Tvunget biometrisk autentisering i Norge
Den 5 April 2017, la regjeringen frem et endringsforslag til Straffeprosessloven som tillater politiet å bruke tvang for å gjennomføre biometrisk autentisering. Etter 2 korte debatter uten mye innhold ble loven vedtatt den 21. juni.
§ 199 i straffeprosessloven lyder som følger etter endringen:
Ved ransaking av et datasystem kan politiet pålegge enhver som har befatning med datasystemet å gi nødvendige opplysninger for å gi tilgang til datasystemet eller å åpne det ved bruk av biometrisk autentisering.
Dersom noen nekter å etterkomme et pålegg om biometrisk autentisering som nevnt i første ledd, kan politiet gjennomføre autentiseringen med tvang.
Beslutning om bruk av tvang etter annet ledd treffes av påtalemyndigheten. Er det fare ved opphold, kan beslutning treffes av politiet på stedet. Beslutningen skal straks meldes til påtalemyndigheten
[…]
Den manglende presisjonen i "datasystem" betyr at loven har et ekstremt vidt nedslagsfelt. Vi kan for eksempel se for oss adgang til en personlig enhet slik som en mobiltelefon som igjen inneholder autentiseringsinformasjon til skytjenester vil gi tilgang til en mer eller mindre komplett beskrivelse av en persons liv. Å sette ut en slik beslutning til en enkeltstående politibetjent uten noen form for rettsprosess betyr at en enkeltbeslutning med vidtrekkende konsekvenser kan utføres i løpet av sekunder. EFN vurderer muligheten for at dette kan være et brudd på retten til privatliv etter artikkel 8 i EMK, samt at det kan være i strid med retten til å avstå fra selvinkriminering etter artikkel 6.
Det er heller ingen proporsjonalitetsbegrensning i tvangsanvendelsen. Selv om the ikke er noen grunn til å forvente at paragrafen vil bli brukt på en disproporsjonal måte, betyr den manglende begrensningen at vi ikke vet hvor lang rekkevidden på bruk av tvang er. Bruken av tortur er forbudt etter den norske grunnloven, men manglende presisjon i enkeltlover innebærer at en overivrig politibetjent kan sette seg i en situasjon der maktbruken går utover det som er forbudt etter andre deler av loven. Der er ikke åpenbart hvordan loven vil bli anvendt eksempelvis når det kommer til irisautentisering. Presumptivt må man anvende makt i nærhet til øyeeplet og øyehulen med den åpenbare risiko som oppstår for fysisk skade.
Det er også viktig å merke seg at loven ikke er begrenset til mistenkte, men "enhver som har befatning med datasystemet". Dette betyr at en person som ikke har noen forbindelse med et straffbart forhold kan utsettes for de tidligere nevnte formene for tvang.
EFN er bekymret for utviklingen på dette feltet. Denne loven har blitt vedtatt forhastet med liten eller ingen debatt. Ordlyden har blitt valgt uten tilstrekkelig henblikk på å minimere nedslagsfeltet.