Datainnbrudd - Straffeloven § 145 annet ledd

Komiteen er videre enig i at dagens lovgivning ikke er fullgod på alle områder, ikke minst i forhold til at den som innehar datainformasjon må sørge for beskyttelse mot innsyn fra uberettigede før et misbruk regnes som straffbart. Det vises her til vilkåret om såkalt beskyttelsesbrudd i gjeldende bestemmelse om datainnbrudd i straffeloven § 145 annet ledd. Komiteen vil i den anledning vise til deler av uttalelsen fra Økokrim som blant annet sier at:

"Økokrim … har registrert en økning i henvendelser som gjelder "tyveri" av informasjon ved hjelp av en datamaskin, men hvor det vanskelig kan sies å foreligge brudd på en beskyttelse. Et typeeksempel er en utro tjener i en bedrift som uberettiget kopierer ut informasjon til en konkurrent.

I en tid hvor man tillegger IKT-tjenester stadig større verdi, bør det strafferettslige vern om data i hvert fall være på linje med man har for gjenstander, og som kjent stilles det ikke noe vilkår om at en gjenstand skal være beskyttet for at det skal være tale om tyveri.

Etter vår oppfatning bør straffeloven inneholde en regel om rettsstridig adgang til data som er lagret eller som er under overføring. Beskyttelsesbrudd, skadeforvoldelse eller vinnings hensikt bør være straffskjerpende omstendigheter."

Komiteen foreslår etter dette å fjerne vilkåret om beskyttelsesbrudd i straffeloven § 145 annet ledd, og fremsetter på denne bakgrunn følgende forslag:

"I lov 22. mai 1902 nr. 10 Almindelig borgerlig Straffelov gjøres følgende endring:

§ 145 annet ledd skal lyde:

Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler."

Ulovlig spredning av tilgangsdata - artikkel 6

Komiteen ser det prinsipielle i problematikken rundt det å kriminalisere forberedelseshandlinger og det å være i besittelse av "datavirus, hackerverktøy o.l." Komiteen ser at det også blant høringsinstansene er tydelige forskjeller i hvorvidt dette bør kriminaliseres. Komiteen vil vise til uttalelser fra henholdsvis Oslo politidistrikt og Økokrim. Oslo Politidistrikt begrunner sitt syn om ikke å kriminalisere slike handlinger på følgende måte:

"Oslo politidistrikt viser til Datakrimutvalgets begrunnelse, og er enig i at man bør benytte reservasjonsadgangen i artikkel 6. Kriminalisering av hardware/software som kan tenkes å skulle brukes til straffbare handlinger eller er egnet til dette, er betenkelig. En kriminalisering på dette feltet vil medføre økt kontroll (også fra private aktører med opphavsrettsinteresser) og mistenkeliggjøring av borgerne."

Økokrim sier derimot at slike handlinger bør kriminaliseres fordi

"... gjerningene påfører samfunnet enorme kostnader og underminerer blant annet den tillit som er nødvendig for realisering av den politiske målsetting om utvikling av e-handel… Det antas at klare regler i seg selv vil kunne ha en preventiv effekt i forhold til tilgjengeliggjøring, siden en del av denne aktiviteten er basert på at gjerningsmennene opplever at de operer i et straffritt område, i høyden en juridisk gråsone, slik at risikoen for strafforfølgning er minimal."

Komiteens flertall, alle unntatt medlemmene fra Høyre og Kristelig Folkeparti, vil påpeke at problemstillingen om å kriminalisere forberedelseshandlinger har vært gjenstand for betydelig debatt. Flertallet vil således vise til et sitat fra en av våre nestorer innen strafferetten, Johs Andenæs, som har forklart grensen mellom straffri forberedelse og straffbart forsøk på følgende måte:

"Gjerningsmannens opptreden må vise at nå er forberedelsens og overveielsens tid forbi, nå skrider han til verket."

Flertallet er på denne bakgrunn av den oppfatning at Norge bør benytte seg av den reservasjonsadgang som er oppstilt i konvensjonens artikkel 6 nr. 3. Dette innebærer at Norge ikke forplikter seg til å kriminalisere de forhold tilknyttet nevnte problemstilling som er beskrevet i konvensjonens artikkel 6, med unntak av de handlinger som fremgår av artikkel 6 nr. 1 a) ii. På denne bakgrunn fremmer flertallet følgende forslag:

"I lov 22. mai 1902 nr. 10 Almindelig borgerlig Straffelov gjøres følgende endring:

Ny § 145b skal lyde:

Den som uberettiget gjør tilgjengelig for andre passord eller andre data som kan gi tilgang til et datasystem, straffes for spredning av tilgangsdata med bøter eller fengsel inntil 6 måneder eller begge deler.

Grov spredning av tilgangsdata straffes med fengsel inntil 2 år. Ved avgjørelsen av om spredningen er grov, skal det særlig legges vekt på om dataene kan gi tilgang til sensitive opplysninger, om spredningen er omfattende og om handlingen for øvrig skaper fare for betydelig skade.

Medvirkning straffes på samme måte."

Flertallet ber imidlertid om at arbeidet tilknyttet problemstillingen rundt forberedelseshandlinger og det å være i besittelse av "datavirus, hackerverktøy o.l" fortsetter.

Komiteens medlemmer fra Høyre og Kristelig Folkeparti er enig i at det skal sterke grunner til for å kriminalisere forberedelseshandlinger, og viser til departementets drøftelse på side 17 og 18 i proposisjonen. Disse medlemmer mener likevel det foreligger tungtveiende hensyn som taler for at Norge ikke bør benytte seg av reservasjonsadgangen i konvensjonens artikkel 6 nr. 3. De typer innretninger det her er tale om har et begrenset lovlig bruksområde, og kan brukes til å begå alvorlige straffbare handlinger. Datavirus og hackerverktøy kan volde betydelige skader og kostnader for samfunnet. De gjør det mulig å skaffe seg opplysninger av betydning for rikets sikkerhet og krenke viktige private og samfunnsmessige interesser.

Dersom Norge benytter reservasjonsretten, betyr det etter disse medlemmers syn at man i realiteten ikke vil kunne straffe en som gjør hackerverktøy tilgjengelig for andre på nettet, selv om man med sikkerhet kan si at dette verktøyet vil bli brukt til å begå ulike straffbare handlinger med lav oppdagelsesrisiko.

Disse medlemmer støtter derfor departementets syn om at det bør være straffbart å være i besittelse av passord og hackerverktøy, samt å gjøre slike innretninger tilgjengelige for andre.

Disse medlemmer fremmer derfor proposisjonens forslag:

Ny § 145b skal lyde:

Den som uberettiget fremstiller, anskaffer, besitter eller gjør tilgjengelig for andre

a) passord eller andre data som kan gi tilgang til et datasystem, eller

b) dataprogrammer eller andre innretninger som er særlig egnet til å begå straffbare handlinger som retter seg mot data eller datasystemer straffes med bøter eller fengsel inntil 6 måneder eller begge deler.

Grove overtredelser straffes med fengsel inntil 2 år. Ved avgjørelsen av om overtredelsen er grov, skal det blant annet legges vekt på om dataene kan gi tilgang til sensitive opplysninger, om spredningen er omfattende og om handlingen skaper fare for betydelig skade.

Medvirkning straffes på samme måte.

Straffeprosessuelle spørsmål

Komiteens flertall, alle unntatt medlemmene fra Høyre og Kristelig Folkeparti, vil i forbindelse med forslaget til ny § 215 a i straffeprosessloven peke på den usikkerhet som kan oppstå i forbindelse med uberettiget bruk av andres nettverk. Det er i dag mange steder svært enkelt å koble seg opp via andres nettverk. Selv om det er enkelt å identifisere hvilken datalinje som er brukt, er det dermed ikke alltid like enkelt å pålitelig identifisere hvem det er som har brukt denne linja.

Komiteen har utover dette ingen merknader til den fremlagte proposisjon ,og slutter seg til de øvrige forslag.