LG-2020-40700

Saken gjelder anke i straffesak om datainnbrudd. Ved tiltalebeslutning utferdiget av statsadvokatene i Hordaland, Sogn og Fjordane 29. august 2019 ble [A] satt under tiltale ved Bergen tingrett for overtredelse av:

Straffeloven § 204
for ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte å ha skaffet seg tilgang til datasystem eller del av det

Grunnlag:
I perioden fra desember 2017 til 9. januar 2018 i Bergen og/eller andre steder, skaffet han seg ved flere anledninger tilgang til deler av Statens Vegvesen sitt datasystem, ved å kjøre et skript som medførte tilgang til og nedlasting av Statens Vegvesen sitt kunderegister, eller ved annen uberettiget fremgangsmåte.

Påstand om inndragning av WD My Passport Ultra Ekstern harddisk på 2 TB, Toshiba M.2 harddisk på 256 GB og Micron 128 GB SSD disk, jf. strl § 69, jf. § 75 første ledd, forbeholdes nedlagt.

Bergen tingrett avsa 21. februar 2020 dom med slik domsslutning:

1. [A], født xx.xx.1986, dømmes for overtredelse av straffeloven § 204 til fengsel i 14 – fjorten – dager. Fullbyrding av straffen utsettes med en prøvetid på 2 – to – år jf. straffeloven § 34. Ved eventuell soning av straffen, fragår 3 –tre –dager for utholdt varetekt, jf. straffeloven § 83.

2. I medhold av straffeloven § 69 inndras
- WD My Passport Ultra Ekstern harddisk på 2 TB
- Toshiba M.2 harddisk på 256 GB
- Micron 128 GB SSD disk

3. Saksomkostninger idømmes ikke.

[A] har i rett tid anket dommen til Gulating lagmannsrett. Anken gjelder lovanvendelsen under skyldspørsmålet, samt bevisvurderingen under skyldspørsmålet for så vidt gjelder forsettskravet. Anken omfatter ikke inndragningskravet.

I beslutning av 23. mars 2020 henviste Gulating lagmannsrett anken til ankeforhandling.

Påtalemyndigheten har deretter fremmet den samme tiltalebeslutning for lagmannsretten som lå til grunn for tingrettens behandling av saken, med unntak av inndragningskravet.

Side:2

Ankeforhandling ble holdt i Gulating lagmannsretts lokaler i Bergen 5. og 6. oktober 2020. Tiltalte [A] møtte sammen med sin forsvarer, advokat Alexander Gonzalo Sele. For påtalemyndigheten møtte politiadvokat Anja Mathiesen.

Tiltalte og syv vitner – hvorav ett sakkyndig vitne - ga forklaring. Når det gjelder bevisførselen for øvrig, vises til rettsboken med vedlegg. Pensjonert lektor/forsker ved Institutt for informatikk ved Universitetet i Oslo, Gisle Hannemyr, og teknologidirektør – tidligere med slik stilling også i Opera Software - Håkon Wium Lie, forklarte seg som nye vitner for lagmannsretten.

Tiltalte [A] er født xx.xx.1986 i Slovakia, er slovakisk statsborger, flyttet til Norge i 2008, og har adresse [Adresse], [Postnr] [Poststed]. [A] har mastergrad i informatikk. Han har tidligere arbeidserfaring fra blant annet [Firmanavn1] og [Firmanavn2]. Han er for tiden ansatt som mobilutvikler i [Firmanavn3], med oppgitt årsinntekt ca kr 400 000, har ingen netto formue, er ugift og uten forsørgelsesplikt.

Tiltalte erklærte seg ikke straffskyldig. Han er tidligere ustraffet.

Påtalemyndigheten har nedlagt påstand om at tiltalte dømmes til betinget fengsel i 14 dager, og det er oppgitt at han ved eventuell soning har krav på fradrag med 3 dager for utholdt varetekt, jfr. straffeloven § 83.

Forsvarer har på vegne av tiltalte lagt ned påstand om frifinnelse.

Lagmannsrettens vurdering

Ny behandling, bevisbyrde og beviskrav

Gjennom ankeforhandlingen er det foretatt «en fullstendig ny behandling av saken» så langt den er henvist, jfr. straffeprosessloven § 331 første ledd. Det framgår av straffeprosessloven § 41 tredje ledd at en ankedomstol i sine domsgrunner kan «henholde seg til tidligere dommer i saken», det vil for lagmannsretten si å kunne sitere fra og/eller vise til tingrettens faktiske eller rettslige vurderinger som ankedomstolen helt eller delvis er enig i, etter ny og selvstendig prøving av bevis og rettsanvendelse.

Side:3

Ved avgjørelsen av skyldspørsmålet har lagmannsretten bygget på at det er påtalemyndigheten som har bevisbyrden i straffesaker, og at det for straffeskyld kreves at påtalemyndigheten fører bevis utover enhver rimelig og fornuftig tvil for at samtlige straffbarhetsvilkår er oppfylt. Når det nærmere gjelder hvilke omstendigheter dette beviskravet refererer seg til, har Høyesterett i Rt-2004-1063 (avsnitt 9) uttrykt det slik at det

"bare er rimelig tvil om de deler av faktum som har direkte betydning for vurderingen av tiltaltes skyld [...] som kan lede til at beviskravet ikke anses oppfylt. At det i en straffesak kan være tvil om enkelte deler av det faktiske hendelsesforløp som ikke har direkte betydning for avgjørelsen av skyldspørsmålet, vil være en normal situasjon."

Og i Rt-2005-1353 (avsnitt 14), har Høyesterett nærmere presisert prinsippet slik:

"Prinsippet om at enhver rimelig og fornuftig tvil skal komme den tiltalte til gode er en bærebjelke i straffeprosessen. Kravet gjelder for bevisresultatet som sådan – [....]. Bevisbedømmelsen beror ofte på en vurdering av flere momenter som hver for seg kan ha ulik bevisstyrke. Det kreves ikke at hvert enkelt moment skal være bevist utover rimelig tvil, så lenge det etter en samlet vurdering av momentene ikke er rimelig tvil om konklusjonen."

Det er et grunnleggende rettsprinsipp at ingen kan straffes uten hjemmel i lov. Dette følger direkte av både Grunnloven § 96 og EMK artikkel 7. Det følger også av straffeloven § 14. Kravet om hjemmel i lov stiller blant annet krav til utformingen av straffebudet. Det følger av rettspraksis at det gjelder et klarhetskrav. Som påpekt av Høyesterett i HR-2020-2019-A, innebærer klarhetskravet at domstolene ved tolkning og anvendelsen av straffebestemmelser må påse at straffansvar ikke ilegges ut over de situasjoner som selve ordlyden i straffebudet dekker. I dommen uttaler Høyesterett i avsnitt 17:

«Det er likevel slik at straffebestemmelser må tolkes, og utgangspunktet ved tolkningen er alminnelig juridisk metode. Klarhetskravet i EMK artikkel 7 er ikke til hinder for dette, men kravet innebærer at det endelige tolkningsresultatet må ha tilstrekkelig forankring i selve loven, slik at hensynet til forutberegnelighet ivaretas. I HR-2019-900-A Eksportkontroll avsnitt 32 uttrykkes dette slik at «innholdet i straffebestemmelser må kunne klargjøres fra sak til sak», men at forutsetningen er at «bestemmelsens kjerne etter denne tolkningsprosessen forblir den samme.»

Sakens faktiske bakgrunn

Etter bevisførselen under ankeforhandlingen, er det på det rene at tingrettens redegjørelse for sakens bakgrunn er dekkende, med to presiseringer som inntas nedenfor.

Side:4

I tingrettsdommen er bakgrunnen beskrevet slik:

«Tiltalte har mastergrad i informatikk fra Universitetet i Bergen. I 2017 deltok han på «#hack4.no», en samling i regi av Kartverket, hvor en rekke offentlige og private deltakere var til stede, og hvor man presenterte ideer og forslag til digitale løsninger for deling av offentlige data. Retten legger til grunn at en rekke offentlige etater var til stede og ønsket hjelp til å finne gode løsninger for deling av slik informasjon.

Tiltalte hadde en idé til en applikasjon, «Bilsnakk», som skulle gjøre brukeren i stand til å komme i kontakt med eier av motorvogner, for eksempel i tilfeller hvor biler var feilparkert. Ved å ta et bilde med mobiltelefonen, kunne applikasjonen sette brukeren i kontakt med bilens eier, uten at det ble utvekslet personopplysninger. For å gjøre applikasjonen effektiv, måtte tiltalte ha opplysninger fra Statens vegvesens databaser. Ideen ble godt mottatt og den ble også tildelt en pris under #hack4.no.

Tiltalte kom i kontakt med Hilde Austlid, overingeniør i Statens vegvesen, som var positiv til ideen. Tiltalte opplyste at han behøvde data om bileiere. Austlid opplyste at det fantes en SMS-tjeneste hvor det gikk an å foreta enkeltsøk. Dette var ikke egnet til tiltaltes formål.

I e-post 1. november 2017 til Austlid, skrev tiltalte at han var invitert til innovasjonscamp i Oslo 17. november og at han trengte å koble seg til databasen med kjøretøyene. Tiltalte kunne ikke betale noe for slik tilgang, men viste til at tjenesten ville være en hjelp for vegvesenet til å publisere åpne data. I sitt svar av 3. november uttrykte Austlid skepsis til om dette ville la seg gjøre gratis, men viste til skjema hvor han kunne søke om å få opplysninger. I den videre dialog med Statens vegvesen, ble tiltalte gjort kjent med at han kunne kjøpe en CD med noen av opplysningene. Dette var ikke aktuelt for tiltalte.

Den 16. november 2017 sendte tiltalte «Søknad om online tilgang til det sentrale motorvognregisteret». Søknaden ble avslått. I den videre dialog ble det opplyst for tiltalte at den type tilgang bare ble gitt til en bestemt type aktører, og at privatpersoner ikke var omfattet – selv om de drev med utvikling av applikasjoner.

I desember 2017, logget tiltalte seg inn på tjenesten «Min side» på Statens vegvesens internettsider. Fra sin ordinære side fikk han tilgang til den URL-adresse som inneholdt hans egne opplysninger, og som sluttet med et tall. Ved å kopiere denne og lime den inn i ny fane i nettleseren, fikk han frem de samme opplysningene i et nytt skjermbilde. Ved å endre tallet sist i adressen, fikk han frem tilsvarende opplysninger for en annen person i vegvesenets kunderegister. Dette var ikke en funksjon eller fremgangsmåte som nettsiden la opp til. Retten legger til grunn at det ikke krevde spesielt store datakunnskaper å gjøre som tiltalte gjorde. Det er for retten likevel klart at tiltalte på denne måten fikk ut opplysninger om andre eiere og at dette lå utenfor det Statens vegvesen mente å tilby av informasjon gjennom den aktuelle tjeneste.

Tiltalte laget deretter et skript som gjorde at hans PC automatisk endret ovennevnte verdi med ett siffer om gangen, og deretter lastet ned den informasjon som lå lagret på den enkelte kunde. Dette var vesentlig tidsbesparende sammenlignet med om tiltalte skulle ha foretatt

Side:5

denne operasjonen manuelt, men endret ikke arten informasjon og ga heller ikke tilgang til andre databaser enn det en manuell inntasting ga.

På denne måten lastet tiltalte ned opplysninger fra Statens vegvesens kunderegister. Den 9. januar 2018 fortalte tiltalte til Austlid at han hadde funnet en løsning for å hente ut informasjonen. Det ble da konstatert sikkerhetshull i datasystemet.

Tiltalte ble pågrepet samme dag og det ble gjennomført ransakning og tatt beslag i datatustyr. Tiltalte erkjente raskt de faktiske forhold, men mente ikke han hadde gjort noe straffbart.

Det er på det rene at de opplysninger tiltalte fikk ut, kunne ha vært tilegnet på lovlig vis. Tiltalte har senere gjennom innsynsbegjæring etter offentleglova § 9 fått kopi av mer omfattende data som har vært utlevert til andre aktører. Tiltalen gjelder imidlertid ikke brudd på personopplysningslovgivning eller lignende.»

Presiseringer etter ankeforhandlingen

Lagmannsretten presiserer for det første at når tingretten uttaler at «det ikke krevde spesielt store datakunnskaper å gjøre som tiltalte gjorde», er lagmannsrettens vurdering at det er tilstrekkelig med alminnelige datakunnskaper. Det kreves riktignok mer kunnskap for å lage det script som tiltalte lagde, men tingrettens uttalelse retter seg mot det tiltalte gjorde før scriptet ble laget.

For det andre presiseres at bevisførselen for lagmannsretten viser at tiltaltes fremgangsmåte, når man ser bort fra at det ble benyttet Bank ID til innlogging, er en forholdsvis vanlig måte å «skrape» en nettside for informasjon. Fremgangsmåten benyttes ved produktutvikling, herunder utvikling av apper, og har fellestrekk med måten en søkemotor fungerer på. Lagmannsretten viser her til vitneforklaring fra sakkyndig vitne Gisle Hannemyr, som påpekte at fremgangsmåten tiltalte brukte er relativ gjengs, og at dersom dette ikke er lovlig blir dette et problem for norske utviklere. For øvrig viser lagmannsretten til forklaringen fra Håkon Wium Lie, om at tiltaltes bruk av script ikke var spesiell, og at slik bruk av script er lojal i forhold til det som på fagspråket kalles HTTP-protokollen (Hypertext Transfer Protocol). Protokollen er en forespørsel/respons-protokoll mellom klient og tjener. Wium Lie forklarte også at det ville ha vært meget enkelt for Vegvesenet å forhindre slik bruk av nettsiden.

Både Hannemyr og Wium Lie utdypet for lagmannsretten hvordan man kan endre en URL-adresse (Uniform Resource Locator) for å skaffe og systematisere informasjon, og at koden til en nettside enkelt kan nås ved å taste «Ctrl»+»U».

På de to ovennevnte punktene er saken bedre opplyst for lagmannsretten, men står ellers i samme stilling som for tingretten.

Side:6

Det rettslige hovedspørsmålet

Forsvarer har anført at det er uriktig lovanvendelse å subsumere forholdet i tiltalebeslutningen som datainnbrudd etter straffeloven § 204. Bestemmelsen er formulert slik:

«Med bot eller fengsel inntil 2 år straffes den som ved å bryte en beskyttelse eller ved annen uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det.»

Det er enighet om tiltalte ikke har brutt noen beskyttelse. Spørsmålet blir dermed om han «ved annen uberettiget fremgangsmåte» har skaffet seg tilgang til deler av Vegvesenets datasystem.

Bestemmelsen viderefører i realiteten straffeloven 1902 § 145 annet ledd for så vidt gjelder data som er lagret, og gjennomfører forpliktelsene i henhold til Europarådets konvensjon 23. januar 2001 om datakriminalitet artikkel 2.

Det er videre på det rene at bestemmelsen ikke inneholder noe vilkår om beskyttelsesbrudd. I NOU 2007:2 heter det på side 78:

«Straffebudet inneholder ikke noe vilkår om at datasystemet må være beskyttet. Dette har flere årsaker. For det første innebærer et slikt vilkår at det strafferettslige vern forbeholdes den som allerede er sikret. For utvalget er det et viktig hensyn at straffebudene rammer straffverdige handlinger uavhengig av om fornærmede har hatt kyndighet til å sørge for sikkerhetstiltak eller ikke [...].

En tenkelig innvending er likevel at uten et beskyttelsesvilkår er det fare for at terskelen for det straffbare blir for lav slik at bestemmelsen kan ramme handlinger som ikke er straffverdige. Men som det vil fremgå gir ikke et beskyttelsesvilkår nødvendigvis en klar og hensiktsmessig avgrensning.

I praksis skjer uberettiget tilgang ved bruk av to alternative metoder, enten ved misbruk av passord eller ved bruk av verktøy til å skaffe seg ulovlig tilgang (exploits) til å misbruke en sårbarhet. Man kan tale om ‘passordinnbrudd’ og ‘sårbarhetsinnbrudd’ [...]. I begge tilfeller vil rettsstriden normalt være på det rene for gjerningspersonen og et vilkår om beskyttelsesbrudd i tillegg har ikke noen reell betydning. Selve anstrengelsen det innebærer å forsere en hindring kan lede til at overtredelsen anses som grov [...]. Momentet kan også få betydning ved straffutmålingen.»

Departementet var enig i forslaget, og tilføyde i Ot.prp.nr. 22 (2008-2009) side 51 at:

«Men selv om beskyttelsesinnbrudd ikke gjeninnføres som et nødvendig vilkår for straff, ønsker departementet likevel å fremheve at beskyttelsesbrudd vil være det mest praktiske, jf. lovforslaget § 204.»

Side:7

Lagmannsretten har kommet til at tiltalte ikke «ved annen uberettiget fremgangsmåte» har skaffet seg tilgang til deler av Vegvesenets datasystem.

Selv om tiltalte logget inn via Bank ID, og siden ikke var designet for slik bruk som tiltalte gjorde av nettstedet, må det legges en viss vekt på at det ikke var informasjon på siden som tilsa at man ikke kunne hente den informasjon man ønsket.

Lagmannsretten er enig med forsvarer i at brukergrensesnittet var slik at det var meget enkelt å få tilgang til informasjonen tiltalte skaffet seg tilgang til. Når en løsning, selv om det ikke var tilsiktet fra Vegvesenets side, så enkelt legger til rette for at man kan skaffe seg tilgang til informasjon, bør det utvises varsomhet med å anse slike handlinger som en objektiv overtredelse av straffeloven § 204.

Påtalemyndigheten har vist til NOU 2007: 2 side 64, hvor det heter:

«Et annet tilfelle hvor løsningen fremstår som temmelig utvilsom er at et datasystem har et brukergrensesnitt hvor det gis uttrykkelig anvisning på hvilke ressurser som tilbys og hvordan man skal kunne få tilgang til dem. Da er det disse retningslinjene som gjelder. En bruker kan ikke velge å skaffe seg tilgang på annet vis, for eksempel ved et sårbarhetsinnbrudd, selv om formålet er å få tilgang til de samme ressursene. Slik tilgang anses å være rettsstridig og straffbar.»

Slik lagmannsretten vurderer det, ble det på nettsiden ikke gitt slik uttrykkelig anvisning som eksemplet fra forarbeidene forutsetter. Det er heller ikke grunnlag for å betegne tiltaltes handling som et sårbarhetsinnbrudd. Lagmannsretten har merket seg at tiltalte ikke har benyttet verktøy som gjør at forholdet får likhetstrekk med hacking og sårbarhetsinnbrudd. Slike verktøy kan være passordgenerator, virus, trojaner mv.

Lagmannsretten viker således tilbake for å legge terskelen – for hva som skal regnes som «annen uberettiget fremgangsmåte» - så lavt som påtalemyndigheten gjør gjeldende i denne saken, da det vil medføre kriminalisering av handlinger som ikke er straffverdige. Lagmannsretten viser for øvrig til det som er sagt ovenfor om klarhetskravet i straffelovgivningen.

Selv om lagmannsretten ikke har tillagt det vekt påpekes likevel at det er enighet om at de data tiltalte fikk tilgang til, kunne ha vært tilegnet på annet vis, herunder innsynsbegjæring etter offentleglova § 9. Under ankeforhandlingen ble det såkalte Bisnode-uttrekket brukt som et eksempel som enhver med en e-post adresse kan få tilgang til. Rettslig sett er det imidlertid ikke tvil om at man kan begå datainnbrudd ved å skaffe seg tilgang til opplysninger som er offentlig tilgjengelige.

Side:8

Da tiltalte ikke objektivt sett har skaffet seg tilgang til Vegvesenets datasystem «ved annen uberettiget fremgangsmåte», mangler et nødvendig vilkår for å domfelle.

Han blir dermed å frifinne.

Dommen er enstemmig. Den er ikke avsagt innen lovens frist. Årsaken er at en av dommerne ble sykemeldt rett etter ankeforhandlingen.

Side:9

[A], født xx.xx.1986, frifinnes.