Et nyt lovforslag om straffeloven er blevet fremsat for Folketinget. Det handler blandt andet om forbrydelsen hacking. Men der er alene lagt op til mindre, sproglige ændringer af bestemmelsen – ikke den nytænkning, der reelt er behov for.

Kun de færreste af os vil have indvendinger imod den ændring af hackingbestemmelsen, som lovforslaget lægger op til. To sætninger byttes om i straffelovens § 263. Desuden ændres noget af ordlyden, eksempelvis ændres »informationssystem« til »datasystem«.

Formålet er alene sproglig modernisering, ikke nogen ændring af retstilstanden.

I stedet for sådanne sproglige petitesser burde kræfterne blive brugt på helt grundlæggende at overveje, om hackingbestemmelsen straffer det, den skal.

Jeg har for nylig gennemført en juridisk analyse af hackingbestemmelsen, der er publiceret i tidsskriftet Juristen. Det er min opfattelse, at det haster med at genoverveje hackingbestemmelsen for at sikre, at forbrydelsen defineres, så den passer til tiden, navnlig til alt det, vi foretager os på de sociale medier.

Ulovlig facerape

De fleste mennesker har en forståelse af, hvad hacking som forbrydelse går ud på. Vi hører fra pressen om hackingangreb mod myndigheder og virksomheder. Selve ordet ’hacking’ antyder, at nogen trænger ind i et system, som om man hakker sig vej igennem et virtuelt hegn.

Den danske hackingbestemmelse dækker dog bredere end det. Efter straffeloven kan man straffes, hvis man »uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem«.

Kernen i bestemmelsen er, at man skaffer sig uberettiget adgang. Heri ligger ikke noget krav om, at man skal have forceret en modstand. Der ligger egentlig bare det i det, at man ikke har fået lov. På den måde dækker bestemmelsen meget bredt. Spørgsmålet er, om området er for bredt?

Hackingbestemmelsen kan også bruges på de sociale medier, og dermed kan vi risikere et strafansvar for vores dagligdagsadfærd, hvor vi skaffer os adgang til hinandens profiler og grupper på sociale medier uden altid at have fået et udtrykkeligt ja til at gøre det, vi foretager os.

Det gælder eksempelvis facerape, hvor man uden at have fået lov tilgår en andens facebookprofil og lægger et sjovt billede op eller skriver noget sjovt. Vil det kunne straffes som hacking? Formentlig ja, og derfor bør vi have en debat om, hvad hacking som forbrydelse bør dække.

EU vil begrænse strafansvar

EU’s cybercrime-direktiv fra 2013 kan tjene som inspiration til, hvordan strafansvaret for hacking kan begrænses til de mest alvorlige tilfælde.

Her er det fastsat, at EU-landene i deres hackingbestemmelser skal indføre et krav om, at handlingen skal være begået ved »brud på en sikkerhedsforanstaltning«. Hvilken form for sikkerhedsforanstaltning, og hvor teknisk avanceret den skal være, er overladt til medlemsstaterne. Men der ligger i direktivet, at strafansvar først kommer på tale, hvis ejeren af systemet på en eller anden måde har beskyttet sine data.

Danmark er som følge af retsforbeholdet ikke forpligtet til at følge direktivet og ændre i straffeloven. Men det er tilladt for os at overveje, om det ville være klogt. Navnlig i lyset af hacking på Facebook og andre sociale medier er der grund til at overveje et krav om, at en sikkerhedsforanstaltning skal være brudt.

Dømt for facebookhacking

I 2017 blev en kvinde dømt i Danmark for hacking i forbindelse med, at hun havde skaffet sig uberettiget adgang til sin ekskærestes facebookprofil.

Kvinden forklarede, at han havde givet hende passwordet til sin profil, og at hun havde fundet ud af, at han havde været hende utro. Hun benyttede derfor adgangen til hans profil til at drille ham ved at ændre brugernavn, adgangskode og profilbillede.

Sagen blev afgjort som en tilståelsessag. Dog forklarede hun, at det er helt almindeligt at ændre andres profiler på Facebook, f.eks. hvis en person ikke er logget af, og at det ikke ville tage nogen tid »at genoprette en ændret konto«.

I en tilståelsessag indkaldes ikke vidner, og ud fra referatet i Ugeskrift for Retsvæsen fremgår ikke ekskærestens syn på sagen. Dog kræver en straffesag om hacking, at offeret har bedt om offentlig påtale, hvilket formentlig er sket ved, at han har anmeldt episoden til politiet.

I byretten blev kvinden idømt 20 dagbøder a 100 kroner. Anklagemyndigheden ankede til Landsretten for at få en fængselsstraf, men Landsretten var enig i bødestraffen.

Kvindens strafansvar beror på, at hendes adgang til hans profil er »uberettiget«. Man må dog konstatere, at ekskæresten tidligere selv havde givet hende koden, og at han ikke havde ændret den efter forholdets ophør.

Han havde dermed ikke – i forhold til hende – nogen sikkerhedsforanstaltning på sin profil, og det ’uberettigede’ ved kvindens adfærd ligger alene i, at hun må forstå, at hun ikke længere må skaffe sig adgang.

Vil det så altid være sådan efter et parforholds ophør? Kunne man forestille sig andre par, der forbliver venner og stadig må tilgå hinandens profiler for at drille? Kunne man forestille sig, at ekskæresten tidligere havde udsat hende for samme drilleri? Og hvem skal afgøre, hvad der »bare er for sjov«?

De strafferetlige begreber som ’samtykke’ og ’kutyme’ i relationen mellem disse to personer kommer til at spille en stor rolle for, om man kan vurdere det ’rimelige’ i et strafansvar, der medfører bødestraf for hacking og en plet på straffeattesten i to år.

Vores digitale samliv

En variant af kvindens fremgangsmåde ses ved facerape, som går ud på, at nogen har efterladt sin facebookprofil åben på en computer, hvilket andre udnytter til at skaffe sig adgang til profilen. Således kan profilbillede, tekst mv. ændres, eller der kan laves opslag, enten med drilleri for øje eller med mere chikanøse hensigter.

Her er der heller ikke tale om, at en sikkerhedsforanstaltning bliver brudt, hvilket jo heller ikke kræves efter den danske hackingbestemmelse. Derfor kan strafansvar også her komme på tale. Den helt konkrete relation mellem parterne, og den opfattelse hver af dem har af, hvad der er sjovt, synes at være et meget løst grundlag at basere et strafansvar på.

Hacking optræder i mange former, og her må vi rette vores opmærksomhed mod de mindre alvorlige varianter, som påvirker vores digitale samliv med hinanden, hvilket eksemplerne her illustrerer.

Efter bl.a. at have undervist jurastuderende i strafferet er det mit indtryk, at de fleste ikke er klar over, at facerape og anden adfærd på de sociale medier vil kunne udløse en straffesag for hacking, og at der er vidt forskellige opfattelser af, hvad der bør være strafbart.

Der er endnu ikke etableret fælles normer for digital adfærd, og der er grundlag for en større debat om, hvilken rolle strafansvaret for hacking skal have i reguleringen af vores digitale samliv.

Navnlig bør det overvejes at begrænse strafansvaret til at gælde i de situationer, hvor offeret har beskyttet sine data med en sikkerhedsforanstaltning, som gerningsmanden har brudt. Dermed kan vi sikre, at meget drilleri, nid og nag mellem venner og bekendte på de sociale medier ikke bliver straffesystemets problem, men noget, man selv må løse.

Det er på tide, at lovgiverne tager et helt anderledes livtag med hackingbestemmelsen for at sikre, at man straffer det, vi ønsker, skal være strafbart, og at dette beskrives så udførligt som muligt i straffeloven, så borgeren ved, hvad der gælder.