataprogrammer, jf. Ot.prp. nr. 35 (1986-87) s. 20. Begrepene må av hensyn til første ledd avgrenses mot data som ikke er maskinlesbare.

I begrepet «skaffe seg adgang til» ligger det ikke et krav om at inntrengeren har tilegnet seg kunnskap om innholdet av informasjonen. Det er nok at dataene er gjort tilgjengelig for inntrengeren gjennom beskyttelsesbruddet.

Henvisningen til at dataene må være lagret, henspeiler på alle former for elektroniske lagringsmedier, herunder harddisk, disketter, CD-ROM, DAT-taper mv. Et krav må imidlertid være at de lagrede dataene kan avleses maskinelt eller avspilles.

Paragraf 145 inneholder et krav om at tilgangen til dataene må være «uberettiget». Beskyttelsesbrudd kan være rettmessig for eksempel hvis den berettigede gir en person fullmakt til å forsøke å forsere en passordbeskyttelse for å teste systemsikkerheten.

Strafferammen er bøter eller fengsel inntil 6 måneder, jf. § 145 første ledd. Forsøk er straffbart, jf. straffeloven § 49. Skyldkravet er forsett, jf. § 40. Medvirkning straffes på samme måte, jf. § 145 fjerde ledd.

2.2.3 Utvalgets vurderinger

Det første spørsmålet som oppstår er om det er det samme objektet som er beskyttet i artikkel 2 og i straffeloven § 145 annet ledd, det vil si om «data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler» har et like vidt anvendelsesområde som «the whole or any part of a computer system». På bakgrunn av redegjørelsen for artikkel 2 og § 145 annet ledd i punkt 2.2.1 og 2.2.2 har utvalget kommet frem til at anvendelsesområde til § 145 annet ledd er tilstrekkelig vidt.

Videre må utvalget ta stilling til om strafferammen i § 145 annet ledd er tilfredsstillende. Strafferammen er bøter eller fengsel inntil 6 måneder. Dermed vil ikke de tvangsmidlene som krever strafferamme høyere enn 6 måneder kunne benyttes i en sak om datainnbrudd. Det gjelder blant annet utvalgets forslag til bestemmelse om sikringspålegg. I henhold til artikkel 14 nr. 2 skal de prosessuelle bestemmelsene som er omfattet av konvensjonen, kunne anvendes ved overtredelser av straffebud som gjennomfører forpliktelsene i artikkel 2 til 11. Spørsmålet blir dermed om det skal gis særskilt adgang til å benytte de aktuelle tvangsmidlene i forbindelse med datainnbrudd selv om kravet til strafferamme ikke er innfridd, eller om strafferammen i § 145 annet ledd bør økes.

Etter utvalgets oppfatning er datainnbrudd en mer straffverdig handling enn dagens strafferamme skulle tilsi. Både hensynet til forholdsmessighet mellom lovbrudd og straff (proporsjonalitet) og hensynet til forholdsmessighet mellom straffen for ulike lovbruddstyper (ekvivalens) taler for at strafferammen bør økes. Utvalget går i delutredning I inn for å øke strafferammen i straffeloven § 145 første og annet ledd til «bøter eller fengsel inntil 6 måneder eller begge deler». I delutredning II vil utvalget komme tilbake til spørsmålet om strafferammen bør økes ytterligere.

Utvalget har kommet frem til at § 145 annet ledd ellers er i samsvar med de kravene konvensjonen stiller. En forutsetning er imidlertid at Norge erklærer at man ønsker å benytte det valgfrie tilleggsvilkåret i artikkel 2 annet punktum om beskyttelsesbrudd, «infringing security measures», jf. artikkel 40.

2.3 Dataavlytting - artikkel 3

2.3.1 Folkerettslige forpliktelser

Konvensjonen artikkel 3 gjelder dataavlytting («illegal interception») og lyder:

«Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the interception without right, made by technical means, of non-public transmissions of computer data to, from or within a computer system, including electromagnetic emissions from a computer system carrying such computer data. A Party may require that the offence be committed with dishonest intent, or in relation to a computer system that is connected to another computer system.»

Artikkel 3 rammer det å fange opp data på en rettsstridig måte. Handlingen representerer den samme typen krenkelse som tradisjonell avlytting og opptak av muntlige samtaler mellom personer. Bestemmelsen får anvendelse på alle former for elektronisk dataoverføring, enten det er ved hjelp av telefon, faks, e-post eller filoverføring.

Bestemmelsen rammer det å avlytte, fange opp eller overvåke innholdet av informasjon ved bruk av tekniske hjelpemidler. Avlyttingen kan skje direkte ved tilgang til og bruk av datasystemet, eller indirekte ved bruk av elektronisk avlyttingsutstyr. Videre kan avlyttingen omfatte opptak. Henvisningen til at avlyttingen må skje ved hjelp av tekniske hjelpemidler innebærer en begrensing av bestemmelsens rekkevidde.

Begrepet «non-public» retter seg mot selve overføringen av informasjon, og ikke innholdet av denne. Dette betyr at selv offentlig tilgjengelig informasjon kan være «non-public» i konvensjonens forstand. Det avgjørende er om de kommuniserende parter har hatt til hensikt å kommunisere fortrolig. Begrepet fanger også opp tilfeller hvor informasjonen er ment å være utilgjengelig inntil mottaker har betalt for den. Et typisk eksempel er betal-tv.

Bestemmelsen verner også mot oppfanging av data via elektromagnetisk stråling. Slik stråling vil typisk kunne genereres fra kabler. Selv om dette ikke er «data» i vanlig forstand, vil slik stråling kunne omdannes til maskinlesbare data.

Videre rammer bestemmelsen bare rettsstridig dataavlytting, jf. begrepet «without right», se punkt 2.1.

2.3.2 Gjeldende rett

Den generelle bestemmelsen om dataavlytting i norsk rett er straffeloven § 145 annet ledd. Foruten å verne lagrede data, beskytter bestemmelsen også mot uberettiget tilgang til data eller programutrustning under overføring.

Kravet til beskyttelsesbrudd i § 145 annet ledd gir ikke like god mening i forhold til data under overføring som det gjør for lagrede data. Dette har lovgiver tatt hensyn til ved å tilføye formuleringen «på lignende måte». I Ot.prp. nr. 35 (1986-87) s. 20 heter det:

«Ved at ’på lignende måte’ er føyd til, blir tolkningen av vilkåret om å bryte en beskyttelse ikke så avgjørende. Poenget er at § 145 bare kan ramme tilfeller hvor det å skaffe seg adgang til data må karakteriseres som kvalifisert uberettiget[utvalgets utheving]. Å bryte en beskyttelse er et slikt kvalifiserende moment, men det vil også kunne tenkes lignende situasjoner hvor det å ta seg inn til data vil være så graverende at § 145 bør få anvendelse. § 145 får også anvendelse på informasjon som overføres ved telex, telefax og lignende, og i disse tilfeller gir ikke alltid kravet om å bryte en beskyttelse den riktige avgrensningen. Ved vurderingen kan sammenhengen med første ledd gi en viss vegledning. For øvrig vil avgjørelsen måtte bero på et skjønn hvor også andre momenter ved handlingen og handlingssituasjonen trekkes inn.»

Uttalelsen viser at oppfanging av data under overføring rammes av bestemmelsen. Dette til tross for at det man normalt betegner som beskyttelsestiltak, ikke er iverksatt.

Overføringen må skje ved «elektroniske eller andre tekniske midler». Dersom dataene for eksempel overføres på et lagringsmedium via posten, vil en uberettiget oppfanging rammes av bestemmelsens første ledd.

Oppfangingen av dataene må være uberettiget. På samme måte som ved lagrede data, innebærer vilkåret en ordinær rettsstridsreservasjon.

Avlytting av telefonsamtaler rammes av straffeloven § 145 a, mens avlytting av vernede tjenester rammes av straffeloven § 262. Utvalget går imidlertid ikke nærmere inn på disse særbestemmelsene.

2.3.3 Utvalgets vurderinger

Det første spørsmålet som må avklares, er om det å «skaffe seg adgang» i straffeloven § 145 annet ledd er et like vidt begrep som «interception» i artikkel 3. Utvalget legger til grunn at det er selve tilgangen til data under overføring som er avgjørende, ikke om inntrengeren har skaffet seg kunnskap om innholdet. Utvalget har på denne bakgrunnen kommet frem til at anvendelsesområdet til § 145 annet ledd er tilstrekkelig vidt.

Artikkel 3 åpner for at straffebud mot dataavlytting begrenses til å omfatte de tilfellene der tekniske hjelpmidler («technical means») er benyttet. Videre gjelder artikkel 3 bare ikke-offentlige («non-public») overføringer av data. Disse vilkårene skaper ingen problemer for gjennomføringen av konvensjonen ettersom straffeloven § 145 har et videre anvendelsesområde.

Artikkel 3 åpner i motsetning til artikkel 2 ikke for å sette brudd på en beskyttelse som vilkår for straffansvar. Til tross for at straffeloven § 145 annet ledd inneholder et vilkår om at gjerningsmannen må ha brutt «en beskyttelse eller på lignende måte» skaffet seg tilgang til dataene, har utvalget kommet frem til at anvendelsesområdet til § 145 ikke er snevrere enn hva konvensjonen krever på dette punktet.

I henhold til forarbeidene til § 145 verner bestemmelsen om data som overføres via telefaks, telex og lignende, se Ot.prp. nr. 35 (1986-87) s. 20. Det samme må etter utvalgets oppfatning gjelde for annen overføring av data fra et datasystem. Kryptering eller annen form for utilgjengeliggjøring er ikke påkrevd. Etter utvalgets oppfatning vil det være avgjørende dersom overføringen ikke er offentlig. Er overføringen av en slik karakter, vil en rettsstridig oppfanging anses for å være «kvalifisert uberettiget», jf. Ot.prp. nr. 35 (1986-87) s. 20.

Et eksempel kan illustrere standpunktet. Dersom det blir rettet en mottaker mot et datasystem som fanger opp elektromagnetiske stråler, og disse strålene kan gjenskapes til logisk informasjon, vil handlingen rammes av artikkel 3. For at handlingen skal rammes av straffeloven § 145 annet ledd, kreves det at de elektromagnetiske strålene fanges opp ved brudd på en beskyttelse eller at gjerningsmannen på lignende måte uberettiget skaffer seg tilgang til dataene. Det første straffalternativet er neppe anvendelig. Oppfanging av ubeskyttet informasjon kan etter utvalgts syn vanskelig anses som brudd på en beskyttelse. Spørsmålet blir derfor om uttrykket «på liknende måte» er anvendelig. Etter utvalgets syn må spørsmålet besvares bekreftende. Oppfanging av informasjon på den måten som her er beskrevet, forutsetter at gjerningspersonen har iverksatt visse tiltak. Slike tiltak vil etter utvalgets oppfatning gjøre avlyttingen «kvalifisert uberettiget», jf. Ot.prp. nr. 35 (1986-87) s. 20.

På denne bakgrunnen har utvalget kommet frem til at § 145 annet ledd dekker forpliktelsene i konvensjonen selv om bestemmelsen oppstiller beskyttelsesbrudd som vilkår. Utvalget legger til grunn at oppfanging av en ikke-offentlig overføring av data ved bruk av tekniske hjelpemidler vil være «kvalifisert uberettiget», og dermed rammes av § 145 annet ledd.

Etter utvalgets oppfatning oppfyller straffeloven § 145 annet ledd forpliktelsene i artikkel 3. Det er derfor ikke behov for lovendringer.

2.4 Dataskadeverk – artikkel 4

2.4.1 Folkerettslige forpliktelser

Konvensjonen artikkel 4 omhandler dataskadeverk («data interference») og lyder:

  1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the damaging, deletion, deterioration, alteration or suppression of computer data without right.

  2. A Party may reserve the right to require that the conduct described in paragraph 1 result in serious harm.»

Formålet med bestemmelsen er å sikre at data har samme beskyttelse mot forsettlig skadeverk som fysiske ting. Bestemmelsen beskytter integriteten til og den lovlige bruken av lagrede data. Artikkel 4 gjelder ikke skade på data under kommunikasjon, jf. den forklarende rapporten punkt 60.

Bestemmelsen rammer skade, forringelse, sletting, endring og utilgjengeliggjøring av lagrede data. Alternativene er ment å fange opp ulike tilfeller hvor data på en eller annen måte blir endret.

Skadeverk begått ved hjelp av virus og «trojanske hester» er omfattet av denne bestemmelsen. Selv virus som ikke forårsaker noen skade, og for eksempel bare viser et reklameinnslag e.l., vil omfattes av alternativet «alteration». Implanteringen fører til at eksisterende data blir endret. Dersom viruset som er implantert ikke skader dataene, men derimot selve datasystemet, rammes handlingen av artikkel 5.

Bestemmelsen gjelder også skadeverk som utføres uten bruk av tekniske hjelpemidler. I den forklarende rapporten punkt 61 benyttes uttrykket «any action». Det er heller ikke et krav at handlingen skjer fra et datasystem til et annet. Følgelig rammer bestemmelsen det å skade data på en lokal, frittstående harddisk.

Artikkel 4 rammer bare rettsstridig skadeverk, jf. begrepet «without right», se punkt 1.4. Hvis handlingen er iverksatt eller godkjent av den berettigede til dataene, vil den ikke være rettsstridig. Et eksempel er testing av sikkerheten til et datasystem. Dataskadeverk som følge av slik autorisert testing rammes ikke av bestemmelsen.

Statene kan etter artikkel 4 nr. 2 sette betydelig skade som vilkår for straffansvar.

2.4.2 Gjeldende rett

Straffeloven § 291 rammer det å ødelegge eller skade en gjenstand. Data i seg selv er neppe beskyttet av bestemmelsen, jf. blant annet NOU 1985: 31 s. 9 og 10 og Ot.prp. nr. 35 (1986-87) s. 7 og 8. Derimot er det ikke tvilsomt at et lagringsmedium er en «gjenstand» i § 291 sin forstand. Endring av data innebærer skadeverk overfor lagringsmediet, jf. Ot.prp. nr. 35 (1986-87) s. 14. Ved å endre eller slette data blir lagringsmediet påvirket slik at det ikke kan benyttes som forutsatt.

Det er tvilsomt om data under kommunikasjon rammes av § 291, jf. NOU 1985: 31 s. 10. Utvalget kjenner ikke til rettspraksis som avklarer spørsmålet.

Skyldkravet er forsett, jf. straffeloven § 40. Forsøk og medvirkning er straffbart.

2.4.3 Utvalgets vurderinger

Etter utvalgets oppfatning oppfyller straffeloven § 291 forpliktelsene i artikkel 4. Selv om data som sådan ikke er beskyttet av bestemmelsen, vil lagrede data være tilknyttet et lagringsmedium. Etter utvalgets mening vil endring av data føre til at lagringsmediet anses for å være skadet, og at § 291 følgelig er anvendelig. Videre omfatter ikke forpliktelsene i artikkel 4 data under overføring. Det er derfor ikke behov for å endre norsk rett på dette punktet.

2.5 Systemskadeverk – artikkel 5

2.5.1 Folkerettslige forpliktelser

Konvensjonen artikkel 5 omhandler forstyrrelser av datasystemer («system interference») og lyder:

«Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the serious hindering without right of the functioning of a computer system by inputting, transmitting, damaging, deleting, deteriorating, altering or suppressing computer data.»

Bestemmelsen forplikter statene til å kriminalisere handlinger som forhindrer rettmessig bruk av datasystemer og systemer for elektronisk kommunikasjon, jf. den forklarende rapporten punkt 65. Mens artikkel 4 beskytter selve dataene, er det datasystemet som er beskyttet i artikkel 5, det vil si funksjonaliteten til maskinvare og programvare sett i sammenheng.

Uttrykket «functioning of a computer system» er vidtrekkende, og innebærer at enhver type funksjonalitet er beskyttet. Bestemmelsen åpner for at statene kan sette som vilkår at funksjonaliteten er vesentlig svekket («serious hindering»).

Artikkel 5 rammer bare rettstridige handlinger, jf. «without right».

2.5.2 Gjeldende rett

Systemskadeverk kan etter omstendighetene rammes av flere bestemmelser. Det vises til redegjørelsen for straffeloven § 291 under punkt 2.4.2. Ettersom utvalget har kommet frem til at § 291 dekker gjerningsbeskrivelsen i artikkel 5, gjør det ikke rede for andre bestemmelser som kan tenkes å være anvendelige.

2.5.3 Utvalgets vurderinger

Utvalget har kommet frem til at forpliktelsene i artikkel 5 dekkes av straffeloven § 291 hva gjelder simpelt systemskadeverk, og § 291, jf. § 292, hva gjelder grovt skadeverk. Etter utvalgets oppfatning er det derfor ikke nødvendig med endringer i norsk rett.

2.6 Ulovlig tilgjengeliggjøring av tilgangsdata – artikkel 6

2.6.1 Folkerettslige forpliktelser

Konvensjonen artikkel 6 omhandler ulovlige tilgjengeliggjøring av tilgangsdata m.m. («misuse of devices») og lyder:

  1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right:

    1. the production, sale, procurement for use, import, distribution or otherwise making available of:

      1. a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with the above Articles 2 through 5;

      2. a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed,

        with intent that it be used for the purpose of committing any of the offences established in articles 2 through 5; and

    2. the possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches.

  2. This article shall not be interpreted as imposing criminal liability where the production, sale, procurement for use, import, distribution or otherwise making available or possession referred to in paragraph 1 of this article is not for the purpose of committing an offence established in accordance with Articles 2 through 5 of this Convention, such as for the authorised testing or protection of a computer system.

  3. Each Party may reserve the right not to apply paragraph 1 of this article, provided that the reservation does not concern the sale, distribution or otherwise making available of the items referred to in paragraph 1 a.ii of this article.»

Artikkel 6 har som mål å forebygge straffbare handlinger som beskrevet i artikkel 2 til 5. I følge den forklarende rapporten punkt 71 krever slike straffbare handlinger ofte spesielle hjelpemidler. Ved å kriminalisere visse former for befatning med denne typen hjelpemidler, styrkes arbeidet med å avverge datakriminalitet.

Artikkel 6 nr. 1 bokstav a underpunkt i forplikter konvensjonsstatene til å kriminalisere produksjon, salg, kjøp, import, distribusjon og andre former for tilgjengeliggjøring av elektroniske innretninger, utstyr og dataprogrammer som primært er designet for eller tilpasset til å begå straffbare handlinger som beskrevet i artikkel 2 til 5. Videre er statene i henhold til underpunkt ii forpliktet til å kriminalisere tilsvarende befatning med passord, tilgangskoder og lignende informasjon som er egnet til å gi tilgang til hele eller deler av et datasystem.

Artikkel 6 nr. 1 bokstav b gjelder besittelse av tilgangsmidler som nevnt i bokstav a, med den hensikt at de skal brukes til å begå en straffbar handling som beskrevet i artikkel 2 til 5. Bestemmelsen åpner for at det settes som vilkår for straffansvar at gjerningsmannen besitter et bestemt antall tilgangsmidler.

Artikkel 6 nr. 3 åpner for at statene kan reservere seg mot å gjennomføre enkelte av forpliktelsene i artikkel 6 nr. 1, jf. artikkel 42. Reservasjonsadgangen omfatter imidlertid ikke bokstav a underpunkt ii når det gjelder salg, distribusjon og annen form for tilgjengeliggjøring av tilgangsdata.

2.6.2 Gjeldende rett

I norsk straffelovgivning finnes det ingen straffebestemmelse som fullt ut dekker de handlingene som er beskrevet i artikkel 6. Derimot dekker straffeloven §§ 317 og 262 deler av gjerningsinnholdet. I tillegg vil flere av handlingene som er beskrevet i artikkel 6, kunne rammes som forsøk på eller medvirkning til andre forbrytelser, for eksempel datainnbrudd etter straffeloven § 145 annet ledd.

Den som besitter eller sprer et passord eller lignende tilgangsdata som er ervervet ved en straffbar handling, vil kunne straffes etter straffeloven § 317 om heleri. Bestemmelsen rammer den som «mottar eller skaffer seg eller andre del i utbytte av en straffbar handling, eller som yter bistand til å sikre slikt utbytte for en annen». Med «utbytte» menes «noe som har vært fremskaffet ved en straffbar handling eller som på annen måte står i nær sammenheng med en straffbar handling. I Rt. 1995 s. 1872 har Høyesterett lagt til grunn at også en PIN-kode vil kunne være utbytte i lovens forstand dersom de «har økonomisk betydning og er egnet til å bli disponert over». Tilsvarende må etter utvalgets oppfatning gjelde passord og andre tilgangskoder, selv om det er uklart hvor langt avgjørelsen rekker. For utvalget er det imidlertid ikke nødvendig å gå nærmere inn på dette.

Også straffeloven § 262 om dekodingsinnretninger kan få anvendelse på handlinger som beskrevet i artikkel 6. Etter første ledd rammer bestemmelsen det å besitte eller spre en dekodingsinnretning i den hensikt å skaffe noen uautorisert tilgang til en vernet tjeneste, for eksempel kodede radio- og fjernsynssignaler. Uttrykket «dekodingsinnretning» er definert i tredje ledd. Etter forarbeidene vil både PIN-koder og andre koder som gir tilgang til vernede tjenester, kunne være dekodingsinnretninger i lovens forstand, jf. Ot.prp. nr. 51 (2000-2001) s. 14.

Disse straffebestemmelsene må suppleres med de alminnelige reglene om forsøk og medvirkning. Den som overlater et datavirus til en annen for at vedkommende skal begå skadeverk, jf. straffeloven § 291, vil kunne straffes for medvirkning dersom han regner det for sikkert eller overveiende sannsynlig at hovedmannen kommer til å begå skadeverk, og at hans eget bidrag vil stå i et medvirkende årsaksforhold til dette, jf. Husabø, Straffansvarets periferi,s. 239-240. Det samme gjelder hvor et dataprogram eller et passord legges ut på Internett, selv om vedkommende på gjerningstidspunktet ikke vet om programmet eller passordet vil blir brukt til å begå straffbare handlinger, og i tilfelle av hvem. Kommer hovedmannen bare til forsøksstadiet, for eksempel fordi datainnbruddet ikke lykkes, vil medvirkeren kunne straffes for medvirkning til forsøk. Og dersom hovedmannen ennå ikke har passert forsøkspunktet, eller derom medvirkerens bidrag ikke sto i noen medvirkende årsaksforhold til det etterfølgende skadeverket, vil medvirkeren etter omstendighetene kunne straffes for forsøk på medvirkning.

2.6.3 Utvalgets vurderinger

2.6.3.1 Behov for lovendringer?

Straffeloven § 317 om heleri gjelder som nevnt bare utbytte av straffbare handlinger, og omfatter dermed blant annet ikke de tilfellene hvor gjerningspersonen har gjettet passordet, eller forsøkt seg frem ved hjelp av en datamaskin. Straffeloven § 262 om dekodingsinnretninger gjelder som nevnt bare passord som gir tilgang til vernede tjenester. Bestemmelsen rammer ikke passord som gir tilgang til andre former for data, for eksempel bedriftshemmeligheter eller sensitive personopplysninger. Etter utvalgets syn kan det derfor ikke være tvilsomt at artikkel 6 gjør det nødvendig med lovendringer, jf. også NOU 2002: 4 Ny straffelov s. 319. Dette gjelder selv om reservasjonsadgangen i artikkel 6 nr. 3 benyttes, og selv om man tar hensyn til at flere av de handlingene konvensjonen omfatter, vil kunne rammes som forsøk på eller medvirkning til andre straffbare handlinger.

2.6.3.2 Bør Norge bruke reservasjonsadgangen?

Artikkel 6 åpner som nevnt for at statene kan reservere seg mot deler av bestemmelsen. Etter artikkel 6 nr. 3 er statene bare forpliktet til å gjennomføre artikkel 6 nr. 1 bokstav a underpunkt ii om salg, distribusjon og annen spredning av passord, tilgangskoder mv. som gir adgang eller tilgang til et datasystem. Statene kan dermed velge ikke å kriminalisere besittelse eller spredning av hackerverktøy, virus og andre dataprogrammer som hovedsakelig er utformet for å begå forbrytelser som nevnt i artiklene 2 til 5, jf. artikkel 6 nr.1 bokstav a underpunkt i og bokstav b.

Ved vurderingen av om Norge bør reservere seg, er det etter utvalgets oppfatning naturlig å ta utgangspunkt i at artikkel 6 retter seg mot ulike forberedelseshandlinger. Etter norsk rett er slike handlinger normalt straffrie. Et grunnleggende synspunkt i norsk lovgivningstradisjon er at straffelovgivningen ikke bør ramme flere handlinger enn det reelt sett er grunn til å kriminalisere, jf. Straffelovkommisjonens prinsipielle drøftelse i NOU 2002: 4 Ny straffelov s. 79-86. Straff er samfunnets skarpeste reaksjon mot uønsket atferd, og bør brukes med varsomhet. Særlig varsom bør man være med å kriminalisere forberedelseshandlinger. Slike handlinger krenker normalt ikke beskyttelsesverdige interesser, og det kan være usikkert om den straffbare handlingen som forberedes, vil bli gjennomført. I straffeloven finnes det derfor bare få bestemmelser som retter seg mot forberedelseshandlinger. De fleste av disse gjelder alvorlige straffbare handlinger, for eksempel anslag mot rikets sikkerhet (straffeloven § 94) og andre terrorhandlinger (straffeloven § 147 a fjerde ledd). En nærmere oversikt er gitt i Husabø, Straffansvarets periferi, s. 316-336.

Utvalget ser først på spørsmålet om det bør være straffbart å besittedatavirus og andre skadevoldende dataprogrammer i den hensikt å begå visse straffbare handlinger. Det er uten videre klart at besittelsen isolert sett ikke krenker beskyttelsesverdige interesser. Samtidig er det en latent risiko for at den som besitter slike programmer, vil spre dem til andre. Slik spredning kan skje uforvarende, for eksempel ved at viruset sprer seg selv uten at vedkommende har kjennskap til det, men også i den hensikt å forvolde skade. Man kan også tenke seg at viruset sendes til noen som selv skal bruke det til straffbare formål.

Etter utvalgets oppfatning er imidlertid denne latente risikoen neppe i seg selv tilstrekkelig grunn til å kriminalisere selve besittelsen, heller ikke når hensikten er å begå eller medvirke til å begå straffbare handlinger. Selv om besittelsen normalt er klart uønsket sett fra samfunnets side, er den neppe i seg selv straffverdig. Ser man bort fra de straffebud som rammer besittelse av særlig farlige gjenstander, for eksempel plutonium og uran (straffeloven § 152 a) eller sprengstoff (straffeloven § 161), er det normalt ikke straffbart å besitte gjenstander som vil kunne benyttes til straffbare formål, heller ikke om det var hensikten med anskaffelsen. Det er for eksempel ikke straffbart å erverve eller inneha et skytevåpen, selv ikke om hensikten bevislig er å ta noen av dage, dersom vedkommende har tillatelse etter lov 9. juni 1961 nr. 1 om skytevåpen og ammunisjon mv. (våpenloven) §§ 7 og 8. Selve besittelsen krenker heller ikke andres interesser på samme måte som besittelse av for eksempel barnepornografi, jf. straffeloven § 204 første ledd bokstav d, eller offentlige interesser på samme måte som besittelse av narkotika, jf. straffeloven § 162 første ledd.

I forlengelsen av dette vil utvalget fremheve at det kritikkverdige ved handlingen ikke først og fremst ligger på dens objektive side, men på den subjektive. Særlig klart er dette når det gjelder dataprogrammer som kan brukes til både lovlige og ulovlige formål. Det man i tilfelle vil reagere mot, er langt på vei gjerningspersonens subjektive forestillinger om hva han skal bruke programmet til. En slik subjektivisering av straffansvaret kan i seg selv være uheldig, jf. Husabø, Straffansvarets periferi, s. 376-377. I tillegg kan betydningen av rent subjektive elementer innebære en viss risiko for uriktige domfellelser, jf. NOU 2002: 4 Ny straffelov s. 96-97. Dette har sammenheng med at vurderingen av om den mistenkte har til formål å begå straffbare handlinger, som oftest vil måtte skje ut fra slutninger basert på de ytre omstendigheter i saken. Selv om dommeren skal la all rimelig tvil komme den tiltalte til gode, vil usikkerheten ved bevisbedømmelsen under skyldspørsmålet kunne bli større enn ellers.

Utvalget vil også peke på at en straffebestemmelse som rammer besittelse av dataprogrammer indirekte vil øke kontrollnivået i den private sfære. Siden Norge er folkerettslig forpliktet til å la konvensjonens straffeprosessuelle bestemmelser få anvendelse på alle de handlinger konvensjonen gjelder, jf. artikkel 14 nr. 2 bokstav a, vil man måtte åpne for bruk av tvangsmidler mot den som med skjellig grunn mistenkes for besittelse av slike programmer. Som Husabø peker på, har ikke det bare positive sider, jf. Straffansvarets periferi s. 377-378. Bruk av tvangsmidler vil uvegerlig utgjøre et større eller mindre integritetsinngrep overfor den som rammes. I tillegg vil ransakingen eller beslaget kunne gi politiet forskjellige former for overskuddsinformasjon det ellers ikke ville fått tilgang til. Selv om kravet til mistanke vil bidra til at tvangsmidler iallfall ikke kan anvendes overfor dem som er helt utenfor mistanke, vil også den som med skjellig grunn mistenkes for en straffbar handling kunne være uskyldig. På et tidlig stadium av etterforskningen er det ikke alltid lett å vite hvem som er hvem. Man må derfor ta i betraktning at tvangsmidler vil kunne bli benyttet overfor dem som ikke har noe med saken å gjøre. Denne risikoen vil øke dersom straffebudet langt på vei henviser til rent subjektive forhold hos gjerningsmannen.

På denne bakgrunn mener utvalget at Norge bør reservere seg mot å oppstille straffansvar for besittelse av visse dataprogrammer, jf. artikkel 6 nr. 1 bokstav a punkt i og bokstav b.

Etter utvalgets syn er det heller ikke tilstrekkelig grunn til å gjøre spredning av slike dataprogrammer til en selvstendig forbrytelse. Riktignok kan det være større grunn til å reagere mot spredning enn mot ren besittelse, siden den som sender et program fra seg, mister kontrollen over hva det brukes til. Slike handlinger vil imidlertid ofte allerede være straffbare etter de alminnelige reglene om forsøk og medvirkning. Et eget straffebud som rammer videreformidling vil dermed få begrenset selvstendig betydning.

Under enhver omstendighet er det vanskelig å se at risikoen for at et dataprogram kan bli brukt av andre til straffbare formål, gir tilstrekkelig grunn til å straffesanksjonere selve spredningen. De straffebud som av preventive hensyn retter seg mot en abstrakt fare av denne type (såkalte abstrakte faredelikter), retter seg gjerne mot situasjoner hvor liv og helse står på spill, for eksempel knivforbudet i straffeloven § 352 a og farts- og promillebestemmelsene i lov 18. juni 1965 nr. 4 (vegtrafikkloven) §§ 6 og 22. Spredning av dataprogrammer berører ikke slike hensyn. Behovet for preventiv lovgivning reduseres dessuten av at det i vår sammenheng vil finnes en hovedmann som vil kunne gjøres strafferettslig ansvarlig, hvis det først er begått en straffbar handling. Det gjør det mindre naturlig enn ellers å kriminalisere selve farefremkallelsen.

Utvalget har etter dette kommet til at man inntil videre bør bruke den reservasjonsadgang bestemmelsen gir, og fremmer derfor i denne omgang ikke forslag om å kriminalisere verken besittelse eller spredning av hackerverktøy, virus og andre dataprogrammer som hovedsakelig er utformet for å begå forbrytelser som nevnt i artiklene 2 til 5, jf. artikkel 6 nr.1 bokstav a punkt i og bokstav b.

2.6.3.3 Nærmere om utformingen av bestemmelsen

Etter artikkel 6 nr. 3 er statene forpliktet til å kriminalisere salg, distribusjon og annen spredning av passord, tilgangskoder mv. som gir adgang eller tilgang til et datasystem. Det første spørsmålet som da oppstår, er om konvensjonens forpliktelse bør gjennomføres gjennom en endring av én eller flere eksisterende straffebestemmelser, eller gjennom en ny bestemmelse.

Så vidt utvalget kan se, er det ingen straffebestemmelse i straffeloven som fra før rammer lignende forhold som det artikkel 6 retter seg mot. Å endre straffeloven §§ 317 eller 262 er av flere grunner uaktuelt. Den nye straffebestemmelsen bør derfor plasseres i et nytt straffebud, for eksempel som ny § 145 b.

Når det gjelder bestemmelsens objektive gjerningsinnhold, må man først ta stilling til hvilke data som skal rammes. Konvensjonen retter seg mot «computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed», jf. punkt 1.1 ovenfor. Bestemmelsen kan derfor ikke begrenses til å gjelde passord, men må gjelde alle former for data som kan gi tilgang til hele eller deler av et datasystem. Det er dermed uten betydning om dataene er bærere av tall, symboler eller bokstaver, om disse i kombinasjon er meningsbærende, og om dataene er kryptert. Dernest oppstår spørsmålet om hvilke former for befatningmed tilgangsdata som bør omfattes av straffebudet. Etter konvensjonen må straffebudet iallfall ramme det å selge, distribuere eller på annen måte gjøre slike data tilgjengelige for andre. Statene kan derimot velge om også produksjon, import, anskaffelse til bruk (jf. artikkel 6 nr. 1 bokstav a) og besittelse (jf. artikkel 6 nr. 1 bokstav b) skal rammes. Etter utvalgets syn er det imidlertid neppe tilstrekkelig grunn til å kriminalisere dette, og viser i den forbindelse til de prinsipielle synspunkter det ble gjort rede for i punkt 1.3.1 ovenfor. – Medvirkning straffes på samme måte, jf. konvensjonen artikkel 11 nr. 1.

Når det gjelder skyldkravet, blir spørsmålet om det bør kreves at gjerningspersonen har til hensikt å begå straffbare handlinger, slik konvensjonen legger opp til, eller om det bør være tilstrekkelig med alminnelig forsett. I NOU 2002: 4 Ny straffelov s. 168 og s. 175-176 drøfter Straffelovkommisjonen om det er grunn til å videreføre hensiktskravet i straffebud som rammer forberedelseshandlinger, slik denne bestemmelsen vil gjøre. Etter kommisjonens oppfatning bør hensiktskravet bare beholdes når den straffbare handlingen kun er straffverdig når den foretas i den hensikt straffebudet nevner. Det å spre passord mv. kan etter utvalgets oppfatning være straffverdig selv om gjerningspersonen ikke har til hensikt å begå en forbrytelse, siden forsettskravet vil innebære at han må ha holdt det for sikkert eller overveiende sannsynlig at noen vil bruke det til å begå en straffbar handling. Til dette kommer at et hensiktskrav vil skape bevisproblemer for påtalemyndigheten, som i sin tur vil kunne bidra til å redusere straffebudets praktiske betydning. Alminnelig forsett bør derfor være tilstrekkelig.

Konvensjonen angir ingen bestemt strafferammeutover å kreve at straffen skal være «effective, proportionate and dissuasive», jf. artikkel 13 nr. 1. Statene står dermed langt på vei fritt ved fastsettelsen av straffenivået. Etter utvalgets syn er det naturlig å ta utgangspunkt i at straffebudet systematisk sett rammer rene forberedelseshandlinger. Strafferammen bør derfor ikke være for høy, og iallfall ikke høyere enn strafferammen i de straffebudene som typisk vil kunne overtres ved hjelp av passordet mv. Mest praktisk er kanskje datainnbrudd og skadeverk, jf. straffeloven §§ 145 annet ledd og 291 annet ledd. Strafferammen for datainnbrudd er fengsel inntil 6 måneder, mens straffen for skadeverk er bøter eller fengsel inntil 1 år. Både hensynet til forholdsmessighet mellom lovbrudd og straff (proporsjonalitet) og hensynet til forholdsmessighet mellom straffen for ulike lovbruddstyper (ekvivalens) taler for at strafferammen i utgangspunktet settes til bøter eller fengsel i 6 måneder eller begge deler. Strafferammen vil dermed normalt ikke overstige strafferammen for noen av de lovbrudd den aktuelle forberedelseshandlingen knytter seg til, men den kan etter omstendighetene være lavere. Bakgrunnen for det er at en forberedelseshandling normalt er mindre straffverdig enn det å fullbyrde en (annen) forbrytelse. Samtidig er strafferammen høy nok til å åpne for bruk av tvangsmidler etter straffeprosessloven, slik konvensjonen forplikter oss til, jf. artikkel 14 nr. 2 bokstav a.

I enkelte særlig alvorlige tilfeller kan imidlertid en slik strafferamme bli for lav, for eksempel ved omfattende spredning av passord som gir tilgang til sensitive opplysninger. Utvalget foreslår derfor en forhøyet strafferamme på fengsel inntil 2 år i grove tilfeller. I lovutkastet er det angitt hvilke momenter det særlig skal legges vekt på ved avgjørelsen av om spredningen er grov.

Datakriminalitet har ofte et internasjonaltpreg. Mens tradisjonell kriminalitet ofte forutsetter at gjerningspersonen og den fornærmede er i nærheten av hverandre, vil datakriminalitet rettet mot norske interesser kunne begås fra en hvilken som helst datamaskin hvor som helst i verden, på tvers av landegrensene. Er en straffbar handling begått i samvirke mellom flere, kan gjerningspersonene befinne seg i hvert sitt land på gjerningstidspunktet. Undertiden kan det også være vanskelig å fastslå i hvilket land den straffbare handlingen er begått.

Disse forholdene taler etter utvalgets oppfatning for at bestemmelsen føyes til i straffeloven § 12 første ledd nr. 3. Endringen medfører at overtredelse av bestemmelsen kan straffes i Norge uavhengig av om forbrytelsen er begått i Norge eller i utlandet. Derimot vil ikke en handling begått i utlandet av en utlending kunne straffes i Norge. Fordi norske statsborgere ikke kan utleveres til land utenfor Norden, jf. utleveringsloven § 2, er det viktig å sikre at nordmenn som begår slike forbrytelser i utlandet, kan pådømmes i Norge og sone her.

2.7 Elektronisk dokumentfalsk – artikkel 7

2.7.1 Folkerettslige forpliktelser

Artikkel 7 i konvensjonen gjelder elektronisk dokumentfalsk («computer related forgery») og lyder:

«Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right, the input, alteration, deletion, or suppression of computer data, resulting in inauthentic data with the intent that it be considered or acted upon for legal purposes as if it were authentic, regardless whether or not the data is directly readable and intelligible. A Party may require an intent to defraud, or similar dishonest intent, before criminal liability attaches.»

Formålet med artikkel 7 er å sikre at elektroniske dokumenter har det samme vern mot forfalskning som fysiske dokumenter. Det grunnleggende hensynet bak bestemmelsen er behovet for å verne om dataenes integritet.

Bestemmelsen rammer det å tilføye, endre, slette eller skjule data som er ment å skulle legges til grunn i en rettslig sammenheng. Skyldkravet er forsett. Bestemmelsen åpner for at det settes som vilkår for straffansvar at forfalskningen av dataene må være utført i en bestemt hensikt («with the intent that it be considered or acted upon for legal purposes as if it were authentic»).

Data er «inauthentic» i konvensjonens forstand når de stammer fra en annen enn den angivelige utsteder, jf. den forklarende rapporten punkt 82. Statene står imidlertid fritt til å velge hvorvidt de ønsker å la autentisiteten også omfatte innholdet av dataene.

I medhold av artikkel 7 annet punktum, jf. artikkel 40, kan statene gjøre straffansvaret betinget av at gjerningspersonen har til hensikt å begå bedrageri eller en annen lignende forbrytelse.

2.7.2 Gjeldende rett

Dokumentfalsk rammes av straffeloven § 182 første ledd. Det er lagt til grunn i rettspraksis at bestemmelsen også rammer forfalskning av elektroniske dokumenter, jf. Rt. 1991 s. 532 (BBS-dommen).

Straffeloven § 182 gjelder data som er «eftergjort eller forfalsket». Data anses for å være ettergjort når de i sin helhet stammer fra andre enn den angivelige utsteder, og forfalsket når innholdet er endret, jf. Bratholm/Matningsdal, Straffeloven, s. 405-406.

Det er et krav at dataene blir benyttet som om de er ekte eller uforfalsket. Dersom utsteder av data åpent tilkjennegir at dataene er falske, rammes ikke handlingen av bestemmelsen.

De forfalskede dataene må være «benyttet» for å rammes av straffeloven § 182 første ledd. Spørsmålet om hvorvidt endring eller sletting av data innebærer at dataene blir «benyttet» i lovens forstand ble, under noe tvil, besvart bekreftende av Straffelovrådet i NOU 1985: 31 Datakriminalitets. 12. Begrunnelsen var at databehandling er automatisert, slik at forfalskningen og benyttelsen av dataene smelter sammen i én handling.

Spørsmålet ble berørt av Høyesterett i Rt. 1991 s. 532 (BBS-dommen). Saken gjaldt manipulasjon av data. Siktede byttet ut trygdemottakeres kontonummer med sine egne:

«Det er i og for seg klart at uberettigede endringer av data etter omstendighetene kan rammes som benyttelse av falsk dokument, jf drøftelsen i NOU 1985: 31 side 11-12. For byretten var det omtvistet om de forfalskede data kunne sies å være benyttet. Byretten kom til at så var tilfellet, og det er jeg enig i.»

Handlingen må være utført i «rettsstridig hensikt».

Straffeloven § 185 annet ledd rammer selve forfalskningen når den skjer i den hensikt å benytte dokumentet eller la det benytte på en straffbar måte.

2.7.3 Utvalgets vurderinger

Som påpekt i kapittel 2.7.2, rammer hovedregelen om dokumentfalsk i straffeloven § 182 bruken av et falsk eller ettergjort dokument. Konvensjonen artikkel 7 retter seg derimot mot selve forfalskningen. Utvalget er, under tvil, kommet frem til at det støtter Straffelovrådets konklusjon i NOU 1985: 31, se punkt 2.7.3, for så vidt gjelder automatiserte tilfeller, jf. Rt. 1991 s. 532. I de tilfellene der data forfalskes uten at de er del av en automatisert prosess, for eksempel ved elektronisk scanning av dokumenter, legger utvalget til grunn at handlingen rammes av straffeloven § 185 annet ledd. Etter utvalgets oppfatning er det derfor ikke nødvendig med endringer i norsk rett.

2.8 Databedrageri – artikkel 8

2.8.1 Folkerettslige forpliktelser

Konvensjonen artikkel 8 omhandler databedrageri («computer related fraud») og lyder:

«Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right, the causing of a loss of property to another person by:

  1. any input, alteration, deletion or suppression of computer data;

  2. any interference with the functioning of a computer system,

with fraudulent or dishonest intent of procuring, without right, an economic benefit for oneself or for another person.»

Artikkel 8 har som formål å sikre adgang til å strafforfølge nye former for bedrageri som den senere tids teknologiske utvikling har muliggjort. Manipulering med kredittkort er et praktisk eksempel.

Bestemmelsen forplikter konvensjonsstatene til å kriminalisere det å påføre en annen tap ved å manipulere data eller forstyrre et datasystem i den hensikt å skaffe seg eller andre økonomisk gevinst.

For det første rammes altså det å tilføye, endre, slette eller skjule data, jf. artikkel 8 bokstav a. Enhver form for manipulering av data er dermed omfattet. For det andre rammes tilfeller hvor data ikke direkte er benyttet eller påvirket av handlingen, jf. artikkel 8 bokstav b. For eksempel vil all form for manipulering av maskinvare eller programutrustning være omfattet, dersom virkningen er at datasystemet ikke fungerer som forutsatt.

Handlingen må påføre en annen fysisk eller juridisk person tap («loss of property»). Tapet må være av økonomisk karakter, og kan omfatte både penger og andre ytelser av økonomisk verdi. Det er også et krav at tapet må være en direkte følge av handlingen, jf. den forklarende rapporten punkt 88.

Videre åpner bestemmelsen for at statene stiller som vilkår for å straffe at gjerningsmannen utførte handlingen i den hensikt å skaffe seg eller andre urettmessig økonomisk gevinst.

2.8.2 Gjeldende rett

Databedrageri rammes av straffeloven § 270 første ledd nr. 2 som ble tilføyd ved lov 12. juni 1987 nr. 53. Bakgrunnen for lovendringen var et behov for å kunne straffesanksjonere bedragerilignende handlinger der ingen er forledet, for eksempel fordi prosessen er helautomatisk.

Straffeloven § 270 første ledd nr. 2 rammer den som i den hensikt å skaffe seg eller andre uberettiget vinning, rettsstridig påvirker resultatet av en automatisk databehandling og derved volder tap eller fare for tap for noen. Påvirkningen kan enten skje ved bruk av uriktige eller ufullstendige opplysninger, ved endring i data eller programutrustning eller på annen måte. Det første alternativet rammer for eksempel innmating av uriktige lønnsopplysninger i et datasystem og manipulering med bankkort. Det andre alternativet kan anvendes ved endringer i eksisterende data eller programvare.

Tapet eller faren for tap trenger ikke nødvendigvis å gjelde en bestemt person. Det er heller ikke et krav at en person er forledet, cf. § 270 første ledd nr. 1.

2.8.3 Utvalgets vurderinger

Etter utvalgets oppfatning oppfyller straffeloven § 270 første ledd nr. 2 forpliktelsene i artikkel 8. Det er derfor ikke behov for endringer i norsk rett.

2.9 Datarelatert barnepornografi – artikkel 9

2.9.1 Folkerettslige forpliktelser

Artikkel 9 i konvensjonen omhandler barnepornografi, og lyder:

  1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right, the following conduct:

    1. producing child pornography for the purpose of its distribution through a computer system;

    2. offering or making available child pornography through a computer system;

    3. distributing or transmitting child pornography through a computer system;

    4. procuring child pornography through a computer system for oneself or for another person;

    5. possessing child pornography in a computer system or on a computer-data storage medium.

  2. For the purpose of paragraph 1 above, the term «child pornography» shall include pornographic material that visually depicts:

    1. a minor engaged in sexually explicit conduct;

    2. a person appearing to be a minor engaged in sexually explicit conduct;

    3. realistic images representing a minor engaged in sexually explicit conduct.

  3. For the purpose of paragraph 2 above, the term «minor» shall include all persons under 18 years of age. A Party may, however, require a lower age-limit, which shall be not less than 16 years.

  4. Each Party may reserve the right not to apply, in whole or in part, paragraphs 1, sub-paragraphs d. and e, and 2, sub-paragraphs b. and c.

Formålet med artikkel 9 er å ramme ulike former for elektronisk produksjon, distribusjon og besittelse av barnepornografi. Bestemmelsen gjelder bare barnepornografi som er elektronisk basert. Bakgrunnen for bestemmelsen er en erkjennelse av at enhver form for tilgjengeliggjøring av barnepornografi via elektroniske nett, herunder Internett, øker faren for seksuelt misbruk av barn. Derfor er det viktig å kriminalisere alle ledd i kjeden, fra produksjon via distribusjon, til besittelse, jf. den forklarende rapporten punkt 98.

Artikkel 9 nr. 1 bokstav a rammer produksjon av barnepornografi, men bare når formålet er å distribuere pornografien via et datasystem.

Bokstav b retter seg både mot det å tilby barnepornografi og å gjøre slikt materiale tilgjengelig via et datasystem. Det første alternativet krever en oppfordring fra gjerningspersonen om å ta imot det pornografiske materialet og forutsetter at gjerningspersonen selv kan skaffe materialet, jf. den forklarende rapporten punkt 95. Det andre alternativet rammer for eksempel det å lage nettsider med barnepornografisk materiale, samt å lage, samle eller tilgjengeliggjøre hyperlenker til slike nettsider.

Bokstav c rammer distribusjon og overføring av barnepornografi via et datasystem. Distribusjon innebærer aktiv spredning til flere, mens overføring retter seg mot videresending fra en person til en annen.

I henhold til bokstav d skal konvensjonsstatene kriminalisere aktiv anskaffelse av barnepornografi for seg selv eller andre via et datasystem, for eksempel ved å laste det ned fra Internett.

Bokstav e gjelder det å besitte barnepornografisk materiale i et datasystem eller på et separat elektronisk lagringsmedium, for eksempel CD-ROM.

Begrepet «barnepornografi» er definert i artikkel 9 nr. 2. Bare data som kan gjenskapes til materiale med en visuell karakter er omfattet. Eksempler kan være stillbilder, filmer og videosnutter. Lydfiler er derimot ikke omfattet.

I henhold til artikkel 9 nr. 3 skal alle personer under 18 år anses for å være mindreårige. Aldersgrensen er i tråd med FNs barnekonvensjon artikkel 1. Mange stater opererer med lavere aldersgrenser i relasjon til barnepornografi. Statene er derfor gitt anledning til å erklære at de vil benytte en lavere aldersgrense enn 18 år, men ikke lavere enn 16 år.

Artikkel 9 nr. 4 åpner for at statene kan reservere seg mot å gjennomføre forpliktelsene i artikkel 9 nr. 1 bokstav d og e og nr. 2 bokstav b og c, jf artikkel 42.

2.9.2 Gjeldende rett

En rekke former for befatning med barnepornografi er kriminalisert i straffeloven § 204. Bestemmelsen ble endret ved lov 1. august 2003 nr. 86 som trådte i kraft 1. oktober 2003. Paragraf 204 første ledd bokstav d rammer den som produserer, innfører, besitter, overlater til en annen eller mot vederlag gjør seg kjent med barnepornografi.

Begrepet «besittelse» omfatter blant annet oppbevaring av barnepornografi på elektroniske lagringsmedier, for eksempel server, harddisk, disketter og CD-ROM. Gjerningspersonen må ha rådighet over materialet, men besittelseskravet oppstiller ikke et krav om at han må ha materialet fysisk hos seg. Plassering på et web-hotell i utlandet vil følgelig være omfattet. I henhold til forarbeidene til bestemmelsen foreligger det ikke straffbar besittelse dersom man bare leser eller ser på det barnepornografiske materialet på egen skjerm, uten at materialet er lastet ned, det vil si lagret på maskinens harddisk, jf. Ot. prp. nr. 28 (1999-2000) s. 99. I henhold til rettspraksis er det for eksempel ikke tilstrekkelig at materiale er lagret på såkalte ’Temporary Internet Files’, se dom fra Eidsivating lagmannsrett 26. september 2002.

I forarbeidene til endringslov 1. august 2003 nr. 86 legger departementet til grunn at begrepet «skildringer» også omfatter fiktive eller animerte bilder, jf. Ot.prp. nr. 45 (2002-2003) s. 55.

Barnepornografi er definert som kjønnslige skildringer i rørlige og urørlige bilder hvor det gjøres bruk av barn. Etter lovendringen 1. august 2003 er barn definert som personer som er eller fremstår som under 18 år. Ved vurderingen av om en person fremstår som under 18 år, må man ta utgangspunkt i bildematerialet for å forsøke å fastslå den avbildede personens alder. Personer over 18 år som blir fremstilt som om de er barn, for eksempel ved utkledning og sminke, omfattes ikke av definisjonen i bokstav d, jf. Ot.prp. nr. 45 (2002-2003) s. 55.

I annet ledd tredje punktum gjøres det unntak for kjønnslige skildringer som er forsvarlige ut fra et kunstnerisk, vitenskapelig, informativt eller lignende formål.

I forbindelse med lovendringen 1. august 2003 nr. 86 ble det innført en straffritaksregel i § 204 femte ledd. Straff etter første ledd bokstav d kan falle bort for den som tar og besitter et bilde av en person mellom 16 og 18 år, dersom denne har gitt sitt samtykke og de to er omtrent jevnbyrdige i alder og utvikling.

Videre rammes den som forleder noen under 18 år til å la seg avbilde som ledd i kommersiell fremstilling av rørlige og urørlige bilder med seksuelt innhold eller produserer slike fremstillinger hvor noen under 18 år er avbildet, av straffeloven § 204 første ledd bokstav f. Begrepet «med seksuelt innhold» har et videre nedslagsfelt enn begrepet «kjønnslige skildringer» og omfatter for eksempel mykpornografisk nakenfotografering, jf. Ot.prp. nr. 28 (1999-2000) s. 99.

2.9.3 Utvalgets vurderinger

Straffeloven § 204 oppfyller langt på vei forpliktelsene i artikkel 9. Imidlertid krever artikkel 9 nr. 1 bokstav d at statene straffesanksjonerer anskaffelse av barnepornografi. Selve anskaffelseshandlingen er ikke straffbar etter norsk rett. Etter utvalgets oppfatning er behovet for et eget straffalternativ som rammer anskaffelsen, overflødig ved siden av alternativene «besitter» og «innfører». Handlingen vil kunne straffes som besittelse idet materialet er lastet ned. Utvalget har derfor kommet frem til at Norge bør benytte reservasjonsadgangen i artikkel 9 nr. 4 for så vidt gjelder artikkel 9 nr. 1 bokstav d.

Artikkel 9 nr. 2 forplikter statene til å kriminalisere befatning med pornografisk materiale der en person fremstår («appearing») som barn. Etter endringen ved lov 1. august 2003 regnes en person som fremstår som under 18 år, som barn i relasjon barnepornografibestemmelsen. Utvalget mener derfor at norsk rett er i samsvar konvensjonsforpliktelsene på dette punktet.

Etter utvalgets oppfatning er det ikke nødvendig med endringer i norsk rett for å gjennomføre artikkel 9, forutsatt at reservasjonsadgangen i artikkel 9 nr. 4 benyttes.

For øvrig bemerker utvalget at det som utgangspunkt mener at enhver befatning med datarelatert barnepornografi bør kriminaliseres. Utvalget vil komme tilbake til spørsmålet i delutredning II.

2.10 Vern av opphavsrett og nærstående rettigheter - artikkel 10

Dette kapitlet ble på forespørsel fra utvalget utarbeidet av professor dr. juris Jon Bing. Utredningen ble overlevert utvalget 8. juli 2002, og er tatt inn i sin helhet:

2.10.1 Folkerettslige forpliktelser

Konvensjonens art. 10 omhandler vern av opphavsrett og nærstående rettigheter og lyder:

  1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law the infringement of copyright, as defined under the law of that Party, pursuant to the obligations it has undertaken under the Paris Act of 24 July 1971 revising the Bern Convention for the Protection of Literary and Artistic Works, the Agreement on Trade-Related Aspects of Intellectual Property Rights and the WIPO Copyright Treaty, with the exception of any moral rights conferred by such conventions, where such acts are committed wilfully, on a commercial scale and by means of a computer system.

  2. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law the infringement of related rights, as defined under the law of that Party, pursuant to the obligations it has undertaken under the International Convention for the Protection of Performers, Producers of Phonograms and Broadcasting Organisations (Rome Convention), the Agreement on Trade-Related Aspects of Intellectual Property Rights and the WIPO Performances and Phonograms Treaty, with the exception of any moral rights conferred by such conventions, where such acts are committed wilfully, on a commercial scale and by means of a computer system.

  3. A Party may reserve the right not to impose criminal liability under paragraphs 1 and 2 of this article in limited circumstances, provided that other effective remedies are available and that such reservation does not derogate from the Party’s international obligations set forth in the international instruments referred to in paragraphs 1 and 2 of this article.

Konvensjonen om «cybercrime» 1 art 10 er organisert i tre punkter. I art 10(1) angis konvensjoner som er relevante for vern av opphavsrett («infringement of copyright»), mens det i art 10(2) angis konvensjoner som er relevante for nærstående rettigheter («infringement of related rights»). Det vil si at ikke alle immaterielle rettigheter fanges opp av konvensjonen, Explanatory Report 2 pkt 109 nevner eksplisitt patentrettigheter og rettigheter knyttet til varemerker. Andre rettigheter som faller utenfor vil være rett til integrerte kretser, rett til mønster (loven vil i nær fremtid erstattes av en lov om rett til design), firmarett (som antagelig må anses som relatert til varemerker i konvensjonens forstand), goodwill mv.

I både konvensjonen art 10(1) og (2) henvises det til at det er de forpliktelser som vedkommende land har etter de nevnte konvensjonene som er aktuelle, dvs at reservasjoner mv i forhold til konvensjonene, tilsvarende begrenser forpliktelsene etter konvensjonen om «cybercrime» art 10 (jfr Explanatory Report pkt 110 in fine) .

Det er for både konvensjonen om «cybercrime» art 10(1) og 10(2) gjort unntak for ideelle rettigheter («moral rights»), eksemplifisert i Explanatory Report pkt 112 med henvising til Bernkonvensjonen art 6bis (respekt for verket, jfr åndsverkloven § 3). På samme sted henvises det til WCT 3 art 5, dette er imidlertid ikke –slik jeg forstår det – en bestemmelse om ideelle rettigheter, men en bestemmelse om databaser:

Compilations of Data (Databases)

Compilations of data or other material, in any form, which by reason of the selection or arrangement of their contents constitute intellectual creations, are protected as such ...

Bestemmelsen angir at kompilasjoner som er «intellectual creations» er vernet som sådanne, etter norsk rett vil de være vernet som samleverk, jfr åndsverkloven § 5. 4 Det er derfor litt vanskelig å forstå Explanatory Report på dette punktet, 5 men det spiller ingen stor rolle, ettersom konvensjonen jo tillater et mer vidtrekkende vern enn det minimum konvensjonen krever.

Konvensjonen art 10(1) henviser til tre andre konvensjoner for så vidt gjelder vern av opphavsrett:

Bern-konvensjonen om vern av litterære og kunstneriske verk, paristeksten av 24.7.1971. I henhold til Kgl res av 8.6.1995 ble det fattet vedtak om ratifikasjon av paristeksten, og Norge avga erklæring til WIPO 6 11.7.1995 med virkning fra 11.7.1995. Det antas at åndsverkloven oppfyller Norges forpliktelser etter Bern-konvensjonen.

Avtale om handelsrelaterte sider ved immaterielle rettigheter, 7 i henhold til Kgl res av 8.4.1994 ble denne avtalen undertegnet i Marrakesh 15.4.1994. Samtykke til ratifikasjon ble gitt ved Kgl res av 2. 2.1994 og ratifikasjonsdokumentet ble deponert i Genève 7.12.1994. 8 Etter art 9 henvises det til Bern-konvensjonens parisertekst, som medlemmene må overholde, jfr ovenfor. I tillegg spesifiseres at datamaskinprogrammer skal vernes som litterære verk (art 10(1), at databaser som møter originalitetskravet, skal vernes som åndsverk (art 10(2), for så vidt likelydende med WTC art 5 sitert ovenfor), og at rettighetshavere til datamaskinprogrammer og film (som et minimum) skal beholde rett til utleie av eksemplar til allmennheten. For så vidt gjelder datamaskinprogrammer, fremgår de samme forpliktelsene av rådets direktiv av 14.5.1991 om rettslig vern av datamaskinprogrammer, 9 og for utleie av rådets direktiv 19.11.1992 om utleie- og utlånsrettigheter samt visse nærstående rettigheter. 10 Åndsverkloven er endret på grunnlag av disse direktivene, og man må anta at forpliktelsene etter avtalen er implementert i norsk rett.

WIPO Copyright Treaty. World Intellectual Property Organization Copyright Treaty (WCT) ble vedtatt i Geneve 20.12.1996, men er – som det fremgår av Explanatory Report pkt 111 – ennå ikke trådt i kraft. Directive 200½9/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society 11 tar bl a sikte på å implementere denne traktaten. Kulturdepartementet arbeider med å fremme forslag til endring av åndsverkloven innen implementeringsfristen 22.12.2002. Som det fremgår av Explanatory Memorandum pkt 111, anses man ikke forpliktet av konvensjonen om «cybercrime» til å kriminalisere det vern som gis etter WCT forut for at WCT trer i kraft. Imidlertid er traktaten om «cybercrime» art 10 her ikke helt klar, ettersom artikkelen angår «infringement of copyright», mens WCT også omhandler forpliktelser mht rettslig beskyttelse av tekniske innretninger som verner åndsverk (art 11) og rettighetsadministrative opplysninger (art 12). Disse forpliktelsene i WCT angår ikke vern av åndsverk, og etter ordlyden skulle man vel tro at disse bestemmelsene faller utenfor traktaten om «cybercrime» art 10(1). Denne uklarheten spiller mindre rolle for Norge, ettersom man vil implementere «adequate legal protection» for krenkelse av disse bestemmelsene i henhold til InfoSoc-direktivet art 6 og 7. 12

Etter konvensjonen om «cybercrime» art 10(2) skal man også knytte strafferettslige sanksjoner til krenkelse av «related rights» eller «neighbouring rights», 13 dvs nærstående rettigheter eller naborettigheter. Dette uttrykket brukes i Norge om rettigheter som er regulert i åndsverkloven, men som ikke er opphavsrettigheter. Også her henvises det til tre andre traktater:

Roma-konvensjonen –Internasjonal konvensjon om rettsvern for de rettigheter som tilkommer utøvende kunstnere, fremstillere av fonogrammer samt kringkastingsinstitusjoner.Norge tiltrådte konvensjonen med virkning fra 10.7.1978, jfr St prp nr 141 (1976-1977) og Kgl res 28.7.1978. Da Norge tiltrådte konvensjonen, jfr St prp nr 141 (1976-1977), ble det tatt forbehold for fire forhold:

Det ble tatt forbehold om at Norge bare ville anvende art 12 for så vidt angår offentlig fremføring i ervervsøyemed (etter art 16 § 1 litra a(ii)).

Det ble tatt forbehold om at bare fonogramprodusenter som var hjemmehørende i et annet konvensjonsland, skal kunne kreve vederlag for sekundærbruk av fonogrammer her i landet (etter art 16 § 1 litra a(iii)).

Det ble tatt forbehold om å gjøre gjeldende materiell gjensidighet for så vidt angår betaling for sekundærbruk av fonogrammer. Det betyr at produsent i land A ikke får bedre vern i land B enn produsent i land B får i land A (etter art 16 § 1 litra a(iv)).

Det ble tatt forbehold om å kumulere nasjonalitets- og territorialkriteriet når det gjelder vern for kringkastingssendinger, dvs bare å verne slik sending dersom sendeselskapet har sitt hovedsete i et annet konvensjonsland og sendingen blir kringkastet fra sender i det samme landet (etter art 6 § 2).

Ved innføringen av en vederlagsrett i 1989 for utøvende kunstnere og fonogramprodusenter for sekundærfremføring i kringkasting, endret Norge sin reservasjon i henhold til art 16 § 1 litra a(ii) til å ta forbehold mot anvendelse av reglene i art 12 for alle andre sekundærfremføringer enn de som skjer i kringkasting. I tråd med det prinsipp som er nevnt ovenfor, er derfor Norges forpliktelser etter traktaten om «cybercrime» art 10(2) begrenset på samme måte.

Avtale om handelsrelaterte sider ved immaterielle rettigheter, jfr foran om detaljer. Art 14 inneholder bestemmelser om vern for utøvende kunstnere, fonogramprodusenter og kringkastere. Etter TRIPS art 14(6) kan imidlertid et medlemsland «fastsette vilkår, begrensninger, unntak og forbehold i den grad det tillates etter Roma-konvensjonen». Det antas at forpliktelsene etter TRIPS oppfylles dersom forpliktelsene etter Roma-konvensjonen er implementert i nasjonal rett.

World Intellectual Property Organisation Performances and Phonograms Treaty(WPPT) av 20.12.1996 er – i likhet med WCT – ikke trådt i kraft, og er derfor ikke forpliktende før dette tidspunkt, jfr Explanatory Memorandum pkt 111. Jeg har ikke full oversikt over bestemmelsene i denne traktaten, men vil tro at de er implementert i norsk rett som følge av Roma-konvensjonen.

Felles for de to bestemmelsene er at det gjøres gjeldende visse betingelser for at man er forpliktet til å innføre et strafferettslig vern av krenkelser:

«Wilfully». Det er bare krenkelser som er begått «wilfully» som omfattes. Dette er kommentert i Explanatory Report pkt 113, hvor det fremheves at dette brukes i stedet for «intentionally». Explanatory Report forklarer dette ved henvisning til kravet i TRIPS art 61 (sitert nedenfor).

«On a commercial scale». Det er bare krenkelser «i kommersiell målestokk» som omfattes, dette er igjen begrunnet med en henvisning til TRIPS art 61 (sitert nedenfor), jfr Explanatory Report pkt 114. I norsk opphavsrett har man vel ikke noe kriterium som svarer direkte til dette, selv om man flere steder bruker kriteriet «ervervsøyemed», som i alle fall er beslektet med «i kommersiell målestokk».

«By means of a computer system». Det er bare krenkelser foretatt ved hjelp av «a computer system» som omfattes. Dette følger vel av formålet med konvensjonen om «cybercrime», og gjør i og for seg bestemmelsene mediespesifikke. I alminnelighet vil bestemmelsene i norsk åndsverklov være medienøytrale, selv om det finnes spesialbestemmelser særlig for datamaskinprogrammer. Uttrykket «computer system» er definert i konvensjonen art 1(a) som «any device or a group of inter-connected or related devices, one or more of which, pursuant to a program, performs automatic processing of data», jfr kommentarene i Explanatory Report pkt 23-24. Dette generelle punktet er det ingen grunn til å kommentere særskilt her, og skulle heller ikke by på spesielle problemer.

Traktaten om «cybercrime» art 10(3) gir en mulighet for at det i nasjonal lovgivning ikke innføres straffereaksjoner i forhold til de krenkelser som er nevnt i art 10(1) og (2). Dette kan skje på grunnlag av to forutsetninger:

Det skjer i «limited circumstances», som eksempler nevnes i Explanatory Report pkt 116 parallellimport og utleie.

Det finnes «other effective remedies», som eksempel nevnes i Explanatory Report pkt 116 «civil and/or administrative measures».

Forutsetningen er også at man møter minstekravet i TRIPS art 61:

Medlemmene skal fastsette straffeprosessuelle og strafferettslige tiltak som skal anvendes i alle fall i tilfeller av ... piratkopiering av opphavsrettslige varer i kommersiell målestokk. Straffetiltakene skal omfatte fengsling og/eller pengebøter som er tilstrekkelige til å virke forebyggende og som er i samsvar med det straffenivå som anvendes ved forbrytelser av tilsvarende alvorlighetsgrad. Etter omstendighetene skal tiltakene også omfatte beslag, konfiskasjon og tilintetgjørelse av de ulovlige varene og av alle materialer og alt utstyr som hovedsakelig ble benyttet da forbrytelsen ble begått. Medlemmene kan fastsette straffeprosessuelle og strafferettslige tiltak som skal komme til anvendelse i andre tilfeller av krenkelse av immaterielle rettigheter, særlig når krenkelsen er forsettlig og i kommersiell målestokk.

Det er lite tvilsomt at norsk rett møter dette kravet.

2.10.2 Gjeldende rett

Som kort redegjort ovenfor, er systemet i konvensjon for «cybercrime» at den forplikter medlemslandene å ha strafferettslige sanksjoner for brudd på det vern som etableres av de konvensjonene det henvises til, med forbehold om WTC og WPPT, hvor forpliktelsen ikke anses å inntreffe før disse konvensjonene trer i kraft.

Som nevnt antas Bern-konvensjonens paristekst å være implementert i norsk åndsverklov, det samme gjelder Roma-konvensjonen. Dermed antas også forpliktelsene etter TRIPS i forhold til opphavsrettigheter og nærstående rettigheter å være oppfylt.

Hovedbestemmelsen om straff er åndsverkloven § 54:

Med bøter eller fengsel inntil tre måneder straffes den som forsettlig eller uaktsomt bryter denne lov ved:

  1. å overtre bestemmelser gitt til vern for opphavsretten i eller i medhold av 1. og 2. kapittel, bestemmelsene i § 39j eller § 41a, eller forbud nedlagt etter § 35 eller § 48, eller bestemmelser utferdiget av opphavsmannen etter § 39k andre ledd,

  2. å overtre bestemmelser gitt i eller i medhold av 5. kapittel, § 45c, § 46, § 47 eller § 48 siste ledd,

  3. å innføre eksemplar av åndsverk eller av arbeider og opptak som nevnt i § 42, § 43, § 43a, § 45 og § 45a hensikt å gjøre dem tilgjengelige for allmennheten, når eksemplarene er fremstilt utenfor riket under slike forhold at en tilsvarende fremstilling her i riket ville vært i strid med loven, eller

  4. å fremby eller på annen måte gjøre tilgjengelig for allmennheten arbeider eller opptak som er nevnt i § 42, § 43, § 43a, § 45 eller § 45a, når eksemplarene er fremstilt i strid med disse bestemmelser eller innført i strid med bokstav c i paragrafen her,

  5. å innføre eksemplar av opptak som nevnt i § 45 i den hensikt å gjøre dem tilgjengelig for allmennheten i ervervsøyemed, når tilvirkeren ikke har samtykket til innførselen og eksemplar av samme opptak med samtykke av tilvirkeren frembys her i riket. Departementet kan i forskrifter gjøre unntak fra denne bestemmelsen for innførsel av eksemplar fra nærmere bestemte land.

Den som forsettlig eller uaktsomt medvirker til overtredelse som nevnt i første ledd straffes på samme måte.

Er overtredelse som nevnt i første og annet ledd forsettlig, og foreligger det særlig skjerpende forhold, er straffen bøter eller fengsel inntil tre år. Ved vurderingen av om særlig skjerpende forhold foreligger, skal det først og fremst legges vekt på den skade som er påført rettshavere og andre, den vinning som lovovertrederen har hatt og omfanget av overtredelsen for øvrig.

Forsøk på forsettlig overtredelse som nevnt i første til tredje ledd kan straffes likt med den fullbyrdete overtredelse.

Den som forsettlig eller uaktsomt unnlater å påføre de i § 52 nevnte opplysninger på et verk som han forestår trykkingen av, straffes med bøter.

Overtredelse av tredje ledd jf fjerde ledd påtales av det offentlige. Overtredelse av de øvrige bestemmelser i paragrafen her påtales ikke av det offentlige med mindre det begjæres av fornærmede eller en organisasjon jf sjuende ledd, eller finnes påkrevd av allmenne hensyn.

Er denne lov overtrådt ved at et verk er brukt på en måte som er nevnt i § 13, § 14, § 17 fjerde ledd og § 34, kan påtale begjæres også av den organisasjon som kan inngå avtale etter § 36, så lenge fornærmede ikke motsetter seg det.

Etter åndsverkloven § 54, 1.ledd litra a henvises det til åndsverkloven kap 1, hvor man finner hovedreglene om opphavsmannens enerett, og som implementerer Bern-konvensjonen. Det henvises også til kap 2, som inneholder avgrensninger av enerettighetene til fordel for allmennheten. Det er ikke i detalj gjennomgått hvorvidt dette tilfredsstiller konvensjonen om «cybercrime», her stilles det opp et krav om strafferettslige sanksjoner for alle bestemmelsene i Bern-konvensjonens materielle del. Men det må være tillatt å anta at dette er tilstrekkelig. Det subjektive skyldkravet er forsett eller uaktsomhet, som må anses som mer enn tilstrekkelig. Kravet til at loven må ramme ervervsmessige krenkelser er oppfylt, ettersom det ikke er gjort unntak for slik utnyttelse, og det er ikke noe unntak for krenkelser i datamaskinbaserte systemer. Selv om det ikke er gjort en detaljert gjennomgang, representerer det ikke noen risiko å gå ut fra at norsk rett her allerede oppfyller kravene i konvensjonen om «cybercrime».

Etter åndsverkloven § 54, 1.ledd litra b henvises det til åndsverkloven kap 5, som inneholder hovedreglene om vern av utøvende kunstneres prestasjoner, fonogramprodusenter og kringkastere, og som implementerer Roma-konvensjonen. Bestemmelsen suppleres av åndsverkloven § 54, 1.ledd litra c og d, som rammer innføring eller markedsføring av eksemplar av åndsverk, arbeider eller opptak som er nevnt i bl a åndsverkloven § 42 (vern av utøvende kunstneres prestasjoner), åndsverkloven § 45 (fonogramprodusenters rettigheter) eller § 45a (kringkasteres rettigheter). 14 Åndsverkloven § 54, 1.ledd litra e kriminaliserer parallellimport av opptak. 15 Explanatory Report pkt 116 angir at man kan unnta dette etter konvensjonen om «cybercrime» art 10(3), men det er altså kriminalisert etter norsk rett.

For skyldkrav, kravet til at det man rammer ervervsmessige krenkelser og krenkelser ved datamaskinbaserte systemer, gjelder det samme som nevnt i forhold til åndsverkloven § 54, 1.ledd litra a. Igjen må det være lov å anta, uten en detaljert gjenomgang, at norsk rett her allerede tilfredsstiller kravene i konvensjonen om «cybercrime».

Når det gjelder WCT og WPPT er disse ikke trådt i kraft. WCT inneholder flere bestemmelser som ikke er implementert i norsk rett, og – som nevnt – er et revisjonsarbeid i gang, høringsnotat ventes I nær fremtid. Slik jeg leser WPPT, inneholder den materielle bestemmelser som allerede synes implementert gjennom Roma-traktaten (som WPPT ikke berører, jfr art 1(1)). Dette gjelder rett til å gjøre egne prestasjoner tilgjengelig for allmennheten, rett til å fiksere slike prestasjoner, rett til eksemplarfremstilling, rett til utleie, og rett til å gjøre opptak tilgjengelig for allmennheten. Det kan imidlertid ikke utelukkes at man ved en nærmere tolkning finner detaljer som krever justeringer i norsk rett.

2.10.3 Behov for endringer i norsk rett

Etter gjennomgangen ovenfor, foreligger det – slik jeg ser det – ikke behov for endringer i norsk rett for å implementere traktaten om «cybercrime». Unntaket er forpliktelsene i forhold til WCT, her forutsetter imidlertid traktatens Explanatory Report at forpliktelsen ikke inntrer før traktaten trer i kraft. Dessuten arbeider Kulturdepartementet for tiden med implementering av InfoDoc-direktivet, som igjen antas å tilfredsstille kravene etter WCT. I så måte må det være tilstrekkelig for utvalget å påpeke behovet for implementering av WCT i norsk rett, og understreke at man forutsetter at den pågående revisjonen vil ta hensyn til dette.

2.10.4 Utvalgets kommentar

Utvalget slutter seg til professor Jon Bings vurderinger.

2.11 Medvirkning og forsøk – artikkel 11

2.11.1 Folkerettslige forpliktelser

Artikkel 11 i konvensjonen omhandler forsøk og medvirkning og lyder:

  1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, aiding or abetting the commission of any of the offences established in accordance with Articles 2 through 10 of the present Convention with intent that such offence be committed.

  2. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, an attempt to commit any of the offences established in accordance with Articles 3 through 5, 7, 8, and 9.1.a and c. of this Convention.

  3. Each Party may reserve the right not to apply, in whole or in part, paragraph 2 of this article.»

Artikkel 11 nr. 1 forplikter statene til å kriminalisere medvirkning («aiding or abetting») til straffbare handlinger som nevnt i artikkel 2 til 10 i konvensjonen. I henhold til den forklarende rapporten punkt 119 kan det kreves at medvirkeren har forsett med hensyn til utførelsen av den straffbare handlingen. For eksempel rammes ikke en tjenestetilbyder av bestemmelsen dersom tjenestetilbyderen ikke handlet forsettlig, selv om vedkommendes tjenester muliggjorde en straffbar handling utført for eksempel på Internett.

Etter artikkel 11 nr. 2 forpliktes statene til å kriminalisere forsøk («attempt») på straffbare handlinger som nevnt i artiklene 3, 4, 5, 7, 8 og 9 nr. 1 bokstav a og bokstav c.

Det er opp til statene å fastlegge innholdet av medvirknings- og forsøksansvaret.

Det følger av artikkel 11 nr. 3 at statene er gitt adgang til å reservere seg mot å gjennomføre hele eller deler av artikkel 11 nr. 2, jf. artikkel 42.

2.11.2 Gjeldende rett

Straffebestemmelsene som er relevante for gjennomføringen av konvensjonen, står i straffelovens kapittel om forbrytelser. Dermed er forsøk på overtredelse straffbart, jf. straffeloven § 49 første ledd. Videre følger det av alle de aktuelle straffebudene at medvirkning er straffbart.

2.11.3 Utvalgets vurderinger

Etter utvalgets oppfatning er det ikke behov for endringer i norsk rett for å kunne ratifisere konvensjonen.

2.12 Foretaksstraff – artikkel 12

2.12.1 Folkerettslige forpliktelser

Artikkel 12 i konvensjonen gjelder foretaksstraff og lyder:

  1. Each Party shall adopt such legislative and other measures as may be necessary to ensure that legal persons can be held liable for a criminal offence established in accordance with this Convention, committed for their benefit by any natural person, acting either individually or as part of an organ of the legal person, who has a leading position within it, based on:

    1. a power of representation of the legal person;

    2. an authority to take decisions on behalf of the legal person;

    3. an authority to exercise control within the legal person.

  2. In addition to the cases already provided for in paragraph 1 of this article, each Party shall take the measures necessary to ensure that a legal person can be held liable where the lack of supervision or control by a natural person referred to in paragraph 1 has made possible the commission of a criminal offence established in accordance with this Convention for the benefit of that legal person by a natural person acting under its authority.

  3. Subject to the legal principles of the Party, the liability of a legal person may be criminal, civil or administrative.

  4. Such liability shall be without prejudice to the criminal liability of the natural persons who have committed the offence.»

Bestemmelsen pålegger statene å gi regler som åpner for at juridiske personer kan holdes ansvarlige for kriminelle handlinger som er utført til fordel for foretaket.

Fire kumulative vilkår må være oppfylt for at forpliktelsen i artikkel 12 skal inntre: For det første gjelder forpliktelser i artikkel 12 nr. 1 bare juridiske personers overtredelser av straffebud som gjennomfører forpliktelsene i artikkel 2 til 11. Videre må handlingen være utført til fordel for foretaket. Handlingen må for det tredje være utført av en fysisk person i en ledende stilling som enten opptrer individuelt eller som del av et selskapsorgan. Medvirkning er også omfattet. For det fjerde må den fysiske personen enten ha rett til å representere foretaket, jf. bokstav a, eller rett til å treffe avgjørelser på vegne av foretaket, jf. bokstav b, eller rett til å utøve kontroll innen foretaket, jf. bokstav c.

Etter artikkel 12 nr. 2 skal foretaksstraff kunne anvendes når en handling er begått av en person som er underordnet lederen. Bestemmelsen fastsetter tre kumulative vilkår for at forpliktelsen skal inntre. For det første må overtredelsen være begått av en underordnet. Overtredelsen må for det andre være begått til fordel for foretaket. Og for det tredje må manglende kontroll eller oppfølging fra en fysisk person i en ledende stilling, jf. nr. 1, ha muliggjort overtredelsen. Med det tredje vilkåret siktes det til unnlatelse av å ta hensiktsmessige og rimelige forholdsregler for å forhindre at ansatte begår lovbrudd på vegne av foretaket, jf. den forklarende rapporten punkt 125.

Ansvar for foretak oppstår bare dersom den ledende personen eller den underordnede har «acted within the scope of their authority», jf. den forklarende rapporten punkt 125.

Statene kan velge om foretaksansvaret skal være strafferettslig eller sivilrettslig, jf. artikkel 12 nr. 3. Et vilkår er imidlertid at sanksjonen må tilfredsstille kravene i artikkel 13 nr. 2.

Det følger av artikkel 12 nr. 4 at bruk av foretaksansvar ikke kan ekskludere personlig straffansvar.

2.12.2 Gjeldende rett

I henhold til straffeloven § 48 a kan et foretak straffes dersom «et straffebud er overtrådt av noen som har handlet på vegne av et foretak». Med «foretak» menes selskap, forening eller annen sammenslutning, enkeltpersonforetak, stiftelse, bo eller offentlig virksomhet, jf. § 48 a annet ledd. Bestemmelsen krever ikke at en enkeltperson kan stilles til ansvar for overtredelsen. Både kumulative og anonyme feil omfattes.

Overtredelsen må være begått av noen som handlet på «vegne av foretaket». Vilkåret innebærer i utgangspunktet krav om et tilknytningsforhold som gir foretaket en reell instruksjons- og kontrollmulighet. Et ordinært ansettelsesforhold er normalt tilstrekkelig, mens oppdragstakere som er selvstendige næringsdrivende i utgangspunktet ikke kan pådra foretak ansvar. Unntak kan imidlertid tenkes dersom foretakets instruksjons- og kontrollmulighet er reell, jf. Rt. 1982 s. 645.

Straffansvaret er fakultativt. Selv om vilkårene for foretaksstraff er til stede, er det opp til retten å vurdere hvorvidt et foretak skal ilegges straff i den enkelte sak. Straffeloven § 48 b bokstavene a til g oppstiller retningslinjer for når foretaksstraff bør ilegges. De samme momentene har også betydning for straffeutmålingen.

2.12.3 Utvalgets vurderinger

Utvalget legger til grunn at personkretsen som kan pådra et foretak straffansvar, er videre etter norsk rett enn det som følger av konvensjonen. For eksempel gjelder konvensjonen bare personer i en ledende stilling og ansatte underlagt deres kontroll. Konvensjonen synes også, i motsetning til norsk rett, å stille krav til at gjerningspersonen må kunne identifiseres. Videre gjelder forpliktelsen i artikkel 11 bare handlinger begått til fordel for foretaket. Norsk rett krever derimot bare at handlingen må være begått av noen som har handlet på vegne av foretaket.

Etter både konvensjonen og norsk rett er bruken av foretaksstraff fakultativ.

Etter utvalgets oppfatning er det derfor ikke nødvendig med endringer i norsk rett.

2.13 Tiltak og sanksjoner – artikkel 13

2.13.1 Folkerettslige forpliktelser

Artikkel 13 i konvensjonen omhandler tiltak og sanksjoner og lyder:

  1. Each Party shall adopt such legislative and other measures as may be necessary to ensure that the criminal offences established in accordance with Articles 2 through 11 are punishable by effective, proportionate and dissuasive sanctions, which include deprivation of liberty.

  2. Each Party shall ensure that legal persons held liable in accordance with Article 12 shall be subject to effective, proportionate and dissuasive criminal or non-criminal sanctions or measures, including monetary sanctions.»

Artikkel 13 nr. 1 forplikter statene til å straffe overtredelser av straffebud som er fastsatt i samsvar med artikkel 2 til 11, med effektive, forholdsmessige og forebyggende sanksjoner, herunder straff som innebærer frihetsberøvelse. Sanksjonene skal gjenspeile den alvorlige karakteren av denne typen overtredelser, jf. den forklarende rapporten punkt 128.

Videre skal statene i henhold til artikkel 13 nr. 2 påse at juridiske personer som holdes ansvarlig i medhold av artikkel 12, omfattes av effektive, forholdsmessige og forebyggende strafferettslige eller ikke-strafferettslige sanksjoner, herunder økonomiske sanksjoner.

Det er opp til statene å vurdere hvilke sanksjoner som vil være effektive, forholdsmessige og forebyggende.

2.13.2 Gjeldende rett

Det er adgang til å idømme fengselsstraff ved overtredelser av alle de norske straffebudene som rammer handlinger som beskrevet i artikkel 2 til 11. Videre kan foretak ilegges bøter, jf. straffeloven § 48 a.

2.13.3 Utvalgets vurderinger

Siden samtlige relevante norske straffebestemmelser åpner for bruk av fengselsstraff, tilfredsstiller norsk rett etter utvalgets oppfatning konvensjonens krav. Etter utvalgets oppfatning er det derfor ikke behov for lovendringer.

Strafferammene vil for øvrig bli vurdert når utvalget tar fatt på arbeidet med delutredning II.

Fotnoter

1.

Convention on Cybercrime, European Treaty Series no 185.

2.

Council of Europe, Convention of Cybercrime – Explanatory Report adopted 8 November 2001.

3.

Jfr straks nedenfor for full referanse.

4.

Dette er et vern quaåndsverk, databaser vernes også etter en nærstående rettighet som ”kataloger” der hvor kravene til verkshøyde ikke er oppfylt, jfr åndsverkloven § 43. Dette faller utenfor konvensjonens område fordi det er en nærstående rettighet det ikke er henvist til i oversikten i art 10(2), jfr nedenfor.

5.

Jeg finner ikke noen bestemmelse i WCT som synes å verne ideelle rettigheter direkte.

6.

World Intellectual Property Organisation, som administrerer Bern-konvensjonen.

7.

Trade-Related Aspects of Intellectual Property Rights, ofte omtalt som TRIPS, en av de grunnleggende avtalene for Verdens handelsorganisasjon (WTO).

8.

Det vises til St prp nr 65 (1993-1994), Innst S nr 43 (1994-1995) samt Stortingsvedtak av 30.11.1994.

9.

91/250/EØF.

10.

92/100/EØF.

11.

OJ L 167/10, i Norge gjerne omtalt som InfoSoc-direktivet.

12.

Det antas at dette i nasjonal rett vil få en utforming som ikke er svært forskjellig fra åndsverkloven § 54a, som gir et strafferettslig vern mot krenkelse av tekniske innretninger for beskyttelse av datamaskinprogrammer.

13.

Jfr Explanatory Memorandum pkt 108.

14.

Bestemmelsen nevner også åndsverkloven § 43, som angir sui generisvernet for databaser (katalogregelen) og § 43a som gir vern til et fotografisk bilde (til forskjell fra et fotografisk verk). Det er ikke krav i konvensjonen om ”cybercrime” at dette skal vernes.

15.

Det har vært tvil om hvorvidt dette også omfatter videogrammer, etter kjennelse i Borgarting lagmannsrett av 15.12.1999, jfr Lov & Data 61/2000, må man anta at også slik parallellimport rammes.

Til forsiden