Dataavlesing
En kritisk vurdering i komparativt lys
Kandidatnummer: 590 Leveringsfrist: 25. mai 2020 Antall ord: 17 969
i
1 INNLEDNING ... 1
1.1 Bakgrunn og tema ... 1
1.2 Kort om rettskilder, metode og henvisninger ... 2
1.3 Avgrensninger ... 3
1.4 Oppgavens struktur ... 4
2 DATAAVLESING I NORGE ... 5
2.1 Hjemmelen... 5
2.2 Hva slags objekter kan politiet avlese? ... 6
2.2.1 Datasystemer ... 6
2.2.2 Brukerkontoer ... 7
2.3 Hvilke typer data kan politiet avlese? ... 7
2.4 Materielle krav for å få tillatelse til dataavlesing ... 8
2.4.1 Kriminalitetskravet ... 8
2.4.2 Mistankekravet ... 9
2.4.3 Tilknytningskravet ... 10
2.4.4 Krav om nødvendighet og forholdsmessighet ... 10
2.5 Prosessuelle og personelle krav ved dataavlesing ... 11
2.5.1 Kompetanse til å beslutte dataavlesing ... 11
2.5.2 Tillatelsens varighet ... 12
2.5.3 Varetakelse av mistenktes interesser ... 12
2.5.4 Protokollering og rapportering ... 12
2.5.5 Opphør av dataavlesing ... 13
2.6 Hvordan kan politiet gå frem for å gjennomføre dataavlesingen? ... 13
2.6.1 Teknisk metode ... 13
2.6.2 Innbrudd... 13
2.6.3 Risikobegrensning ... 14
3 DATAAVLESING I FINLAND OG SVERIGE – EN SAMMENLIGNING ... 16
3.1 Hjemlene... 16
3.2 Hva slags objekter kan politiet avlese? ... 17
3.2.1 Datasystemer ... 17
3.2.2 Brukerkontoer ... 18
3.3 Hvilke typer data kan politiet avlese? ... 19
3.4 Materielle krav for å få tillatelse til dataavlesing ... 21
3.4.1 Kriminalitetskravet ... 21
3.4.2 Mistankekravet ... 23
3.4.3 Tilknytningskravet ... 24
ii
3.4.4 Krav om nødvendighet og forholdsmessighet ... 25
3.5 Prosessuelle og personelle krav ved dataavlesing ... 27
3.5.1 Kompetanse til å beslutte dataavlesing ... 27
3.5.2 Tillatelsens varighet ... 28
3.5.3 Varetakelse av mistenktes interesser ... 29
3.5.4 Protokollering og rapportering ... 29
3.5.5 Opphør av dataavlesing ... 30
3.6 Hvordan kan politiet gå frem for å gjennomføre dataavlesingen? ... 30
3.6.1 Teknisk metode ... 30
3.6.2 Innbrudd... 32
3.6.3 Risikobegrensning ... 32
3.7 Oppsummering av sammenligningen ... 33
4 VURDERING AV DEN NORSKE DATAAVLESINGSHJEMMELEN ... 34
4.1 Innledning ... 34
4.1.1 Rettskildebildet for beskyttelse av privatlivets fred ... 34
4.1.2 Valg av vurderingstemaer ... 35
4.2 Krav til presisjon og forutberegnelighet ... 36
4.2.1 Grunnlag for vurderingen ... 36
4.2.2 Vurdering av dataavlesingshjemmelens materielle krav ... 38
4.2.3 Vurdering av dataavlesingshjemmelens rekkevidde ... 39
4.3 Krav til fremgangsmåte ... 41
4.3.1 Vurdering av de prosessuelle og personelle kravene ... 41
4.3.2 Vurdering av rammene for den praktiske gjennomføringen ... 44
4.4 Vurdering av dataavlesingshjemmelens oppfyllelse av EMK artikkel 8 ... 46
4.4.1 Lovskravet ... 46
4.4.2 Formålskravet ... 46
4.4.3 Proporsjonalitetskravet ... 46
4.4.4 Samlet vurdering av forholdet til EMK artikkel 8 annet ledd ... 50
5 OPPSUMMERING AV OPPGAVEN ... 51
KILDER ... 52
1 1 Innledning
1.1 Bakgrunn og tema
Tvangsmidlene i straffeprosesslovens fjerde del er viktige verktøy for politiets1 etterforskingsvirksomhet. Pågripelse og ransaking i strpl. kapittel 14 og 15 er eksempler på åpne tvangsmidler. Slike tvangsmidler kan medføre etterforskingstaktiske ulemper ettersom den mistenkte kan tenkes å endre adferd eller forsøke å skjule bevis når han er klar over at han er i politiets søkelys. Et svar på dette er å benytte skjulte tvangsmidler, som kjennetegnes ved at de brukes uten at den eller de tvangsmidlene er rettet mot, har kunnskap om det.2 Eksempler på skjulte tvangsmidler er – foruten dataavlesing – kommunikasjonskontroll jf. strpl. § 216 a og hemmelig ransaking jf. § 200 a. Formålet med disse skjulte tvangsmidlene er avdekking og innsamling av bevis.
I 2016 konstaterte lovgiver at «utviklingen innen den organiserte kriminaliteten viser større mobilitet, mer komplekse lovbrudd, en profesjonalisering av utøverne og større grad av internasjonalisering og multikriminalitet».3 Samtidig hadde den teknologiske utviklingen medført at mye kriminell virksomhet hadde flyttet seg over på Internett: «Internett og datasystemer er blitt et viktig verktøy ved gjennomføringen av enkelte tradisjonelle former for kriminalitet».4 Forarbeidene nevner vinningsforbrytelser og deling av barneovergrepsmateriale som eksempler på dette.
Også på dette tidspunktet kunne politiet benytte skjulte tvangsmidler til å bekjempe kriminalitet som utøves på eller ved hjelp av Internett. Ved hjelp av kommunikasjonskontroll kan politiet også avlytte datatrafikk over Internett. Ved hjelp av hemmelig ransaking kan politiet også ransake datasystemer og deres lagrede data. Imidlertid er den praktiske nytten av disse tvangsmidlene begrenset av at data ofte krypteres.5 Kryptering innebærer at dataene forvanskes på en slik måte at de for praktiske formål blir utilgjengelige for andre enn den tiltenkte konsumenten.6 Dette skjer både når data kommuniseres og når de lagres i datasystemet.Per i dag kan kun 10 prosent av all kommunikasjon på Internett avleses i klartekst.7 Kryptering kan
1 Etterforsking utføres av politiet under ledelse av påtalemyndigheten, jf. påtaleinstruksen § 7-5. I denne oppgaven skilles det ikke mellom politiet og påtalemyndighetens rolle i etterforskingen, med mindre annet er eksplisitt sagt.
2 Bruce/Haugland (2018) side 17.
3 Prop. 68 L (2015-2016) side 23.
4 Prop. 68 L (2015-2016) side 25.
5 Prop. 68 L (2015-2016) side 239.
6 Sunde illustrerer dette med et eksperiment der 400 datamaskiner brukte 11 måneder på å knekke en kodenøkkel, se Sunde (2012) avsnitt 2.3.4.
7 Svensk lovgiver la dette til grunn i 2019 (se Prop. 2019/20:64 side 66), og det samme må antas å gjelde i Norge.
2
også brukes av kriminelle for å hindre politiet innsyn via kommunikasjonskontroll og hemmelig ransaking.
Lovgiver tok i 2016 konsekvensen av denne utviklingen ved å innføre det nye skjulte tvangsmiddelet dataavlesing i strpl. §§ 216 o og 216 p.8 Hjemmelen gir politiet mulighet til å skaffe seg direkte tilgang til datasystemer for innsamling av digitale bevis som befinner seg internt i datasystemet. Dermed kan data avleses før de krypteres i forbindelse med kommunikasjon eller lagring.9
Det skjulte tvangsmiddelet dataavlesing er tema for denne oppgaven. Oppgaven gjør en komparativ analyse og kritisk vurdering av dataavlesing lys av utenlandsk (finsk og svensk) rett og internasjonal rett. Det komparative perspektivet er relevant fordi det gir et alternativt perspektiv på dataavlesing som tvangsmiddel og kan avdekke hensyn som norsk lovgiver ikke har vært tilstrekkelig bevisst på. Det internasjonale perspektivet er relevant fordi det kan utgjøre skanker og tolkningsfaktorer for norsk rett.
1.2 Kort om rettskilder, metode og henvisninger
Straffeprosessloven (strpl.) fjerde del er den sentrale rettskilden for dataavlesing i Norge. Den sentrale rettskilden i Finland er loven tvångsmedelslag (TML) fra 2011. Den sentrale rettskilden i Sverige er den ferske loven dataavläsningslag (DL) fra 2020.
Oppgaven tar utgangspunkt i alminnelig norsk juridisk metode. Siden man befinner seg på straffeprosessens område, vil imidlertid lovbestemmelsenes ordlyd ha større vekt enn ellers.
Oppgaven tolker også finsk og svensk lovtekst, og det legges til grunn at forarbeider er en sentral rettskilde også i disse landenes rettskildelære.
Når oppgaven tolker bestemmelser i EMK og rettspraksis fra EMD, tas det utgangspunkt i den selvstendige metodelæren som er utviklet av EMD.
Rettens kjennelser om dataavlesing er unntatt offentlighet.10 Dermed vil det ikke være mulig å benytte rettspraksis fra dataavlesing direkte. Derfor må en analyse av hjemmelen i praksis basere seg på tilgjengelig statistikk.
8 Endringslov til straffeprosessloven (2016).
9 Prop. 68 L (2015-2016) side 261.
10 Med hjemmel i strpl. § 28 tredje ledd siste punktum, supplert av domstolloven § 130 første ledd bokstav b.
3
Forøvrig vil enkelte avgrensede metodiske spørsmål bli drøftet underveis i oppgaven.
I denne oppgaven henvises det til lovbestemmelser slik det er vanlig i hvert enkelt lands nasjonale rettssystem. En henvisning til en norsk bestemmelse skrives på velkjent måte. Et eksempel på en henvisning til en finsk bestemmelse er TML 10:4.2 som er en kortform for TML 10. kapitel 4 § 2 mom. (som etter norsk notasjon ville vært «TML kapittel 10 § 4 annet ledd»). Et eksempel på en henvisning til en svensk bestemmelse er DL 2 § 1 st. (som etter norsk notasjon ville vært «DL § 2 første ledd»).11
1.3 Avgrensninger
I denne oppgaven behandles dataavlesing kun i forbindelse med etterforsking (repressivt).
Dermed avgrenses det mot dataavlesing benyttet ved forebygging og avverging (preventivt) jf.
politiloven § 17 d og strpl. § 222 d.
Oppgavens har fokus på den norske dataavlesingshjemmelen, og finske og svenske hjemler analyseres kun i et komparativt perspektiv. Det gjøres ingen selvstendig vurdering av de utenlandske hjemlene.
Oppgaven har primært fokus på varetakelse av mistenktes/siktedes rettigheter. Rettighetene til tredjepersoner som også kan bli overvåket blir ikke viet spesielt fokus.
Spørsmål om grenser for å kunne benytte seg av overskuddsinformasjon fra dataavlesing blir ikke behandlet.
Ettersom Internett spenner over landegrenser, kan det oppstå jurisdiksjonsspørsmål ved avlesing av data som befinner seg utenfor norsk territorium. Slike spørsmål blir ikke behandlet nærmere.
Politiet er ikke i mål når det har fått tillatelse til dataavlesing. Deretter må de også rent praktisk være i stand til å gjennomføre dataavlesingen tross de tekniske hindringene de vil møte. Å vurdere realismen i dette er imidlertid et informasjonsteknologisk spørsmål, og blir derfor ikke behandlet her.
11 Som eksemplene illustrerer, plasserer man både i Finland og Sverige paragraftegnet etter paragrafnummeret.
4
Denne oppgaven forholder seg kun til dagens straffeprosesslov, og ser bort fra foreliggende forslag til ny straffeprosesslov.12
Av plasshensyn må vurderingen av den norske dataavlesingshjemmelen begrenses til bestemte temaer. Det blir redegjort nærmere for dette i avsnitt 4.1.2 senere i oppgaven.
Forøvrig foretas det også andre mindre avgrensninger underveis i teksten.
1.4 Oppgavens struktur
Kapittel 2 inneholder en deskriptiv analyse av den norske dataavlesinghjemmelen. Kapittel 3 beskriver de tilsvarende hjemlene i Finland og Sverige, og det blir gjort en komparativ analyse av de tre hjemlene. Kapittel 4 tar utgangspunkt i utvalgte vurderingstemaer og foretar en kritisk vurdering av den norske dataavlesingshjemmelen sett i lys av de trinnhøyere normene i Grunnloven og EMK, samt i lys av utenlandsk (finsk og svensk) rett.
12 Ny straffeprosesslov ble foreslått av Straffeprosesslovutvalget i NOU 2016: 24. Dataavlesingshjemmelen er foreslått videreført i den nye lovens § 20-4. Utvalget har ikke foreslått grunnleggende endringer i politiets metodetilgang, kun strukturelle endringer og forenklinger i selve lovteksten (se side 298 i utredningen).
5 2 Dataavlesing i Norge
2.1 Hjemmelen
Lund-utvalget13, Politimetodeutvalget14 og Datakrimutvalget15 omtalte spørsmålet om innføring av dataavlesing som straffeprosessuelt tvangsmiddel etter årtusenskiftet, men uten at det førte til konkrete forslag.16 Arbeidet ble videreført av Metodekontrollutvalget, som blant annet hadde som mandat å utrede dataavlesing som etterforskingsmetode.17 Departementet foreslo deretter å innføre dataavlesing som et selvstendig skjult tvangsmiddel. Den nye hjemmelen ble innført i straffeprosessloven sommeren 2016 og trådte i kraft 9. september 2016.18
Hovedbestemmelsen for dataavlesingshjemmelen er inntatt som strpl. § 216 o i et nytt kapittel 16 d i lovens fjerde del om tvangsmidler. Den er supplert av § 216 p som inneholder ulike prosessuelle regler og regler om fremgangsmåten ved dataavlesing. Strpl. §§ 216 d til 216 k (som egentlig gjelder kommunikasjonskontroll) gjelder også tilsvarende for dataavlesing, jf. § 216 o femte ledd første punktum, og disse bestemmelsene dekker temaer som hastekompetanse, stedlig kompetanse, tillatelsens varighet, overskuddsmateriale, tilsyn, taushetsplikt og underretningsplikt.19
I 2016 ble eventuell bruk av hjemmelen ansett som gradert informasjon.20 I 2017 ble dataavlesing benyttet én gang.21 I 2018 ble det rapportert om 7 saker hvor «dataavlesning ble tatt i bruk eller ble forsøkt tatt i bruk».22 Det foreligger i skrivende stund ikke statistikk for 2019.23 Foreløpig er bruken av dataavlesing beskjeden i forhold til andre skjulte tvangsmidler.
Til sammenligning var det 130 saker om kommunikasjonskontroll som involverte 276 personer i 2018.24 Den beskjedne bruken av dataavlesing har trolig sammenheng med at hjemmelen er forholdsvis ny og at politiet trenger tid til kompetanseheving og utvikling av tekniske metoder.
Siden forarbeidene konstaterer at det er stort behov for dataavlesing ettersom «de eksisterende
13 NOU 2003: 18.
14 NOU 2004: 6.
15 NOU 2007: 2.
16 Bruce/Haugland (2018) side 249.
17 NOU 2009: 15 side 17.
18 Endringslov til straffeprosessloven (2016).
19 I denne oppgaven er det implisitt at §§ 216 d til 216 k også gjelder for dataavlesing.
20 KK-utvalget (2016) side 4.
21 KK-utvalget (2017) side 12.
22 KK-utvalget (2018) side 12.
23 Statistikken fra KK-utvalget for 2019 er forsinket som følge av pandemisituasjonen våren 2020.
24 KK-utvalget (2018) side 12.
6
skjulte tvangsmidlene har tapt mye av sin effekt»25, er det rimelig å anta at bruken vil vokse de kommende årene.
Statistikken viser ikke hvilke typer kriminalitet dataavlesingssakene var rettet mot eller i hvilken grad forespørsler ble godkjent. Siden dataavlesing er beslektet med kommunikasjonskontroll, er det naturlig å anta at statistikken for sistnevnte tvangsmiddel gir en indikasjon. I 2017 var om lag halvparten av kommunikasjonskontrollsakene relatert til narkotikakriminalitet.26 I 2018 ble kun 4 av 130 forespørsler om kommunikasjonskontroll avslått av tingretten, hvorav én av disse likevel ble godkjent etter påtalemyndighetens anke til lagmannsretten.27 Politiet fikk altså medhold i 97 % av sakene. Samme år anket skyggeadvokaten28 tre saker til lagmannsretten, men fikk ikke medhold i noen av dem.29 2.2 Hva slags objekter kan politiet avlese?
Bestemmelsen gir politiet mulighet til å avlese to typer objekter: Datasystemer og brukerkontoer, jf. strpl. § 216 o fjerde ledd første punktum.
2.2.1 Datasystemer
Politiet kan få tillatelse til å avlese «ikke offentlig tilgjengelige opplysninger i et datasystem», jf. strpl. § 216 o første ledd første punktum. Begrepet «datasystem» er ikke legaldefinert, men forarbeidene beskriver det som «enhver innretning, bestående av maskinvare og programvare, som foretar behandling av data ved hjelp av dataprogrammer».30 Forarbeidene nevner datamaskiner, nettbrett og smarttelefoner som eksempler, men beskrivelsen taler for at et bredt spekter av andre typer teknologi også er datasystemer i lovens forstand. I dagens teknologiske verden av «internet of things» befinner det seg datasystemer bestående av maskinvare og programvare i mange typer utstyr som befinner seg i husholdningen og på arbeidsplassen: Biler,
«smarte hjem», innbruddsalarmer, spillkonsoller, husholdningsutstyr, multimediautstyr, treningsutstyr, leketøy, klimakontrollsystemer og så videre. Alle disse enhetene består av maskinvare som foretar behandling av data ved hjelp av programvare og faller dermed inn under begrepet. Stadig flere av disse enhetene blir også utstyrt med sensorer, lagringsmedier og kommunikasjonsmuligheter som gjør dem relevante i etterforskingsøyemed. Dette viser at rekkevidden for dataavlesing er stor og omfatter mer enn hva man tradisjonelt tenker på som
«datasystemer».
25 Prop. 68 L (2015-2016) side 259-260.
26 KK-utvalget (2017) side 13.
27 KK-utvalget (2018) side 12.
28 Se avsnitt 2.5.3.
29 KK-utvalget (2018) side 12.
30 Prop. 68 L (2015-2016) side 283.
7 2.2.2 Brukerkontoer
Politiet kan også få tillatelse til å avlese «brukerkontoer til nettverksbaserte kommunikasjons- og lagringstjenester», jf. strpl. § 216 o fjerde ledd første punktum. Forarbeidene sier at slike kontoer karakteriseres ved at «utnyttelsen ikke er bundet til bestemte datasystemer», men til et
«virtuelt avgrenset område som er identifisert ved hjelp av et brukernavn, og som kan benyttes fra et hvilket som helst passende datasystem».31 Forarbeidene gir ikke eksplisitte eksempler, men lovgiver tenker åpenbart på sosiale medier (for eksempel Facebook og Instagram), kommunikasjonstjenester (for eksempel Skype og Gmail) og lignende virtuelle tjenester.
I det følgende er det underforstått at regler som gjelder datasystemer også gjelder brukerkontoer.
2.3 Hvilke typer data kan politiet avlese?
Politiet kan få tillatelse til å «foreta avlesing av ikke offentlig tilgjengelige opplysninger i et datasystem», jf. strpl. § 216 o første ledd første punktum.
Ordlyden «ikke offentlig tilgjengelige» har ikke praktisk betydning ettersom det ikke er interessant å be om tillatelse til avlesing av data som allerede er offentlig tilgjengelig. Det antas at hensikten kun er å signalisere hjemmelens formål.
Bestemmelsen utdyper at avlesingen kan omfatte «kommunikasjon, elektronisk lagrede data og andre opplysninger om bruk av datasystemet», jf. strpl. § 216 o fjerde ledd annet punktum. Av ordlyden «andre opplysninger» følger det at listen ikke er uttømmende. Dermed er dataavlesing ikke begrenset kun til data som (dersom man ser bort fra krypteringsutfordringen) også kan avleses via kommunikasjonskontroll eller hemmelig ransaking. Utgangspunktet er altså at enhver type data som befinner seg i datasystemet kan avleses. Selve ordlyden har kun én begrensning fra dette utgangspunktet, og den er ikke absolutt: At «dataavlesingen skal innrettes slik at det ikke unødig fanges opp opplysninger om andre enn mistenktes bruk av datasystemet», for eksempel familiemedlemmers bruk av en mistenktes datamaskin, jf. strpl. § 216 p annet ledd første punktum.
Det følger av dette at politiet kan avlese et bredt spekter av ulike typer data. I tillegg til lagrede og kommuniserte data kan politiet også avlese datasystemets lydstrømmer, bildestrømmer, tastetrykk, skjermbilde, geografisk koordinatinformasjon (lokasjonsdata), data fra innebygde sensorer og så videre.32 Samlet sett gir hjemmelen politiet mulighet for innsamling av mange ulike typer digitale bevis.
31 Prop. 68 L (2015-2016) side 270.
32 Prop. 68 L (2015-2016) side 224. Se også Bruce/Haugland (2018) side 257.
8
Forarbeidene bekrefter tolkningen om at rekkevidden er stor: «Med hensyn til hvilken type informasjon som kan avleses, følger begrensningene teknisk sett bare av hva slags informasjonssystem det dreier seg om og funksjonaliteten til program- eller maskinvaren som benyttes».33 Forarbeidene utdyper at data som avleses både kan være «samme type elektronisk informasjon som politiet ellers har rettslig adgang til gjennom kommunikasjonskontroll og hemmelig ransaking og beslag»34 og «andre opplysninger knyttet til bruken av et datasystem som [politiet] ikke har anledning til å innhente etter gjeldende rett [forut for dataavlesingshjemmelen]»35. Dermed må det forstås slik at lovgiver har ment at alle data av alle typer som befinner seg i et datasystem skal kunne avleses.
Forarbeidene presiserer imidlertid at man kun kan foreta avlesing av data som allerede flyter gjennom eller lagres av datasystemet uten politiets medvirkning. Politiet har dermed ikke anledning til å initiere nye datastrømmer som i utgangspunktet ikke fantes der. En dataavlesingstillatelse skal for eksempel ikke «gi politiet adgang til å manipulere datasystemet for å drive andre former for skjult overvåking», og nevner det å aktivere mikrofoner og slå på tilknyttede kameraer som eksempler på hva politiet ikke kan gjøre.36 Ut over dette er det ingen begrensninger i ordlyden eller i forarbeidene når det gjelder avlesing av data som allerede flyter gjennom systemet, selv om disse dataene skulle være kamera- eller mikrofondata.
Man må imidlertid kunne anta at retten, når den gir sin tillatelse, har anledning til å bestemme konkrete vilkår for avlesingen, herunder også begrensninger når det gjelder hva slags type data som skal kunne avleses. I hvilken grad retten har rett eller plikt til å vurdere å innføre slike begrensninger, og hvordan dette i eventuelt kan gjøres, fremgår imidlertid verken av ordlyd eller forarbeider.
2.4 Materielle krav for å få tillatelse til dataavlesing
Dette avsnittet beskriver de materielle kravene for at politiet skal få tillatelse til å gjennomføre dataavlesing.
2.4.1 Kriminalitetskravet
For det første kan politiet få tillatelse til dataavlesing når det aktuelle straffebudet har en strafferamme på minst 10 år, jf. strpl. § 216 o første ledd bokstav a. Forarbeidene erkjenner at
33 Prop. 68 L (2015-2016) side 224.
34 Prop. 68 L (2015-2016) side 264.
35 Prop. 68 L (2015-2016) side 265.
36 Prop. 68 L (2015-2016) side 264 (min kursivering).
9
dataavlesing er minst like inngripende som kommunikasjonskontroll og hemmelig ransaking og slår derfor fast at kriminalitetskravet ikke kan være lavere enn for disse.37 Forarbeidene vurderer ikke om kriminalitetskravet burde settes høyere, og velger dermed samme kriminalitetskrav. Forhøyet strafferamme ved gjentakelse eller sammenstøt av forbrytelser jf.
strl. § 79 bokstav a og b kommer ikke i betraktning.38 Derimot må det forstås slik at forhøyet strafferamme som følge av organisert kriminalitet jf. bokstav c kommer i betraktning.39
For det andre kan politiet også få tillatelse til dataavlesing dersom det er tale om straffebud på en nærmere spesifisert liste (uavhengig av strafferamme), jf. strpl. § 216 o første ledd bokstav b: Ulovlig etterretning, avsløring av statshemmeligheter, ulovlig eksport av militærteknologi, terrorvirksomhet, ulovlig militær eller voldelig virksomhet, grov narkotikakriminalitet og narkotikarelatert hvitvasking, frihetsberøvelse, menneskehandel, menneskesmugling og grovt heleri.40 Den utvidede listen er basert på etterforskingsmessige hensyn: Det er utfordrende å etterforske disse formene for kriminalitet fordi virksomheten gjerne er godt organisert og vanskelig å avdekke, og dette taler for særskilte etterforskingsmetoder.41
2.4.2 Mistankekravet
Bestemmelsen forutsetter at noen «med skjellig grunn mistenkes for» å ha begått den aktuelle straffbare handlingen, jf. strpl. § 216 o første ledd. Forarbeidene forutsetter at «retten må anse det som mer sannsynlig at den inngrepet vil rette seg mot har begått eller forsøkt å begå en slik handling, enn at vedkommende ikke har det».42 At «skjellig grunn» forutsetter sannsynlighetsovervekt er forøvrig sikker rett som er bekreftet mange ganger i rettspraksis.43 Ifølge strpl. § 216 o annet ledd første punktum er det ikke et vilkår at mistenkte er tilregnelig (strl. § 20 første ledd), og det er heller ikke et vilkår at mistenkte har utvist skyld.
Hjemmelen favner også tilfeller der det er skjellig grunn til mistanke om forsøk på en straffbar handling, jf. strpl. § 216 o første ledd. Følgelig blir den strafferettslige grensegangen mellom forberedelsesstadiet og forsøksstadiet relevant også her.44
37 Prop. 68 L (2015-2016) side 268.
38 Prop. 68 L (2015-2016) side 267-268.
39 Dette er hovedregelen i strl. § 79 bokstav c tredje punktum, og det er ikke gjort unntak fra denne i tilknytning til dataavlesingshjemmelen.
40 Bruce/Haugland antar at denne listen inneholder redigeringsfeil fra lovgivers side, se Bruce/Haugland (2018) side 260. For eksempel antas det at grovt heleri egentlig skulle vært begrenset til narkotikarelaterte tilfeller.
41 Prop. 68 L (2015-2016) side 268.
42 Prop. 68 L (2015-2016) side 269. Se også for eksempel Rt-1993-1302 side 1303.
43 For eksempel Rt-2011-946 avsnitt 13.
44 Se mer om denne grensegangen i Andenæs (2016) på side 348 flg.
10
Verken hjemmelens ordlyd eller forarbeidene omtaler spørsmålet om hvorvidt mistanke om medvirkning til straffbar handling oppfyller mistankekravet. En streng ordlydsfortolkning tilsier da at mistanke om medvirkning ikke er tilstrekkelig. På en annen side er medvirkning en selvstendig straffbar handling som i utgangspunktet kan straffes på lik linje med hovedgjerningen, så lovgiver har neppe ment å begrense mot medvirkning. Spørsmålet om hvorvidt medvirkning oppfyller mistankekravet har dermed ikke et klart svar.
2.4.3 Tilknytningskravet
Hjemmelen stiller som krav at man bare kan avlese datasystemer som «den mistenkte besitter eller kan antas å ville bruke», jf. strpl. § 216 o fjerde ledd første punktum.
Ifølge forarbeidene kreves det ikke sannsynlighetsovervekt, men samtidig må det foreligge objektive holdepunkter for tilknytningen og ikke bare rene formodninger.45
2.4.4 Krav om nødvendighet og forholdsmessighet Strpl. § 170 a gjelder for alle tvangsmidler og lyder:
Et tvangsmiddel kan brukes bare når det er tilstrekkelig grunn til det. Tvangsmiddelet kan ikke brukes når det etter sakens art og forholdene ellers ville være et uforholdsmessig inngrep.46
Forarbeidene presiserer at dette er en minimumsregel som er ment å sette grenser for i hvilke situasjoner og hvor lenge et tvangsmiddel kan anvendes.47 Når det gjelder dataavlesing spesielt, skal bestemmelsen «sikre at bruken av dataavlesing i praksis finner sted innenfor rammene av EMK artikkel 8 om retten til privatliv».48
Ordlyden «tilstrekkelig grunn» i første punktum kan forstås som et krav om nødvendighet.49 Nødvendighet innebærer blant annet at det ikke finnes andre og mindre inngripende fremgangsmåter som oppnår samme mål. I dataavlesingshjemmelen skjerpes nødvendighetskravet ved at tillatelse til dataavlesing kun kan gis dersom det vil være «av vesentlig betydning for å oppklare saken» (indikasjonskravet) og at «oppklaring ellers i vesentlig grad vil bli vanskeliggjort» (subsidiaritetskravet), jf. strpl. § 216 o tredje ledd første punktum. Indikasjonskravet innebærer at metodebruken antas å frembringe opplysninger av
45 Prop. 68 L (2015-2016) side 271.
46 Min kursivering.
47 Ot.prp. 64 (1998-1999) side 146.
48 Prop. 68 L (2015-2016) side 269.
49 Øyen innfortolker derimot nødvendighetskravet i bestemmelsens annet punktum og forstår første punktum som en sikkerhetsventil, se Øyen (2019) side 201-202. Uansett hvilken tolkning man velger, er det klart at bestemmelsen inneholder et krav om nødvendighet.
11
stor betydning, mens subsidiaritetskravet innebærer at man ikke skal benytte dataavlesing dersom det finnes mindre inngripende metoder som oppnår samme mål.50 Når det gjelder subsidiaritetskravet, ønsker lovgiver å begrense dataavlesing til tilfeller der «mindre inngripende etterforskingsmetoder vil komme til kort».51 Lovgiver krever ikke at man faktisk har forsøkt mindre inngripende tvangsmidler først, men at slike midler i det minste har vært vurdert brukt og deretter forkastet.
Forbudet mot «uforholdsmessig inngrep» i strpl. § 170 a annet punktum er et krav om forholdsmessighet. Målet som søkes nådd må stå i forhold til inngrepets styrke. Dersom inngrepet har større ulemper enn fordeler, kan ikke tvangsmiddelet benyttes. Spørsmålet avgjøres ut fra en helhetsvurdering der sentrale momenter er behovet for å bruke tvangsmiddelet, hvor inngripende det er i den konkrete saken, hvor alvorlig saken er, hvor sterk mistanken er og hvilke konsekvenser tvangsmiddelbruken får for mistenkte eller andre.52 Når det gjelder dataavlesing spesielt, skjerpes dette forholdsmessighetskravet. For det første skjerpes kravet når det aktuelle datasystemet som mistenkte «antas å ville bruke er tilgjengelig for et større antall personer», jf. strpl. § 216 c annet ledd første punktum. For det andre skjerpes kravet når datasystemet tilhører advokat, lege, prest, redaksjonstilsatte eller andre profesjoner som erfaringsmessig behandler fortrolig informasjon, jf. samme sted. I begge tilfeller kreves
«særlige grunner» for å gjennomføre dataavlesing. Det antas at dataavlesing dermed begrenses til saker der inngrepet resulterer i viktige bevis og at andre fremgangsmåter vil være nytteløse, eller der det er tale om svært alvorlig kriminalitet.53
2.5 Prosessuelle og personelle krav ved dataavlesing
2.5.1 Kompetanse til å beslutte dataavlesing
Hovedregelen er at retten avgjør ved kjennelse om politiet skal få tillatelse til dataavlesing, jf.
strpl. § 216 o første ledd. Forarbeidenes begrunnelse er at denne ordningen «alt i alt gir best rettssikkerhet».54
Påtalemyndigheten (ikke politiet som sådan) har hastekompetanse dersom «det ved opphold er stor fare for at etterforskingen vil lide», men slik beslutning skal innen 24 timer godkjennes av retten, jf. strpl § 216 d første ledd. Hastekompetanse er forbeholdt kun den øverste ledelsen55 i et politidistrikt, jf. annet ledd.
50 Bruce/Haugland (2018) side 260-261.
51 Prop. 68 L (2015-2016) side 284.
52 Øyen (2019) side 201.
53 Bruce/Haugland (2018) side 262.
54 Prop. 68 L (2015-2016) side 49.
55 Politimester, dennes stedfortreder eller andre i ledende stillinger som er særskilt utpekt.
12 2.5.2 Tillatelsens varighet
Tillatelse kan gis for inntil to uker om gangen, jf. strpl. § 216 o femte ledd første punktum.
Dette er kortere enn fireukersregelen for kommunikasjonskontroll, jf. strpl. § 216 f første ledd annet punktum. Forarbeidene begrunner dette med at «dataavlesing etter omstendighetene kan fremstå som et større integritetsinngrep enn kommunikasjonskontroll, hvilket tilsier at det legges til rette for en hyppigere prøving av om det er grunnlag for å fortsette avlesingen».56 Toukersregelen er en maksimumsregel, og varigheten skal ikke under noen omstendighet settes lenger enn «strengt nødvendig», jf. strpl. § 216 f første ledd første punktum.
2.5.3 Varetakelse av mistenktes interesser
Mistenkte blir ikke underrettet mens tvangsmiddelbruken pågår, og han gis ikke anledning til å uttale seg, jf. strpl. § 216 e annet ledd. Mistenkte får heller ikke automatisk status som siktet, jf. strpl. § 82 tredje ledd første punktum. Dermed avskjæres mistenkte fra muligheten til kontradiksjon. Den såkalte «skyggeadvokaten» er ment å kompensere for dette. Når politiet ber om en dataavlesingstillatelse, skal retten «straks oppnevne en offentlig advokat for den mistenkte» som «skal vareta den mistenktes og eventuelle tredjepersoners interesser i forbindelse med rettens behandling av begjæringen», jf. strpl. § 100 a første og annet ledd.
Skyggeadvokaten har taushetsplikt og kan ikke sette seg i forbindelse med mistenkte.
Forarbeidene sier at «ordningen med offentlig advokat er viktig for å søke å oppnå en størst mulig balanse mellom partene i saker om skjulte tvangsmidler».57
2.5.4 Protokollering og rapportering
Den som utfører dataavlesingen pålegges å føre en detaljert protokoll over gjennomføringen, som blant annet skal inneholde informasjon om selve tillatelsen, datasystemet som avleses, personellet som deltar, hvilke typer data som avleses, kronologien i avlesingen, når og hvordan teknisk utstyr eller programvare ble utplassert og senere fjernet, samt skaderisiko og faktisk inntrufne skader på datasystemet, jf. KK-forskriften § 7.
All bruk av dataavlesing skal rapporteres til Kontrollutvalget for kommunikasjonskontroll (KK- utvalget), jf. KK-forskriften § 10. Utvalget har blant annet som mandat å «kontrollere at politiets bruk av [...] dataavlesing skjer innenfor rammen av lov og instrukser [og] at tvangsmiddelbruken begrenses mest mulig», jf. KK-forskriften § 14.
56 Prop. 68 L (2015-2016) side 273 (original kursivering).
57 Prop. 68 L (2015-2016) side 52.
13 2.5.5 Opphør av dataavlesing
Dataavlesing skal stanses senest ved tillatelsens utløp. Dataavlesing skal likevel avsluttes straks vilkårene ikke lenger er oppfylt eller avlesing ikke lenger er hensiktsmessig, jf. strpl. § 216 f annet ledd.
Mistenkte skal som hovedregel underrettes om dataavlesingen etter at den er avsluttet, jf. strpl.
§ 216 j første ledd. Underretning kan imidlertid utsettes eller unnlates blant annet dersom underretning vil være «til vesentlig skade for etterforskningen».
Data som ikke er relevant for eller av andre grunner ikke kan brukes i den videre rettergangen skal «snares mulig bli tilintetgjort», jf. strpl. § 216 g.
2.6 Hvordan kan politiet gå frem for å gjennomføre dataavlesingen?
2.6.1 Teknisk metode
Lovens ordlyd sier at dataavlesingen «kan foretas ved hjelp av tekniske innretninger, dataprogram eller på annen måte», jf. strpl. § 216 p første ledd annet punktum. Ettersom all datateknologi kan kategoriseres som tekniske innretninger eller dataprogram, er listen strengt tatt komplett i seg selv. Når lovgiver likevel har tilføyd «eller på annen måte», taler ordlyden for at lovgiver ikke har ment å begrense politiets tekniske metodebruk på noen måte.
Forarbeidene bekrefter denne tolkningen:
I likhet med utvalget mener departementet at det ikke er hensiktsmessig eller mulig å beskrive gjennomføringsmåtene i detalj. Til det er de tekniske mulighetene for mange og den teknologiske utviklingen for rask og uoverskuelig. Politiet bør også av taktiske årsaker levnes en viss mulighet til å utvikle og benytte fremgangsmåter som i hvert fall ikke umiddelbart, og ikke i detalj, blir kjent.58
Videre sier lovgiver at «politiet får forholdsvis stor frihet til å velge hvilken praktisk fremgangsmåte som skal benyttes for å gjennomføre dataavlesing i hvert enkelt tilfelle».59 Det er dermed klart at politiet står fritt til å utvikle og bruke de tekniske metoder de ønsker, både tekniske innretninger og programvare, for å gjennomføre dataavlesingen.
2.6.2 Innbrudd
Politiet gis hjemmel til både datainnbrudd og fysisk innbrudd for å installere teknisk utstyr eller programvare som er nødvendig for å gjennomføre dataavlesingen.
58 Prop. 68 L (2015-2016) side 264.
59 Prop. 68 L (2015-2016) side 271.
14
Hjemmelen til datainnbrudd gir politiet mulighet til å «bryte eller omgå beskyttelse i datasystemet» om nødvendig, jf. strpl. § 216 p første ledd fjerde punktum. Uformelt kan dette beskrives som «lovlig hacking» utført av politiet. Det er ikke nevnt krav til forholdsmessighet sett opp mot risikoen for å gjøre skade på datasystemet som resultat av selve datainnbruddet, men dette må vurderes i lys av forholdsmessighetskravet i strpl. § 170 a.
Hjemmelen til fysisk innbrudd gir politiet mulighet til å «foreta innbrudd for å plassere eller fjerne tekniske innretninger eller dataprogram» som er nødvendig for dataavlesingen – med mindre retten bestemmer noe annet, jf. strpl. § 216 p første ledd sjette punktum. For eksempel kan politiet i hemmelighet bryte seg fysisk inn i mistenktes bolig for å montere skjult dataavlesingsutstyr i hans datamaskin. Retten må positivt forby fysisk innbrudd – hvis ikke har politiet implisitt tillatelse til innbrudd. Forarbeidene pålegger retten å vurdere å nedlegge slikt forbud dersom avlesing kan gjennomføres på en annen tilfredsstillende måte, eller dersom innbruddet utgjør et uforholdsmessig inngrep.60
2.6.3 Risikobegrensning
Politiets tekniske metodebruk ved gjennomføringen av dataavlesing kan ha som bieffekt at systemet blir mer sårbart for skade. For eksempel kan det være nødvendig for politiet å åpne nye nettverksforbindelser til datasystemet for nedlasting av avleste data, og dette kan medføre sårbarhet for urettmessig datainnbrudd fra tredjeperson («hackerangrep»). Lovgiver er opptatt av at risikoen for at informasjonssystemet og dets interessenter i minst mulig grad skal lide skade eller risiko for skade som følge av dataavlesingen. Dette har fått flere utslag i hjemmelen.
For det første kan dataavlesing bare utføres av dedikert personell som er «særlig skikket til det», jf. strpl. § 216 p første ledd første punktum. Forarbeidene forutsetter at personellet har tilstrekkelig informasjonsteknologisk kompetanse, og formålet er å redusere risikoen for misbruk av og skade på datasystemet.61
For det andre pålegges politiet å gjennomføre avlesingen «slik at det ikke unødig voldes fare for driftshindring eller for skade på utrustning eller data», jf. strpl. § 216 p annet ledd annet punktum. Videre skal politiet «så vidt mulig avverge fare for at noen som følge av gjennomføringen settes i stand til å skaffe seg uberettiget tilgang til datasystemet eller vernet informasjon eller til å begå andre straffbare handlinger», jf. tredje punktum.
60 Prop. 68 L (2015-2016) side 271.
61 Prop. 68 L (2015-2016) side 272.
15
For det tredje er det slik at «utstyr som er benyttet for å gjennomføre dataavlesingen skal fjernes snarest mulig etter avlesingsperiodens utløp», jf. strpl. § 216 o femte ledd annet punktum.62 Formålet antas å være å forebygge mot at tredjeperson urettmessig utnytter påførte svakheter i datasystemet.
62 Selv om ikke ordlyden sier det direkte, antas dette også å gjelde installert programvare, se Bruce/Haugland (2018) på side 255.
16
3 Dataavlesing i Finland og Sverige – en sammenligning63
3.1 Hjemlene
I Finland innså man rundt årtusenskiftet at tvangsmiddellovgivningen hadde utviklet seg på en inkonsistent måte, og dette hadde resultert i en «delvis oredlig och svårhanterlig helhet».64 Dette ledet til en større lovreform både på det polisiære og det straffeprosessuelle området. Det sentrale forarbeidsdokumentet på sistnevnte område er RP 222/2010.65 Den nye tvångsmedelslag (TML), der også dataavlesingshjemlene inngår, ble vedtatt sommeren 2011.
Loven trådte i kraft i 2014, jf. TML 11:5.
Det finske politiets adgang til dataavlesing er spredt over tre ulike hjemler i TML. Den generelle dataavlesingshjemmelen (teknisk observation av utrustning) i TML 10:23 gir hjemmel til avlesing av data og funksjonalitet i en datamaskin (dator). I tillegg har man to spesielle dataavlesingshjemler som åpner for å benytte dataavlesing ved kommunikasjonskontroll (teleavlyssning) i TML 10:4.2 og ved romavlytting (teknisk avlyssning) i TML 10:16-10:17.
Lovgiver har vært opptatt av å avgrense anvendelsesområdet til den generelle dataavlesingshjemmelen negativt i forhold til de to spesielle hjemlene.66
Det foreligger ingen offentlig tilgjengelig statistikk om anvendelse av de finske dataavlesingshjemlene spesielt. Det foreligger imidlertid statistikk for bruk av kommunikasjonskontroll. Det ble innvilget kommunikasjonskontroll mot 450 personer i Finland i 2018.67 Dette volumet er marginalt større enn i Norge.
I Sverige startet utredningsarbeidet om «hemlig dataavläsning» i 2016.68 Bakgrunnen var den økende internasjonaliseringen i kriminalitetsbildet kombinert med den teknologiske utviklingen og bruken av Internett, og kryptering ble spesielt nevnt som en utfordring.69 I 2017 anbefalte utvalget å innføre dataavlesing i Sverige.70 Regjeringen leverte proposisjonen «Hemlig
63 Avsnittsinndelingen i dette kapittelet tilsvarer inndelingen i kapittel 2. De utenlandske hjemlene behandles parallelt i hvert enkelt avsnitt.
64 RP 222/2010 side 12.
65 Se detaljer om lovgivningsarbeidet i RP 222/2010 side 166.
66 Se RP 222/2010 side 347 som viser til TML 10:23.2 og sier at «[g]enom denna förtydigande bestämmelse dras en gräns mot de andra tvångsmedlen i kapitlet».
67 Riksdagens justitieombudsman (2018) side 189.
68 SOU 2017:89 side 595.
69 SOU 2017:89 side 596.
70 SOU 2017:89 side 18.
17
dataavläsning» til Riksdagen i desember 2019.71 Den svenske dataavlesingsloven ble vedtatt av Riksdagen 19. februar 2020 og trådte i kraft 1. april 2020.72
Den svenske dataavlesingshjemmelen er altså gitt i form av en selvstendig lov med tittelen dataavläsningslag (DL). Loven gjelder dataavlesing både i og utenfor etterforsking (förundersökning). Alternativet ville vært å innta hjemmelen i rättegångsbalken73 (RB) sammen med de andre skjulte tvangsmidlene i kapittel 27, men svensk lovgiver valgte av lovtekniske grunner en egen lov siden den også gjelder forebygging (underrättelseverksamhet) og siden loven i første omgang har fått en begrenset gyldighet på 5 år.74
Den svenske hjemmelen er helt ny, og derfor foreligger det så langt ikke statistikk om dens anvendelse.
3.2 Hva slags objekter kan politiet avlese?
I Finland er ikke brukerkontoer behandlet verken i hjemmelens ordlyd eller i forarbeidene.
Fokuset er dermed kun på avlesing av datasystemer (datorer), se avsnitt 3.2.1.
I Sverige gir hjemmelen adgang til at data kan «läses av eller tas upp i ett avläsningsbart informationssystem», som er legaldefinert som «en elektronisk kommunikationsutrustning eller ett användarkonto till, eller en på motsvarande sätt avgränsad del av, en kommunikationstjänst, lagringstjänst eller liknande tjänst», jf. DL 1 §. «Kommunikationsutrustning» behandles i avsnitt 3.2.1, mens «användarkonto» (brukerkontoer) behandles i avsnitt 3.2.2.
3.2.1 Datasystemer
I Finland gir den generelle dataavlesingshjemmelen politiet mulighet til å avlese data «i en dator eller i en liknande teknisk anordning eller i dess programvara», jf. TML 10:23.1. En hvilken som helst teknisk anordning som kan sammenlignes med en datamaskin (dator) skal kunne avleses.75
Ved dataavlesing ved kommunikasjonskontroll kan avlesingen rettes mot en «personlig teknisk anordning» som er koblet til en kommunikasjonsenhet, eller mot den tekniske forbindelsen mellom anordningen og enheten, jf. TML 10:4.2. Forarbeidene beskriver dette om personlige hjelpemidler tilknyttet kommunikasjonsenheten.76 Bluetooth-høretelefoner tilknyttet en
71 Prop. 2019/20:64.
72 Prot. 2019/20:77 s. 109-111.
73 Tilsvarer den norske straffeprosessloven.
74 Prop. 2019/20:64 side 100.
75 RP 222/2010 side 346.
76 RP 222/2010 side 330.
18
mobiltelefon er et konkret eksempel. Her kan dataavlesingen rettes mot både høretelefonene og mot den bluetooth-baserte radiokommunikasjonen mellom høretelefonene og mobiltelefonen.
Ved dataavlesing ved romavlytting kan dataavlesingen foretas «ved hjälp av en teknisk anordning, metod eller programvara», jf. TML 10:16.1. Dette er den generelle hjemmelen for romavlytting, men ordlyden åpner også for at man gjennomfører romavlyttingen ved å foreta avlesing av datasystem som ikke er utplassert av politiet, for eksempel «ved hjälp av [...]
programvara».77 I mangel av andre holdepunkter må det antas at alle typer maskinvare med tilhørende programvare som er egnet til å oppfange lyd kan være middel for slik dataavlesing.
I Sverige gir som sagt hjemmelen adgang til å avlese en «elektronisk kommunikationsutrustning». Forarbeidene sier at begrepet omfatter all slags utrustning som kan «användas för at kommunicera elektroniskt», og som eksempler nevnes datamaskiner, mobiltelefoner, nettbrett, smartklokker og servere.78 Ordlyden «kommunikationsutrustning»
avgrenser mot datasystemer som av ulike grunner ikke er designet for elektronisk kommunikasjon. Dette gjelder eksempelvis en del multimediautstyr, husholdningsutstyr, viltkameraer og biler. I utgangspunktet må man altså legge til grunn at den svenske hjemmelen ikke gir adgang til å avlese ethvert datasystem, men kun datasystemer som er designet for elektronisk kommunikasjon.79
Når man sammenligner de tre landene, ser man at det åpnes for omtrent de samme objekter for dataavlesing. Norge har de videste grensene og tillater avlesing av alle datasystemer. Finland har tilsvarende vide grenser, unntatt når formålet er kommunikasjonskontroll der avlesingen er avgrenset til «personlig utrustning». I Sverige har man tilsynelatende avgrenset til datasystemer som er designet for kommunikasjon, men det er uklart om dette er tilsiktet.
3.2.2 Brukerkontoer
I Finland har man som nevnt ingen egen hjemmel for avlesing av brukerkontoer.
I Sverige omfatter altså dataavlesingshjemmelen også brukerkontoer (användarkonto) eller tilsvarende avgrenset del av en tjeneste. Forarbeidene presiserer at man kun kan lese av data
77 Programvare må nødvendigvis kjøres på et datasystem, og i den grad dette ikke er utplassert av politiet, må det nødvendigvis være tale om avlesing av et datasystem som allerede befinner seg på stedet.
78 Prop. 2019/20:64 side 104.
79 Grensedragningen mellom «informationssystem» og «kommunikationsutrustning» problematiseres ikke i forarbeidene, og det er derfor uklart om denne avgrensningen er tilsiktet av svensk lovgiver.
19
som er «avgränsat till den enskilde användaren».80 Forarbeidene eksemplifiserer med kontoer på sosiale medier, meldingstjenester og Internett-forum.81
De svenske forarbeidene nevner eksplisitt den norske hjemmelen for avlesing av brukerkontoer, og ser også ut til å være inspirert av denne.82 Resultatet har også blitt at de to hjemlene for avlesing av brukerkontoer i det vesentlige sammenfaller.
3.3 Hvilke typer data kan politiet avlese?
I Finland er data inndelt i fire ulike typer som i varierende grad kan avleses:
Kommunikasjonskontrolldata, romavlyttingsdata, kameraovervåkingsdata og øvrige data.
Dette følger av lovens systematikk ved at adgangen til dataavlesing er spredt over tre ulike hjemler (se avsnitt 3.1).
I den generelle dataavlesingshjemmelen er hovedregelen at man kan avlese «en funktion, informasjonsinnehållet eller idenfieringsuppgifterna» i datasystemet, jf. TML 10:23.1.
Forarbeidene sier at dette omfatter både lagrede data og samhandlingen (växelverkan) mellom brukeren og datasystemet.83 Tastaturavlesing nevnes som eksempel.84 I sin tillatelse har imidlertid retten mulighet til å angi begrensninger og vilkår for dataavlesingen.
Dataavlesing ved kommunikasjonskontroll kan kun avlese meddelelser (meddelande) som sendes via allmenne kommunikasjonskanaler, jf. TML 10:3.1 jf. 10:4.2. Meddelelser omfatter samtaler, e-post, tekstmeldinger, talemeldinger og tilsvarende.
Dataavlesing ved romavlytting går ut på å benytte mikrofoner i datasystemer til å avlytte et rom eller sted. Avlyttingen kan rettes mot mistenktes samtaler som ikke er ment for utenforstående.
Dette kan også benyttes til å avlese kommunikasjon via for eksempel telefon så lenge avlesingen er innrettet mot lydbølger i rommet og ikke teknikken i kommunikasjonsutstyret.
Det er et sentralt poeng at den generelle hjemmelen for dataavlesing i TML 10:23 ikke kan benyttes til å avlese data tilknyttet kommunikasjonskontroll, romavlytting eller kameraovervåking. Avgrensningen mot kommunikasjonskontroll fremgår eksplisitt av TML 10:23.2 som sier at «innehållet i ett meddelande» ikke kan innhentes via generell dataavlesing.
80 Prop. 2019/20:64 side 105.
81 Prop. 2019/20:64 side 211.
82 Prop. 2019/20:64 side 105.
83 RP 222/2010 side 346.
84 Tastaturavlesing går ut på at hvert enkelt tastetrykk på datasystemets tastatur avleses. Metoden er for eksempel godt egnet til å avlese inntasting av brukernavn og passord.
20
Dette gjelder uansett om meldingen er på vei mellom avsender eller mottaker, eller om den er lagret lokalt i datasystemet, for eksempel i en lokal innboks. Avgrensningen mot romavlytting og kameraovervåking fremgår av forarbeidene som sier at den generelle dataavlesingshjemmelen ikke gir anledning til å overvåke et sted «med syn- eller hörseliakttagelser».85 Når det gjelder kameraovervåking foreligger det ingen hjemmel for dataavlesing i det hele tatt, og politiet kan kun benytte tradisjonelle kameraovervåkingsmetoder.
Samlet viser dette at finsk lovgiver har vært bevisst på at avlesing av ulike typer data i ulik grad er inngripende, og har regulert adgangen til dataavlesing deretter. Dette kommer spesielt tydelig fram ved at lovgiver har vært opptatt av å definere tydelige grenser mellom hjemlenes anvendelsesområder.
I Sverige defineres syv ulike typer av data for avlesing, jf. DL 2 § 1 st.
1. Kommunikasjonskontrolldata (kommunikationsavlyssningsuppgifter).
2. Trafikkdata (kommunikationsövervakningsuppgifter).
3. Lokasjonsdata (platsuppgifter).
4. Kameraovervåkingsdata (kameraövervakningsuppgifter).
5. Romavlyttingsdata (rumsavlyssningsuppgifter).
6. Alle lagrede data i datasystemet som ikke inngår i type 1-5.
7. Alle data om bruken av datasystemet som ikke inngår i type 1-6.
Av de negative avgrensningene i punkt 6 og 7 følger at alle typer data som flyter gjennom eller lagres i datasystemet favnes av avlesingshjemmelen. Den svenske hjemmelen forutsetter imidlertid at en konkret tillatelse normalt ikke skal åpne for at alle disse datatypene skal kunne avleses fra datasystemet. Tvert imot sier DL 18 § 1 st. (nr. 3) at en tillatelse til dataavlesing skal angi «vilken typ av uppgift [...] som får läsas av eller tas upp». Forarbeidene utdyper dette:
Ett tillstånd till hemlig datavläsning innebär inte per automatik tillgång til alla slags uppgiftstyper utan det bör bestämmas i det enskilda fallet vilka uppgiftstyper som kan bli aktuella. [... T]illståndet för hemlig datavläsning kan och ska differientieras på detta sätt och tillståndet ska ges med restriktivitet [....]86
Vurderingen av hvilke datatyper som skal kunne avleses skal gjøres konkret i den enkelte sak:
Vid tillståndsprövning av hemlig dataavläsning måste domstolen [...] ställa sig frågan om det är proporsjonerligt att tillåta avläsning eller upptagning av flera olika uppgiftstyper.
Det bör endast undantagsvis och endast i de allra allvarligaste fallen, t.ex. vid
85 RP 222/2010 side 346.
86 Prop. 2019/20:64 side 107 (min kursivering).
21
terroristbrottslighet eller annan mycket allvarlig brottslighet, vara möjligt att få tillstånd till avläsning eller upptagning av samtliga uppgiftstyper samtidigt.87
Svenske lovgiver erkjenner dermed at avlesing av ulike datatyper i ulik grad er inngripende, og pålegger domstolen å vurdere nøye hva slags data det vil være forholdsmessig å avlese i den enkelte saken.
Når man sammenligner de tre landene, ser man at alle land totalt sett har adgang til avlesing av alle typer data, med unntak av Finland som ikke tillater dataavlesing ved kameraovervåking.
Likevel er det en vesentlig forskjell mellom Norge og de andre landene. Både Finland og Sverige opererer med eksplisitte kategorier av datatyper som skal vurderes særskilt i den enkelte sak. De svenske forarbeidene sier dessuten at man bare unntaksvis skal tillate avlesing av alle typer data. Dette står i sterk kontrast til den norske hjemmelen der verken lovens ordlyd eller forarbeider legger opp til differensiering av datatyper overhodet. I Norge er det opp til den enkelte dommer å ta initiativet til slike avgrensninger, men i mangel av føringer fra lov og forarbeider om hvorvidt og i så fall hvordan slike avgrensninger skal gjøres, vil slike avgrensninger neppe være særlig utbredt i praksis.
Mot dette kan man innvende at den norske dataavlesingshjemmelen uansett ikke åpner for aktivering av mikrofoner og kameraer, og derfor uansett ikke kan benyttes til romavlytting eller kameraovervåking.88 Senere i denne oppgaven vil det imidlertid bli argumentert for at denne begrensningen ikke nødvendigvis har praktisk betydning.89
3.4 Materielle krav for å få tillatelse til dataavlesing
3.4.1 Kriminalitetskravet
I Finland har lovgiver gjennom lovens struktur innført et differensiert kriminalitetskrav for dataavlesing. Den generelle dataavlesingshjemmelen og hjemmelen for dataavlesing ved romavlytting deler kriminalitetskrav, jf. TML 10:16.3 jf. 10:23.3: Kriminalitetskravet er oppfylt dersom straffebudets strafferamme er på minst 4 år eller dersom straffebudet befinner seg på en nærmere spesifisert liste: Narkotikakriminalitet, terrorisme, grov smugling (tullredovisningsbrott), eller forberedelse til gisseltaking eller grovt ran. Kriminalitetskravet for dataavlesing ved romavlytting skjerpes hvis det er tale om avlytting av et sted som benyttes som fast bolig (utrymme som används för stadigvarande boende), jf. TML 10:17. Her er det ingen generell strafferammeregel, hjemmelen kan kun benyttes i forbindelse med konkrete og svært alvorlige straffebud: Folkemord og andre krigsforbrytelser, væpnede trusler, forræderi,
87 Prop. 2019/20:64 side 110 (min kursivering).
88 Se avsnitt 2.3 som viser til Prop. 68 L (2015-2016) side 264.
89 Se avsnitt 4.2.2.
22
grov utnyttelse eller voldtekt av barn, drap, grov menneskehandel, grove tilfeller av ran, sabotasje og narkotikakriminalitet.
Kriminalitetskravet for dataavlesing ved kommunikasjonskontroll har heller ingen generell strafferammeregel, her oppregnes i stedet en rekke straffebud som kvalifiserer til kommunikasjonskontroll generelt og dataavlesing spesielt, jf. TML 10:3.2 jf. 10:4.2.
Overordnet dekker dette de samme straffebudene som over, men også en del relativt sett mindre alvorlige straffbare handlinger, som for eksempel korrupsjon (muta), skatteunndragelser, kreditorsvik (gäldenärsbedrageri) og innsidehandel.
I Sverige ønsket lovgiver at kriminalitetskravet for dataavlesing skulle tilsvare kriminalitetskravene for kommunikasjonskontroll og romavlytting.90 Dermed sier hovedregelen i DL 4 § 1 st. (nr. 1) at dataavlesingstillatelse kan gis dersom straffebudets minstestraff (lindrigaste straff) er minst 2 år, eller dersom straffebudet befinner seg på en liste av straffebud som er spesifisert i RB 27 kap. 2 § 2 st. (nr. 2-7) jf. DL 4 § 1 st. (nr. 2). Listen består av straffebud som sabotasje, opprør, væpnede trusler, forræderi, ulovlig etterretningsvirksomhet og terrorisme. Dataavlesing ved romavlytting har et strengere kriminalitetskrav. Her korresponderer kriminalitetskravet med kravet for tradisjonell romavlytting. Dermed må minstestraffen være minst 4 år, eller straffebudet må befinne seg på en annen liste med straffebud, jf. RB 27 kap. 20 d § 2 st. jf. DL 6 § 1 st.
Når man sammenligner de tre landene, kan man innledningsvis konstatere at kriminalitetskravet er tilpasset den straffbare handlingens alvorlighetsgrad for fornærmede og/eller samfunnet som helhet. Lovgiverne innser at dataavlesing er inngripende, og har derfor ønsket å reservere tvangsmiddelet for svært alvorlige former for kriminalitet.
Et annet likhetstrekk mellom landene er at man i forbindelse med lovgivningsprosessen har tatt utgangspunkt i de allerede foreliggende kriminalitetskravene for kommunikasjonskontroll og/eller romavlytting. Lovgiver i alle tre land har altså ønsket å benytte om lag samme terskel som for disse beslektede tvangsmidlene.
Man kan også observere at Finland og Sverige har en mer differensiert tilnærming til kriminalitetskravet enn Norge. I begge land varierer kriminalitetskravet med hva slags data som skal avleses, og variasjonen ser ut til å være basert på lovgivers syn på hvor inngripende
90 Prop. 2019/20:64 side 114.
23
dataavlesingen er. I Norge har man ingen slik differensiering. Kriminalitetskravet er det samme uansett hva slags data som skal avleses.91
Spørsmålet er så hvor strengt det enkelte lands kriminalitetskrav er i forhold til de andre. Fra et metodisk perspektiv er en slik sammenligning utfordrende.
Det er utfordrende å sammenligne kriminalitetskravet i Sverige med de to andre landene.
Årsaken er at landene benytter ulike målestokker for den straffbare handlingens alvorlighet.
Mens man i Sverige tar utgangspunkt i minimumsstraffer, tar man i Norge og Finland utgangspunkt i strafferammer (maksimumsstraffer). En korrekt sammenligning forutsetter trolig at hvert enkelt straffebud må vurderes og sammenlignes for seg. Det er utenfor denne oppgavens rekkevidde å foreta en slik sammenligning. Dermed er det vanskelig å konstatere noe generelt om forholdet mellom kriminalitetskravene for dataavlesing i Norge og Sverige.
Man må nøye seg med å si at den straffbare handlingens alvorlighet er en sentral faktor i begge land.
En sammenligning mellom Norge og Finland er noe enklere ettersom kriminalitetskravet i begge land tar utgangspunkt i strafferammer. Generelt bør man imidlertid være forsiktig med å sammenligne strafferammer direkte uten at man samtidig vurderer i hvilken grad strafferammene reflekterer det reelle straffenivået i de aktuelle landene. Med dette forbeholdet må man likevel kunne konstatere at det er en vesentlig forskjell i kriminalitetskravet i Norge og i Finland (strafferammekrav på 4 år i Finland mot 10 år i Norge). Dermed ser kriminalitetskravet ut til å være vesentlig lavere i Finland enn i Norge.
3.4.2 Mistankekravet
I Finland forutsetter alle de tre dataavlesingshjemlene at datasystemet har tilknytning til noen som er «skäligen misstänkt» for et aktuelt lovbrudd, jf. TML 10:3.2 jf. 10:4.2, 10:16.3 og 10:23.3. Forarbeidene til TML er tause om hvordan «skäligen misstänkt» skal forstås. Det samme begrepet brukes imidlertid også i den finske förundersökningslag (etterforskingsloven) som sier at etterforsking kan iverksettes dersom det «finnes skäl att misstänka» at en forbrytelse har funnet sted, jf. förundersökningslag 3:3.1. Forarbeidene til denne bestemmelsen sier at terskelen ikke er spesielt høy, at det ikke kreves at en forbrytelse med sikkerhet eller stor sannsynlighet er begått, men at en anmeldelse alene ikke er tilstrekkelig.92 Basert på dette kan
91 Mot dette kan man på samme måte som i avsnitt 3.3 innvende at den norske hjemmelen ikke ser ut til å åpne for kameraovervåking eller romavlytting, men dette medfører ikke nødvendigvis riktighet, se avsnitt 4.2.3.
92 RP 222/2010 side 185.
24
man anta at det ikke kreves sannsynlighetsovervekt. Man kan antydningsvis sette sannsynlighetskravet til omlag 30 %.
I Sverige forutsetter dataavlesing at datasystemet har en tilknytning til noen som er «skäligen misstänkt för brottet», jf. DL 4 § 2 st. Dermed legger lovgiver seg på samme terskel som for andre skjulte tvangsmidler.93 Forarbeidene presiserer at ordlyden innebærer at det må gjelde en konkret kriminell handling, vurderingen skal være helhetlig og objektiv og at det må foreligge konkrete omstendigheter «som med viss styrka talar för misstanken».94 «Skälig misstanke» i svensk rett kan sammenlignes direkte med både «reasonable suspicion» i EMK95 og med det norske «skjellig grunn til mistanke».96 Dermed krever «skäligen misstanke»
sannsynlighetsovervekt for å være oppfylt.9798
Når man sammenligner de tre landene, ser man at mistankekravet er på minst 50 % sannsynlighet (sannsynlighetsovervekt) for lovbrudd i Norge og Sverige og om lag 30 % sannsynlighet i Finland. Mistankekravet er dermed høyere i Norge og Sverige.
3.4.3 Tilknytningskravet
I Finland har de ulike dataavlesingshjemlene ulike tilknytningskrav. Den generelle dataavlesinghjemmelen sier at politiet kan foreta avlesing av et datasystem som en mistenkt sannsynligvis bruker (sannolikt använder), jf. TML 10:23.3. Forarbeidene sier at det ikke er et krav at den mistenkte eier eller innehar datasystemet.99 Det kan også være tilstrekkelig at mistenkte ikke bruker systemet for tiden, men kommer til å bruke det i fremtiden. Forarbeidene sier at «sannolikt» betyr at «beviskravet för förbindelsen mellan anordningen och den misstänkte ska vara högt». Dermed kreves det sannsynlighetsovervekt for tilknytningen i Finland.
Når det gjelder dataavlesing ved kommunikasjonskontroll, er det ingen eksplisitt regel om tilknytningen mellom utstyret og den mistenkte. Forarbeidene forutsetter imidlertid at utstyret (for eksempel hodetelefonene) som skal avleses «ska vara uttryckligen personliga
93 For eksempel kommunikasjonskontroll jf. RB 27 kap. 20 §.
94 Prop. 2019/20:64 side 216.
95 EMK artikkel 6 bokstav c.
96 Bring (2019) side 176-177.
97 Bring (2019) side 178.
98 Legg altså merke til at samme ordlyd på samme språk likevel medfører ulike terskler i Finland og Sverige.
99 RP 222/2010 side 347.
25
hjälpmedel».100 Dette taler klart for at det må være en nær forbindelse mellom mistenkte og utstyret, og dette tilsier sannsynlighetsovervekt som et minimum.
Når det gjelder dataavlesing ved romavlytting stilles det ikke krav til tilknytning mellom mistenkte og datasystemet. Derimot stilles det krav til tilknytningen mellom mistenkte og det aktuelle stedet der dataavlesingen skal finne sted. Forarbeidene sier at det forutsettes sannsynlighetsovervekt (sannolikhet) for at mistenkte befinner seg på eller i det minste besøker det aktuelle stedet.101
I Sverige kreves det at det er «anledning att anta» at datasystemet brukes, vil bli brukt eller har blitt brukt av mistenkte, jf. DL 4 § 2 st. Det forutsettes ikke at mistenkte er eier av datasystemet eller er fast bruker av det.102 Terskelen «anledning att anta» er etter svensk juridisk terminologi en lav terskel som kun forutsetter at det finnes konkrete holdepunkter for antakelsen.103 Det forutsettes med andre ord ikke sannsynlighetsovervekt for tilknytningen mellom datasystemet og mistenkte.
Når man sammenligner de tre landene, ser man at tilknytningskravet er strengere i Finland enn i Norge og Sverige siden kun de finske hjemlene krever sannsynlighetsovervekt for tilknytningen.
3.4.4 Krav om nødvendighet og forholdsmessighet
I Finland har man et generelt nødvendighetskrav for skjulte tvangsmidler som forutsetter at man får tilgang til informasjon som er nødvendig (behövs) i etterforskingen, jf. TML 10:2.1.
Når det gjelder dataavlesingshjemlene, er det dessuten et krav om at bruken kan antas å være av «synnerlig vikt» for etterforskingen, jf. TML 10:2.2. Forarbeidene utdyper «synnerlig vikt»
som følger.104 På den ene siden er det ikke tilstrekkelig at tvangsmiddelet kun forenkler (underlättar) etterforskingen. På den andre siden kreves det ikke at tvangsmiddelbruken er eneste mulighet for å komme videre i etterforskingen. Avgjørelsen er basert på en helhetsvurdering der også ressursbruken og risikoen ved bruk av andre etterforskingsmetoder er vurderingsmomenter.
Videre har TML 1:2 et forholdsmessighetskrav (proportionalitetsprincip) som gjelder generelt for alle tvangsmidler. Kravet sier at tvangsmidler bare kan anvendes dersom det er forsvarlig
100 RP 222/2010 side 330.
101 RP 222/2010 side 341.
102 Prop. 2019/20:64 side 217.
103 Bring (2019) side 159.
104 RP 222/2010 side 325 som henviser til beskrivelsen av «synnerlig vikt» på side 126.
