Høringssvar om blokering af hjemmesider (forslag til lov om ændring af straffeloven, retsplejeloven og forskellige andre love)

IT-Politisk Forening har alene bemærkninger til de foreslåede ændringer af retsplejelovens § 791 d (udvidede muligheder for at blokere hjemmesider og blokering af hjemmesider uden forudgående retskendelse).

Med enkelte ændringer af de straffelovsovertrædelser, der kan begrunde en blokering (i § 791 d, stk. 1), er der tale om, at den midlertidigt udvidede mulighed for at blokere hjemmesider under covid-19 epidemien, som udløb med solnedgangsklausulen den 1. januar 2022, nu gøres permanent. Det sker uden en reel evaluering af erfaringerne fra denne periode med de udvidede muligheder for at blokere hjemmesider med bl.a. forsøg på phishing.

Efter IT-Politisk Forenings opfattelse udgør den betydelige udvidelse af anvendelsesområdet for § 791 d, stk. 1 et indgreb i den grundlæggende ret til ytringsfrihed og informationsfrihed som næppe er proportionalt.

Derudover er det særligt problematisk, at den foreslåede § 791 d, stk. 6 giver mulighed for blokering af hjemmesider uden forudgående retskendelse. Efter retspraksis fra Den Europæiske Menneskerettighedsdomstol (EMD) kan blokering af hjemmesider uden forudgående retskendelse kun ske under exceptionelle omstændigheder.

Disse synspunkter uddybes nedenfor i høringssvaret.

Udvidelse af anvendelsesområdet for § 791 d

For nærværende kan muligheden for at blokere hjemmesider i retsplejelovens § 791 d, stk. 1 alene anvendes i forhold til overtrædelser af straffelovens terrorparagraffer (§§ 114 – 114 i) og straffelovens regler om trusler mod samt chikane og måludpegning af offentligt ansatte (§ 119 og § 119 a).

I høringsudkastet (udsendt 12. januar 2017) til § 791 d kunne alle straffelovens bestemmelser danne grundlag for blokering af hjemmesider. På baggrund af en række kritiske høringssvar om blandt andet proportionaliteten af det vidtgående indgreb i ytringsfriheden, som blokering af en hjemmeside kan udgøre, valgte Justitsministeriet ved fremsættelse af lovforslaget i Folketinget at begrænse anvendelsen af blokeringsbestemmelsen til ovennævnte paragraffer i straffeloven.

I lovforslaget er § 791 d, stk. 1 udvidet med en række bestemmelser fra straffeloven, som primært, men ikke udelukkende, er formueforbrydelser, hvor grovheden af lovovertrædelsen ligger meget langt fra terrorisme eller trusler mod offentligt ansatte.

Blokering af en hjemmeside omfatter alt nuværende og fremtidigt indhold på hjemmesidens internetdomæne. Selv om blokeringen sker på baggrund af en konkret ulovlig handling begået via hjemmesiden, kan der på hjemmesiden være øvrigt indhold som ikke er ulovligt, jf. bemærkningerne nedenfor om proportionalitet.

Blokering af en hel hjemmeside forhindrer også adgangen til det fremtidige indhold på hjemmesiden, selv om dette indhold i sagens natur ikke kan vurderes på tidspunktet for blokeringen. En permanent blokering af en hel hjemmeside med dynamisk indhold med rette kan sammenlignes med forhåndscensur af det fremtidige indhold.

På grund af den overhængende risiko for blokering af lovligt indhold, herunder fremtidigt indhold, kan blokering af en hel hjemmeside efter IT-Politisk Forenings opfattelse kun udgøre et proportionalt indgreb, hvis blokeringen sker for at beskytte mennesker mod meget alvorlige lovovertrædelser, og hvis der ikke er nogen mulighed for at få det konkrete ulovlige indhold fjernet fra hjemmesiden, eventuelt med retlig bistand fra myndighederne i det land hvor hjemmesiden hostes.

En gennemgang af domme fra EMD, herunder en række nyere domme mod Rusland der ikke er omtalt i de almindelige bemærkninger pkt. 8.1.1 (om forholdet til EMRK artikel 10), viser en meget restriktiv retspraksis i forhold til blokering af hele hjemmesider.

Mindre alvorlige formueforbrydelser, herunder forsøg på ”phishing” rettet mod tilfældige privatpersoner på internettet, kan ikke med rimelighed opfylde kravene om proportionalitet.

Effektivitet af blokering af hjemmesider i forhold til phishing og lignende online kriminalitet

Det anføres i de almindelige bemærkninger pkt. 2.1.2.2, at foranstaltninger i den midlertidige lov under covid-19 epidemien har været et effektivt redskab for politiet i bekæmpelse af covid-19-relateret kriminalitet begået via internettet.

Lovforslaget fremlægger ingen dokumentation for denne påstand. At der er blokeret 64 domæner frem til juli 2021, som omtalt nedenfor, fortæller i sig selv intet om effektiviteten af dette redskab. Samtidig ”aflyser” Justitsministeriet den evaluering af § 791 d, som Folketinget blev stillet i udsigt ved vedtagelsen af L 192 i folketingsåret 2016-17.

Det er meget uheldigt, at så vidtgående indgreb som blokering af borgernes adgang til information på internettet ikke sker på grundlag af en evidensbaseret politik.

Fokus for lovforslaget er især de såkaldte phishing-sider, hvor personer modtager et link via email, sms, sociale medier eller andre kommunikationskanaler, og hvor hjemmesiden via klassisk ”social engineering” forsøger at lokke personen til at udlevere passwords, kreditkortnumre, OTP-koder til NemID nøglekort eller lignende oplysninger.

Den typiske phishing-side har en kort levetid, som ofte skal måles i timer, snarere end dage. På det tidspunkt hvor politiet efter anmeldelser eller egne indhentninger af efterretninger kan reagere og træffe en formel afgørelse om blokering (selv uden krav om forudgående retskendelse), vil en stor del af phishing-kampagnen fra den specifikke hjemmeside allerede have fundet sted. Udover perioden med myndighedsbehandling under iagttagelse af forvaltningsloven m.v. tager det også tid for internetudbyderne at implementere DNS-blokeringen i deres systemer, og tidligere DNS-svar kan allerede ligge i DNS-cache hos brugerne (computere og routere).

På den baggrund vil IT-Politisk Forening vurdere, at DNS-blokering efter myndighedsafgørelser ikke vil være et særligt effektivt redskab mod phishing-kampagner. Der er behov for helt andre metoder til bekæmpelse af den hastigt voksende økonomiske kriminalitet online, herunder ikke mindst en mere resistent IT-infrastruktur i samfundet med ”security by design” for at forebygge disse problemer.

Det er i øvrigt IT-Politisk Forenings opfattelse, at Center for Cybersikkerhed (CFCS) ligeledes vurderer, at en proces med myndighedsbehandling og DNS-blokering er for langsom til at stoppe phishing-kampagner. På et møde i Netneutralitetsforum under Teleindustrien den 27. september 2021 opfordrede CFCS internetudbyderne til at implementere en frivillig ordning med DNS-blokering af hjemmesider med phishing, malware, etc. (sådanne ordninger rejser dog andre principielle problemstillinger, som ligger uden for rammerne af dette høringssvar). Tidsfaktoren i forhold til myndighedsafgørelser, og de formelle krav hertil, blev også fremhævet af CFCS på et webinar om DNS-filtrering afholdt af Cybersikkerhedsrådet den 11. juni 2020.

Proportionalitetsvurdering ved blokering af hjemmesider

Ifølge retsplejelovens § 791 d, stk. 3 må blokering ikke foretages, såfremt indgrebet står i misforhold til sagens betydning og den ulempe, som indgrebet må antages at medføre.

Det er ikke teknisk muligt at blokere en del af en hjemmeside (det ulovlige indhold). Det gælder både for DNS-blokering, som § 791 d forudsætter, men også for mere indgribende metoder (som ikke skal omtales her) på grund af end-to-end kryptering (HTTPS) mellem brugerens webbrowser og den server, som hoster hjemmesiden. Internetudbyderen har ingen mulighed for at inspicere, og eventuelt selektivt blokere, det indhold som transmitteres fra hjemmesiden. Den fremtidige teknologiske udvikling vil ikke ændre på dette, først og fremmest på grund af end-to-end kryptering (HTTPS), som er en væsentlig sikkerhedsforanstaltning bl.a. over for cyberkriminalitet.

Proportionalitetsvurderinger må derfor tage udgangspunkt i den teknisk begrundede præmis, at blokering vil omfatte alt nuværende og fremtidigt indhold på hjemmesiden.

I de specielle bemærkninger til § 791 d, stk. 3 anføres det konkret, at blokering af sociale medier med et stort antal brugere vil være uproportionalt, uanset at der er tale om en grov lovovertrædelse fra en enkelt brugers profil.

Et proportionalt indgreb i denne situation vil være at få fjernet det konkrete ulovlige indhold, eksempelvis med gensidig retlig bistand fra myndighederne i det land, hvor onlinetjenesten (hjemmesiden) er etableret.

Selv om § 791 d, stk. 3 ikke direkte foreslås ændret med nærværende lovforslag, indeholder lovforslaget nogle bemærkninger vedr. det udvidende anvendelsesområde for § 791 d, stk. 1, som kan have denne effekt.

Det anføres i bemærkningerne til det udvidede anvendelsesområde for § 791 d, stk. 1 (lovforslagets § 2, nr. 7 og 8), at det skal indgå i proportionalitetsvurderingen, om der er tale om en hjemmeside oprettet med det formål at begå en af de omfattede straffelovsovertrædelser, eller om der er tale om en legitim hjemmeside, som af tredjemand (en bruger af onlinetjenesten) forsøges anvendt til at begå en af de omfattede straffelovsovertrædelser.

På internettet er der mange forskellige hjemmesider og onlinetjenester, og det kan ofte være ganske svært at vurdere hvad ”formålet” med hjemmesiden er. Hvis vurderingen af ”formålet” baseres på en samlet analyse af indholdet på hjemmesiden (om det er lovligt eller ulovligt), vil det være konsistent med almindelige principper for, om blokering af en hjemmeside er proportionalt, jf. retspraksis fra EMD.

Den anføres imidlertid videre i de specielle bemærkninger til § 2, nr. 7 og 8, at det kan indgå i vurderingen om ”ejeren af hjemmesiden trods henvendelse fra politiet ikke fjerner indhold på undersider eller i kommentarspor eller lignende, hvor der f.eks. er linket til en hjemmeside, hvorpå der findes indhold, som udgør en overtrædelse af straffeloven.”

IT-Politisk Forening vil anbefale at denne passus slettes fra bemærkningerne. En hjemmeside eller onlinetjeneste bliver ikke mindre ”legitim”, fordi ejeren af tjenesten insisterer på, at påbud om at fjerne indhold sker i overensstemmelse med den retlige proces, som er gældende i tjenestens hjemland, og derfor afviser at nedtage indhold alene på grundlag af en henvendelse fra myndigheder i andre stater.

Der kan være mange gode grunde til en sådan politik, herunder problemet med at verificere om henvendelsen om at fjerne indhold er ægte eller forfalsket (phishing, hvor kriminelle udgiver sig for at være myndigheder, er ret udbredt).

I denne situation må myndigheder i andre stater, herunder dansk politi, gøre brug af internationale aftaler om gensidig retlig bistand. Disse aftaler har typisk særlige bestemmelser for hastetilfælde.

IT-Politisk Forening bemærker i øvrigt, at orientering af ejeren af en udenlandsk hjemmeside efter en dansk kendelse om blokering ifølge de specielle bemærkninger til § 791 d, stk. 2 skal ske efter de almindelige retshjælpsregler om underretning til personer i andre lande, altså via de lokale myndigheder.

Blokering uden forudgående retskendelse

Den forudgående domstolskontrol er vigtig for at beskytte borgerne mod risikoen for overdreven eller arbitrær anvendelse af beføjelsen til at blokere hjemmesider. I den kommenterede høringsoversigt for L 192, folketingsåret 2016-17 fremhæver Justitsministeriet netop kravet om forudgående retskendelse for at sikre, at indgrebet med blokering af hjemmesider er proportionalt.

Risiko for overdreven eller arbitrær anvendelse blev aktualiseret ultimo maj 2021, hvor politiet blokerede den i visse kredse meget populære videodelingstjeneste BitChute uden forudgående retskendelse. Angiveligt skete blokeringen på grund af en enkelt video med ulovligt indhold (mulighed for at udskrive et falsk dokument, jf. straffelovens § 171) på trods af, at det fremgår eksplicit af bemærkningerne til § 791 d, stk. 3, at blokering af en hel hjemmeside for et socialt medie ikke vil være proportional, selv hvis der fra en enkelt brugers profil foretages en grov straffelovsovertrædelse. Det samme må gøre sig gældende for en videodelingstjeneste som YouTube eller BitChute.

I forbindelse med den udvidende blokeringsmulighed under covid-19 epidemien blev der i perioden 2. april 2020 til den 13. juli 2021 iværksat blokering af 64 domæner, hvoraf 50 var uden forudgående retskendelse, jf. justitsministerens besvarelse af spørgsmål nr. 1270 (Alm. del) i Retsudvalget 2020-21.

Blokering efter politiets administrative beslutning var således blevet hovedreglen, ikke undtagelsen, i denne periode. Det er i sig selv særdeles betænkeligt. Det fremgår ikke af svaret hvor lang tid der er gået inden der forelå retskendelser i de 50 tilfælde. Den efterfølgende domstolskontrol kan blive omsonst, hvis der går for lang tid inden retten har mulighed for at omgøre blokeringen.

Den efterfølgende domstolskontrol giver under alle omstændigheder en mindre effektiv beskyttelse af borgernes grundlæggende rettigheder end den forudgående domstolskontrol. Rettens uafhængige vurdering af om blokeringen var proportional på blokeringstidspunktet kan i mange tilfælde være afhængig af den dokumentation for hjemmesidens samlede indhold som politiet fremlægger. Hvis dette materiale er utilstrækkeligt eller på anden måde mangelfuldt, kan en reel uafhængig vurdering af hjemmesidens indhold på blokeringstidspunktet være umulig i praksis. Ved en forudgående domstolskontrol har retten langt bedre muligheder for at foretage de relevante vurderinger af hjemmesidens samlede indhold.

Det er IT-Politisk Forenings opfattelse, at retspraksis fra EMD kun tillader blokering af indhold på hjemmesider uden forudgående domstolskontrol (som § 791 d, stk. 6) under exceptionelle omstændeligheder, jf. eksempelvis præmis 39 i OOO Flavus and Others v. Russia, sag 12468/15 (”The dangers inherent in prior restraints are such that they call for the most careful scrutiny on the part of the Court and are justified only in exceptional circumstances.”).