Forslag om utlevering av IP-data for å forebygge alvorlig kriminalitet
1 Innledning
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 29 lovutvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.
2 Sakens bakgrunn
Vi viser til høringen om "utlevering av IP-data til forebygging av alvorlig kriminalitet", publisert den 4. juli 2025, med høringsfrist den 6. oktober 2025.
Høringen gjelder et forslag som i kjernen muliggjør utlevering til politiet og PST av opplysninger som er nødvendige for å identifisere abonnenter med utgangspunkt i offentlig IP-adresse for å forebygge kriminalitet. Reguleringen foreslås implementert i Ekomloven og Ekomforskriften. Det følger av høringsnotatet at "IP-data til forebygging skal etter forslaget bare kunne utleveres på bakgrunn av en IP-adresse, ikke med utgangspunkt i abonnent."
Denne høringsuttalelsen er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Malin Tønseth (leder), Kari Gimmingsrud, Gry Cathrine Steen Hvidsten, Knut-Erik Jakhelln, Odd Randgaard Kleiva, Ole Martin Moe og Eli Karine Navestad, som alle har lang erfaring og god kompetanse innenfor det aktuelle rettsområdet.
3 Kommentarer til forslagene
3.1 Uklar terskel for utlevering av informasjon knyttet til IP-adresse og risiko for utglidning
I Hadopi-saken var det en klar, trinnvis prosess som gjorde det mulig for domstolen å peke på et spesifikt punkt der utlevering av informasjon var aktuelt og forhåndskontroll ble nødvendig. Den foreslåtte norske tilnærmingen der informasjon skal utleveres for forebygging er langt mer flytende. Vurderingskriteriene er utpreget skjønnsmessige og det er ikke klart definerte stadier eller terskler. Den norske tilnærmingen overlater vurderingen av inngrepets alvorlighetsgrad til politiet / PST selv, uten en ekstern, objektiv vurdering underveis. Dette utgjør, etter Advokatforeningens syn, en risiko for at terskelen for når informasjon kan innhentes vil kunne uthules i praksis uten at det fanges opp.
Departementet peker på at behandlingen er underlagt tilsynskompetansen til Datatilsynet og EOS-utvalget, når departementet kommer til at uavhengig forhåndskontroll ikke er en nødvendig. EOS-utvalget overvåker, som kjent, ikke politiet. Strafferett er ikke i kjernen av Datatilsynets kompetanse, og Datatilsynet får stadig flere oppgaver, noe som vil begrense tilsynsintensiteten på dette området. For Advokatforeningen er det derfor ikke klart at slikt tilsyn vil være nok til å sikre at terskelen for når informasjon kan innhentes ikke vil kunne uthules uten at det fanges opp.
3.2 Datakriminalitet
Det fremgår av høringsnotatet at "I datakrimsaker oppdages det stadig at unge personer står i fare for å begå datainnbrudd gjennom sin aktivitet på internett."
Straffeloven § 204 om datainnbrudd omfatter et stort spenn av forskjellig handlinger med forskjellig alvorlighetsgrad. I enkelte tilfeller kan det være lite intuitivt for IT-interesserte at de gjør handlinger som kan rammes av ordlyden i straffeloven § 204 om datainnbrudd. F.eks. vil tilgang til ikke-konfidensiell informasjon som skjer uten å bryte en beskyttelse kunne omfattes av straffebestemmelsen, jfr. "del av det" (altså systemet) og "på annen uberettiget måte", se Ot.prp. nr. 35 (1986-87) kap. VII s. 20 og Ot.prp. nr. 22 (2008–2009) s. 49–52. Beskrivelsene av datainnbrudd i forarbeidene er abstrakte og gir lite håndfast veiledning om grensene for overtredelse av straffebestemmelsen. Rettsstridsreservasjonen kan i prinsippet skjerme lite straffverdige handlinger mot straff, men grensene er uklare.
Advokatforeningen erfarer at grensene ikke alltid er klare for politiet, herunder forholdet til handlinger som i cybersikkerhetsmiljøer ville kunne bli ansett som etiske eller naturlige. Se f.eks. Rt. 1998 s. 1971 der sikkerhetsselskapet Norman Data Defense Systems, som ledd i et NRK-program om sikkerhetsproblemer undersøke sikkerheten hos Universitetet i Oslo og måtte anke til Høyesterett for så vidt å bli frikjent med 3-2 dissens. Erfaring fra nyere tid er heller ikke oppløftende.
I en verden med stadig økende cybertrusler, som det norske samfunnet har behov for å beskytte seg mot, vil det være uheldige med unødvendig avkjølende effekter på cybersikkerhetsstudenter og fremtidens etiske hackere og IT-profesjonelle. Et møte med politiet der unge personer føler seg maktesløse mot en uklar og uforutsigbar straffelov, vil ikke bygge tillit og ha begrenset forebyggende verdi.
Ved forebygging relatert til mindre straffverdige handlinger som kan omfattes av den vide ordlyden til straffeloven § 204 vil nødvendighetskravet, i lys av de to La Quadrature du Net-dommene, vanskelig være oppfylt.
På bakgrunn av dette vil Advokatforeningen oppfordre til at det vises tilbakeholdenhet når det ikke er objektive holdepunkter for risiko av betydning for klare overtredelser av straffeloven § 204.
Advokatforeningen oppfordrer videre til at det gis bedre veiledning til politiet / PST og at en eksemplifiserer scenarier som skal rettferdiggjøre inngrep i privatlivet og de som ikke skal det. Det ville også kunne muliggjort bedre tilbakemeldinger ved høring, herunder knyttet til nødvendighetskriteriet.
Vennlig hilsen
Siri Teigum Merete Smith
leder generalsekretær