Elektronisk Forpost Norge (EFN) Pb. 2631 Solli N-0203 Oslo Justis- og politidepartementet Oslo 31. mai 2007 Postboks 8005 Dep 0030 Oslo (anette.kraemer@jd.dep.no / postmottak@jd.dep.no) HØRINGSUTTALELSE FRA EFN OM NOU 2007: 2 LOVTILTAK MOT DATAKRIMINALITET EFN leverer med dette høringsuttalelse til Justisdepartementets høringsnotat om NOU 2007: 2 Lovtiltak mot datakriminalitet. (http://www.regjeringen.no/nb/dep/jd/dok/hoeringer/hoeringsdok/2007/Horing---NOU-2007-2-Lovtiltak-mot-datakr.html?id=454887) Elektronisk Forpost Norge har følgende anmerkninger til lovforslaget: Den foreslåtte lovtekst inneholder ingen incentiver som gir den enkelte eier av data ansvar for å sikre sine data i forhold til den verdi de måtte ha. Verdi kan innebære økonomisk verdi for eieren selv, eller for de som måtte være interessert i å få uautorisert tilgang til disse. En kan også forutsette en personlig verdi for personer dataene kan dreie seg om. I et tenkt tilfelle kan man se for seg at eieren av verdifulle data overlater til en tredjepart å forvalte disse. Tredjeparten legger ved et uhell disse dataene lett tilgjengelig på Internett slik at personer som ikke skulle fått tilgang kan få tak i dem. Om de fortsatt har passordbeskyttelse, er denne så lett å omgå at man i prinsippet vil kunne si at dataene er fritt tilgjengelige. Det er her et spørsmål om man i prinsippet burde gjøre gjeldende et straffansvar for denne tredjeparten, som jo har vært uaktsom. Med en tredjepart kan man også tenke seg leverandører av programvare som brukes til å lagre og overføre data. Dersom programvaren ikke er så sikker som den i markedsføringen utgir seg for å være, skulle man kunne tenke seg at den aktuelle leverandøren har straffansvar. Delstaten California i USA har innført en lov som sier at dataeiere er forpliktet til å melde fra til alle sine kunder dersom de oppdager at noen har fått tak i informasjon om disse. Denne typen åpenhet er viktig for å gi rammede personer mulighet til å treffe tiltak i tilfeller hvor uvedkommende eller uønskede har fått tilgang til informasjon om dem. Det er for eksempel mange som bruker det samme passordet mange steder, og dersom noen skulle få tak i passord-databasen hos en bedrift, vil de kunne misbruke denne bedriftens kunders kontoer på andre datasystemer. Dersom kundene får beskjed om datatyveriet, vil de kunne endre sine passord. Det finnes en lang rekke legitime grunner til at man ønsker å kartlegge andres datasystemer. Å forby dette, selv om forbudet kun gjelder såkalt uberettiget bruk, vil komplisere arbeidsdagen unødig for IT-administrasjonspersonell da de vil måtte innhente juridiske vurderinger hver gang behovet for dette vil oppstå, for eksempel i forbindelse med problemløsningssituasjoner. Det kan argumenteres med at man kan innhente samtykke fra de som er ansvarlige for datasystemet du skal feilsøke mot på forhånd, men i mange situasjoner er dette uaktuelt -- enten fordi det er vanskelig å vite hvem som faktisk er ansvarlig for datasystemet som skaper problemer, eller fordi man opererer med veldig korte tidsfrister. I mange tilfeller vil hvert minutt med nedetid medføre et betydelig økonomisk tap. Lovforslaget gjør det ulovlig å stenge ned nettsteder (driftshindring) ved såkalte tjenestenektangrep ("denial of service"), noe EFN ser på som viktig. Likevel kan man undre seg over at straffenivået her er lagt meget høyere enn i for eksempel §12, selv om overtredelsene kan forårsake like stort økonomisk tap. Definisjonen på ulovlig masseutsendelse (§14) er etter vårt skjønn altfor vid, det bør sterkt vurderes om definisjonen kun skal omfatte utsendelser med økonomisk vinning som motiv. Å forby masseutsendelser kan komme i konflikt med ytringsfriheten, og kan ramme politiske ytringer. Dersom man legger til grunn at det må være rettigheter av økonomisk art knyttet til en konto for at lovens forbud mot kontomisbruk skal være gyldig (§16), må denne definisjonen i flere sammenhenger sies å være for snever. Det finnes informasjon av annen art som også bør omfattes av loven, for eksempel personlig informasjon og data som er knyttet til rettigheter i nettbaserte samfunn og spill. Disse kontoene er attraktive i dagens Internettsamfunn -- selv om de ikke kan omsettes på det frie markedet. Det vil være hensiktsmessig dersom loven setter forbud mot å misbruke andres konto i den hensikt å utgi seg for å være kontoens innehaver. Angående §76b, filtrering av steder på Internett. Her må den aller største varsomhet utvises. Filtrering/sperring av nettsteder er i utgangspunktet en tvilsom praksis, ettersom kriteriene for sperring alltid vil være flytende i den praktiske virkelighet. Ved automatisk (programvarebasert) filtrering har man høstet rikelig erfaring for at vilkårlighet lett introduseres. Det beste eksemplet på dette er sperring av informasjonssider som omhandler det emnet eller fenomenet man ønsker å filtrere vekk. I praksis vil det neppe være mulig å forhindre vilkårlig sperring av lovlig og i mange tilfeller nyttig informasjon. Ønsket om å skjerme allmennheten mot skadelig og/eller ulovlig innhold må ikke bli så dominerende at muligheten til privat publisering av ytringer reduseres, og vi vil gjenta oppfordringen om å utvise den aller største varsomhet. VIDERE MERKNADER Lovforslaget fremstår som uheldig sett fra et rettssikkerhetssynspunkt, og gir ikke den ønskede klarhet for borgerne til å forutberegne sin rettsstilling. Dette fordi flere av straffebudene har gjerningsbeskrivelser som beskriver handlinger som borgerne jevnlig utfører, men hvor disse straffesanksjoneres dersom de er "uberettigete", se utkastets §§ 4-8. Eksempelvis vil man ved "surfing på internett" skaffe seg tilgang til en mengde datasystemer (navnetjenere, web servere, rutere m.m.) hos "andre". Dette er straffbart dersom tilgangen er "uberettiget", høringsnotatets § 4. Denne lovgivningsteknikk er så vidt vi kan se ikke i samsvar med øvrige regler i straffeloven. Det er i utredningen vist til den alminnelige rettsstridsreservasjonen, men denne sammenligningen er ikke treffende. Rettsstridsreservasjonen er normalt en regel om innskrenkende tolkning, en snever unntaksregel som får betydning som en straff-frihetsregel, en handling kan -- på grunn av særlige omstendigheter -- være straff-fri selv om handlingen dekkes av gjerningsbeskrivelsen i straffebudet. Eksempelvis vil en polititjenestemanns befatning med narkotika være straff-fri når den utføres i tjeneste. I utkastet er dette utgangspunkt "snudd på hodet", ved at vilkåret "uberettiget" blir det sentrale straffbarhetsvilkåret som angir når handlinger som normalt er lovlige, blir ulovlige. Vi viser til straffelovkommisjonens uttalelse i NOU 1983:57 kap. 6.5: "I en del tilfeller har lovgiveren uttrykkelig gitt tilkjenne at det ikke er meningen å ramme alle de forhold som omfattes av ordlyden. ... Straffelovkommisjonen mener likevel at mye kan tale for å ta inn en generell bestemmelse om rettsstrid i den nye straffeloven, og overveier å foreslå dette. Men uttrykket "rettsstridig" bør neppe brukes i loven, fordi det har preg av kunstord som folk flest ikke benytter. Loven bør, for å fremme forståelse, istedet bruke et ord som ulovlig eller uberettiget. Blir bestemmelsen vedtatt, betyr det at rettsstridsreservasjonen i de fleste straffebud vil bli overflødig. Straffelovkommisjonen regner likevel med at det vil være behov for ordet i særlige tilfeller for å understreke at gjerningsbeskrivelsen ellers ville rekke for langt." Straffelovkommisjonens forslag er fulgt opp i NOU 2002:14. I utkast til ny straffelov §3-7, jfr. tidligere utkast §28, foreslår en generell rettsstridsreservasjonsbestemmelse, dvs. en bestemmelse om innskrenkende tolking, jfr. avsnitt 8.3.8 foran. Kommisjonen går samtidig inn for at rettsstridsreservasjoner fjernes fra straffebestemmelsene. Også dette må følges opp i særlovgivningen, for eksempel i Tolloven 10. juni 1965 nr. 5 §65. Dersom "uberettiget" i Datakrimutvalgets lovutkast var benyttet som en alminnelig rettsstridsreservasjon, skulle man tro at ordet kunne strykes hvis Straffelovkommisjonens forslag om en generell rettsstridsreservasjon vedtas. Bestemmelsene ville i så fall fremstått som sterkt urimelige -- eksempelvis at man i utgangspunktet kan straffes for enhver tilegnelse av databasert informasjon (§5). EFN vil sterkt anbefale at straffebudene utformes slik at det er tydelig hva som utgjør en straffbar handling. Det er da naturlig å ta inn et vilkår om skadefølge for den krenkede, slik man har gjort i dagens forbud mot uberettiget bruk av andres løsøregjenstander (strl. §261). Dersom uttrykket "uberettiget" skal gjøres til det sentrale vilkår, er det helt nødvendig at det redegjøres nærmere for dets innhold. Vi konstaterer at utredningen på mange punkter går lengre enn Norge er forpliktet til etter Datakrimkonvensjonen, iflg. kap 4.2.2 og 5.1 gjelder dette §§ 2, 3, 5, 6, 8, 9, 10, 14, 15 og 16, samt at forslaget til §§ 10 og 11 innebærer at Norge kan frafalle den reservasjon man i dag har i forhold til Datakrimkonvensjonen. Det er svært vanskelig å se begrunnelsen for dette, jfr. utvalgets argumentasjon i kap 4.5 om at man ikke bør kriminalisere mer enn nødvendig. SPESIELT OM SKILLET MELLOM §§ 5 og 6: Det er lite treffende å bruke betegnelsen "tyveri" om kopiering av opplysninger. Et sentralt vilkår for at tyveri foreligger er at lovbryteren "borttar" tyvgodset, dvs. at rettmessig eier mister rådigheten. Ved uberettiget kopiering skjer ikke dette, hvilket er en vesentlig forskjell som loven bør reflektere. Bestemmelsene tar formodentlig sikte på vern av informasjonsgoder, for de tilfeller hvor det aktuelle godets verdi reduseres ved kopiering. Vi foreslår at bestemmelsen utformes med dette for øye, og at man samtidig gjør bestemmelsen medienøytral. Meget ofte er betydelige verdier knyttet til papirbasert informasjon, og det er uheldig dersom denne i strafferettslig sammenheng behandles på en mildere måte enn databasert informasjon. Man bør her se på om endringene heller bør knyttes til dagens bestemmelser om informasjonskriminalitet (vern om bedriftshemmeligheter, taushetsbelagte opplysninger, markedsføringslovens vern og det opphavsrettslige vernet). FORSLAG TIL TILLEGG MHT. §4 -- KRAVET TIL BESKYTTELSESBRUDD Ved lovendring i 2005 ble straffeloven endret slik at vilkåret om beskyttelsesbrudd ble fjernet fra straffeloven § 145 (brevbruddsbestemmelsen). Begrunnelsen var et ønske om å gi like godt vern for datamaskinbasert informasjon som papirbasert informasjon i forhold til tyveri. Vi viser til Justiskomiteens omtale: "Komiteen er videre enig i at dagens lovgivning ikke er fullgod på alle områder, ikke minst i forhold til at den som innehar datainformasjon må sørge for beskyttelse mot innsyn fra uberettigede før et misbruk regnes som straffbart. Det vises her til vilkåret om såkalt beskyttelsesbrudd i gjeldende bestemmelse om datainnbrudd i straffeloven § 145 annet ledd. Komiteen vil i den anledning vise til deler av uttalelsen fra Økokrim som blant annet sier at: ''Økokrim ... har registrert en økning i henvendelser som gjelder "tyveri" av informasjon ved hjelp av en datamaskin, men hvor det vanskelig kan sies å foreligge brudd på en beskyttelse. Et typeeksempel er en utro tjener i en bedrift som uberettiget kopierer ut informasjon til en konkurrent.'' I en tid hvor man tillegger IKT-tjenester stadig større verdi, bør det strafferettslige vern om data i hvert fall være på linje med det man har for fysiske gjenstander, og som kjent stilles det ikke noe vilkår om at en fysisk gjenstand må være beskyttet eller innelåst for at det skal være tale om tyveri. Etter vår oppfatning bør Straffeloven inneholde en regel om rettsstridig adgang til data som er lagret eller som er under overføring. Beskyttelsesbrudd, skadeforvoldelse eller vinnings hensikt bør være straffskjerpende omstendigheter." Komiteen foreslår etter dette å fjerne vilkåret om beskyttelsesbrudd i Straffeloven §145 annet ledd, og fremsetter på denne bakgrunn følgende forslag: "I lov 22. mai 1902 nr. 10 Almindelig borgerlig Straffelov gjøres følgende endring: §145 annet ledd skal lyde: Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler." http://www.stortinget.no/inno/2004/200405-053-002.html Som det fremgår av disse forarbeidene var Stortingets intensjon ved endringen å gi databasert informasjon like god beskyttelse som mediebundet informasjon i forhold til tyveri. Vernet mot uberettiget kopiering bør etter vårt skjønn adresseres særskilt og medienøytralt, se våre kommentarer til utkastets §§ 5 og 6 ovenfor. Dersom det innføres et tilstrekkelig vern av informasjonsgoder, eksempelvis ved en egen bestemmelse om vern mot uberettiget kopiering, bør man kunne gjeninnføre kravet til beskyttelsesbrudd i bestemmelsen om ulovlig tilgang til data, tilsvarende utkastet til §4. Derved vil bestemmelsen igjen speile brevbruddsbestemmelsen i §145, hvilket vi finner rimelig. Vi minner i denne sammenheng om at fagdepartementet (Justisdepartementet) så det som ønskelig med en bredere vurdering før man eventuelt fjernet beskyttelsesbruddvilkåret i strl. §145, jfr. odelstingsproposisjonen: "Selv om de fleste høringsinstansene som har uttalt seg om spørsmålet går inn for å fjerne vilkåret om beskyttelsesbrudd, underbygger ikke høringen at det er noe påtrengende behov for å foreslå en slik lovendring nå. Det vil være en fordel at problemstillingen blir vurdert i en bredere sammenheng. Departementet foreslår derfor ikke nå å fjerne dette vilkåret i Straffeloven §145 annet ledd. Dette innebærer i tilfelle at det må avgis en erklæring i samsvar med artikkel 40, jf. punkt 5 nedenfor." (kap. 3.2.6) http://www.regjeringen.no/nb/dep/jd/dok/regpubl/otprp/20042005/Otprp-nr-40- 2004-2005-/3.html?id=395862 Som vi har påpekt ovenfor er det rettssikkerhetsmessig uheldig å utforme bestemmelsen slik at "uberettiget" blir det sentrale straffbarhetsvilkåret. Ved å gjeninsette "ved å bryte en beskyttelse" som et vilkår for straffbarhet, får man en bestemmelse som dekker behovet uten å bli innholdsløs. Behovet for vern mot uberettiget utnyttelse av tilgang vil da som nevnt måtte dekkes av andre bestemmelser, på samme måte som tyveri- og ulovlig bruk-bestemmelsene supplerer innbrudds- og brevbruddsbestemmelsene for fysiske gjenstander. EFNs høringsuttalelse om NOU 2007: 2 Lovtiltak mot datakriminalitet er utarbeidet av Bernt Drange og Jon Berge Holden og redigert av Per Inge Østmoen. Kontaktinformasjon: styret@efn.no mobil: 4735 2097 EFN er en elektronisk rettighetsorganisasjon som jobber med medborgerskap og juridiske rettigheter i IT-samfunnet. www.efn.no Med vennlig hilsen på vegne av EFN, Per Inge Østmoen og Thomas Gramstad Dette dokumentets nettadresse er: http://efn.no/datakrim-hoering2007.txt