LAGUTSKOTTETS BETÄNKANDE 29/2014 rd

LaUB 29/2014 rd - RP 232/2014 rd

Granskad version 2.0

Regeringens proposition till riksdagen med förslag till lagar om ändring av vissa bestämmelser om nätbrott i strafflagen och av vissa lagar som har samband med den

INLEDNING

Remiss

Riksdagen remitterade den 18 november 2014 regeringens proposition med förslag till lagar om ändring av vissa bestämmelser om nätbrott i strafflagen och av vissa lagar som har samband med den (RP 232/2014 rd) till lagutskottet för beredning.

Sakkunniga

Utskottet har hört

lagstiftningsråd Mikko Monto, justitieministeriet

polisinspektör Antti Simanainen, inrikesministeriet

kommunikationsråd Timo Kievari, kommunikationsministeriet

tingsdomare Maritta Pakarinen, Helsingfors tingsrätt

häradsåklagare Kukka-Maaria Kankaala, Helsingfors åklagarämbete även som representant för riksåklagarämbetet

överinspektör Heikki Partanen, dataombudsmannens byrå

jurist Eija Alavesa, Kommunikationsverket

advokat Antti Riihelä, Finlands Advokatförbund

ordförande Antti Pirinen, Tietoturva ry

biträdande professor Sakari Melander

PROPOSITIONEN

Regeringen föreslår ändringar i strafflagen, tvångsmedelslagen, polislagen och militära rättegångslagen. Genom de föreslagna lagarna genomförs Europaparlamentets och rådets direktiv om angrepp mot informationssystem.

Enligt propositionen ska anskaffning av ett hjälpmedel vid nätbrott i syfte att använda det kriminaliseras som orsakande av fara för informationsbehandling. I lagen föreslås det en ny kriminalisering som gäller dataskadegörelse samt en grov och lindrig gärningsform av dataskadegörelse. Maximistraffet för dataskadegörelse ska enligt förslaget vara fängelse i två år. Maximistraffet för grov dataskadegörelse ska vara fem års fängelse. Kvalifikationsgrunderna hänför sig till användningen av s.k. botnät, kriminella sammanslutningar, betydande skada och kritisk infrastruktur. Bestämmelserna om åtalsrätt, åtgärdseftergift och juridiska personers straffansvar ändras för att motsvara den ändring som nämns ovan.

Enligt propositionen ska kränkning av kommunikationshemlighet även täcka överföring av konfidentiella data inom ett informationssystem. Maximistraffet för kränkning av kommunikationshemlighet höjs till två års fängelse. Subsidiaritetsklausulen i fråga om systemstörning slopas. Regeringen föreslår också att det i bestämmelserna om grovt störande av post- och teletrafik och grov systemstörning ska tas in motsvarande kvalifikationsgrunder som för grov dataskadegörelse. Maximistraffet för de nämnda grova gärningsformerna ska vara fem års fängelse. Enligt propositionen ska dataintrång även täcka att skaffa sig tillgång till eller ta reda på data i ett informationssystem. Maximistraffet för dataintrång höjs till två års fängelse. Med anledning av detta föreslås det att också maximistraffet för grovt dataintrång ska höjas från två till tre års fängelse. I lagen föreslås det även en ny bestämmelse med definitioner av informationssystem och data, i enlighet med förpliktelserna i direktivet.

Tvångsmedelslagen och polislagen ändras så att de motsvarar de ändringar i strafflagen som anges ovan.

I strafflagen föreslås dessutom en ny bestämmelse som gäller identitetsstöld. Identitetsstöld ska vara ett målsägandebrott. Identitetsstöld fogas även till förteckningen i militära rättegångslagen över de brott som ska handläggas som militära rättegångsärenden.

Lagarna avses träda i kraft den 4 september 2015, då direktivet ska genomföras i medlemsstaterna.

UTSKOTTETS ÖVERVÄGANDEN

Allmän motivering

Allmänt

Regeringen föreslår i sin proposition att strafflagen ska ändras. Genom ändringen genomförs det så kallade nätbrottsdirektivet (2013/40/EU). Direktivet ersätter det tidigare rambeslutet om nätbrott (2005/222/RIF), som har genomförts i Finland 2007 i samband med att Europarådskonventionen om it-relaterad brottslighet sattes i kraft. Syftet med direktivet är att ytterligare harmonisera de straffrättsliga bestämmelserna i medlemsstaternas lagstiftning och förbättra myndighetssamarbetet mellan medlemsstaterna för att effektivt bekämpa nätbrottsligheten.

Den finska strafflagstiftningen uppfyller redan nu i hög grad kraven i direktivet. Vissa nya kvalifikationsgrunder för grova gärningsformer för nätbrott bör emellertid införas i lagstiftningen. Även vissa maximistraff behöver höjas. Det föreslås dessutom nya straffbestämmelser för dataskadegörelse och identitetsstöld.

Enligt lagutskottet är det viktigt att lagstiftningen om nätbrott är heltäckande och aktuell, eftersom den omgivning där nätbrotten begås förändras snabbt. Nätbrottsligheten har också ökat starkt på senare tid. Utskottet anser att propositionen behövs och tillstyrker lagförslagen i den, men med följande anmärkningar och ändringsförslag.

Höjningen av maximistraffen

Det föreslås att maximistraffen för kränkning av kommunikationshemlighet (38 kap. 3 § i strafflagen) och dataintrång (38 kap. 8 § i strafflagen) höjs från nuvarande ett år till två år i fängelse. Också för det nya brottet dataskadegörelse (35 kap. 3 a § i strafflagen) föreslås ett tvåårigt maximifängelsestraff. När det gäller kränkning av kommunikationshemlighet och dataintrång är det fråga om en fördubbling av maximistraffet, vilket innebär en betydande skärpning av straffnivån. Därmed blir det också möjligt att tillgripa tvångsmedel i större omfattning. Utskottet konstaterar att de höjda straffnivåerna grundar sig enbart på kraven enligt det direktiv som ska genomföras. Det är viktigt att man vid användningen av tvångsmedel fäster särskild vikt vid att proportionalitetsprincipen beaktas.

Enligt förslaget i propositionen ska också maximistraffen för grovt störande av post- och teletrafik (38 kap. 6 § i strafflagen) och grov systemstörning (38 kap. 7 b § i strafflagen) höjas från fyra till fem års fängelse. Också den skärpningen grundar sig på kraven i direktivet. Vidare föreslås ett maximistraff på fem års fängelse för det nya brottet grov dataskadegörelse (35 kap. 3 b § i strafflagen).

Ett maximistraff på fem år avviker från den etablerade regleringen i strafflagen. Det är därmed inte problemfritt med avseende på den proportionalitetsprincipen i den finländska strafflagen och inte heller med avseende på konsekvensen i strafflagens bestämmelser. Utskottet påpekade detta redan när direktivförslaget behandlades (LaUU 18/2010 rd och LaUU 4/2011 rd). Utskottet har på senare år gjort liknande ställningstaganden också i andra förslag till rättsakter inom den straffrättsliga EU-lagstiftningen (se exempelvis LaUU 10/2010 rd, LaUU 13/2009 rd). Femåriga maximimistraff ingår i regleringen på unionsnivån från förr, men vi har hållit fast vid maximistraff på sex år i det nationella genomförandet. Det har då hittills gällt brott som kan anses vara allvarligare än de nu aktuella nätbrotten (människohandel och grov spridning av barnpornografisk bild). Ett maximistraff på sex år kan därmed inte anses motiverat i det här sammanhanget. När inte heller ett maximistraff på fyra år uppfyller kraven enligt direktivet, måste det föreslagna maximistraffet på fem år godkännas i detta fall. Utskottet anser det vara viktigt att sådana negativa konsekvenser för straffrätten på det nationella planet i fortsättningen måste ägnas särskild uppmärksamhet vid förhandlingar om förslag till rättsakter.

Eftersom maximistraffet för dataintrång i enlighet med direktivet föreslås bli höjt till fängelse i två år, föreslås det i konsekvensens namn samtidigt att maximistraffet för grovt dataintrång höjs från nuvarande två till tre års fängelse. Detta innebär samtidigt att brottet i fortsättningen inte kan behandlas i endomarsammansättning. Enligt utskottet kan sådana följdverkningar inte vare sig med hänsyn till behandlingen av ärendet eller domstolsresurserna vara önskvärda, särskilt som det framgått av en utredning att de fall som hittills behandlats varit förhållandevis enkla och till sin karaktär jämförbara med till exempel grov förskingring och grovt bedrägeri. Utifrån det som konstaterats ovan föreslår utskottet att grovt dataintrång införs i den förteckning som tillsammans med exempelvis grov förskingring, grovt bedrägeri och grovt betalningsmedelsbedrägeri nämns i 2 kap. 6 § 1 mom. i rättegångsbalken som brott som får behandlas i endomarsammansättning. För att ändringen ska kunna genomföras föreslår utskottet nedan att ett nytt lagförslag godkänns. Om ett grovt dataintrång trots allt visar sig vara ett invecklat fall, kan det enligt gällande bestämmelser överföras till behandling i förstärkt sammansättning (2 kap. 7 § i rättegångsbalken).

Identitetsstöld

Propositionen föreslår att en ny straffbestämmelse om identitetsstöld ska fogas till strafflagen (38 kap. 9 b § i strafflagen). Som påföljd föreslås bötesstraff.

Direktivet ger medlemsstaterna förhållandevis stort handlingsutrymme i detta avseende, och regeringspropositionen behandlar ingående olika alternativ för att uppfylla direktivets krav (s. 25 och 26). Lagutskottet ställer sig bakom en självständig kriminalisering av identitetsstöld på det sätt som regeringen har föreslagit. Även om användningen av en annan persons identitet redan i stor utsträckning har kriminaliserats och det kan vara fråga om bland annat bedrägeri, förfalskning, personregisterbrott och registeranteckningsbrott liksom om ärekränkning och spridande av information som kränker privatlivet, har det i praktiken enligt inkommen utredning uppstått situationer där rekvisitet för en allvarligare gärning inte har uppfyllts men gärningsmannen hade kunnat dömas för identitetsstöld. Den föreslagna kriminaliseringen som kompletterar den gällande lagstiftningen kan därmed anses fylla ett nationellt behov. Det är särskilt positivt att den nya bestämmelsen klargör och förbättrar den rättsliga ställningen för den vars personuppgifter har missbrukats.

Om identitetsstölden sker i samband med något annat allvarligt brott, är det möjligt att i utredningen använda de tvångsmedel som är tillåtna i samband med brottet i fråga. Om det däremot enbart är fråga om utredning av en identitetsstöld får till exempel inte teleövervakning i enlighet med 10 kap. 6 § i tvångsmedelslagen () användas i utredningen, eftersom det inte är fråga om ett allvarligt brott. Ett allmänt kriterium för att teleövervakning ska få användas är att det strängaste föreskrivna straffet för brottet är fängelse i minst fyra år. När det gäller brott som har begåtts genom användning av en teleadress eller teleterminalutrustning är det allmänna kriteriet för teleövervakning ett maximistraff på minst två års fängelse. För tydlighets skull konstaterar lagutskottet att det i ljuset av grundlagsutskottets praxis inte är möjligt att ta med identitetsstöld bland de brott som motiverar teleövervakning, eftersom det är ett brott som är belagt med enbart bötesstraff (se GrUU 66/2010 rd). Eftersom det är fråga om ett brott som anses som ringa och som konstateras i relativt få fall, vore det inte heller vare sig proportionellt eller motiverat att höja straffskalan.

Enligt en utredning till utskottet finns det andra metoder och befogenheter att tillgå vid utredningen av identitetsstölder som förekommer som självständigt brott. Dessa är bland annat möjligheterna att utreda ett nätmeddelandes identifieringsuppgifter enligt 17 § i lagen om yttrandefrihet i masskommunikation (). Om gärningen har begåtts med användning av en teleadress eller teleterminalutrustning är det också möjligt att använda sig av teleövervakning med samtycke av den som innehar teleadressen eller teleterminalutrustningen, i enlighet med 10 kap. 7 § i tvångsmedelslagen. Om gärningen har begåtts med användning av fler än en teleterminalutrustning, måste samtycke inhämtas från flera parter. Bland alternativen ingår också polisens befogenheter enligt 4 kap. 3 § i polislagen () att få kontaktuppgifter för teleadresser som inte är upptagna i en offentlig katalog eller information som specificerar en teleadress eller teleterminalutrustning, om informationen behövs för ett polisuppdrag.

För att målsägandens rättigheter ska kunna tryggas på ett behörigt sätt är det enligt utskottet viktigt att myndigheterna har tillgång till tillräckliga metoder och befogenheter för att utreda identitetsstölder. Tillräckliga metoder och befogenheter är väsentliga också med avseende på det internationella samarbetet, eftersom nätbrotten ofta är gränsöverskridande kriminalitet. Även om det finns flera metoder och befogenheter att tillgå för utredning av identitetsstölder som förekommer som självständigt brott, hyser utskottet en viss oro för deras tillräcklighet. Därför anser utskottet att det är skäl att följa det fortsatta läget och om det visar sig finnas anledning till det bör åtgärder för att effektivisera bekämpningen och utredningen av sådana brott vidtas så snart som möjligt. Utskottet föreslår ett uttalande om saken (Utskottets förslag till uttalande).

Detaljmotivering

1. Lag om om ändring av strafflagen

34 kap. Om allmänfarliga brott
9 a §. Orsakande av fara för informationsbehandling.

Till 1 mom. 1 punkten fogas ett nytt gärningssätt, "anskaffar i syfte att använda". Genom tillägget kan den dömas för orsakande av fara för informationsbehandling som "anskaffar i syfte att använda" antingen apparater eller datorprogram eller lösenord eller åtkomstkoder som avses i bestämmelsen för att orsaka olägenhet eller skada för informationsbehandling eller för ett informations- eller kommunikationssystems funktion eller säkerhet.

Av propositionsmotiven framgår att rekvisitet för anskaffar i syfte att använda uppfylls först när personen i fråga har fått verktyget i sin besittning. För tydlighets skull framhåller utskottet att rekvisitet kan uppfyllas redan genom att personen har möjlighet att använda och förfogar över verktyget eller programmet, även om detta fysiskt finns någon helt annanstans (som i RP 153/2006 rd, s. 68).

Maximistraffet är redan enligt kraven i direktivet fängelse i två år, och det finns därmed inte något behov av att skärpa det. För innehav av hjälpmedel vid nätbrott (34 kap. 9 b § i strafflagen) är maximistraffet sex månaders fängelse, och det förblir oförändrat. I och med ändringen blir straffet för att skaffa hjälpmedel för nätbrott strängare än för enbart innehav. Det här grundar sig på att det anses mera klandervärt att skaffa hjälpmedlet än att enbart inneha det, eftersom anskaffningen kräver aktiva åtgärder, som att söka och skaffa fram information och till exempel beställa ett verktyg via internet.

35 kap. Om skadegörelse
7 §. Åtgärdseftergift.

Paragrafen har ändrats genom lag , som trädde i kraft den 1 januari 2015. Lagförslagets 7 § ska därför samordnas med den gällande lagen. Också ingressen måste justeras.

38 kap. Om informations- och kommunikationsbrott
9 b §. Identitetsstöld.

Den föreslagna bestämmelsen förutsätter att någon annans personuppgifter eller identifieringsuppgifter eller andra motsvarande uppgifter som identifierar personen används för att en missleda en tredje part. Enligt detaljmotiven i propositionen (s. 36) är det meningen att formuleringen "någon annans personuppgifter eller identifieringsuppgifter eller andra motsvarande uppgifter" ska täcka in alla de uppgifter på basis av vilka en tredje part kan vilseledas till att tro att den som använder uppgifterna är samma person som den som uppgifterna gäller. Man konstaterar dessutom att med identifieringsuppgifter avses enligt till exempel 10 kap. 6 § i tvångsmedelslagen uppgifter om ett meddelande vilka kan förknippas med en abonnent eller användare och behandlas i kommunikationsnäten för att överföra, distribuera eller tillhandahålla meddelanden. Som ett tillägg till det som framförts i propositionsmotiven konstaterar utskottet att man med de uppgifter som avses i bestämmelsen också kan avse förmedlingsuppgifter enligt 1 kap. 3 § 40 punkten i informationssamhällsbalken ().

2. Lag om om ändring av 10 kap. 3 och 6 § i tvångsmedelslagen

10 kap. Hemliga tvångsmedel
6 §. Teleövervakning och dess förutsättningar.

Bestämmelsen i 2 mom. har ändrats genom lag 1069/2014, som trädde i kraft den 1 januari 2015. Lagförslagets 6 § 2 mom. ska därför samordnas med den gällande lagen. Också ingressen måste ändras.

3. Lag om om ändring av 5 kap. 8 § i polislagen

5 kap. Hemliga metoder för inhämtande av information
8 §. Teleövervakning och dess förutsättningar.

Bestämmelsen i 2 mom. har ändrats genom lag , som trädde i kraft den 1 januari 2015. Bestämmelsen i det föreslagna momentet måste därför ses över och samordnas med den gällande lagen. Samtidigt måste lagens ingress ses över.

5. Lag om ändring av 2 kap. 6 § i rättegångsbalken (Nytt lagförslag)

2 kap. Om domförhet
6 §.

Med hänvisning till det som anförts ovan i den allmänna motiveringen föreslår lagutskottet att grovt dataintrång enligt 38 kap. 8 a § i strafflagen ska införas bland de brott som kan behandlas i endomarsammansättning enligt förteckningen i paragrafens 1 mom. På grund av ändringen ändras numreringen av momentets punkter.

Utskottets förslag till beslut

Riksdagen

godkänner lagförslag 4 utan ändringar,

godkänner lagförslag 1—3 med ändringar (Utskottets ändringsförslag),

godkänner ett nytt lagförslag 5 (Utskottets nya lagförslag) och

godkänner ett uttalande. (Utskottets förslag till uttalande)

Utskottets ändringsförslag

1.

Lag

om ändring av strafflagen

I enlighet med riksdagens beslut

upphävs i strafflagen (39/1889) 35 kap. 1 § 2 och 3 mom., sådana de lyder, 1 § 2 mom. i lag 769/1990 och 1 § 3 mom. i lag 540/2007,

ändras 34 kap. 9 a §, 35 kap. 2 och 6—8 § och 38 kap. 3 §, 6 § 1 mom. sista stycket samt 7 a, 7 b, 8, 8 a och 11 §,

sådana de lyder, 34 kap. 9 a §, 35 kap. 8 § och 38 kap. 7 a, 7 b och 8 a § i lag 540/2007, 35 kap. 2 § i lagarna 769/1990, 17/2003 och 540/2007, 35 kap. 6 § i lag 441/2011, 35 kap 7 § i lag 673/2014, 38 kap. 3 § i lag 531/2000, 38 kap. 6 § 1 mom. sista stycket och 8 § i lag 578/1995 och 38 kap. 11 § i lag 1118/2001, samt

fogas till 34 kap. en ny 14 §, till 35 kap. nya 3 a—3 c och 9 §, till 38 kap. 6 § 1 mom., sådant det lyder i lag 578/1995, nya 3—6 punkter, till 38 kap. en ny 9 b §, till 38 kap. 10 §, sådan den lyder i lag 441/2011, ett nytt 4 mom. och till 38 kap. en ny 13 § som följer:

34 kap.

Om allmänfarliga brott

9 a och 14 §

(Som i RP)

35 kap.

Om skadegörelse

2, 3 a—c och 6 §

(Som i RP)

7 §

Åtgärdseftergift

Vid skadegörelse, dataskadegörelse, lindrig skadegörelse och lindrig dataskadegörelse får eftergift ske i fråga om anmälan, åtal eller straff, om den som misstänks för brott eller gärningsmannen har ersatt skadan och skadestånd prövas vara en tillräcklig påföljd.

8 och 9 §

(Som i RP)

38 kap.

Om informations- och kommunikationsbrott

3, 6, 7 a, 7 b, 8, 8 a, 9 b, 10, 11 och 13 §

(Som i RP)

_______________

Ikraftträdandebestämmelsen

(Som i RP)

_______________

2.

Lag

om ändring av 10 kap. 3 och 6 § i tvångsmedelslagen

I enlighet med riksdagens beslut

ändras i tvångsmedelslagen (806/2011) 10 kap. 3 § 2 mom. 12 punkten och 6 § 2 mom., sådana de lyder i lag 1069/2014, som följer:

10 kap.

Hemliga tvångsmedel

3 §

(Som i RP)

6 §

Teleövervakning och dess förutsättningar

- - - - - - - - - - - - - - - - - - -

Förundersökningsmyndigheten kan ges tillstånd att rikta teleövervakning mot en teleadress eller teleterminalutrustning som en misstänkt innehar eller annars kan antas använda, om den misstänkte är skäligen misstänkt för

(1—5 punkten som i RP)

6) förberedelse till brott som begås i terroristiskt syfte, eller deltagande i utbildning för ett terroristbrott eller finansiering av terroristgrupp,

(7—10 punkten som i RP)

- - - - - - - - - - - - - - - - - - -

_______________

Ikraftträdandebestämmelsen

(Som i RP)

_______________

3.

Lag

om ändring av 5 kap. 8 § i polislagen

I enlighet med riksdagens beslut

ändras i polislagen (872/2011) 5 kap. 8 § 2 mom., sådant det lyder i lag 1070/2014, som följer:

5 kap.

Hemliga metoder för inhämtande av information

8 §

Teleövervakning och dess förutsättningar

- - - - - - - - - - - - - - - - - - -

För att förhindra brott kan polisen ges tillstånd att rikta teleövervakning mot en teleadress eller teleterminalutrustning som innehas eller sannolikt används av en person, om personen på grund av sina yttranden, hotelser eller uppträdande eller annars med fog kan antas göra sig skyldig till

(1—5 punkten som i RP)

6) förberedelse till brott som begås i terroristiskt syfte, eller deltagande i utbildning för ett terroristbrott eller finansiering av terroristgrupp, eller

(7 punkten som i RP)

- - - - - - - - - - - - - - - - - - -

_______________

Ikraftträdandebestämmelsen

(Som i RP)

_______________

Utskottets nya lagförslag

5.

Lag

om ändring av 2 kap. 6 § i rättegångsbalken

I enlighet med riksdagens beslut

ändras i rättegångsbalken 2 kap. 6 § 1 mom., sådant det lyder i lag 811/2008, som följer:

6 §

I brottmål är tingsrätten domför även med ordföranden ensam, om det inte för något av de enskilda brott som avses i åtalet under de omständigheter som anges där föreskrivs strängare straff än fängelse i högst två år, eller om det enskilda brott som avses i åtalet är något av följande brott:

1) våldsamt motstånd mot tjänsteman,

2) grov stöld,

3) grov förskingring,

4) grov bruksstöld av motordrivet fortskaffningsmedel,

5) grovt häleri,

6) grov skadegörelse,

7) grovt bedrägeri,

8) grovt betalningsmedelsbedrägeri,

9) grovt dataintrång,

10) straffbart försök till något av de brott som nämns i 1—9 punkten.

- - - - - - - - - - - - - - - - - - -

_______________

Denna lag träder i kraft den                          20    .

_______________

Utskottets förslag till uttalande

Riksdagen förutsätter att regeringen följer upp om metoderna och befogenheterna för att utreda identitetsstölder som förekommer som självständiga brott är tillräckliga och vidtar åtgärder för att effektivisera bekämpningen och utredningen av dessa brott, om det visar sig vara befogat.

Helsingfors den 27 februari 2015

I den avgörande behandlingen deltog

  • ordf. Anne Holmlund /saml
  • vordf. Stefan Wallin /sv
  • Mikael Jungner /sd
  • Arja Juvonen /saf
  • Johanna Ojala-Niemelä /sd
  • Jaana Pelkonen /saml
  • Arto Pirttilahti /cent
  • Kristiina Salonen /sd
  • Jani Toivola /gröna
  • Kari Tolvanen /saml
  • Ari Torniainen /cent
  • Kaj Turunen /saf
  • Peter Östman /kd

Sekreterare var

utskottsråd Marja Tuokila

​​​​