En rekke nordmenn oppsøkte i februar 2015 et skjult nettsted på det mørke nettet, kjent som Playpen (se fakta), for å se på ekstremt grovt materiale som viste seksuelle overgrep, vold og tvangsbruk mot unger ned i spedbarnsalder.

Torsdag fortalte Adresseavisen at minst sju nordmenn er utsatt for at FBI hacket seg inn i pc-ene deres i Norge, og hentet ut informasjon som norsk politi brukte til å straffeforfølge dem.

Politihacking, såkalt dataavlesing, var ikke lov i Norge i 2015. Etter en lovendring i fjor, er det nå tillatt.

Forsvarerne til mennene samt domstolene fikk ikke informasjon om at klientene har blitt hacket av amerikanere over ett år før den norske lovendringen trådte i kraft.

Lekegrinden: Det skjulte nettstedet Playpen ble av FBI omtalt som et av de mørkeste stedene på jorda. Slik så innloggingssiden ut.

Dette er en komplisert arena, og sakene har oppstått i skjæringspunktet mellom en relativt ny teknologi, avanserte politimetoder, et grusomt kriminalitetsområde, amerikansk rett og norsk jus. Men hva gjelder? Adresseavisen ber jusprofessor Jon Petter Rui, som er ekspert på straffeprosess ved Universitetet i Bergen, om svar på fem spørsmål:

1. Kan bevisene som FBI innhentet ulovlig brukes i rettssaker mot nordmennene i Norge?

- Utgangspunktet i norsk rett er prinsippet om fri bevisførsel. Det betyr at partene som utgangspunkt kan føre de bevis de ønsker i retten. Prinsippet er likevel ikke ubegrenset. Er et bevis ulovlig innhentet, kan det være forbudt å bruke det. Avskjæring av ulovlig innhentede beviser er ikke regulert i loven. Her er det Høyesterett som trekker opp grensene.

- Dataavlesing er et svært inngripende tiltak. Slik jeg vurderer det, vil beviser som er innhentet ved dataavlesing før dataavlesing ble et tillatt inngrep i Norge, sannsynligvis ikke bli tillatt som bevis. Eksempelvis vil beviser fra ulovlig telefonavlytting ikke kunne brukes som bevis. Parallellen til dataavlesing er klar.

- En annen sak er om bevis som politiet finner på grunn av dataavlesingen, og som i seg selv er lovlig innhentet, skal avskjæres. Det vil være tilfellet hvis politiet på grunn av dataavlesingen gjennomfører en fullt lovlig ransaking, og finner beviser. I norsk rett har vi ikke en regel om avskjæring av beviser i slike tilfeller. Men er den opprinnelige krenkelsen grov nok, vil også slike ”frukter" av en i utgangspunktet ulovlig fremgangsmåte måtte avskjæres. Det er et mer åpent spørsmål i eksemplet med dataavlesing og etterfølgende ransaking.

2. Er det lov for utenlandske myndigheter å bryte seg inn i pc-er som står i Norge?

- Utenlandske myndigheter har ikke jurisdiksjon i Norge. Hvis det skal gjøres inngrep på norsk jord, må det gjøres av norske myndigheter.

3. I Playpen-saken har FBI brukt en ransakingskjennelse utstedt av en lokal domstol i en del av Virginia til å hacke pc-er i 120 land, deriblant Norge. Gjelder amerikanske ransakingskjennelser i Norge?

- Nei. Men amerikanske myndigheter kan be om assistanse fra norske myndigheter til å få utført en ransaking i Norge.

4. Adresseavisens sak viser at det er nordmennenes IP-adresse som i utgangspunktet er det eneste som knytter de siktede til den kriminelle handlingen. IP-adressen kom fra FBIs hacking av pc-ene deres, uten at norske domstoler får informasjon om at det har skjedd. Hvor alvorlig er det at retten ikke får opplysninger om hvordan et sentralt bevis er innhentet?

- Hvis myndighetene bevisst bruker opplysninger innhentet på en måte som ikke er lovlig i Norge, fremstår det etter min mening som en omgåelse av lovkravet, noe jeg vil si at er alvorlig. Men det er mulig at andre vil se annerledes på det. I alle tilfeller må det kreves at hvis opplysninger som stammer fra inngrep som ikke er lovlig i Norge (slik som denne dataavlesingen), og myndighetene vet at det forholder seg slik, og opplysningene skal brukes som grunnlag for ransaking og beslag, må de opplyse retten om det. Da kan retten vurdere om de vil tillate bevis fra inngrep som ikke har hjemmel i norsk lov som grunnlag for sine beslutninger.

- Det er et grunnleggende rettsstatsprinsipp at myndighetene må utøve makt innenfor de rammer som loven setter. Det er lov som styrer myndighetsutøvelse, ikke hva myndighetene mener er rettferdig, hensiktsmessig eller rimelig. Fra dette følger det som nødvendighet at statens inngrep overfor borgere må ha hjemmel i lov. Det gjelder både store og små inngrep, inkludert innbrudd på en PC. En grunn til krav om lov ved myndighetsutøvelse er at de inngrep vi blir utsatt for skal ha såkalt demokratisk legitimitet. Nærmere bestemt skal vi selv (og ikke myndighetene) bestemme hvor grensene for inngrep skal gå. Det følger av Grunnloven § 113.

5. Hva kan forsvarerne i hacking-sakene gjøre?

- Bringe klarhet i hvordan bevisene som danner grunnlag for etterforskningen ble skaffet til veie.