Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: Klassepurken rir igjen

4 views
Skip to first unread message

Thomas Skogestad

unread,
Sep 17, 2007, 4:21:19 PM9/17/07
to
* Sturle Fladmark

| Norge - kjent for sitt korrupte, dovne og udugelige politikorps, her er
| de igjen: Tar de små og svake og lar de store og sterke gå.
|
| http://www.dagbladet.no/nyheter/2007/09/16/512252.html

Overskrift: - Dette er ikke datainnbrudd

«Internettekspert og universitetslektor Gisle Hannemyr mener razziaene som
Kripos har gjennomført, ikke har noen hjemmel i loven. Straffeloven § 145,
den såkalte hackerparagrafen, kan nemlig ikke benyttes i dette tilfellet,
mener han.

- Loven forutsetter at man har brutt en form for beskyttelse. Når tjenesten
ligger der, og det ikke eksisterer noen sperrer i form av passord eller
lignende, kan det ikke kalles datainnbrudd, sier Hannemyr til Dagbladet.no.»

Eh, javel. Straffeloven § 145 annet ledd lyder:

Det samme [bøter eller med fengsel inntil 6 måneder eller begge deler]
gjelder den som uberettiget skaffer seg adgang til data eller program-
utrustning som er lagret eller som overføres ved elektroniske eller andre
tekniske hjelpemidler.

http://www.lovdata.no/all/tl-19020522-010-017.html#145

Den forutsetter altså ikke at noe er blitt brutt. Det var et slikt krav før
en lovendring i 2005 («ved å bryte en beskyttelse eller på lignende måte» ble
fjernet), men etter endringen da endret § 145 (2) karakter fra å være en
beskyttelsesbruddsbestemmelse til bli en datavernbestemmelse.

Justiskomiteen uttalte i forbindelse med endringen i 2005:

Komiteen er videre enig i at dagens lovgivning ikke er fullgod på alle
områder, ikke minst i forhold til at den som innehar datainformasjon må
sørge for beskyttelse mot innsyn fra uberettigede før et misbruk regnes som
straffbart. Det vises her til vilkåret om såkalt beskyttelsesbrudd i
gjeldende bestemmelse om datainnbrudd i straffeloven §145 annet ledd.
Komiteen vil i den anledning vise til deler av [hørings]uttalelsen fra
Økokrim som blant annet sier at:

«Økokrim ... har registrert en økning i henvendelser som gjelder «tyveri»
av informasjon ved hjelp av en datamaskin, men hvor det vanskelig kan sies
å foreligge brudd på en beskyttelse. Et typeeksempel er en utro tjener i en
bedrift som uberettiget kopierer ut informasjon til en konkurrent.

I en tid hvor man tillegger IKT-tjenester stadig større verdi, bør det
strafferettslige vern om data i hvert fall være på linje med man har for
gjenstander, og som kjent stilles det ikke noe vilkår om at en gjenstand
skal være beskyttet for at det skal være tale om tyveri.

Etter vår oppfatning bør straffeloven inneholde en regel om rettsstridig
adgang til data som er lagret eller som er under overføring.
Beskyttelsesbrudd, skadeforvoldelse eller vinnings hensikt bør være
straffskjerpende omstendigheter.»

Komiteen foreslår etter dette å fjerne vilkåret om beskyttelsesbrudd i
straffeloven § 145 annet ledd, og fremsetter på denne bakgrunn følgende
forslag:

«I lov 22. mai 1902 nr. 10 Almindelig borgerlig Straffelov gjøres
følgende endring:

§ 145 annet ledd skal lyde:

Det samme gjelder den som uberettiget skaffer seg adgang til data eller
programutrustning som er lagret eller som overføres ved elektroniske
eller andre tekniske hjelpemidler.»

De fleste høringsinstansene som uttalte seg om spørsmålet gikk inn for å
fjerne vilkåret om beskyttelsesbrudd, jf lovproposisjonen pkt. 3.2.6 (s. 15),
men departementet ville heller la datakrimutvalget utrede spørsmålet.
Stortinget endret derimot bestemmelsen uten å vente på videre utredning.

Men det er fremdeles et krav om at man må ha handlet «uberettiget». Om det
samme kravet i første ledd skriver Peder Kjerschow, Straffeloven med
kommentarer (1930) s. 404-05:

Brevbrytningen må være «uberettiget», hvilket den er, når der ikke dertil
has samtykke fra rette vedkommende eller hjemmel i lov eller annen gyldig
forskrift eller i omstendighetene forøvrig. Berettiget til å gi samtykke er
brevets eier, det er, sålenge det er i postvesenets besiddelse eller hos
avsenderens bud bud, denne, men adressaten, såsnart det er overlevert denne
eller nogen på hans vegne. Til for eieren å bryte brev må enten has fullmakt
eller sådan kunne utledes av brevbryterens forhold til eieren (adressaten).
Således må foreldre alt etter omstendighetene være berettiget til å åpne
brever til deres umyndige barn. Derimot er ektemann ikke berettiget til som
sådan å bryte brev til hustruen og omvendt.

I Straffelovkommentaren II (1995) står det ikke spesielt mye om «uberettiget»
i annet ledd. «Generelt sett må dette forstås som en vanlig
rettsstridsreservasjon. Av betydning for rettsstriden er om gjerningspersonen
har brutt en eller annen form for beskyttelse eller overvunnet en hindring.»
Akkurat det sistnevte kan jeg ikke helt følge. Det er omtrent som å si at
beskyttelsesbruddkravet står (sto) ganger rett etter hverandre. Dog, slik
loven nå er formulert må vel dette være noe man kunne vurdere.

Om «uberettiget» uttaler Justisdepartementet vedrørende ansattes rett til
innsyn i datalagret informasjon på arbeidsplassen i Ot.prp. nr. 35
(1986-1987) Om endringer i straffeloven (datakriminalitet):

Departementet vil peke på at en ved tolkingen av begrepet «uberettiget» i
slike tilfelle må ta utgangspunkt i de rettslige reguleringer og andre
normer som gjelder generelt for arbeidsforholdet. Både generelle
arbeidsrettslige regler, tariffavtale, arbeidsavtale og stillingsinstruks må
trekkes inn ved vurderingen av hvilken kompetanse og hvilke rettigheter som
ligger til stillingen. Selv om det ikke følger av skriftlig
stillingsinstruks e l, vil innsyn i data kunne anses som uberettiget som
følge av selve stillingens art. Det vil f eks være uberettiget om en
rengjøringshjelp går inn på bedriftens dataanlegg for å skaffe seg
opplysninger om produksjonsforhold e l. Generelt må kravet om at innsynet
skal være uberettiget forstås som en vanlig rettsstridsreservasjon, som
henviser først og fremst til normer utenfor strafferetten. For øvrig må
kriteriet «uberettiget» også ses i sammenheng med kravet om at
gjerningsmannen må ha overskredet en eller annen form for beskyttelse eller
hindring.

«Uberettiget» må altså sies å vise til regler utenfor straffeloven. Et mulig
regelsett å vurdere dette etter er personopplysningsloven. (Skulle
«uberettiget» i stedet være en lovfesting den alminnelige
rettsstridsreservasjonen, at ethvert straffebud må leses med forbehold for
unntakssituasjoner som det ikke har vært meningen å ramme med straff, så
ville straffebudet blitt «tomt» -- det viser ikke til noen regler i det hele
tatt som det kan være meningen å ramme med straff, men husk, noen handlinger
er det ikke meningen å ramme! I utgangspunktet er all tilgang til data
ulovlig, men så skal man sjalte i ettertid de handlinger man likevel ikke
ønsker å ramme.)

Og om Tele2 har brutt personopplysningsloven (pol.), så ligger heller ikke
denne fyren så fryktelig godt an. Det foreligger neppe noen spesielt gode
grunner for massiv nedlasting av personopplysninger om andre personer. (Hvor
mange sier vel ikke artikkelen noe om, men det må ha vært tilstrekkelig til
at Kripos har reagert. Men «noen» har opplysninger om 100 000 personer.) Det
er temmelig åpenbart at hans nedlasting ikke er noe «rent personlig», det
unntaket (§ 3) rekker neppe særlig videre enn at kunne ha lastet ned
opplysninger om seg selv, og definitivt ikke om fullstendig ukjente folk. Ut
fra det departementet (Ot.prp. nr. 92 (1998-99) s. 105) skriver om
bestemmelsen i proposisjonen, at personvernkonsekvensene av unntaket er
begrenset, og eksemplene de gir for å forklare bakgrunnen for bestemmelsen
(skrive brev, dagbok, m.m.) er det klart at man ikke bare kan kalle seg
privatperson og gjøre hva som helst med andres personopplysninger i medhold
av unntaket i § 3. Han må i så fall oppfylle kravene til behandling av
personopplysninger, bl.a. §§ 8 og 11. Det er litt vanskelig å se at
nedlasting av personopplysninger han ikke har noe med oppfyller kravene som
stilles.

Men straffebestemmelsen i pol. (§ 48) er faktisk slik at ulovlig behandling
av personopplysninger ofte ikke er straffbart. (I mange tilfelle må
Datatilsynet gi pålegg, men her har de visst stanset etter å ha sendt et
brev.) Men Tele2 har vel ikke akkurat ivaretatt tilstrekkelig
informasjonssikkerhet, så det kan de kanskje straffes for.

Eller så dropper man kanskje hele forholdet til pol. og i stedet bare spør
hvorvidt det foreligger noen grunner til at vedkommende skal ha tilgang til
alle disse datatene. Forsåvidt tilsvarende som vurderingen etter pol. §§ 8 og
11. (Dog, hvor frirettslig vil man være med en vurdering som ender med at
noen straffedømmes? Hva slags andre regler kan det være aktuelt å bedømme
forholdet etter?) En ting er at når man surfer rundt på nettet så kan ikke
dette sies å være uberettiget, noe annet er at hvis man finner et smutthull
prøver å utnytte dette til å skaffe seg tilgang til opplysninger det ikke har
vært meningen å gi adgang til. I dette tilfelle må man vel være temmelig
nedsnødd dersom man trodde at Tele2 hadde lagd en fin tjeneste for å gi deg
informasjon om vilt fremmede personer.

Dessverre brukes begrepene rettsstrid og rettsstridsreservasjonen på flere
ulike måter uten at det alltid er klart hva vedkommende har lagt i begrepene.
Noen ganger brukes de som en generell reservasjon fra lovgivers side om at
meningen ikke er å ramme alle tilfelle som ellers går inn under beskrivelsen
i straffebudet, og da kan begrepet forstås som «straffverdig» uten at det
finnes noe annet regelsett å vurdere forholdet etter. (F.eks. strl. § 222 om
rettsstridig tvang, man kan ikke gå etter avtaleloven § 29 tvang, som også
krever at tvangen skal være rettsstridig.) Og den alminnelige rettsstrids-
reservasjonen gjelder generelt, selv om straffebudet ikke viser til den. Det
har vært foreslått å lovfeste rettsstridsreservasjonen, men
Justisdepartementet kom til at den ikke bør lovfestes i den nye straffeloven
(som ikke er i kraft).
http://www.regjeringen.no/nb/dep/jd/dok/regpubl/otprp/20032004/Otprp-nr-90-2003-2004-/14/3/5.html?id=179600

Andenæs, Alminnelig strafferett (4. utg., 1997) forklarer det på s. 143-45.
Side 143: «rettsstridig», «ulovlig», «uberettiget» kan henvise til normer
utenfor straffeloven. Side 144: Det kan i stedet være en generell reservasjon
fra lovgivers side om at det ikke er meningen å ramme alle tilfelle som går
inn under beskrivelsen i straffebudet.

Så selv om man kommer til at forholdet i utgangspunktet er straffbart, så
kunne man tenke seg at den sivile ulydigheten vurderes slik at den var
nødvendig for å avdekke kritikkverdige forhold, og derfor ikke bør belegges
med straff. Eller kanskje det ikke blir tatt ut tiltale, sånn som når avisene
finner på å kjøpe narkotika og forventer at akkurat de ikke skal kunne
straffes. Men ... hva gjorde egentlig disse personene etter at de oppdaget at
kunne hente ut personopplysninger fra Tele2?

«skaffer seg adgang» angir når forbrytelsen er fullbyrdet. Man behøver ikke
gjøre seg kjent med innholdet, det er nok at får tilgang til det (jf.
Kjerschow, Straffeloven med kommentarer (1930) s. 405 om "baner sig adgang"
slik bestemmelsen dengang lød: «Forbrydelsen er fullbyrdet, når adgangen er
åpnet, selv om adgangen til gjemmet ikke benyttes til å gjøre sig bekjent med
dets innhold.»). Det ligger ikke i dette at man skal bane seg adgang til
innholdet på noen måte, det var tidligere dekket av kravet om beskyttelses-
brudd, og dette gjelder klart nok ikke lenger.

Kripos mener forøvrig at «Hannemyr tar feil»
«Kripos hadde en klar lovhjemmel til å gjennomføre husransakelser i
forbindelse med Tele2-saken, hevder politiadvokat Eirik Trønnes Hansen ved
Kripos.»
http://www.dagbladet.no/dinside/2007/09/17/512336.html

---

Ot.prp. nr. 40 (2004-2005), Innst. O. nr. 53 (2004-2005), beslutning. O. nr.
48 (2004-2005)
Lov om endringer i straffeloven og straffeprosessloven og om samtykke til
ratifikasjon av Europarådets konvensjon 8. november 2001 om bekjempelse av
kriminalitet som knytter seg til informasjons- og kommunikasjonsteknologi
(lovtiltak mot datakriminalitet)
http://epos.stortinget.no/SakOpplysning.aspx?id=31137

NOU 2003: 27
Lovtiltak mot datakriminalitet (delutredning I)
http://www.regjeringen.no/nb/dep/jd/dok/NOUer/2003/NOU-2003-27.html?id=382564

høringen:
http://www.regjeringen.no/nb/dep/jd/dok/hoeringer/hoeringsdok/2004/Horing-NOU-2003-27-Lovtiltak-mot-datakriminalitet.html?id=96494

Delutredning II (her er det «uberettiget» i bøtter og spann):
NOU 2007: 2
Lovtiltak mot datakriminalitet
http://www.regjeringen.no/nb/dep/jd/dok/NOUer/2007/NOU-2007-2.html?id=449723
Se forøvrig pkt. 5.3 om rettsstridsreservasjonen. Og skal man ta kommisjonen
på ordet ... så er det faktisk ingenting som rammes. Eller alt rammes. Man
har visse handlinger som man kan utføre, helt vanlige handlinger, og så er
den eneste grunnen til at disse ikke er straffbare at man likevel kommer til
at de ikke er straffverdige. Det virker som om kommisjonen ikke helt har det
klart for seg hva rettsstrid kan bety.

høring
http://www.regjeringen.no/nb/dep/jd/dok/hoeringer/hoeringsdok/2007/Horing---NOU-2007-2-Lovtiltak-mot-datakr.html?id=454887
(hm, finnes det bare et kort høringsbrev? og ingen svar er lagt ut? eller er
det bare den håpløse regjeringen.no som skjuler ting?)

Datatilsynet lurer på hva lovforslaget mener det skal forby:

«Datatilsynets hovedinnvending mot de foreslåtte bestemmelsene, er at de
språklig sett er svært vanskelig tigjengelig. Dette skyldes hovedsakelig en
omfattende bruk av rettsstridsreservasjoner. Datatilsynet forstår
nødvendigheten av å innsnevre bestemmelsene fordi mange handlinger også kan
være helt legitime og lovlige. Likevel er det problematisk at tilnærmet alle
de foreslåtte bestemmelsen viser til noe "utenfor seg selv" i form av normer,
etikk, retningslinjer osv. Dette stiller store krav til de spesielle motivene
for å klargjøre og avgrense hvilke aktiviteter og handlinger som regnes for
ulovlige. Det krever ikke minst mye av befolkningen for å kunne forutberegne
sin rettsstilling. Slik bestemmelsene er foreslått, er det vanskelig å vite
når man er på rett og gal side av loven.

Begrepet /uberettiget/ er brukt i nesten alle bestemmelsene i lovforslaget.
Datatilsynet mener at et slikt skjønnsmessig begrep må defineres nærmere slik
at både befolkning og rettsapparat har klarere ideer om hva man skal forholde
seg til. ...

Datatilsynet er også bekymret for at de foreslåtte bestemmelsene kan få en
uheldig dreining av fokus bort fra systemeieres ansvar for sikkerheten i egne
datasystemer, når nye handlinger foreslås kriminalisert i den utstrekning
utvalget legger opp til.»
http://www.datatilsynet.no/templates/Page____1875.aspx
http://www.datatilsynet.no/upload/07-00293-2.pdf

Pressemelding, publisert 12.02.2007
Foreslår nye lovregler mot datakriminalitet
http://www.regjeringen.no/nb/dep/jd/pressesenter/pressemeldinger/2007/Foreslar-nye-lovregler-mot-datakriminali.html?id=450584

Lov om behandling av personopplysninger (personopplysningsloven)
http://www.lovdata.no/all/nl-20000414-031.html

Ot.prp. nr. 92 (1998-1999), Innst. O. nr. 51 (1999-2000), Besl. O. nr. 58
(1999-2000) http://epos.stortinget.no/SakOpplysning.aspx?id=18006

NOU 1997: 19 Et bedre personvern
http://www.regjeringen.no/nb/dep/jd/dok/NOUer/1997/NOU-1997-19.html?id=140970

ObFrust: Nettforbindelsen ble brutt og masse tekst (det virker kanskje ikke
slik) bare forsvant. Tydeligvis var det en del Emacs ikke rakk å autolagre.
Rekonstruere, rekonstruere. (OK, det var bare ett avsnitt jeg oppdaget var
/helt/ borte, men det kan jo være tekst her og der som er borte vekk). Jeg
oppdaget det etter at jeg hadde sett litt på teve, så jeg husker ikke akkurat
hva det var jeg skrev. Men jeg husker jeg hadde noe om Andenæs og
rettsstridsreservasjonen.

--
Thomas Skogestad

Message has been deleted

Inge Knudsen

unread,
Sep 27, 2007, 9:19:47 PM9/27/07
to
Gisle Hannemyr wrote:

>
> Man kan selvsagt diskutere hvor "berettiget" denne formen for sivil
> ulydighet er - med det er ubstridelig at det virket! Bare dager etter
> at fakturen fra Lindorff dukket opp hos Tele2, ble feilen rettet.
> Og dette altså etter at samme selskap hadde tvinnet tommeltotter
> i nesten ett år (Datatilsynet påtalte som kjent sikkerhetshullet i et
> brev i september 2006).

Ingen kommer til å bli dømt i denne saken. Slik jeg ser det var dette en
allerede offentlig tilgjengelig database, riktig nok lagt ut med
datatilsynet som skeptiske (men akk så passive) tilskuere, hvor tele2
bestemte seg for å åpne opp en bakdør til sine forhandlere hos elnic,
lefkjøp, eurospace, et al. Det skulle derimot være interessant hvis
enkeltpersoner, eller en større forbrukergruppe, gikk til motangrep og
anmeldte teleoperatøren for å legge ut personlige opplysninger,
inkludert pekere til alles detaljerte kreditthistorier, på internettet...

Mvh Inge

--
"I am your friend. I got a permanent visa to your soul. I am in it for a
more universal understanding of the past. Not to worry."
Inge "el niño" Knudsen
http://www.ara.no/


0 new messages