Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Ot.prp. nr. 40 (2004-2005)

    Om lov om endringer i straffeloven og straffeprosessloven og om samtykke til ratifikasjon av Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi (lovtiltak mot datakriminalitet)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    4 Konvensjonens bestemmelser om straffeprosessuelle spørsmål

    4.1 Innledning

    Norsk straffeprosess er på de fleste punkter i samsvar med de krav konvensjonen stiller. Datakrimutvalget la således til grunn at det ikke var behov for andre lovendringer enn dem som artikkel 16, 17 nr. 1 bokstav b og 19 nr. 4 gjør nødvendig, noe høringsinstansene har sluttet seg til. Departementet er enig i dette. Forpliktelsene i artikkel 18 til 21 er allerede gjennomført i straffeprosessloven kapittel 15 (ransaking), kapittel 16 (beslag og utleveringspålegg) og kapittel 16 a (avlytting og annen kontroll av kommunikasjonsanlegg). En nærmere gjennomgåelse av konvensjonens straffeprosessuelle bestemmelser og av de tilsvarende norske bestemmelsene, er gitt i utredningens punkt 3.

    I det følgende går departementet først inn på bestemmelsene om sikringspålegg i artikkel 16 og 17, jf. punkt 4.2 nedenfor. Bestemmelsen om opplysningsplikt under ransaking i artikkel 19 nr. 4, blir behandlet i punkt 4.3.

    4.2 Midlertidig sikring av lagrete data (sikringspålegg)

    4.2.1 Konvensjonsforpliktelsen

    4.2.1.1 Artikkel 16

    Artikkel 16 gjelder midlertidig sikring av elektronisk lagrede data og lyder slik:

    1. «Each Party shall adopt such legislative and other measures as may be necessary to enable its competent authorities to order or similarly obtain the expeditious preservation of specified computer data, including traffic data, that has been stored by means of a computer system, in particular where there are grounds to believe that the computer data is particularly vulnerable to loss or modification.

    2. Where a Party gives effect to paragraph 1 above by means of an order to a person to preserve specified stored computer data in the person's possession or control, the Party shall adopt such legislative and other measures as may be necessary to oblige that person to preserve and maintain the integrity of that computer data for a period of time as long as necessary, up to a maximum of ninety days, to enable the competent authorities to seek its disclosure. A Party may provide for such an order to be subsequently renewed.

    3. Each Party shall adopt such legislative and other measures as may be necessary to oblige the custodian or other person who is to preserve the computer data to keep confidential the undertaking of such procedures for the period of time provided for by its domestic law.

    4. The powers and procedures referred to in this article shall be subject to Articles 14 and 15.»

    Bestemmelsen gir regler om midlertidig sikring av data som antas å ha betydning som bevis i en straffesak. Et pålegg om sikring vil kunne sikre at viktig bevismateriale ikke går tapt, men gir ikke rett til å få dataene utlevert. Størst praktisk betydning får bestemmelsen derfor for data som foreløpig ikke kan kreves utlevert. Regler om utleveringspålegg er gitt i artikkel 18.

    Bestemmelsen omfatter alle former for data som er elektronisk lagret, både trafikkdata og innholdsdata. Et sikringspålegg kan imidlertid bare rette seg mot data som er lagret på sikringstidspunktet. Konvensjonen forplikter ikke til å innføre generelle regler om lagringsplikt, og heller ikke til å sikre fremtidige data. Pålegget må dessuten være spesifisert og rette seg mot nærmere angitte data. Artikkel 16 åpner ikke for sikring av alle de data som den pålegget retter seg mot, har i sin besittelse eller har kontroll over. Data som er under overføring faller utenfor bestemmelsens virkeområde. Regler om innhenting av slike data er gitt i artikkel 20 og 21.

    Et sikringspålegg vil innebære en plikt til å sikre integriteten av dataene. Konvensjonsstatene står fritt til å velge hvordan dataene praktisk sett skal sikres. Dataene kan fryses slik at brukeren ikke får tilgang til dem, eller det kan tas en sikringskopi. Konvensjonen er ikke til hinder for at brukeren gis tilgang til dataene eller kopier av dem under sikringsperioden.

    Et sikringspålegg skal ikke gjelde for et lengre tidsrom enn nødvendig, og uansett ikke for mer enn 90 dager om gangen, jf. artikkel 16 nr. 2. Det er opp til konvensjonsstatene å avgjøre om et sikringspålegg skal kunne forlenges ved utløpet av en sikringsperiode.

    Besluttes et sikringspålegg etter anmodning fra en fremmed stat, følger det av artikkel 29 nr. 7 at dataene skal sikres i minst 60 dager. Formålet er å gi den anmodende stat tid og anledning til å ta de nødvendige skritt for å skaffe seg tilgang til dataene.

    Etter artikkel 16 nr. 3 er partene forpliktet til å gi bestemmelser som pålegger den som sikringspålegget retter seg mot, taushetsplikt om at det har vært foretatt midlertidig sikring av data. Dersom det er en tredjeperson som har sørget for sikring, skal taushetsplikten hvile også på ham. Bestemmelsen varetar dels personvernhensyn, og dels hensynet til den videre etterforskningen.

    4.2.1.2 Artikkel 17

    Artikkel 17 gir særregler om trafikkdata og lyder:

    1. «Each Party shall adopt, in respect of traffic data that is to be preserved under Article 16, such legislative and other measures as may be necessary to:

      1. ensure that such expeditious preservation of traffic data is available regardless of whether one or more service providers were involved in the transmission of that communication; and

      2. ensure the expeditious disclosure to the Party's competent authority, or a person designated by that authority, of a sufficient amount of traffic data to enable the Party to identify the service providers and the path through which the communication was transmitted.

    2. The powers and procedures referred to in this article shall be subject to Articles 14 and 15.»

    Artikkel 17 nr. 1 bokstav a innebærer at trafikkdata må kunne sikres midlertidig også i de tilfeller hvor flere tjenestetilbydere er involvert i en kommunikasjonsoverføring. Slik sikring vil kunne lette arbeidet med å spore hvor dataene kom fra, og hvor de eventuelt ble sendt til. Uttrykket «trafikkdata» skal tolkes i samsvar med definisjonen i artikkel 1 bokstav d.

    Et sikringspålegg innebærer som nevnt ikke at myndighetene får tilgang til dataene. Vedkommende myndighet vil derfor ikke vite om andre tjenestetilbydere har vært involvert i dataoverføringen, og hvilke tilbydere det i tilfelle er tale om. Siden trafikkdata ofte blir slettet etter relativt kort tid, kan det føre til at viktige bevis går tapt. Artikkel 17 nr. 1 bokstav b åpner derfor for at myndighetene umiddelbart skal gis tilgang til trafikkdata i den utstrekning det er nødvendig for å avklare om andre tjenestetilbydere har vært involvert.

    4.2.2 Gjeldende rett

    I norsk rett finnes det ingen direkte parallell til artikkel 16 og 17 nr. 1 bokstav a. Riktignok kan påtalemyndigheten etter straffeprosessloven § 216 treffe visse tiltak for å sikre bevis, men det er tvilsomt om denne bestemmelsen har noen praktisk betydning i denne sammenheng, og den er uansett ikke i seg selv tilstrekkelig til å oppfylle konvensjonens forpliktelser. Heller ikke § 211 annet ledd, som gjelder pålegg til styrer av post- eller telegrafstasjon om å holde sendinger tilbake inntil en uke, er på noen måte tilstrekkelig i forhold til konvensjonen.

    Når det derimot gjelder artikkel 17 nr. 1 bokstav b om utlevering av trafikkdata, antar departementet at konvensjonsforpliktelsen i utgangspunktet dekkes av straffeprosessloven § 210 om utleveringspålegg. Etter denne bestemmelsen kan retten, og i hastetilfeller også påtalemyndigheten, kreve å få utlevert «[t]ing som antas å ha betydning som bevis». Det er sikker rett at utleveringsplikten også omfatter elektronisk lagrede opplysninger, herunder trafikkdata, jf. Rt. 1992 s. 904.

    Utleveringspålegg kan bare rettes mot personer som har vitneplikt, jf. straffeprosessloven § 210. I henhold til § 118 kan retten ikke ta imot forklaring som et vitne ikke kan gi uten å krenke lovbestemt taushetsplikt. Lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven) § 2-9 første ledd fastsetter taushetsplikt for «innholdet av elektronisk kommunikasjon og andres bruk av elektronisk kommunikasjon, herunder opplysninger om tekniske innretninger og fremgangsmåter», og omfatter dermed både trafikkdata og andre former for data. Taushetsplikten er likevel ikke til hinder for at det gis opplysninger til politiet eller påtalemyndigheten om avtalebasert hemmelig telefonnummer eller andre abonnementsopplysninger, samt elektronisk kommunikasjonsadresse, jf. ekomloven § 2-9 tredje ledd.

    Bevisforbudet etter straffeprosessloven § 118 gjelder imidlertid ikke ubetinget. Etter bestemmelsens første ledd første punktum kan departementet samtykke i at vitnet gis anledning til å forklare seg uten hinder av taushetsplikten. Samtykke kan bare nektes dersom forklaringen vil kunne utsette staten eller allmenne interesser for skade eller virke urimelig overfor den som har krav på hemmelighold, jf. annet punktum. Samferdselsdepartementet har i vedtak 23. juni 1995 nr. 39 delegert kompetansen til Post- og teletilsynet. En tilbyder har dermed plikt til å utlevere elektronisk lagrede data etter straffeprosessloven § 210 i den utstrekning Post- og teletilsynet samtykker.

    På visse vilkår kan retten bestemme at underretning om utleveringspålegg kan utsettes, jf. straffeprosessloven § 210 a.

    4.2.3 Er det behov for lovendringer?

    Datakrimutvalget la til grunn i sin utredning at straffeprosessloven § 216 ikke fullt ut oppfyller forpliktelsene i artikkel 16 og 17 nr. 1 bokstav a, og at det derfor uten videre er klart at konvensjonens bestemmelser om midlertidig sikring av data gjør det nødvendig med lovendringer.

    Derimot var utvalget mer i tvil om det er nødvendig å endre straffeprosessloven § 210 for å oppfylle forpliktelsen i artikkel 17 nr. 1 bokstav b om utlevering av trafikkdata. Adgangen til å gi utleveringspålegg overfor tjenestetilbydere er som nevnt betinget av at Post- og teletilsynet gir fritak fra taushetsplikten etter ekomloven § 2-9 første ledd. Skal denne ordningen videreføres, vil tilsynet i tilfelle måtte gi fritak i alle de saker som faller innenfor artikkel 17 nr. 1 bokstav b, og det vil innbære at tilsynsfunksjonen blir uten realitet. Etter utvalgets syn er det lite å vinne på en slik ordning, og det foreslo i stedet en egen bestemmelse om utlevering av visse trafikkdata.

    Ingen av høringsinstansene er uenige i utvalgets vurderinger på dette punkt.

    Etter departementets syn er det ikke tvilsomt at artikkel 16 og 17 nr. 1 bokstav a gjør det nødvendig med lovendringer i norsk rett. Departementet er videre enig med utvalget i at det bør gis en særskilt bestemmelse om utlevering av trafikkdata som nevnt i artikkel 17 nr. 1 bokstav b. Departementet understreker at det her ikke er tale om å innføre noen generell lagringsplikt for trafikkdata. Om det er behov for en slik ordning, vil bli nærmere vurdert som et ledd i Datakrimutvalgets arbeid med en ny delutredning.

    4.2.4 Nærmere om utformingen av bestemmelsen

    4.2.4.1 Utvalgets forslag

    I utredningen forslås det at artikkel 16 og 17 bør gjennomføres i en ny bestemmelse i straffeprosessloven, jf. side 37 flg.

    Utvalget drøfter først hvilke former for data som bestemmelsen skal omfatte, og konkluderer med at alle former for data, inkludert e-post og andre former for innholdsdata, bør med.

    Utvalget vurderer om det skal kreves mistanke om en straffbar handling for at sikringspålegget skal kunne utferdiges, eventuelt om mistankekravet skal være kvalifisert (for eksempel i form av «skjellig» grunn til mistanke). Utvalget kommer til at det bør oppstilles et mistankekrav, og understreker at mistanken må bygge på objektive holdepunkter. Noe kvalifisert mistankekrav går utvalget imidlertid ikke inn for.

    Et særlig spørsmål er om adgangen til å utferdige sikringspålegg bør variere avhengig av om pålegget retter seg mot innholdsdata eller trafikkdata, jf. utredningen side 38:

    «For den mistenkte vil nok sikring av privat e-post eller andre opplysninger av utpreget personlig karakter, lett fremstå som mer inngripende enn for eksempel sikring av visse former for trafikkdata. [...] Hvor stort personverninngrep det her er tale om, vil imidlertid variere etter hvilke opplysninger sikringen gjelder, hvem som har eller gis tilgang til opplysningene og hvor lenge opplysningene skal lagres.»

    Utvalgets flertall mener på denne bakgrunn at det bør trekkes et skille mellom trafikkdata og andre former for data:

    «Selv om også trafikkdata kan gi opplysninger om forhold av privat karakter, vil nok et sikringspålegg som retter seg mot ulike former for innholdsdata, normalt utgjøre et større inngrep i den mistenktes personvern. Især gjelder dette om pålegget retter seg mot innholdet av en e-post, vedlegg til en e-post eller andre private forsendelser. Sikring av e-post hos en tjenestetilbyder kan langt på vei sammenliknes med det å åpne og ta kopi av brev på et postkontor. I straffeprosessloven §§ 211 og 212 er det gitt særlige regler om beslag av postsendinger som besittes av en postoperatør, og bygger på det syn at posthemmeligheten fortjener et særlig vern, jf. også Den europeiske menneskerettskonvensjon artikkel 8 nr. 1 som er inkorporert i norsk rett ved lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven) § 2. Flertallet antar derfor at adgangen til å sikre innholdsdata bør være noe snevrere enn adgangen til å sikre trafikkdata. Etter flertallets syn bør derfor sikring av andre data enn trafikkdata bare kunne skje ved mistanke om en straffbar handling med en høyere strafferamme enn fengsel i 6 måneder. Flertallet foreslår å gjøre unntak fra strafferammekravet ved mistanke om overtredelse av straffeloven § 390 a. Strafferammen i § 390 a er bøter eller fengsel inntil 6 måneder. Kravet til høyere strafferamme enn fengsel i 6 måneder er derfor ikke oppfylt. Flertallet mener at det likevel bør være adgang til å utferdige sikringspålegg ved mistanke om overtredelse av denne bestemmelsen. Sikringspålegg vil etter flertallets oppfatning være praktisk fordi overtredelser av § 390 a ofte skjer ved hjelp av et datasystem, for eksempel ved bruk av e-post.»

    Utvalgets mindretall (Sunde) foreslår for sin del at strafferammekravet bare bør knyttes til midlertidig sikring av e-post:

    «Flertallets begrunnelse refererer seg til hensynet til posthemmeligheten. Vilkåret burde derfor vært begrenset til å gjelde sikringspålegg i e-post, og ikke gjelde data generelt. Reglene om sikringspålegg bør uansett ses i sammenheng med reglene om beslag og utleveringspålegg. En begrensning til e-post slik dette medlemmet foreslår, vil gi god sammenheng til beslagsregelen i straffeprosessloven § 211, som setter som vilkår for beslag i post (og e-post) at mistanken gjelder et straffbart forhold som etter loven kan medføre straff av fengsel i mer enn 6 måneder. For innholdsdata av annen art som for eksempel news-meldinger, web-sider, ulovlig pornografi, opphavsrettslig beskyttet materiale, word-filer osv., gjelder det en generell beslagsadgang, jf. straffeprosessloven § 203. Harmonihensyn tilsier at det ikke bør gjelde strengere vilkår for bruk av sikringspålegg enn for beslag, siden sikringspålegg er et mindre inngripende tiltak enn beslag. Dette medlemmet kan heller ikke se at det er foreligger reelle grunner som i seg selv skulle begrunne et slikt strafferammevilkår i regelen om sikringspålegg.»

    I tillegg til disse konkrete bemerkningene, føyer hun til en mer generell refleksjon:

    «Videre har mindretallet en kommentar av prinsipiell art. Dette medlemmet mener at flertallets vurderinger i for stor grad er knyttet opp til en forutsetning om at etterforskingen gjelder en bestemt mistenkt, mens reglene om sikringspålegg antakelig vil ha sin største betydning i saker med ukjent gjerningsperson, dvs. at man har holdepunkter for at en straffbar handling er begått, men man vet ikke av hvem. Dette er den typiske situasjon ved etterforsking av datainnbrudd, spredning og nedlasting av bilder av seksuelle overgrep mot barn via internett, sjikane og rasistiske ytringer ved bruk av elektroniske kommunikasjonstjenester, ulovlig distribusjon av opphavsrettslig beskyttet materiale mv. Flertallets merknader om underretning, spesifikasjon av mistanke og av data som skal kreves sikret, må leses med forbehold om at man ikke har tenkt på denne situasjonen.»

    Utvalget går inn for at påtalemyndigheten bør få kompetanse til å pålegge sikring, jf. utredningen side 39. Det er ikke behov for noen domstolsavgjørelse fordi pålegget ikke medfører at politiet får tilgang til dataene som er sikret.

    Spørsmålet om hvilke plikter som følger av et gyldig sikringspålegg, kommenteres slik av utvalget:

    «Etter artikkel 16 nr. 2 skal et sikringspålegg innebære en plikt til å 'maintain the integrity of that computer data for a period of time'. Konvensjonen angir ikke på hvilken måte sikringen skal skje, såfremt dataene beskyttes mot 'anything that would cause its current quality or condition to change or deterioate' for å unngå utilsiktet 'modification, deteriotation or deletion', jf. den forklarende rapporten punkt 159. Sikring kan skje ved at det tas kopi av de dataene saken gjelder, eller ved at dataene gjøres utilgjengelige for andre enn den pålegget retter seg mot. Hvilken form for sikring som er mest hensiktsmessig, vil bero på omstendighetene og den tekniske utviklingen. Hensynet til teknologinøytralitet taler for at heller ikke den norske gjennomføringsbestemmelsen angir noe bestemt om hvordan dataene skal sikres. Den pålegget retter seg mot vil dermed selv kunne velge hvordan sikringen skal gjennomføres innenfor de muligheter som finnes, såfremt dataenes integritet, tilgjengelighet og autensitet blir ivaretatt.»

    Utvalget går inn for at den som opplysningene knytter seg til, forutsatt at dette er en bestemt person, skal gis underretning om sikringspålegget, jf. utredningen side 40:

    «Som tidligere nevnt, vil et sikringspålegg innebære at det innhentes og lagres opplysninger om den sikringen retter seg mot, uten at vedkommende har gitt sitt samtykke til lagringen. Mener den mistenkte at vilkårene for bruk av sikringspålegg ikke er oppfylt, taler rettssikkerhetshensyn for at han bør gis anledning til å ta til gjenmæle. [...] Hensynet til etterforskningen taler [imidlertid] for at den mistenkte ikke bør ha krav på underretning allerede før sikringspålegget settes i verk. Den mistenkte bør heller ikke ha krav på underretning før eventuelle frister for utsatt underretning etter straffeprosessloven §§ 200a, 202e, 208a eller 210a har utløpt. I motsatt fall ville den mistenkte bli oppmerksom på at det pågår en etterforskning mot ham. Derimot kan det ikke være grunn til å vente helt til saken er endelig avgjort.»

    Etter utvalgets syn bør en mistenkt ha krav på underretning fra det tidspunkt han får status som siktet i saken, jf. straffeprosessloven § 82. Utvalget går også inn for at en beslutning om bruk av sikringspålegg bør kunne prøves av domstolene, jf. utredningen side 40.

    Når det gjelder bestemmelsen om utlevering av visse trafikkdata etter artikkel 17 nr. 1 bokstav b, foreslår utvalgets flertall at forpliktelsen gjennomføres slik at politiet etter en særskilt bestemmelse skal få tilgang til opplysninger som er nødvendige for å avdekke hvor de aktuelle dataene kom fra eller ble sendt til. Utvalgets mindretall (Sunde) mener at utleveringsplikten bør skjerpes slik at tilbydere plikter å etterkomme utleveringspålegget «straks», jf. utredningen side 40, siden dette er i bedre samsvar med konvensjonen.

    4.2.4.2 Høringsinstansenes syn

    De eneste instansene som uttaler seg om hvordan den norske gjennomføringsbestemmelsen bør utformes, er Den Norske Advokatforening og Oslo politidistrikt. Begge er kritiske til utvalgets forslag om hvilke vilkår sikringen skal være betinget av.

    Den Norske Advokatforening går imot et skille mellom innholdsdata og trafikkdata, og vil heller ikke ha særregler om e-post. Foreningen går i stedet inn for at mistankekravet kvalifiseres slik at det kreves «skjellig grunn» til mistanke før sikringspålegg kan gis:

    «Et slikt krav vil imøtese de personvernmessige hensyn som foreligger. Etter vår oppfatning er 'skjellig grunn' er rettslig standard, og innholdet i dette kravet vil variere noe ut fra om det er tale om pålegg om sikring eller andre tvangsmidler så som beslag. Det må således legges til grunn at selv om man benytter den samme rettslige standarden, vil terskelen for sikringspålegg i praksis være lavere. Videre er standarden godt kjent og godt egnet til å ta opp i seg de vurderingene som måtte ligge bak ønskene om å særbehandle innholdsdata og profesjonelle aktører.

    [...]

    Advokatforeningen finner videre at det bør gjelde en strafferamme på mer enn 6 måneder for sikringspålegg.»

    Oslo politidistrikt slutter seg til forslaget fra mindretallet i utvalget.

    4.2.4.3 Departementets syn

    Etter departementets syn må de nye reglene om sikringspålegg utformes i lys av reglene om beslag i §§ 203 flg. Reglene har til felles at de tar sikte på sikre bevis til bruk i en etterfølgende straffesak. Til forskjell fra beslag får imidlertid påtalemyndigheten ikke rådighet over dataene, og dette gjør sikringspålegg til et mindre inngripende tvangsmiddel enn beslag. For at de nye reglene skal få noen selvstendig betydning ved siden av beslagsinstituttet, må vilkårene forutsetningsvis være mindre strenge.

    Det første spørsmålet som oppstår, er hvilke former for datahjemmelen for sikringspålegg skal omfatte. Slik artikkel 16 nr. 1 er formulert, legger departementet til grunn at bestemmelsen må omfatte alle former for data, inkludert e-post og andre kategorier av innholdsdata.

    Spørsmålet om hvilke vilkår et sikringspålegg av blant annet rettssikkerhetsmessige grunner bør gjøres betinget av, er overlatt til konvensjonsstatene å avgjøre, jf. artikkel 16 nr. 4 sammenholdt med artikkel 15. Flere løsninger kan i prinsippet være aktuelle.

    Tar man utgangspunkt i straffeprosessloven § 203, krever loven tilsynelatende ikke annet enn at den aktuelle gjenstanden kan antas å ha betydning som bevis. Det er ikke noe vilkår at noen med skjellig grunn kan mistenkes for handlingen, eller at en bestemt person er mistenkt. Det er et mer åpent spørsmål om det må foreligge skjellig grunn til mistanke om at det er begått en straffbar handling, jf. Andenæs: Norsk straffeprosess, bind II (3. utgave, Oslo 2000) s. 188 med videre henvisninger. Antakelig må et slikt krav innfortolkes, jf. Rt. 1998 s. 1838, men uklarheten taler for at mistankekravet uansett bør reguleres særskilt i sikringsbestemmelsen.

    Departementet er enig med utvalget i at det vil neppe være i strid med konvensjonen å kreve at det må foreligge skjellig grunn til mistanke, slik straffeprosessloven ofte krever for bruk av tvangsmidler. Den Norske Advokatforening går inn for et slikt krav i sin høringsuttalelse. Departementet er imidlertid enig med utvalget i at terskelen for bruk av sikringspålegg bør ligge lavere enn det, og kan slutte seg til utvalgets begrunnelse. Et krav om skjellig grunn ville innebære at reglene ville bli uten praktisk betydning. Dersom mistanken først er så sterk, må det antas at politiet normalt vil foretrekke å beslaglegge de aktuelle dataene i medhold av straffeprosessloven § 203 eller kreve dem utlevert i medhold av straffeprosessloven § 210, i den utstrekning Post- og teletilsynet gir fritak fra taushetsplikten etter ekomloven § 2-9.

    Spørsmålet blir etter dette om det bør kreves at det foreligger mistanke om at det er begått en straffbar handling, slik utvalget foreslår, eller om det i stedet bør være tilstrekkelig at dataene kan antas å ha betydning som bevis. Den sistnevnte løsningen vil ikke innebære at sikringspålegg kan besluttes uten noen som helst tilknytning til en mulig straffbar handling, ettersom etterforskning bare kan foretas dersom det foreligger anmeldelse eller andre omstendigheter som gir rimelig grunn til å undersøke om det foreligger et straffbart forhold, jf. straffeprosessloven § 224 første ledd.

    Etter departementets oppfatning bør det i utgangspunktet være tilstrekkelig at dataene kan ha betydning som bevis. Slik reglene om sikringspålegg foreslås utformet, vil den midlertidige sikringen utgjøre et forholdsvis beskjedent inngrep. Å bygge på et generelt mistankekrav ville dessuten lede til et unødig finmasket og komplisert system. Hensynet til den som opplysningene knytter seg til, vil være tilstrekkelig varetatt ved det alminnelige forholdsmessighetsprinsippet i straffeprosessloven § 170 a. Det følger av denne bestemmelsen at midlertidig sikring bare kan foretas dersom det er tilstrekkelig grunn til det, og dersom sikringen etter sakens art og forholdene ellers ikke utgjør et uforholdsmessig inngrep. Ved vurderingen vil det her bl.a. måtte legges vekt på hvor sensitive opplysninger det er tale om å sikre. Dersom politiet har kjennskap til forhold som gir grunn til å tro at opplysningene ikke vil bli sikret på en betryggende måte, vil det dessuten måtte tas hensyn til det, slik utvalgets flertall påpeker.

    Når det særskilt gjelder elektroniske postsendinger, kan det spørres om sammenhengen med reglene i straffeprosessloven som varetar posthemmeligheten, gjør at det her bør kreves noe mer enn at det er grunnlag for etterforskning og at de aktuelle dataene må antas å ha betydning som bevis. Departementet går inn for at pålegg til en tjenestetilbyder om å sikre e-post og eventuelle vedlegg bør være betinget av at det er grunn til å tro at det er begått en straffbar handling. En slik løsning er best i samsvar med reglene om beslag av brev og andre postsendinger i straffeprosessloven §§ 211 og 212, som bygger på det syn at posthemmeligheten fortjener et særlig vern. Også EMK artikkel 8 om vern av korrespondanse, som ble inkorporert i norsk rett ved lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven) § 2, taler for en slik begrensning. Uttrykket «grunn til å tro» skal forstås på samme måte som det tilsvarende uttrykket i straffeprosessloven § 222 a første ledd om besøksforbud.

    Etter artikkel 16 nr. 2 skal et sikringspålegg innebære en plikt til å «maintain the integrity of that computer data for a period of time». Konvensjonen angir ikke på hvilken måte sikringen skal skje, såfremt dataene beskyttes mot «anything that would cause its current quality or condition to change or deteriorate» for å unngå utilsiktet «modification, deterioration or deletion», jf. den forklarende rapporten punkt 159. Sikringen kan dermed skje på flere måter. Departementet er enig med utvalget i at bestemmelsen bør utformes teknologinøytralt, og at det derfor ikke bør sies noe bestemt i loven om hvordan dataene skal sikres. Den pålegget retter seg mot bør selv kunne velge hvordan sikringen praktisk sett skal gjennomføres innenfor de muligheter som til enhver tid finnes, såfremt dataenes integritet, tilgjengelighet og autensitet blir ivaretatt.

    Det neste spørsmålet som må avklares, er hvem som skal ha kompetansetil å beslutte midlertidig sikring av data. Departementet er enig med utvalget i at kompetansen bør ligge hos påtalemyndigheten, også i hastetilfellene, og viser til utvalgets begrunnelse.

    Den som besitter de data som skal sikres - typisk en tjenestetilbyder - må naturligvis få underretningom pålegget om midlertidig sikring for at dette skal bli gjennomført. Et annet spørsmål er om den som eventuelt er mistenkt for en handling som pålegget skal sikre bevis for, skal ha krav på underretning. Departementet er enig med utvalget i at en mistenkt bør ha krav på underretning fra det tidspunkt han får status som siktet i saken, men bare dersom sikringspålegget gjelder data som den siktede selv har lovlig tilgang til. En tjenestetilbyder blir for eksempel pålagt å sikre data som knytter seg til den mistenktes e-postkonto eller hans hjemmeside på internett. I slike tilfeller vil han ha krav på underretning senest på det tidspunkt når påtalemyndigheten har erklært ham for siktet, når forfølging mot ham er innledet ved retten eller når det er besluttet eller foretatt pågripelse, ransaking, beslag eller lignende forholdsregler rettet mot ham, jf. straffeprosessloven § 82 første ledd. Er det besluttet utsatt underretning om et tvangsmiddel, blir vedkommende først siktet når underretning gis, jf. straffeprosessloven § 82 tredje ledd. I slike tilfeller skal det samtidig gis underretning om sikringspålegget.

    Departementet har vurdert om andre enn den mistenkte bør gis underretning om at det er foretatt sikring av data som vedkommende har rådigheten over. Utvalget har ikke tatt stilling til spørsmålet, og høringsinstansene har heller ikke kommentert det. Etter departementets syn taler de beste grunner for at også den som er utenfor mistanke, bør få underretning i samme utstrekning som den mistenkte. En slik løsning har ikke bare reelle grunner for seg, men er også best i samsvar med straffeprosesslovens system ved bruk av andre tvangsmidler. Ved husransaking hos andre enn den mistenkte skal politiet som hovedregel underrette den som beslutningen retter seg mot, jf. straffeprosessloven § 200 første ledd. Tilsvarende gjelder ved beslag, jf. § 205 første ledd. Hensynet til diskresjon omkring etterforskningen bør til gjengjeld varetas gjennom regler om taushetsplikt, slik også utvalget har foreslått.

    Etter departementets syn er det derimot neppe grunn til å gi den mistenkte underretning om at det er sikret data som han ikke selv har lovlig tilgang til, for eksempel andres e-post, men som inneholder opplysninger om vedkommende. Straffeprosesslovens regler om underretning gjelder bare overfor den tvangsmidlet retter seg mot. Et sikringspålegg er ikke så inngripende at det er naturlig å gå lenger her. Også praktiske hensyn taler for en slik løsning. Siden politiet ikke uten videre får tilgang til dataene, vil man ikke kunne fastslå hvem som i tilfelle omtales i de dataene som omfattes av sikringspålegget.

    Det siste spørsmålet som knytter seg til selve saksbehandlingen, er om en beslutning om bruk av sikringspålegg bør kunne gjøres til gjenstand for rettslig prøving . Utvalget har foreslått at det bør være adgang til rettslig overprøving, og departementet er enig i det. Også sikringspålegg er en form for myndighetsutøvelse som bør kunne etterkontrolleres. Lovteknisk kan dette gjennomføres ved en henvisning til straffeprosessloven § 208, slik utvalget har foreslått.

    Data som er sikret gjennom et sikringspålegg, kan i utgangspunktet bare kreves utlevert innenfor rammen av straffeprosessloven § 210. Hensynet til etterforskningen taler imidlertid for at politiet straks bør få tilgang til de opplysninger som er nødvendige for å avdekke hvor de aktuelle dataene kom fra, og hvor de i tilfelle ble sendt til, jf. artikkel 17 nr. 1 bokstav b. Departementet foreslår derfor at en begjæring om utlevering av slike data skal etterkommes så snart som mulig.

    4.2.5 Sikringspålegg som ledd i internasjonalt samarbeid i straffesaker

    Etter lov 13. juni 1975 nr. 39 om utlevering av forbrytere mv. § 24 nr. 3 er det et vilkår for å yte rettshjelp til andre stater, at handlingen som forfølgningen gjelder også er straffbar i Norge. Konvensjonen artikkel 29 pålegger på sin side statspartene å etterkomme en anmodning om å utferdige et sikringspålegg selv om forholdet ikke er straffbart i staten som anmodes om å yte bistand. Artikkel 29 nr. 4 gir imidlertid stater som Norge, som har dobbel straffbarhet som et vilkår for å yte rettshjelp, mulighet til å reservere seg mot forpliktelsen til å utferdige sikringspålegg i saker som gjelder forhold som ikke er straffbare i Norge.

    Utvalget går inn for at Norge benytter seg av denne muligheten, jf. utredningen side 37 flg. Utvalget viser særlig til at kravet om dobbel straffbarhet er et fast innarbeidet prinsipp i norsk rett.

    Utvalget får støtte fra et flertall av høringsinstansene som har uttalt seg om spørsmålet, som ble løftet særskilt frem i høringsbrevet. Nærings- og handelsdepartementet, Utenriksdepartementet, ØKOKRIM og Konkurransetilsynetslutter seg alle til utvalgets vurdering. Politidirektoratet mener derimot at Norge ikke bør reservere seg, og begrunner det med at et sikringspålegg er et lite inngripende tvangsmiddel.

    Også departementet har kommet til at kravet i utleveringsloven § 24 nr. 3 bør opprettholdes for anmodninger om sikringspålegg. Prinsippet om dobbel straffbarhet sikrer at Norge ikke yter rettshjelp i saker som sett fra et norsk ståsted ikke bør gi grunnlag for bruk av tvangsmidler. Konvensjonens pålegg om kriminalisering av en rekke datarelaterte og samfunnsskadelige handlinger vil imidlertid lede til at vilkåret om dobbel straffbarhet vil være oppfylt i flere saker enn i dag.

    4.3 Opplysningsplikt under ransaking

    4.3.1 Konvensjonsforpliktelsen

    Artikkel 19 nr. 4 gjelder opplysningsplikt under ransaking og lyder:

    «4. Each party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to order any person who has knowledge about the functioning of the computer system or measures applies to protect the computer data therein to provide, as is reasonable, the necessary information, to enable the undertaking of the measures referred to in paragraphs 1 and 2.»

    Bestemmelsen pålegger konvensjonsstatene å gi regler om opplysningsplikt under ransaking av et datasystem. Opplysningsplikten skal i rimelig utstrekning omfatte forhold som er nødvendige for å kunne gjennomføre ransakingen, typisk opplysning om tilgangskoder.

    4.3.2 Gjeldende rett

    I norsk rett finnes det ingen generell regel om opplysningsplikt av den type som artikkel 19 forutsetter. Straffeprosessloven § 216 a fjerde ledd annet punktum gir politiet hjemmel til å pålegge en eier eller tilbyder av det nett eller den tjeneste som brukes ved samtalen eller kommunikasjonen å yte den bistanden som en nødvendig for å gjennomføre avlyttingen. Bestemmelsen er gitt tilsvarende anvendelse når det gjelder innhenting av trafikkdata i sanntid, jf. § 216 b tredje ledd. Det må antas at disse bestemmelsene i en viss utstrekning gir politiet hjemmel til å kreve opplysninger, men verken § 216 a eller § 216 b gir hjemmel for noen opplysningsplikt i forbindelse med ransaking etter §§ 192 flg. For å gjennomføre konvensjonsforpliktelsen er det derfor nødvendig med en ny lovbestemmelse.

    4.3.3 Utvalgets forslag

    Utvalget mener at artikkel 19 nr. 4 gjør det påkrevd å endre straffeprosessloven. Utvalget fremhever samtidig at pålegg om å gi opplysninger i forbindelse med en ransaking kan tenkes å komme i konflikt med vernet mot selvinkriminering som er innfortolket i Den europeiske menneskerettskonvensjon (EMK) artikkel 6, jf. også FN-konvensjonen om sivile og politiske rettigheter (SP) artikkel 14 nr. 3 bokstav g (utredningen side 44-46).

    Utvalget peker på at et pålegg om å bidra med opplysninger ikke innebærer noen straffsiktelse i seg selv, men at selvinkrimineringsvernet etter EMDs praksis kan bli utløst på kontrollstadiet i en forvaltningssak dersom myndighetene tar sikte på å ilegge personen sanksjoner allerede da pålegget om å gi opplysninger ble gitt. Derimot kan et pålegg om opplysningsplikt ikke antas å utløse vernet mot selvinkriminering dersom det retter seg mot en person som politiet ikke har til hensikt å strafforfølge. Vernet gjør seg med andre ord gjeldende «i de tilfellene der den opplysningsplikten er rettet mot, regnes som straffsiktet av andre årsaker», jf. utredningen side 45-46. På denne bakgrunnen foreslår utvalget at opplysningsplikten bare kan pålegges den som plikter å vitne i saken:

    «I henhold til straffeprosessloven § 123 kan et vitne nekte å svare på spørsmål som vil kunne utsette vitnet eller nærstående for straff eller tap av borgerlig aktelse. En siktet vil derfor ikke kunne pålegges plikt til å hjelpe politiet med å fremskaffe opplysninger som kan brukes mot ham i en senere straffesak. Utvalget forutsetter at denne begrensningen i bestemmelsens anvendelsesområde vil hindre krenkelser av vernet mot selvinkriminering. Videre vil politiet uansett ikke kunne pålegge opplysningsplikt i strid med vernet mot selvinkriminering, jf. straffeprosessloven § 4 og menneskerettsloven §§ 2 og 3.»

    Når det gjelder selve utformingen av bestemmelsen, går utvalget inn for at opplysningsplikten ikke bør gis et større omfang enn konvensjonen artikkel 19 nr. 4 krever. Opplysningsplikten bør med andre ord begrenses til det som er nødvendig for å gi tilgang til det aktuelle datasystemet, for eksempel i form av tilgangskoder. Politiet skal derimot ikke kunne kreve at vedkommende skal finne frem til konkrete opplysninger som politiet måtte være interessert i.

    Utvalget slår fast at rekkevidden av den foreslåtte opplysningsplikten i tillegg vil begrenses av kravet til nødvendighet og forholdsmessighet i straffeprosessloven § 170 a.

    Etter utvalgets syn bør kompetansen til å kreve opplysninger ligge hos politiet, og legger vekt på at dette vil gi en praktisk løsning.

    Utvalget går inn for at plikten til å gi opplysninger bør være straffesanksjonert for å sikre at pålegget etterleves.

    4.3.4 Høringsinstansenes syn

    Den eneste høringsinstansen som kommenterer utvalgets forslag er Konkurransetilsynet, som ut fra sin erfaring mener det åpenbart er behov for en slik bestemmelse. Tilsynet slutter seg til utvalgets vurderinger av forholdet til EMK.

    4.3.5 Departementets syn

    Departementet vil peke på at konvensjonsforpliktelsen etter artikkel 19 nr. 4 bare omfatter opplysninger som trengs for å gi tilgang til det datasystemet som skal ransakes. Slike opplysninger vil i seg selv neppe være egnet til å utsette angiveren for straff. Allerede av den grunn anser departementet det lite sannsynlig at vernet mot selvinkriminering vil innebære noen begrensning for å kreve opplysninger etter artikkel 19 nr. 4. I tillegg kommer at rekkevidden av det folkerettslige vern mot selvinkriminering til dels er uklar. I konvensjonen artikkel 15 nr. 1 er det pekt på at gjennomføringen av konvensjonen må ta hensyn til menneskerettighetene som er nedfelt i EMK og SP. En opplysningsplikt som angitt i artikkel 19 nr. 4 faller ikke naturlig inn under ordlyden i SP artikkel 14 nr. 3 bokstav g. Selvinkrimineringsvernet etter EMK må etter departementets mening på sin side forstås i lys av den europarådskonvensjon som proposisjonen her tar sikte på å gjennomføre.

    Departementet ser på denne bakgrunn ingen grunn til å begrense rekkevidden av opplysningsplikten om tilgang til datasystemer slik den går frem av konvensjonen artikkel 19 nr. 4. Departementet er på den annen side enig med utvalget i at opplysningsplikten ikke bør gis et større omfang enn konvensjonen krever. Det vises til forslaget til straffeprosessloven § 199 a er gitt i punkt 6.2 nedenfor. Brudd på opplysningsplikten kan straffes med bøter, jf. straffeloven § 339 nr. 1. Slik departementets forslag er utformet, vil imidlertid ikke en siktet kunne straffes i medhold av denne bestemmelsen. En tilsvarende avveining ligger til grunn for straffeloven § 132 tredje ledd. Om dette er en hensiktsmessig avgrensning av straffansvaret, kommer departementet tilbake til som ledd i arbeidet med ny straffelov.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen