Elektronisk Forpost Norge (EFN)
Pb. 2631 Solli
N-0203 Oslo




Justis- og politidepartementet               Oslo 31. mai 2007
Postboks 8005 Dep
0030 Oslo
(anette.kraemer@jd.dep.no / postmottak@jd.dep.no)




HØRINGSUTTALELSE FRA EFN OM NOU 2007: 2 LOVTILTAK MOT
DATAKRIMINALITET


EFN leverer med dette høringsuttalelse til Justisdepartementets
høringsnotat om NOU 2007: 2 Lovtiltak mot datakriminalitet.
(http://www.regjeringen.no/nb/dep/jd/dok/hoeringer/hoeringsdok/2007/Horing---NOU-2007-2-Lovtiltak-mot-datakr.html?id=454887)


Elektronisk Forpost Norge har følgende anmerkninger til
lovforslaget:

Den foreslåtte lovtekst inneholder ingen incentiver som gir den
enkelte eier av data ansvar for å sikre sine data i forhold til
den verdi de måtte ha. Verdi kan innebære økonomisk verdi for
eieren selv, eller for de som måtte være interessert i å få
uautorisert tilgang til disse. En kan også forutsette en personlig
verdi for personer dataene kan dreie seg om.

I et tenkt tilfelle kan man se for seg at eieren av verdifulle
data overlater til en tredjepart å forvalte disse. Tredjeparten
legger ved et uhell disse dataene lett tilgjengelig på Internett
slik at personer som ikke skulle fått tilgang kan få tak i dem. Om
de fortsatt har passordbeskyttelse, er denne så lett å omgå at man
i prinsippet vil kunne si at dataene er fritt tilgjengelige. Det
er her et spørsmål om man i prinsippet burde gjøre gjeldende et
straffansvar for denne tredjeparten, som jo har vært uaktsom. Med
en tredjepart kan man også tenke seg leverandører av programvare
som brukes til å lagre og overføre data. Dersom programvaren ikke
er så sikker som den i markedsføringen utgir seg for å være,
skulle man kunne tenke seg at den aktuelle leverandøren har
straffansvar.

Delstaten California i USA har innført en lov som sier at
dataeiere er forpliktet til å melde fra til alle sine kunder
dersom de oppdager at noen har fått tak i informasjon om
disse. Denne typen åpenhet er viktig for å gi rammede personer
mulighet til å treffe tiltak i tilfeller hvor uvedkommende eller
uønskede har fått tilgang til informasjon om dem. Det er for
eksempel mange som bruker det samme passordet mange steder, og
dersom noen skulle få tak i passord-databasen hos en bedrift, vil
de kunne misbruke denne bedriftens kunders kontoer på andre
datasystemer. Dersom kundene får beskjed om datatyveriet, vil de
kunne endre sine passord.

Det finnes en lang rekke legitime grunner til at man ønsker å
kartlegge andres datasystemer. Å forby dette, selv om forbudet kun
gjelder såkalt uberettiget bruk, vil komplisere arbeidsdagen
unødig for IT-administrasjonspersonell da de vil måtte innhente
juridiske vurderinger hver gang behovet for dette vil oppstå, for
eksempel i forbindelse med problemløsningssituasjoner. Det kan
argumenteres med at man kan innhente samtykke fra de som er
ansvarlige for datasystemet du skal feilsøke mot på forhånd, men i
mange situasjoner er dette uaktuelt -- enten fordi det er
vanskelig å vite hvem som faktisk er ansvarlig for datasystemet
som skaper problemer, eller fordi man opererer med veldig korte
tidsfrister. I mange tilfeller vil hvert minutt med nedetid
medføre et betydelig økonomisk tap.

Lovforslaget gjør det ulovlig å stenge ned nettsteder
(driftshindring) ved såkalte tjenestenektangrep ("denial of
service"), noe EFN ser på som viktig. Likevel kan man undre seg
over at straffenivået her er lagt meget høyere enn i for eksempel
§12, selv om overtredelsene kan forårsake like stort økonomisk
tap.

Definisjonen på ulovlig masseutsendelse (§14) er etter vårt skjønn
altfor vid, det bør sterkt vurderes om definisjonen kun skal
omfatte utsendelser med økonomisk vinning som motiv. Å forby
masseutsendelser kan komme i konflikt med ytringsfriheten, og kan
ramme politiske ytringer.

Dersom man legger til grunn at det må være rettigheter av
økonomisk art knyttet til en konto for at lovens forbud mot
kontomisbruk skal være gyldig (§16), må denne definisjonen i flere
sammenhenger sies å være for snever. Det finnes informasjon av
annen art som også bør omfattes av loven, for eksempel personlig
informasjon og data som er knyttet til rettigheter i nettbaserte
samfunn og spill. Disse kontoene er attraktive i dagens
Internettsamfunn -- selv om de ikke kan omsettes på det frie
markedet. Det vil være hensiktsmessig dersom loven setter forbud
mot å misbruke andres konto i den hensikt å utgi seg for å være
kontoens innehaver.

Angående §76b, filtrering av steder på Internett. Her må den aller
største varsomhet utvises. Filtrering/sperring av nettsteder er i
utgangspunktet en tvilsom praksis, ettersom kriteriene for
sperring alltid vil være flytende i den praktiske virkelighet. Ved
automatisk (programvarebasert) filtrering har man høstet rikelig
erfaring for at vilkårlighet lett introduseres. Det beste
eksemplet på dette er sperring av informasjonssider som omhandler
det emnet eller fenomenet man ønsker å filtrere vekk. I praksis
vil det neppe være mulig å forhindre vilkårlig sperring av lovlig
og i mange tilfeller nyttig informasjon.  Ønsket om å skjerme
allmennheten mot skadelig og/eller ulovlig innhold må ikke bli så
dominerende at muligheten til privat publisering av ytringer
reduseres, og vi vil gjenta oppfordringen om å utvise den aller
største varsomhet.


VIDERE MERKNADER

Lovforslaget fremstår som uheldig sett fra et
rettssikkerhetssynspunkt, og gir ikke den ønskede klarhet for
borgerne til å forutberegne sin rettsstilling. Dette fordi flere
av straffebudene har gjerningsbeskrivelser som beskriver
handlinger som borgerne jevnlig utfører, men hvor disse
straffesanksjoneres dersom de er "uberettigete", se utkastets §§
4-8. Eksempelvis vil man ved "surfing på internett" skaffe seg
tilgang til en mengde datasystemer (navnetjenere, web servere,
rutere m.m.) hos "andre".  Dette er straffbart dersom tilgangen er
"uberettiget", høringsnotatets § 4. Denne lovgivningsteknikk er så
vidt vi kan se ikke i samsvar med øvrige regler i
straffeloven.

Det er i utredningen vist til den alminnelige
rettsstridsreservasjonen, men denne sammenligningen er ikke
treffende. Rettsstridsreservasjonen er normalt en regel om
innskrenkende tolkning, en snever unntaksregel som får betydning
som en straff-frihetsregel, en handling kan -- på grunn av særlige
omstendigheter -- være straff-fri selv om handlingen dekkes av
gjerningsbeskrivelsen i straffebudet. Eksempelvis vil en
polititjenestemanns befatning med narkotika være straff-fri når
den utføres i tjeneste. I utkastet er dette utgangspunkt "snudd på
hodet", ved at vilkåret "uberettiget" blir det sentrale
straffbarhetsvilkåret som angir når handlinger som normalt er
lovlige, blir ulovlige.

Vi viser til straffelovkommisjonens uttalelse i NOU 1983:57 kap.
6.5:

"I en del tilfeller har lovgiveren uttrykkelig gitt tilkjenne at
det ikke er meningen å ramme alle de forhold som omfattes av
ordlyden. ...

Straffelovkommisjonen mener likevel at mye kan tale for å ta inn
en generell bestemmelse om rettsstrid i den nye straffeloven, og
overveier å foreslå dette. Men uttrykket "rettsstridig" bør neppe
brukes i loven, fordi det har preg av kunstord som folk flest ikke
benytter. Loven bør, for å fremme forståelse, istedet bruke et ord
som ulovlig eller uberettiget. Blir bestemmelsen vedtatt, betyr
det at rettsstridsreservasjonen i de fleste straffebud vil bli
overflødig. Straffelovkommisjonen regner likevel med at det vil
være behov for ordet i særlige tilfeller for å understreke at
gjerningsbeskrivelsen ellers ville rekke for langt."

Straffelovkommisjonens forslag er fulgt opp i NOU 2002:14. I
utkast til ny straffelov §3-7, jfr. tidligere utkast §28, foreslår
en generell rettsstridsreservasjonsbestemmelse, dvs. en
bestemmelse om innskrenkende tolking, jfr. avsnitt 8.3.8 foran.
Kommisjonen går samtidig inn for at rettsstridsreservasjoner
fjernes fra straffebestemmelsene. Også dette må følges opp i
særlovgivningen, for eksempel i Tolloven 10. juni 1965 nr. 5 §65.

Dersom "uberettiget" i Datakrimutvalgets lovutkast var benyttet
som en alminnelig rettsstridsreservasjon, skulle man tro at ordet
kunne strykes hvis Straffelovkommisjonens forslag om en generell
rettsstridsreservasjon vedtas. Bestemmelsene ville i så fall
fremstått som sterkt urimelige -- eksempelvis at man i
utgangspunktet kan straffes for enhver tilegnelse av databasert
informasjon (§5).

EFN vil sterkt anbefale at straffebudene utformes slik at det er
tydelig hva som utgjør en straffbar handling. Det er da naturlig å
ta inn et vilkår om skadefølge for den krenkede, slik man har
gjort i dagens forbud mot uberettiget bruk av andres
løsøregjenstander (strl. §261). Dersom uttrykket "uberettiget"
skal gjøres til det sentrale vilkår, er det helt nødvendig at det
redegjøres nærmere for dets innhold.

Vi konstaterer at utredningen på mange punkter går lengre enn
Norge er forpliktet til etter Datakrimkonvensjonen, iflg. kap
4.2.2 og 5.1 gjelder dette §§ 2, 3, 5, 6, 8, 9, 10, 14, 15 og 16,
samt at forslaget til §§ 10 og 11 innebærer at Norge kan frafalle
den reservasjon man i dag har i forhold til Datakrimkonvensjonen.
Det er svært vanskelig å se begrunnelsen for dette, jfr. utvalgets
argumentasjon i kap 4.5 om at man ikke bør kriminalisere mer enn
nødvendig.


SPESIELT OM SKILLET MELLOM §§ 5 og 6:

Det er lite treffende å bruke betegnelsen "tyveri" om kopiering av
opplysninger. Et sentralt vilkår for at tyveri foreligger er at
lovbryteren "borttar" tyvgodset, dvs. at rettmessig eier mister
rådigheten. Ved uberettiget kopiering skjer ikke dette, hvilket er
en vesentlig forskjell som loven bør reflektere.

Bestemmelsene tar formodentlig sikte på vern av informasjonsgoder,
for de tilfeller hvor det aktuelle godets verdi reduseres ved
kopiering. Vi foreslår at bestemmelsen utformes med dette for øye,
og at man samtidig gjør bestemmelsen medienøytral. Meget ofte er
betydelige verdier knyttet til papirbasert informasjon, og det er
uheldig dersom denne i strafferettslig sammenheng behandles på en
mildere måte enn databasert informasjon. Man bør her se på om
endringene heller bør knyttes til dagens bestemmelser om
informasjonskriminalitet (vern om bedriftshemmeligheter,
taushetsbelagte opplysninger, markedsføringslovens vern og det
opphavsrettslige vernet).


FORSLAG TIL TILLEGG MHT. §4 -- KRAVET TIL BESKYTTELSESBRUDD

Ved lovendring i 2005 ble straffeloven endret slik at vilkåret om
beskyttelsesbrudd ble fjernet fra straffeloven § 145
(brevbruddsbestemmelsen). Begrunnelsen var et ønske om å gi like
godt vern for datamaskinbasert informasjon som papirbasert
informasjon i forhold til tyveri. Vi viser til Justiskomiteens
omtale:

"Komiteen er videre enig i at dagens lovgivning ikke er fullgod på
alle områder, ikke minst i forhold til at den som innehar
datainformasjon må sørge for beskyttelse mot innsyn fra
uberettigede før et misbruk regnes som straffbart. Det vises her
til vilkåret om såkalt beskyttelsesbrudd i gjeldende bestemmelse
om datainnbrudd i straffeloven § 145 annet ledd. Komiteen vil i
den anledning vise til deler av uttalelsen fra Økokrim som blant
annet sier at:

  ''Økokrim ... har registrert en økning i henvendelser som
  gjelder "tyveri" av informasjon ved hjelp av en datamaskin, men
  hvor det vanskelig kan sies å foreligge brudd på en
  beskyttelse. Et typeeksempel er en utro tjener i en bedrift som
  uberettiget kopierer ut informasjon til en konkurrent.''

I en tid hvor man tillegger IKT-tjenester stadig større verdi, bør
det strafferettslige vern om data i hvert fall være på linje med
det man har for fysiske gjenstander, og som kjent stilles det ikke
noe vilkår om at en fysisk gjenstand må være beskyttet eller
innelåst for at det skal være tale om tyveri. Etter vår
oppfatning bør Straffeloven inneholde en regel om rettsstridig
adgang til data som er lagret eller som er under overføring.
Beskyttelsesbrudd, skadeforvoldelse eller vinnings hensikt bør
være straffskjerpende omstendigheter."

Komiteen foreslår etter dette å fjerne vilkåret om
beskyttelsesbrudd i Straffeloven §145 annet ledd, og fremsetter på
denne bakgrunn følgende forslag:

"I lov 22. mai 1902 nr. 10 Almindelig borgerlig Straffelov gjøres
følgende endring:

§145 annet ledd skal lyde:

Det samme gjelder den som uberettiget skaffer seg adgang til data
eller programutrustning som er lagret eller som overføres ved
elektroniske eller andre tekniske hjelpemidler."

http://www.stortinget.no/inno/2004/200405-053-002.html

Som det fremgår av disse forarbeidene var Stortingets intensjon
ved endringen å gi databasert informasjon like god beskyttelse som
mediebundet informasjon i forhold til tyveri. Vernet mot
uberettiget kopiering bør etter vårt skjønn adresseres særskilt og
medienøytralt, se våre kommentarer til utkastets §§ 5 og 6
ovenfor. Dersom det innføres et tilstrekkelig vern av
informasjonsgoder, eksempelvis ved en egen bestemmelse om vern mot
uberettiget kopiering, bør man kunne gjeninnføre kravet til
beskyttelsesbrudd i bestemmelsen om ulovlig tilgang til data,
tilsvarende utkastet til §4. Derved vil bestemmelsen igjen speile
brevbruddsbestemmelsen i §145, hvilket vi finner rimelig.

Vi minner i denne sammenheng om at fagdepartementet
(Justisdepartementet) så det som ønskelig med en bredere vurdering
før man eventuelt fjernet beskyttelsesbruddvilkåret i strl. §145,
jfr. odelstingsproposisjonen:

"Selv om de fleste høringsinstansene som har uttalt seg om
spørsmålet går inn for å fjerne vilkåret om beskyttelsesbrudd,
underbygger ikke høringen at det er noe påtrengende behov for å
foreslå en slik lovendring nå. Det vil være en fordel at
problemstillingen blir vurdert i en bredere sammenheng.
Departementet foreslår derfor ikke nå å fjerne dette vilkåret i
Straffeloven §145 annet ledd. Dette innebærer i tilfelle at det
må avgis en erklæring i samsvar med artikkel 40, jf. punkt 5
nedenfor." (kap. 3.2.6)
http://www.regjeringen.no/nb/dep/jd/dok/regpubl/otprp/20042005/Otprp-nr-40-
2004-2005-/3.html?id=395862

Som vi har påpekt ovenfor er det rettssikkerhetsmessig uheldig å
utforme bestemmelsen slik at "uberettiget" blir det sentrale
straffbarhetsvilkåret. Ved å gjeninsette "ved å bryte en
beskyttelse" som et vilkår for straffbarhet, får man en
bestemmelse som dekker behovet uten å bli innholdsløs. Behovet for
vern mot uberettiget utnyttelse av tilgang vil da som nevnt måtte
dekkes av andre bestemmelser, på samme måte som tyveri- og ulovlig
bruk-bestemmelsene supplerer innbrudds- og brevbruddsbestemmelsene
for fysiske gjenstander.


EFNs høringsuttalelse om NOU 2007: 2 Lovtiltak mot
datakriminalitet er utarbeidet av Bernt Drange og Jon Berge Holden
og redigert av Per Inge Østmoen.

Kontaktinformasjon:

   styret@efn.no
   mobil: 4735 2097

EFN er en elektronisk rettighetsorganisasjon som jobber med
medborgerskap og juridiske rettigheter i IT-samfunnet.
www.efn.no

Med vennlig hilsen på vegne av EFN,

Per Inge Østmoen     og     Thomas Gramstad


Dette dokumentets nettadresse er:
http://efn.no/datakrim-hoering2007.txt