I proposisjonen fremmer departementet forslag om samtykke til
ratifikasjon av Europarådets konvensjon 8. november
2001 om bekjempelse av kriminalitet som knytter seg til informasjons-
og kommunikasjonsteknologi, og om endringer i straffeloven og straffeprosessloven
for å gjennomføre de forpliktelser som Norge vil
påta seg ved ratifikasjonen.
For det første foreslår departementet et nytt
straffebud som forbyr forskjellige former for urettmessig befatning
med passord og andre tilgangsdata, og med dataprogrammer og andre
innretninger som er særlig egnet til å begå straffbare
handlinger rettet mot data eller datasystemer.
For det annet foreslår departementet regler om midlertidig
sikring av elektronisk lagrete data. Det tredje forslaget innebærer
at politiet, under ransaking av et datasystem, vil kunne pålegge
enhver å gi de opplysninger som er nødvendige
for å få tilgang til datasystemet.
Norsk strafferett er i det alt vesentlige i samsvar med de krav
konvensjonen stiller. Datakrimutvalget la således til grunn
at det ikke var behov for andre lovendringer enn dem som artikkel
6 gjør nødvendig, noe høringsinstansene
har sluttet seg til. Departementet er enig i dette.
Konvensjonen artikkel 2 gjelder datainnbrudd. Bestemmelsen pålegger
konvensjonsstatene å sette straff for den som rettsstridig
skaffer seg tilgang til hele eller deler av et datasystem, uavhengig
av om vedkommende har gjort seg kjent med innholdet av de data som
datainnbruddet har gitt tilgang til.
Datainnbrudd rammes av straffeloven § 145 annet
ledd. Bestemmelsen rammer bare den som "ved å bryte en
beskyttelse eller på lignende måte uberettiget
skaffer seg adgang til data eller programutrustning". Det er ikke
et vilkår for straff at gjerningspersonen har gjort seg
kjent med dataene eller programutrustningen. Etter bestemmelsen
er det tilstrekkelig at hun eller han har skaffet seg adgang til
dem.
Utvalget drøfter forholdet mellom artikkel 2 og straffeloven § 145
annet ledd og går inn for å endre bestemmelsen
slik at overtredelser kan straffes med fengsel inntil 6 måneder
eller bøter eller begge deler.
I lys av høringen er det etter departementets syn naturlig å se
spørsmålet om å endre straffeloven § 145
annet ledd i sammenheng med reglene om uberettiget tilegnelse av
informasjon. På bakgrunn av særlig Økokrims
høringsuttalelse ser departementet et klart behov for å utrede
nærmere om data i dag har et for svakt strafferettslig
vern sammenlignet med for eksempel vernet mot tyveri av fysiske
gjenstander. Å vurdere dette og eventuelt utforme en helt
ny bestemmelse som rammer urettmessig tilegnelse av informasjon,
er imidlertid en oppgave av en slik art at det er naturlig å la
den gå inn i Datakrimutvalgets videre arbeid. Spørsmålet
blir da om det er et mer akutt behov for å følge
opp forslaget i høringsbrevet (å fjerne beskyttelsesvilkåret)
allerede nå, eller om også dette mer avgrensede
spørsmålet best kan følges opp i Datakrimutvalgets
andre delutredning.
Selv om de fleste høringsinstansene som har uttalt seg
om spørsmålet går inn for å fjerne
vilkåret om beskyttelsesbrudd, underbygger ikke høringen
at det er noe påtrengende behov for å foreslå en
slik lovendring nå. Departementet foreslår derfor
ikke nå å fjerne dette vilkåret i straffeloven § 145
annet ledd. Dette innebærer i tilfelle at det må avgis
en erklæring i samsvar med artikkel 40.
Departementet er enig med utvalget og Politidirektoratet i at
straffen for overtredelsen av bestemmelsen bør skjerpes
noe, og tiltrer utvalgets forslag. Dette vil sikre at det kan brukes
straffeprosessuelle tvangsmidler i den utstrekning konvensjonen
krever.
Artikkel 6 gjelder besittelse og spredning av visse dataprogrammer,
tilgangsdata mv., og pålegger konvensjonsstatene å sette
straff for produksjon, salg, kjøp, import, distribusjon
og andre former for spredning av dataprogrammer og andre innretninger som
er utformet eller tilpasset for å kunne begå straffbare
handlinger som nevnt i artikkel 2 til 5. I underpunkt ii rammes
tilsvarende former for befatning med passord, tilgangskoder og lignende
data som er egnet til å gi tilgang til hele eller deler
av et datasystem.
I norsk lovgivning finnes det ingen straffebestemmelse som fullt
ut dekker de handlingene som er beskrevet i artikkel 6, og Datakrimutvalget
la til grunn at artikkel 6 gjør det nødvendig
med lovendringer.
Etter departementets syn kan det ikke være tvilsomt
at artikkel 6 gjør det nødvendig med lovendringer.
Dette gjelder selv om reservasjonsadgangen i artikkel 6 nr. 3 benyttes.
I NOU 2003:27 blir spørsmålet om og i tilfelle
i hvilken utstrekning Norge bør benytte reservasjonsadgangen
i artikkel 6 nr. 3 drøftet. Utvalget mener at Norge bør
reservere seg mot å oppstille straffansvar for besittelse
av visse dataprogrammer. Utvalget går heller ikke inn for å kriminalisere
det å gjøre slike innretninger tilgjengelige for
andre.
Artikkel 6 innebærer en forpliktelse til å kriminalisere
forberedelseshandlinger. Det kreves en tungtveiende begrunnelse
for å sette straff for forberedelseshandlinger. At grensen
mellom forberedelse til samfunnsskadelige handlinger og forberedelser
til helt uskyldige handlinger i stor grad beror på sinnelaget
til personen som begår dem, taler generelt med tyngde imot
at slike handlinger skal kriminaliseres. Dette synspunktet får
imidlertid mer begrenset bærekraft når den aktuelle
forberedelseshandlingen i større utstrekning bidrar til å kaste
lys over gjerningspersonens forsett. Hackerverktøy mv.
er særlig egnet til å begå straffbare
handlinger. Et straffebud som retter seg mot det å besitte
slike innretninger, vil dermed være mer treffsikkert enn
et straffebud som retter seg mot mer dagligdagse handlinger.
Etter departementets syn taler både det betydelige skadepotensialet,
hensynet til tilliten til elektronisk kommunikasjon og den tilsynelatende
lave oppdagelsesrisikoen for at det bør være straffbart å besitte
hackerverktøy og andre tilsvarende innretninger. Det vil
også lette det internasjonale samarbeidet i saker som gjelder
datakriminalitet. Departementet har på denne bakgrunn kommet
til at det bør settes straff for besittelse av passord
og hackerverktøy mv.
Departementet går så over til å drøfte
spørsmålet om det bør settes straff for å gjøre
slike innretninger tilgjengelige for andre. I Datakrimutvalgets
utredning ble det foreslått at heller ikke slike handlinger kriminaliseres.
Etter departementets syn har de momentene som det er vist til i
drøftelsen ovenfor, minst like stor gjennomslagskraft i
spredningstilfellene. Også spredning bør derfor
kriminaliseres. Siden slike handlinger ofte er straffbare allerede
etter reglene om forsøk og medvirkning, vil en slik utvidelse
innebære en forholdsvis beskjeden nykriminalisering.
I utvalgets utredning foreslås det at artikkel 6 nr. 1
bokstav a (ii) blir gjennomført i en ny straffebestemmelse,
og at bestemmelsens objektive gjerningsinnhold utformes slik at
den "ikke begrenses til å gjelde passord, men må gjelde
alle former for data som kan gi tilgang til hele eller deler av
et datasystem".
Departementet er enig med utvalget i at artikkel 6 bør
gjennomføres i en ny straffebestemmelse, som foreslås
som ny § 145b i straffeloven. Det finnes ingen bestemmelse
som fra før rammer tilsvarende forhold som det konvensjonen
retter seg mot.
Når det gjelder bestemmelsens objektive gjerningsinnhold,
omfatter antakelig konvensjonen enhver logisk eller fysisk innretning
som er særlig egnet ved overtredelse av artikkel 2 til
5. For å sikre at Norge lojalt oppfyller sine folkerettslige
forpliktelser er lovutkastet utformet i samsvar med det. Departementet
er enig med utvalget i at bestemmelsen må utformes slik
at den gjelder alle former for data som kan gi tilgang til hele
eller deler av et datasystem.
Vedrørende hvilke befatningsformer som skal rammes,
er det etter departementets syn tilstrekkelig om den norske gjennomføringsbestemmelsen
rammer befatningsformene fremstille, anskaffe, besitte eller gjøre
tilgjengelig for andre. Straffansvar kan bare komme på tale
der den aktuelle befatningsformen er uberettiget.
Når det gjelder skyldkravet, blir spørsmålet
om det bør kreves at gjerningspersonen har til hensikt å begå straffbare
handlinger, slik konvensjonen legger opp til, eller om det bør
være tilstrekkelig med alminnelig forsett. Departementet
er enig med utvalget i at også rent forsettlige overtredelser
av bestemmelsen er straffverdige. Det bør derfor ikke kreves
at handlingen er begått med en bestemt hensikt.
Datakrimutvalget foreslo å sette strafferammen til bøter
eller fengsel i 6 måneder eller begge deler. For grove
tilfeller foreslo utvalget en strafferamme på fengsel i
2 år. Departementet slutter seg til utvalgets vurderinger
på dette punkt.
Når det gjelder bestemmelsens stedlige virkeområde,
er departementet enig med utvalget i at bestemmelsen bør
føyes til straffeloven § 12 nr. 3. Tilføyelsen
vil innebære at utkastet til ny § 145b vil kunne ramme
handlinger som er begått i utlandet av norske statsborgere
eller andre som er hjemmehørende i Norge.
Norsk straffeprosess er på de fleste punkter i samsvar
med de krav konvensjonen stiller. Datakrimutvalget la således
til grunn at det ikke var behov for andre lovendringer enn dem som
artikkel 16, 17 nr. 1 bokstav b og 19 nr. 4 gjør nødvendig,
noe høringsinstansene har sluttet seg til. Departementet
er enig i dette.
Artikkel 16 gjelder midlertidig sikring av elektronisk lagrede
data, og gir regler om midlertidig sikring av data som antas å ha
betydning som bevis i en straffesak. Størst praktisk betydning
får bestemmelsen for data som foreløpig ikke kan
kreves utlevert. Bestemmelsen omfatter alle former for data som
er elektronisk lagret, både trafikkdata og innholdsdata. Et
sikringspålegg kan imidlertid bare rette seg mot data som
er lagret på sikringstidspunktet. Data som er under overføring
faller utenfor bestemmelsens virkeområde. Et sikringspålegg
skal ikke gjelde for et lengre tidsrom enn nødvendig, og
uansett ikke for mer enn 90 dager om gangen. Besluttes et sikringspålegg
etter anmodning fra en fremmed stat, følger det av artikkel
29 at dataene skal sikres i minst 60 dager.
Artikkel 17 gir særregler om trafikkdata, og innebærer
at trafikkdata må kunne sikres midlertidig også i
de tilfeller hvor flere tjenestetilbydere er involvert i en kommunikasjonsoverføring.
Siden trafikkdata ofte blir slettet etter relativt kort tid, kan
det føre til at viktige bevis går tapt. Artikkel
17 åpner derfor for at myndighetene umiddelbart skal gis
tilgang til trafikkdata i den utstrekning det er nødvendig
for å avklare om andre tjenestetilbydere har vært
involvert.
Datakrimutvalget la til grunn i sin utredning at straffeprosessloven § 216
ikke fullt ut oppfyller forpliktelsene i artikkel 16 og 17 nr. 1
bokstav a, og at det er klart at konvensjonens bestemmelser om midlertidig
sikring av data gjør det nødvendig med lovendringer.
Derimot var utvalget mer i tvil om det er nødvendig å endre
straffeprosessloven § 210 for å oppfylle forpliktelsen
i artikkel 17 nr. 1 bokstav b om utlevering av trafikkdata. Adgangen
til å gi utleveringspålegg overfor tjenestetilbydere
er betinget av at Post- og teletilsynet gir fritak fra taushetsplikten
etter ekomloven. Skal denne ordningen videreføres, vil
tilsynet i tilfelle måtte gi fritak i alle de saker som
faller innenfor artikkel 17 nr. 1 bokstav b, og det vil innbære
at tilsynsfunksjonen blir uten realitet. Etter utvalgets syn er
det lite å vinne på en slik ordning, og det foreslo
i stedet en egen bestemmelse om utlevering av visse trafikkdata.
Etter departementets syn er det ikke tvilsomt at artikkel 16
og 17 nr. 1 bokstav a gjør det nødvendig med lovendringer
i norsk rett. Departementet er videre enig med utvalget i at det
bør gis en særskilt bestemmelse om utlevering
av trafikkdata som nevnt i artikkel 17 nr. 1 bokstav b.
I utredningen foreslås det at artikkel 16 og 17 bør gjennomføres
i en ny bestemmelse i straffeprosessloven. Utvalget drøfter
hvilke former for data som bestemmelsen skal omfatte, og konkluderer
med at alle former for data, inkludert e-post og andre former for innholdsdata,
bør med. Utvalget understreker at mistanken må bygge
på objektive holdepunkter. Noe kvalifisert mistankekrav
går utvalget imidlertid ikke inn for.
Et særlig spørsmål er om adgangen
til å utferdige sikringspålegg bør variere
avhengig av om pålegget retter seg mot innholdsdata eller
trafikkdata. Utvalgets flertall mener at det bør trekkes
et skille mellom trafikkdata og andre former for data. Etter flertallets syn
bør sikring av andre data enn trafikkdata bare kunne skje
ved mistanke om en straffbar handling med en høyere strafferamme
enn fengsel i 6 måneder. Utvalgets mindretall foreslår
at strafferammekravet bare bør knyttes til midlertidig
sikring av e-post.
Utvalget går inn for at den som opplysningene knytter
seg til, skal gis underretning om sikringspålegget. Etter
utvalgets syn bør en mistenkt ha krav på underretning
fra det tidspunkt han får status som siktet i saken.
Når det gjelder bestemmelsen om utlevering av visse
trafikkdata etter artikkel 17 nr. 1 bokstav b, foreslår
utvalgets flertall at forpliktelsen gjennomføres slik at
politiet etter en særskilt bestemmelse skal få tilgang
til opplysninger som er nødvendige for å avdekke
hvor de aktuelle dataene kom fra eller ble sendt til.
Etter departementets syn må de nye reglene om sikringspålegg
utformes i lys av reglene om beslag. Slik artikkel 16 nr. 1 er formulert,
legger departementet til grunn at bestemmelsen må omfatte
alle former for data, inkludert e-post og andre kategorier av innholdsdata.
I spørsmålet om hvilke vilkår et sikringspålegg bør
gjøres betinget av, bør det etter departementets oppfatning
i utgangspunktet være tilstrekkelig at dataene kan ha betydning
som bevis. Men departementet går inn for at pålegg
til en tjenestetilbyder om å sikre e-post og eventuelle
vedlegg bør være betinget av at det er grunn til å tro
at det er begått en straffbar handling. En slik løsning
er best i samsvar med reglene om beslag av brev og andre postsendinger
i straffeprosessloven.
Konvensjonen angir ikke på hvilken måte sikringen
skal skje. Departementet er enig med utvalget i at bestemmelsen
bør utformes teknologinøytralt, og at det derfor
ikke bør sies noe bestemt i loven om hvordan dataene skal
sikres.
Departementet er enig med utvalget i at kompetansen til å beslutte
midlertidig sikring av data bør ligge hos påtalemyndigheten.
Departementet er enig med utvalget i at en mistenkt bør
ha krav på underretning fra det tidspunkt han får
status som siktet i saken, men bare dersom sikringspålegget
gjelder data som den siktede selv har lovlig tilgang til. Etter
departementets syn taler de beste grunner for at også den
som er utenfor mistanke, bør få underretning i
samme utstrekning som den mistenkte. En slik løsning er
best i samsvar med straffeprosesslovens system ved bruk av andre tvangsmidler.
Det siste spørsmålet er om en beslutning om
bruk av sikringspålegg bør kunne gjøres
til gjenstand for rettslig prøving. Utvalget har foreslått
at det bør være adgang til rettslig overprøving,
og departementet er enig i det.
Konvensjonen artikkel 29 pålegger statspartene å etterkomme
en anmodning om å utferdige et sikringspålegg
selv om forholdet ikke er straffbart i staten som anmodes om å yte
bistand. Artikkel 29 nr. 4 gir imidlertid stater som Norge, som
har dobbel straffbarhet som et vilkår for å yte
rettshjelp, mulighet til å reservere seg mot forpliktelsen
til å utferdige sikringspålegg i saker som gjelder
forhold som ikke er straffbare i Norge. Utvalget går inn
for at Norge benytter seg av denne muligheten.
Også departementet har kommet til at kravet om dobbel
straffbarhet bør opprettholdes for anmodninger om sikringspålegg.
Prinsippet om dobbel straffbarhet sikrer at Norge ikke yter rettshjelp
i saker som sett fra et norsk ståsted ikke bør
gi grunnlag for bruk av tvangsmidler.
Artikkel 19 nr. 4 gjelder opplysningsplikt under ransaking og
pålegger konvensjonsstatene å gi regler om opplysningsplikt
under ransaking av et datasystem. I norsk rett finnes det ingen
generell regel om opplysningsplikt av den type som artikkel 19 forutsetter.
For å gjennomføre konvensjonsforpliktelsen er
det derfor nødvendig med en ny lovbestemmelse.
Utvalget mener at artikkel 19 nr. 4 gjør det påkrevd å endre
straffeprosessloven. Utvalget fremhever samtidig at pålegg
om å gi opplysninger i forbindelse med en ransaking kan
tenkes å komme i konflikt med vernet mot selvinkriminering
På denne bakgrunn foreslår utvalget at opplysningsplikten
bare kan pålegges den som plikter å vitne i saken.
Når det gjelder selve utformingen av bestemmelsen, går
utvalget inn for at opplysningsplikten ikke bør gis et større
omfang enn konvensjonen artikkel 19 nr. 4 krever.
Departementet vil peke på at konvensjonsforpliktelsen
etter artikkel 19 nr. 4 bare omfatter opplysninger som trengs for å gi
tilgang til det datasystemet som skal ransakes. Slike opplysninger
vil i seg selv neppe være egnet til å utsette
angiveren for straff. Allerede av den grunn anser departementet
det lite sannsynlig at vernet mot selvinkriminering vil innebære
noen begrensning for å kreve opplysninger etter artikkel
19 nr. 4.
Departementet ser på denne bakgrunn ingen grunn til å begrense
rekkevidden av opplysningsplikten om tilgang til datasystemer slik
det går frem av konvensjonens artikkel 19 nr. 4. Departementet
er på den annen side enig med utvalget i at opplysningsplikten
ikke bør gis et større omfang enn konvensjonen
krever.
Departementet er ikke i tvil om at konvensjonen vil bidra til å styrke
det internasjonale samarbeidet i saker av denne type. Det er viktig
at Norge sammen med de andre medlemsstatene følger opp
og slutter seg til konvensjonen.
Departementet er enig med utvalget i at Norge ikke bør åpne
for innhenting av trafikkdata i sanntid i mindre alvorlige straffesaker,
jf. artikkel 20. Det bør dessuten avgis erklæringer
i tilknytning til artikkel 2 og 29, slik utvalget foreslår.
I tillegg må Norge avgi erklæringer i tilknytning
til artikkel 24 og 27.
På denne bakgrunn ber departementet om Stortingets samtykke
til ratifikasjon av konvensjonen med den reservasjon og de erklæringer
som nevnt ovenfor.
De foreslåtte lovendringene vil neppe få større økonomiske
eller administrative konsekvenser.