Bokanmeldelse
Hvem skal kontrollere kontrollørene?
Inger Marie Sunde:
Lov og rett i cyberspace – Internettkriminalitet og etterforskingsmetoder
315 sider, Fagbokforlaget 2005
Av Per Inge Østmoen
Datakriminalitet, og især datakriminalitet relatert til Internett, fikk på slutten av 1990-tallet og senere megen oppmerksomhet i utenlandske og norske massemedier. Nettsamfunnets abstrakte karakter gjør det i mange sammenhenger til en utfordring å forstå at man også på Internett konfronteres med de prinsipielt samme fenomener og dilemmaer som på andre arenaer for menneskers interaksjon. Dette gjelder også forekomst av kriminalitet. Det er derfor naturlig at data- og internettkriminalitet behandles i juridiskfaglige fremstillinger hvis formål er å øke kunnskapen om den med dens uttrykksformer og karakteristika. Verket som i det følgende er gitt omtale er en slik fremstilling. Forfatter er Inger Marie Sunde, førstestatsadvokat i Økokrim og leder av Politiets datakrimsenter i en årrekke. Boken inngår i ØKOKRIMS skriftserie (nr. 16). Følgelig kan det være berettiget å forstå verket og enkelte av dets konklusjoner i lys av at en del av de momenter som bæres frem nok kan fremstå som preget av et politimessig ståsted, og da ikke utelukkende i praktisk-juridisk henseende.
Herværende anmelder finner at noen av bokens sterkeste sider er der hvor forfatteren redegjør for data- og internettkriminalitetens faktiske former og karakteristika. Særlig er forskjellige typer dataangrep og de tilstøtende risiki forbilledlig beskrevet i kapittel 2. Her vil leseren finne mye relevant informasjon også rundt aktuelle sikkerhetstiltak og nødvendigheten av dem. Tilsvarende gjelder kapittel 5 som behandler hva som skjer når uberettigede tilegner seg fysisk adgang til lagrede data, men hvor også andre kriminelle brudd på sikkerhet og/eller konfidensialitet behandles, så som identitetstyveri og bedragerier. Et annet kapittel som tjener til en nyttig klargjøring, er nr. 4 hvor “det strafferettslige gjenstandsbegrep” i forhold til data beskrives. De nevnte kapitlene alene gjør boken informativ og leseverdig, og fortjent honnør må gå til forfatteren for en norsk fremstilling av et fenomen som i sin natur er internasjonalt. De mindre kapitlene nr. 6 om dataskadeverk og nr. 7 om rettsstridig bruk av dataressurser er solide fremstillinger, men mer spesifikt relevante for aktører i rettsapparatet.
Kapittel 8, om overgrep mot barn, fremstår som et område hvor forfatteren viser et særlig engasjement og benytter mange normative resonnementer. Her må spørsmålet kunne reises om hvorvidt det faktisk er tilfellet at en betydelig del av den mannlige befolkning har et slumrende potensiale for å føle kjønnslig tiltrekning mot barn, handle på denne og begå misbruk. Innskytelse til handling basert på slike forestillinger kan virke som en brekkstang for aksept av kontrolltiltak som i uforholdsmessig grad belaster den jevne borger, uten nødvendigvis å virke effektivt mot hva man ønsket å ramme. Det er da særlig viktig at tiltakene er mest mulig målrettede og gjennomtenkte. Dette uavhengig av de kriminelles antall: Når det gjelder former for kriminalitet som vekker vår avsky og redsel, er det spesielt viktig å beholde en kjølig hjerne og unngå overilede tiltak som på lengre sikt kan få ytterst kjedelige og uforutsette konsekvenser – uavhengig av hva som måtte være intensjonen bak tiltakene.
Totalt er nok Lov og rett i cyberspace spesielt praktisk nyttig for utøvere av de juridiske profesjoner, men slett ikke bare disse, ettersom en best mulig forståelse av de ulike aspekter ved fenomenet data- og internettkriminalitet pr. definisjon involverer rettslige problemstillinger man med fordel kan ha kjennskap til for å ta stilling til mange av spørsmålene som knytter seg til det. Dette gjør at boken, skjønt den er skrevet som en juridisk veiledning og har strafferettsapparatets aktører som primærmålgruppe, er nyttig lesning for samfunnsengasjerte mennesker som gjerne vil skaffe seg oversikt også over den juridiske og strafferettslige siden av problemkomplekset.
I det siste kapittel 9 finner vi en i mange sammenhenger nyttig orientering over trafikk- lokasjons- og identifikasjonsdata som kan anvendes for å bestemme hva en hvilken som helst bruker av elektroniske kommunikasjonsfunksjoner foretok seg hvor og på hvilket tidspunkt. Her finnes samtidig bokens beklagelige slagside. Sunde målbærer oppfatninger som ikke bare er kontroversielle, men som knapt kan sies å følge logisk ut fra faktiske forhold som tidligere presentert i boken. Sitat fra side 290: “Så lenge e-komloven ikke pålegger tilbyderen å ha rådighet over data generert av den tjeneste han tilbyr, er politiet prisgitt tilbyderens egen oppfatning av besittelseskriteriet. Det bør derfor innføres en regel om besittelsesplikt i forhold til disse opplysningene.” Hvorfor dette “bør”? Hvorfor skal politiet ha noen som helst rett til å kreve slik lagring? Lovhjemlet og teknisk mulighet til effektiv kommunikasjonskontroll mot spesifikke mistenkte individer foreligger allerede.
Det ovennevnte sitat uttrykker forfatteren Sundes oppfatning. Hva som er alvorlig med denne, er at det dreier seg om et krav om at data som presist kartlegger enkeltindividers alle kontakter med elektroniske kommunikasjonsadresser som nettsider, telefonoppkoblinger og e-postutvekslinger skal langtidslagres utelukkende fordi politiinteresser har definert dette som noe de vil ha, med et normativt “bør.” Med andre ord uttrykker Sunde her en ambisjon om å gjennom lov frata samtlige borgere muligheten til å bevege seg i den elektroniske sfæren og benytte elektronisk kommunikasjon uten å være sporbar i lang ettertid. Dette selv om de ikke er mistenkt for noe som helst på det tidspunkt når trafikk- og lokasjonsdataene er innhentet. Man skal se på samfunnet gjennom utpreget “politifarvede” briller for å ikke se at et slikt krav på avgjørende måte vil måtte underminere tillitsforholdet mellom borgerne og de etater som i realiteten er borgernes tjenere. Dessverre med rette. Retten til å bevege seg uten sporbarhet, og hvis man så ønsker anonymt, er fundamental i et fritt samfunn. Hvis ikke politiet og relevante myndigheter ønsker å forstå dette og at et ønske om ikke-sporbarhet er noe ganske annet enn å ønske straffrihet for kriminelle handlinger, blir borgerne nødt til å fortelle dem det i klartekst hvis ikke både friheten og tryggheten skal gå tapt. Overvåkning av kriminelle kan skje effektivt uten at informasjon om øvrige borgeres bevegelser langtidslagres.
Den som gjør krav på å utmeisle en faglig effektiv plan for kriminalitetsbekjempelse i et presumptivt fritt samfunn må være i stand til å foreslå mer spesifikt rettede tiltak enn slike som omfatter også de borgere som ikke er under etterforskning. Heller ikke i så måte foreligger det noen prinsipiell forskjell til den “vanlige” fysiske verden utenfor Internett. Er man ikke under etterforskning, skal heller ikke informasjonene om ens bevegelser lagres. Hos en tilbyder av kommunikasjonstjenester kan det fra et personverns- og rettssikkerhetssynspunkt derfor ikke aksepteres at trafikk- og lokasjonsdata lagres i lengre tid enn hva som er nødvendig for faktureringsformål. Hvis loven likevel skulle kreve slik lagring, er det i så fall en slett lov som ikke hører hjemme i et fritt samfunn. Borgerne er fratatt sin frihet dersom politiet og/eller andre myndigheter har mulighet til å komme til kunnskap om deres bevegelser i lang ettertid. Som kjent ble det tidlig i 2006 gjennomført lovpålegg i EU om generell langtidslagring av trafikk- og lokasjonsdata for samtlige europeiske borgere. En må anta at de som lenge har arbeidet for et slikt tiltak er fornøyd. Men det spørs om det er like stor grunn til fornøydhet over den tillitssvikt og det ødeleggende tap av respekt for rettsapparatet som over tid må bli følgen når myndigheter og politi ikke respekterer folks privatliv.
Avslutningsvis inneholder Sundes bok enkelte passuser som fikk denne anmelderen til å stusse. På side 238, i omtalen av Napster-dommen, sier forfatteren:
“Noen legger opp lenker i stedet for å ha materialet liggende hos seg selv. Ved å klikke på lenkene kommer brukeren frem til det ulovlige materialet. Etter Napster-dommen (Høyesteretts dom av 27. januar 2005) må dette bedømmes som medvirkning til spredning. [...] Innehaveren av nettstedet med lenkene ble således domfelt for medvirkning til rettsstridig tilgjengeliggjøring, ved stadfestelse av tingrettens dom.”
Dette utsagnet fra Sunde er problematisk.
Først må det poengteres at innehaveren av nettstedet (heretter kalt B) ble kjent erstatningsforpliktet for medvirkning til uberettiget tilgjengeliggjøring av opphavsrettslig vernet materiale. En isolert lesning av Sundes utsagn i sitatet foran kunne kanskje lede tanken hen mot at B ble kjent straffskyldig for denne medvirkningen, men det er ikke tilfelle. Napster-dommen gjelder et sivilt saksforhold (et erstatningskrav), og ikke straff.
Videre må det påpekes at B ble kjent erstatningspliktig for ”forsettlige og klanderverdige medvirkningshandlinger.” Denne medvirkningen beskrives slik i dommens avsnitt 67:
“Det vi har for oss, er etter min vurdering forsettlige og meget klanderverdige medvirkningshandliger fra Bs side. Hans formål med napster.no var nettopp å gi andre tilgang til denne musikken. Forsiden på nettstedet viser dette. Innledningen var formulert slik: “Velkommen til napster.no. Du befinner deg nå på Norges største og beste nettside med gratis musikk. Her kan du laste ned så mye musikk du bare måtte ønske.”
Dommen er sentral i forhold til spørsmålet om den rettslige virkningen av en blott og bar lenking til (opphavs)rettslig beskyttet materiale. Partene i saken hadde konsentrert sine anførsler rundt spørsmålet om lenker kunne ansees som tilgjengeliggjøring av slikt beskyttet materiale som lenken(e) viste til.
I dommens avsnitt 44 heter det imidlertid:
“Det er ikke omtvistet at det opplasterne gjorde, var ulovlig eksemplarfremstilling og innebar tilgjengeliggjøring for allmennheten.
Jeg understreker imidlertid at dersom lenkingen anses som tilgjengeliggjøring, vil det gjelde tilgjengeliggjøring av både lovlig og ulovlig utlagt materiale. Forståelsen for hva som er tilgjengeliggjøring må være den samme i begge tilfeller.”
I avsnitt 48 sies følgende:
“Det kan ikke være tvilsomt at alene det å gjøre en webadresse kjent ved å gjengi den på Internett, ikke er tilgjengeliggjøring. Dette må gjelde uavhengig av om adressen gjelder lovlig eller ulovlig utlagt materiale. Om en webadresse gjengis på Internett eller for eksempel i en avis, må være likegyldig. Partene er enige om dette.”
I dommen er det altså uttrykkelig pekt på at det å oppgi en webadresse
(URL) i form av ren tekst (altså ikke som en klikkbar lenke), slik en URL vises på trykk, helt utvilsomt ikke er tilgjengeliggjøring. Når det gjelder forholdet mellom en ikke klikkbar webadresse (en URL) og en klikkbar lenke sier Høyesterett (dommens avsnitt 54):
“Når ulovlig tilgjengeliggjøring kan være forbundet med både straff og med erstatningsansvar, bør det kunne gis en noenlunde tilfredsstillende begrunnelse for hvorfor bruk av den ene metoden rammes, men ikke den andre. De ankende parter har ikke kunnet gi noen tilstrekkelig begrunnelse for dette. Og jeg finner det særdeles vanskelig. Hertil kommer at åndsverkloven ikke er skrevet med tanke på den teknologiske utvikling vi har sett i de senere år, med den følge at loven er under vurdering i departementet med sikte på endringer blant annet som følge av dette.”
At lenkingen i seg selv var tilgjengeliggjøring, var riktignok den ankende parts /prinsipale/ anførsel, men denne ble altså ikke lagt til grunn for Høyesteretts dom. I stedet var det deres /subsidiære/ grunnlag som retten fant å legge til grunn, nemlig Bs medvirkning gjennom nettstedet napster.no til selve /opplastingen/ av beskyttet materiale, slik som beskrevet i dommens avsnitt 67.
Saksøkernes (de ankende parters) prinsipale anførsel om lenkene, at en blott og bar lenking måtte regnes som tilgjengeliggjøring, er altså ikke godtatt av Høyesterett. Dette faktum er vanskelig å forene med Sundes utsagn om at “Ved å klikke på lenkene kommer brukeren frem til det ulovlige materialet. Etter Napster-dommen (Høyesteretts dom av 27. januar 2005) må dette bedømmes som medvirkning til spredning.”
Et annet utsagn leseren uvilkårlig kommer i stuss over, forekommer på side 183 i en omtale av DVD-dommen:
“Dersom et beskyttelsessystem er basert på et endelig antall nøkler, kan det dessuten anses å være beskadiget dersom alle nøklene blir knekket. Høyesterett har ikke hatt foranledning til å uttale seg om spørsmålet, og rettstilstanden kan vel antas å være noe usikker.”
En må si at det virker som en noe underlig påstand at rettstilstanden på dette punkt beskrives som usikker etter dommer i to instanser, først Oslo tingrett og siden Borgarting lagmannsrett. Selve rettsspørsmålet ville vel også uten disse to dommer for de fleste ikke stå som særlig tvilsomt. Avgjørelsen i Borgarting lagmannsrett er dertil enstemmig. Påtalemyndigheten (som Sunde representerte i saken) besluttet i tillegg at lagmannsrettens dom ikke skulle påankes. På denne bakgrunn burde tvil om hva som er gjeldende rett kunne ansees som i rimelig grad avklart.
På side 161 fremkommer en vurdering som fremstår som eiendommelig:
“Ved uberettiget adgang som eksponerer taushetsbelagte personopplysninger, f.eks. jf. helseregl. § 15, vil den som opplysningen gjelder gjerne være uvitende om det inntrufne. Vedkommende har dermed i høyden lidt en hypotetisk skade.”
Ordlyd og kontekst indikerer at Sunde faktisk mener at den som utsettes for at taushetsbelagte opplysninger om ens person (“som opplysningen gjelder”) blir utettmessig eksponert, bare lider en “hypotetisk” skade hvis det er slik at han eller hun ikke får vite om hva som har skjedd. Men man må vel snarere tvert i mot ha grunn til å anta at det nettopp er når man er uvitende om at uvedkommende eller uønskede har kommet til ens personopplysninger, at stor skade kan oppstå. Sunde synes her å stå for det syn at eksponering av personopplysninger er mindre alvorlig når den rammede er holdt i uvitenhet om denne eksponeringen.
Endelig, en betraktning helt i slutten av boken på side 293:
“Historisk sett har enkeltindividet neppe nytt større grad av personlig bevegelsesfrihet og anonymitet enn i dag.”
Nå ble denne ytringen skrevet før det i EU ble vedtatt et lagringsdirektiv som krever lagring i lang tid av befolkningens trafikk- og posisjonsdata ved bruk av elektronisk kommunikasjon, men det har allerede i en årrekke vært slik at både bruken av elektroniske betalingsmidler, bompasseringsbrikker, innholdsleverandørers og enkelte programvareselskapers lisenskontroll og bruksregistrering og en rekke andre fenomener har satt enkeltindividets privatliv under press. Man må derfor unngå å la seg lulle inn i troen på at alt er såre vel. Når endog det politi som skulle beskytte befolkningen forlanger å få kontrollmulighet over lovlydige borgeres elektroniske bevegelser på en måte som var ugjennomførlig i den “fysiske” sfæren kan nok både bevegelsesfriheten, privatlivet og dessverre også rettssikkerheten sies å være kraftig truet. Dvs. inntil borgerne slutter å nære en så uforholdsmessig stor tillit til makthavere at de uten å mukke oppgir frihet og tidligere selvsagte rettigheter for en fiktiv trygghet. Det evige spørsmålet om hvem som skal kontrollere kontrollørene kan aldri avfeies under henvisning til “behovet for kriminalitetsbekjempelse” uten at man kommer i skade for å ødelegge de verdiene man trodde at man forsvarte. Fremtiden vil kreve en fornyet bevissthet fra borgernes side, noe som også er en viktig lærdom som kan trekkes fra en lesning av Lov og rett i cyberspace.
|