Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

1. Sammendrag

I proposisjonen fremmer departementet forslag om samtykke til ratifikasjon av Europarådets konvensjon 8. november 2001 om bekjempelse av kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi, og om endringer i straffeloven og straffeprosessloven for å gjennomføre de forpliktelser som Norge vil påta seg ved ratifikasjonen.

For det første foreslår departementet et nytt straffebud som forbyr forskjellige former for urettmessig befatning med passord og andre tilgangsdata, og med dataprogrammer og andre innretninger som er særlig egnet til å begå straffbare handlinger rettet mot data eller datasystemer.

For det annet foreslår departementet regler om midlertidig sikring av elektronisk lagrete data. Det tredje forslaget innebærer at politiet, under ransaking av et datasystem, vil kunne pålegge enhver å gi de opplysninger som er nødvendige for å få tilgang til datasystemet.

Norsk strafferett er i det alt vesentlige i samsvar med de krav konvensjonen stiller. Datakrimutvalget la således til grunn at det ikke var behov for andre lovendringer enn dem som artikkel 6 gjør nødvendig, noe høringsinstansene har sluttet seg til. Departementet er enig i dette.

Konvensjonen artikkel 2 gjelder datainnbrudd. Bestemmelsen pålegger konvensjonsstatene å sette straff for den som rettsstridig skaffer seg tilgang til hele eller deler av et datasystem, uavhengig av om vedkommende har gjort seg kjent med innholdet av de data som datainnbruddet har gitt tilgang til.

Datainnbrudd rammes av straffeloven § 145 annet ledd. Bestemmelsen rammer bare den som "ved å bryte en beskyttelse eller på lignende måte uberettiget skaffer seg adgang til data eller programutrustning". Det er ikke et vilkår for straff at gjerningspersonen har gjort seg kjent med dataene eller programutrustningen. Etter bestemmelsen er det tilstrekkelig at hun eller han har skaffet seg adgang til dem.

Utvalget drøfter forholdet mellom artikkel 2 og straffeloven § 145 annet ledd og går inn for å endre bestemmelsen slik at overtredelser kan straffes med fengsel inntil 6 måneder eller bøter eller begge deler.

I lys av høringen er det etter departementets syn naturlig å se spørsmålet om å endre straffeloven § 145 annet ledd i sammenheng med reglene om uberettiget tilegnelse av informasjon. På bakgrunn av særlig Økokrims høringsuttalelse ser departementet et klart behov for å utrede nærmere om data i dag har et for svakt strafferettslig vern sammenlignet med for eksempel vernet mot tyveri av fysiske gjenstander. Å vurdere dette og eventuelt utforme en helt ny bestemmelse som rammer urettmessig tilegnelse av informasjon, er imidlertid en oppgave av en slik art at det er naturlig å la den gå inn i Datakrimutvalgets videre arbeid. Spørsmålet blir da om det er et mer akutt behov for å følge opp forslaget i høringsbrevet (å fjerne beskyttelsesvilkåret) allerede nå, eller om også dette mer avgrensede spørsmålet best kan følges opp i Datakrimutvalgets andre delutredning.

Selv om de fleste høringsinstansene som har uttalt seg om spørsmålet går inn for å fjerne vilkåret om beskyttelsesbrudd, underbygger ikke høringen at det er noe påtrengende behov for å foreslå en slik lovendring nå. Departementet foreslår derfor ikke nå å fjerne dette vilkåret i straffeloven § 145 annet ledd. Dette innebærer i tilfelle at det må avgis en erklæring i samsvar med artikkel 40.

Departementet er enig med utvalget og Politidirektoratet i at straffen for overtredelsen av bestemmelsen bør skjerpes noe, og tiltrer utvalgets forslag. Dette vil sikre at det kan brukes straffeprosessuelle tvangsmidler i den utstrekning konvensjonen krever.

Artikkel 6 gjelder besittelse og spredning av visse dataprogrammer, tilgangsdata mv., og pålegger konvensjonsstatene å sette straff for produksjon, salg, kjøp, import, distribusjon og andre former for spredning av dataprogrammer og andre innretninger som er utformet eller tilpasset for å kunne begå straffbare handlinger som nevnt i artikkel 2 til 5. I underpunkt ii rammes tilsvarende former for befatning med passord, tilgangskoder og lignende data som er egnet til å gi tilgang til hele eller deler av et datasystem.

I norsk lovgivning finnes det ingen straffebestemmelse som fullt ut dekker de handlingene som er beskrevet i artikkel 6, og Datakrimutvalget la til grunn at artikkel 6 gjør det nødvendig med lovendringer.

Etter departementets syn kan det ikke være tvilsomt at artikkel 6 gjør det nødvendig med lovendringer. Dette gjelder selv om reservasjonsadgangen i artikkel 6 nr. 3 benyttes.

I NOU 2003:27 blir spørsmålet om og i tilfelle i hvilken utstrekning Norge bør benytte reservasjonsadgangen i artikkel 6 nr. 3 drøftet. Utvalget mener at Norge bør reservere seg mot å oppstille straffansvar for besittelse av visse dataprogrammer. Utvalget går heller ikke inn for å kriminalisere det å gjøre slike innretninger tilgjengelige for andre.

Artikkel 6 innebærer en forpliktelse til å kriminalisere forberedelseshandlinger. Det kreves en tungtveiende begrunnelse for å sette straff for forberedelseshandlinger. At grensen mellom forberedelse til samfunnsskadelige handlinger og forberedelser til helt uskyldige handlinger i stor grad beror på sinnelaget til personen som begår dem, taler generelt med tyngde imot at slike handlinger skal kriminaliseres. Dette synspunktet får imidlertid mer begrenset bærekraft når den aktuelle forberedelseshandlingen i større utstrekning bidrar til å kaste lys over gjerningspersonens forsett. Hackerverktøy mv. er særlig egnet til å begå straffbare handlinger. Et straffebud som retter seg mot det å besitte slike innretninger, vil dermed være mer treffsikkert enn et straffebud som retter seg mot mer dagligdagse handlinger.

Etter departementets syn taler både det betydelige skadepotensialet, hensynet til tilliten til elektronisk kommunikasjon og den tilsynelatende lave oppdagelsesrisikoen for at det bør være straffbart å besitte hackerverktøy og andre tilsvarende innretninger. Det vil også lette det internasjonale samarbeidet i saker som gjelder datakriminalitet. Departementet har på denne bakgrunn kommet til at det bør settes straff for besittelse av passord og hackerverktøy mv.

Departementet går så over til å drøfte spørsmålet om det bør settes straff for å gjøre slike innretninger tilgjengelige for andre. I Datakrimutvalgets utredning ble det foreslått at heller ikke slike handlinger kriminaliseres. Etter departementets syn har de momentene som det er vist til i drøftelsen ovenfor, minst like stor gjennomslagskraft i spredningstilfellene. Også spredning bør derfor kriminaliseres. Siden slike handlinger ofte er straffbare allerede etter reglene om forsøk og medvirkning, vil en slik utvidelse innebære en forholdsvis beskjeden nykriminalisering.

I utvalgets utredning foreslås det at artikkel 6 nr. 1 bokstav a (ii) blir gjennomført i en ny straffebestemmelse, og at bestemmelsens objektive gjerningsinnhold utformes slik at den "ikke begrenses til å gjelde passord, men må gjelde alle former for data som kan gi tilgang til hele eller deler av et datasystem".

Departementet er enig med utvalget i at artikkel 6 bør gjennomføres i en ny straffebestemmelse, som foreslås som ny § 145b i straffeloven. Det finnes ingen bestemmelse som fra før rammer tilsvarende forhold som det konvensjonen retter seg mot.

Når det gjelder bestemmelsens objektive gjerningsinnhold, omfatter antakelig konvensjonen enhver logisk eller fysisk innretning som er særlig egnet ved overtredelse av artikkel 2 til 5. For å sikre at Norge lojalt oppfyller sine folkerettslige forpliktelser er lovutkastet utformet i samsvar med det. Departementet er enig med utvalget i at bestemmelsen må utformes slik at den gjelder alle former for data som kan gi tilgang til hele eller deler av et datasystem.

Vedrørende hvilke befatningsformer som skal rammes, er det etter departementets syn tilstrekkelig om den norske gjennomføringsbestemmelsen rammer befatningsformene fremstille, anskaffe, besitte eller gjøre tilgjengelig for andre. Straffansvar kan bare komme på tale der den aktuelle befatningsformen er uberettiget.

Når det gjelder skyldkravet, blir spørsmålet om det bør kreves at gjerningspersonen har til hensikt å begå straffbare handlinger, slik konvensjonen legger opp til, eller om det bør være tilstrekkelig med alminnelig forsett. Departementet er enig med utvalget i at også rent forsettlige overtredelser av bestemmelsen er straffverdige. Det bør derfor ikke kreves at handlingen er begått med en bestemt hensikt.

Datakrimutvalget foreslo å sette strafferammen til bøter eller fengsel i 6 måneder eller begge deler. For grove tilfeller foreslo utvalget en strafferamme på fengsel i 2 år. Departementet slutter seg til utvalgets vurderinger på dette punkt.

Når det gjelder bestemmelsens stedlige virkeområde, er departementet enig med utvalget i at bestemmelsen bør føyes til straffeloven § 12 nr. 3. Tilføyelsen vil innebære at utkastet til ny § 145b vil kunne ramme handlinger som er begått i utlandet av norske statsborgere eller andre som er hjemmehørende i Norge.

Norsk straffeprosess er på de fleste punkter i samsvar med de krav konvensjonen stiller. Datakrimutvalget la således til grunn at det ikke var behov for andre lovendringer enn dem som artikkel 16, 17 nr. 1 bokstav b og 19 nr. 4 gjør nødvendig, noe høringsinstansene har sluttet seg til. Departementet er enig i dette.

Artikkel 16 gjelder midlertidig sikring av elektronisk lagrede data, og gir regler om midlertidig sikring av data som antas å ha betydning som bevis i en straffesak. Størst praktisk betydning får bestemmelsen for data som foreløpig ikke kan kreves utlevert. Bestemmelsen omfatter alle former for data som er elektronisk lagret, både trafikkdata og innholdsdata. Et sikringspålegg kan imidlertid bare rette seg mot data som er lagret på sikringstidspunktet. Data som er under overføring faller utenfor bestemmelsens virkeområde. Et sikringspålegg skal ikke gjelde for et lengre tidsrom enn nødvendig, og uansett ikke for mer enn 90 dager om gangen. Besluttes et sikringspålegg etter anmodning fra en fremmed stat, følger det av artikkel 29 at dataene skal sikres i minst 60 dager.

Artikkel 17 gir særregler om trafikkdata, og innebærer at trafikkdata må kunne sikres midlertidig også i de tilfeller hvor flere tjenestetilbydere er involvert i en kommunikasjonsoverføring. Siden trafikkdata ofte blir slettet etter relativt kort tid, kan det føre til at viktige bevis går tapt. Artikkel 17 åpner derfor for at myndighetene umiddelbart skal gis tilgang til trafikkdata i den utstrekning det er nødvendig for å avklare om andre tjenestetilbydere har vært involvert.

Datakrimutvalget la til grunn i sin utredning at straffeprosessloven § 216 ikke fullt ut oppfyller forpliktelsene i artikkel 16 og 17 nr. 1 bokstav a, og at det er klart at konvensjonens bestemmelser om midlertidig sikring av data gjør det nødvendig med lovendringer.

Derimot var utvalget mer i tvil om det er nødvendig å endre straffeprosessloven § 210 for å oppfylle forpliktelsen i artikkel 17 nr. 1 bokstav b om utlevering av trafikkdata. Adgangen til å gi utleveringspålegg overfor tjenestetilbydere er betinget av at Post- og teletilsynet gir fritak fra taushetsplikten etter ekomloven. Skal denne ordningen videreføres, vil tilsynet i tilfelle måtte gi fritak i alle de saker som faller innenfor artikkel 17 nr. 1 bokstav b, og det vil innbære at tilsynsfunksjonen blir uten realitet. Etter utvalgets syn er det lite å vinne på en slik ordning, og det foreslo i stedet en egen bestemmelse om utlevering av visse trafikkdata.

Etter departementets syn er det ikke tvilsomt at artikkel 16 og 17 nr. 1 bokstav a gjør det nødvendig med lovendringer i norsk rett. Departementet er videre enig med utvalget i at det bør gis en særskilt bestemmelse om utlevering av trafikkdata som nevnt i artikkel 17 nr. 1 bokstav b.

I utredningen foreslås det at artikkel 16 og 17 bør gjennomføres i en ny bestemmelse i straffeprosessloven. Utvalget drøfter hvilke former for data som bestemmelsen skal omfatte, og konkluderer med at alle former for data, inkludert e-post og andre former for innholdsdata, bør med. Utvalget understreker at mistanken må bygge på objektive holdepunkter. Noe kvalifisert mistankekrav går utvalget imidlertid ikke inn for.

Et særlig spørsmål er om adgangen til å utferdige sikringspålegg bør variere avhengig av om pålegget retter seg mot innholdsdata eller trafikkdata. Utvalgets flertall mener at det bør trekkes et skille mellom trafikkdata og andre former for data. Etter flertallets syn bør sikring av andre data enn trafikkdata bare kunne skje ved mistanke om en straffbar handling med en høyere strafferamme enn fengsel i 6 måneder. Utvalgets mindretall foreslår at strafferammekravet bare bør knyttes til midlertidig sikring av e-post.

Utvalget går inn for at den som opplysningene knytter seg til, skal gis underretning om sikringspålegget. Etter utvalgets syn bør en mistenkt ha krav på underretning fra det tidspunkt han får status som siktet i saken.

Når det gjelder bestemmelsen om utlevering av visse trafikkdata etter artikkel 17 nr. 1 bokstav b, foreslår utvalgets flertall at forpliktelsen gjennomføres slik at politiet etter en særskilt bestemmelse skal få tilgang til opplysninger som er nødvendige for å avdekke hvor de aktuelle dataene kom fra eller ble sendt til.

Etter departementets syn må de nye reglene om sikringspålegg utformes i lys av reglene om beslag. Slik artikkel 16 nr. 1 er formulert, legger departementet til grunn at bestemmelsen må omfatte alle former for data, inkludert e-post og andre kategorier av innholdsdata.

I spørsmålet om hvilke vilkår et sikringspålegg bør gjøres betinget av, bør det etter departementets oppfatning i utgangspunktet være tilstrekkelig at dataene kan ha betydning som bevis. Men departementet går inn for at pålegg til en tjenestetilbyder om å sikre e-post og eventuelle vedlegg bør være betinget av at det er grunn til å tro at det er begått en straffbar handling. En slik løsning er best i samsvar med reglene om beslag av brev og andre postsendinger i straffeprosessloven.

Konvensjonen angir ikke på hvilken måte sikringen skal skje. Departementet er enig med utvalget i at bestemmelsen bør utformes teknologinøytralt, og at det derfor ikke bør sies noe bestemt i loven om hvordan dataene skal sikres.

Departementet er enig med utvalget i at kompetansen til å beslutte midlertidig sikring av data bør ligge hos påtalemyndigheten.

Departementet er enig med utvalget i at en mistenkt bør ha krav på underretning fra det tidspunkt han får status som siktet i saken, men bare dersom sikringspålegget gjelder data som den siktede selv har lovlig tilgang til. Etter departementets syn taler de beste grunner for at også den som er utenfor mistanke, bør få underretning i samme utstrekning som den mistenkte. En slik løsning er best i samsvar med straffeprosesslovens system ved bruk av andre tvangsmidler.

Det siste spørsmålet er om en beslutning om bruk av sikringspålegg bør kunne gjøres til gjenstand for rettslig prøving. Utvalget har foreslått at det bør være adgang til rettslig overprøving, og departementet er enig i det.

Konvensjonen artikkel 29 pålegger statspartene å etterkomme en anmodning om å utferdige et sikringspålegg selv om forholdet ikke er straffbart i staten som anmodes om å yte bistand. Artikkel 29 nr. 4 gir imidlertid stater som Norge, som har dobbel straffbarhet som et vilkår for å yte rettshjelp, mulighet til å reservere seg mot forpliktelsen til å utferdige sikringspålegg i saker som gjelder forhold som ikke er straffbare i Norge. Utvalget går inn for at Norge benytter seg av denne muligheten.

Også departementet har kommet til at kravet om dobbel straffbarhet bør opprettholdes for anmodninger om sikringspålegg. Prinsippet om dobbel straffbarhet sikrer at Norge ikke yter rettshjelp i saker som sett fra et norsk ståsted ikke bør gi grunnlag for bruk av tvangsmidler.

Artikkel 19 nr. 4 gjelder opplysningsplikt under ransaking og pålegger konvensjonsstatene å gi regler om opplysningsplikt under ransaking av et datasystem. I norsk rett finnes det ingen generell regel om opplysningsplikt av den type som artikkel 19 forutsetter. For å gjennomføre konvensjonsforpliktelsen er det derfor nødvendig med en ny lovbestemmelse.

Utvalget mener at artikkel 19 nr. 4 gjør det påkrevd å endre straffeprosessloven. Utvalget fremhever samtidig at pålegg om å gi opplysninger i forbindelse med en ransaking kan tenkes å komme i konflikt med vernet mot selvinkriminering På denne bakgrunn foreslår utvalget at opplysningsplikten bare kan pålegges den som plikter å vitne i saken. Når det gjelder selve utformingen av bestemmelsen, går utvalget inn for at opplysningsplikten ikke bør gis et større omfang enn konvensjonen artikkel 19 nr. 4 krever.

Departementet vil peke på at konvensjonsforpliktelsen etter artikkel 19 nr. 4 bare omfatter opplysninger som trengs for å gi tilgang til det datasystemet som skal ransakes. Slike opplysninger vil i seg selv neppe være egnet til å utsette angiveren for straff. Allerede av den grunn anser departementet det lite sannsynlig at vernet mot selvinkriminering vil innebære noen begrensning for å kreve opplysninger etter artikkel 19 nr. 4.

Departementet ser på denne bakgrunn ingen grunn til å begrense rekkevidden av opplysningsplikten om tilgang til datasystemer slik det går frem av konvensjonens artikkel 19 nr. 4. Departementet er på den annen side enig med utvalget i at opplysningsplikten ikke bør gis et større omfang enn konvensjonen krever.

Departementet er ikke i tvil om at konvensjonen vil bidra til å styrke det internasjonale samarbeidet i saker av denne type. Det er viktig at Norge sammen med de andre medlemsstatene følger opp og slutter seg til konvensjonen.

Departementet er enig med utvalget i at Norge ikke bør åpne for innhenting av trafikkdata i sanntid i mindre alvorlige straffesaker, jf. artikkel 20. Det bør dessuten avgis erklæringer i tilknytning til artikkel 2 og 29, slik utvalget foreslår. I tillegg må Norge avgi erklæringer i tilknytning til artikkel 24 og 27.

På denne bakgrunn ber departementet om Stortingets samtykke til ratifikasjon av konvensjonen med den reservasjon og de erklæringer som nevnt ovenfor.

De foreslåtte lovendringene vil neppe få større økonomiske eller administrative konsekvenser.