CASE OF K.U. v. FINLAND

RESPONDENT

FIN

HOTĂRÂRE

02.12.2008

Pe scurt

Instanță: CtEDO
Concluzie: Violation of Art. 8;Non-pecuniary damage - award

RĂSFOIEȘTE: CtEDO · 2008
DESCARCĂ: PDF · DOCX 🔒 Pro

Citează această cauză

CASE OF K.U. v. FINLAND (CtEDO, 2008)

HUDOC · oficial

Reclamantul s-a născut în 1986. La 15 martie 1999, o persoană sau persoane neidentificate a plasat o reclamă pe un site de date pe internet în numele reclamantului, care avea 12 ani atunci, fără cunoașterea lui. Anunțul a menționat vârsta și anul de naștere, a dat o descriere detaliată a caracteristicilor sale fizice, o legătură la pagina web pe care o avea la momentul respectiv, care a arătat imaginea, precum și numărul de telefon, care a fost exactă, cu excepția unei cifre. În anunț, s-a susținut că el căuta o relație intimă cu un băiat de vârstă sau mai mare „să-i arate calea”. Reclamantul a devenit conștient de publicitatea de pe Internet atunci când a primit un e-mail de la un om, oferind să se întâlnească cu el și „poi să vadă ce doriți”. Tatăl reclamantului a solicitat poliției să identifice persoana care a plasat publicitatea pentru a aduce acuzații împotriva acestei persoane. Cu toate acestea, furnizorul de servicii a refuzat să divulge identitatea titularului așa-numitului adresă dinamică a Internetului (IP) în cauză, care se referă la sine legată de confidențialitatea telecomunicațiilor, astfel cum este definită de lege. 10. Poliția a solicitat apoi Curții de District din Helsinki (käräjäoikeus, tingsrätten) să oblige furnizorul de servicii să divulge aceste informații în temeiul articolului 28 din Legea privind investigațiile criminale (situtkintalaki, förundersökningslagen; Legea nr. 449/1987, modificată de Legea nr. 692/1997). 11. Într-o hotărâre emisă la 19 ianuarie 2001, Curtea de District a refuzat, deoarece nu exista nicio dispoziție juridică explicită care să autorizeze furnizorul de servicii să divulge date de identificare a telecomunicațiilor în încălcarea secretului profesional. Curtea a remarcat că, în temeiul capitolului 5a, secțiunea 3, din Legea privind măsurile coercitive (pakkokeinolaki, tvångsmedelslagen; Legea nr. 450/1987) și art. 18 din Legea privind protecția confidențialității și securitatea datelor în domeniul telecomunicațiilor (laki yksityisydensuojasta televiestinässä ja teletoiminnan tibitoturvasta, lag om integritetsskyddd vil telekommunikation och dataskydd inom televerksamhet; Legea nr. 565/1999) poliția a avut dreptul de a obține date de identificare a telecomunicațiilor în cazurile cu privire la anumite infracțiuni, în ciuda obligației de a respecta secretul. Cu toate acestea, denaturarea malfăcută nu a fost o astfel de infracțiune. 12. La 14 martie 2001, Curtea de Apel (hovioikeus, hovrätten) a susținut hotărârea și la 31 august 2001 Curtea Supremă (korkein oikeus, högsta domstolen) a refuzat concediul de recurs. 13. Persoana care a răspuns publicității de date și a contactat reclamantul a fost identificată prin adresa de e-mail. 14. Directorul administrativ al societății care furnizează serviciile de internet nu a putut fi acuzat, deoarece, în decizia sa din 2 aprilie 2001, procurorul a constatat că presupusa infracțiune a devenit închisă la timp. Crima presupusă a fost o încălcare a Legii privind datele personale (henkilötietolaki, personupp donslagen; Legea nr. 523/99, care a intrat în vigoare la 1 iunie 1999). Mai exact, furnizorul de servicii a publicat o publicitate difamatorie pe site-ul său fără a verifica identitatea expeditorului. 15. Actul de constituție finlandez (Suomen halitusmuoto, Regeringsform för Finlanda; Actul 94/1919, astfel cum a fost modificat de Actul nr. 969/1995) a fost în vigoare până la 1 martie 2000. Secțiunea 8 corespunde articolului 10 din actuala Constituție finlandeză (Suomen perustuslaki, Finlanda; Legea nr. 731/1999), care prevede că dreptul tuturor la viața privată este garantat. 16. La momentul material, capitolul 27, art. 3, din Codul Penal (rikoslaki, strafflagen; Legea nr. 908/1974) prevede: „O persoană care, într-un alt mod decât cel menționat mai sus, comite un act de denaturare malfăcută împotriva altuia printr-o declarație, amenințare sau alt act degradant este condamnată pentru denaturare malfăcută la o amendă sau la închisoare pentru o perioadă maximă de trei luni. În cazul în care denaturarea malfăcută este comisă în public sau în tipărire, scris sau o reprezentare grafică difuzată de partea vinovată sau care cauzează partea vinovată, persoana responsabilă este condamnată la o amendă sau la închisoare pentru o perioadă maximă de patru luni.” 17. În momentul material, capitolul 5a, secțiunea 3 din Legea privind măsurile coercitive prevedea: „Condiții de monitorizare a telecomunicațiilor În cazul în care există motive de a suspecta o persoană de (1) o infracțiune pedepsită cu cel puțin patru luni de închisoare; (2) o infracțiune împotriva unui sistem informatic care utilizează un dispozitiv terminal, o infracțiune de narcotice; sau (3) o încercare pedepsită de a comite o infracțiune menționată mai sus în prezenta secțiune; autoritatea care efectuează ancheta penală poate fi autorizată să monitorizeze o conexiune de telecomunicații în posesia suspectului sau presupusă în alt mod în utilizarea acestuia, sau temporar să dezactiveze o astfel de conexiune, dacă informațiile obținute prin monitorizarea sau dezactivarea conexiunării pot fi considerate foarte importante pentru anchetarea infracției ...” 18. Secțiunea 18 punctul 1 alineatul (1) din Legea privind protecția vieții private și securitatea datelor în domeniul telecomunicațiilor, care a intrat în vigoare la 1 iulie 1999 și a fost abrogată la 1 septembrie 2004, prevede: „În afară de obligația de secret prevăzută la secțiunea 7, poliția are dreptul de a obține: (1) date de identificare privind transmiterea unei anumite conexiuni de transcriere, cu consimțământul părții vătămate și al proprietarului conexiunei de abonați, necesare pentru investigarea unei infracțiuni menționate la capitolul 16, art. 9 litera (a), capitolul 17, art. 13 § 2 sau capitolul 24, art. 3 litera (a) din Codul penal (Lege nr. 39/1889) ...” 19. Secțiunea 48 din Legea privind datele personale prevede că furnizorul de servicii este sub răspundere penală pentru a verifica identitatea expeditorului înainte de a publica o publicitate difamatorie pe site-ul său. Secțiunea 47 prevede că furnizorul de servicii este, de asemenea, responsabil în daune. 20. În momentul material, prelucrarea și publicarea de informații sensibile referitoare la comportamentul sexual pe un server de internet fără consimțământul subiectului a fost penalizată ca infracțiune de protecție a datelor în art. 43 din Legea privind fișierele personale (Legea nr. 630/1995) și capitolul 38, art. 9 (Legea nr. 578/1995) din Codul penal și ca o încălcare a datelor în secțiunea 44 din Legea privind fișierele personale. În plus, aceasta ar fi putut cauza răspundere pentru daune în temeiul articolului 42 (Legea nr. 471/1987) din respectiva Lege. 21. Secțiunea 17 din Legea privind exercitarea libertății de exprimare în masă (Laki sanavapauden käyttämisestä joukkoviestinässä, lagen om yttrandefrihet i masskommunikation; Legea nr. 460/2003), care a intrat în vigoare la 1 ianuarie 2004, prevede: „Alegerea de identificare a informațiilor pentru un mesaj de rețea La cererea unui oficial cu puterea de arest, a unui procuror public sau a unei părți rănite, o instanță poate ordona deținătorului unui transmisor, a unui server sau a unui alt dispozitiv similar pentru a divulga informațiile necesare pentru identificarea expeditorului unui mesaj de rețea reclamantului, cu condiția ca există motive rezonabile să creadă că conținutul mesajului este astfel că furnizarea acestuia publicului este o infracțiune penală. Cu toate acestea, eliberarea informațiilor de identificare părții vătămate poate fi ordonată numai în cazul în care el sau ea are dreptul de a aduce o urmărire privată pentru infracțiune. Solicitarea este depusă la Curtea de District a domiciliului deținătorului dispozitivului, sau la Curtea de District Helsinki, în termen de trei luni de la publicarea mesajului în cauză. Curtea poate consolida ordinea prin impunerea unei amenzi.” 22. Dezvoltarea rapidă a tehnologiilor de telecomunicații în ultimele decenii a condus la apariția unor noi tipuri de infracțiuni și a permis, de asemenea, comisionarea crimelor tradiționale prin intermediul noilor tehnologii. Consiliul Europei a recunoscut necesitatea de a răspunde în mod corespunzător și rapid la această nouă provocare până în 1989, când Comitetul de miniștri a adoptat Recomandarea nr. R (89) 9 privind infracțiunile legate de calculator. În 1995 Comitetul de Miniștri a adoptat Recomandarea nr. R (95) 13 privind problemele legislației procedurale penale legate de tehnologia informațională. La punctul 12 din principiile adăugate la aceasta, el a recomandat: „Ar trebui impuse obligațiilor specifice furnizorilor de servicii care oferă servicii de telecomunicații publice, fie prin rețele publice, fie prin rețele private, să furnizeze informații pentru identificarea utilizatorului, atunci când aceasta este ordonată de autoritatea competentă de investigare.” 23. Celelalte principii referitoare la obligația de a coopera cu autoritățile de investigare au declarat: „9. Sub rezerva privilegiilor juridice sau protecției, majoritatea sistemelor juridice permit autorităților de investigare să ordone persoanelor să predea obiecte sub controlul lor care sunt obligate să servească drept dovezi. În mod paralel, ar trebui să se prevadă dispoziții privind puterea de a ordona persoanelor să prezinte orice date specificate sub controlul lor într-un sistem informatic sub forma necesară de către autoritatea de investigare. 10. Sub rezerva privilegiilor juridice sau a protecției, autoritățile de investigare ar trebui să aibă puterea de a ordona persoanelor care au date într-un sistem informatic sub controlul lor, pentru a furniza toate informațiile necesare pentru a permite accesul la un sistem informatic și la datele din acest sistem. Legea procesuală penală ar trebui să se asigure că se poate acorda o ordine similară celorlalte persoane care cunoaște funcționarea sistemului informatic sau măsurile aplicate pentru asigurarea datelor în acest sens.” 24. În 1996, Comitetul European pentru Probleme cu Crimă a înființat un comitet de experți care să se ocupe de crima cibernetică. S-a considerat că, deși cele două recomandări anterioare privind legislația susținută și procedurală nu s-au desfășurat, numai un instrument internațional obligatoriu ar putea asigura eficiența necesară a luptei împotriva infracțiunilor în domeniul ciberspațiului.Convenția privind criminalitatea cibernetică a fost deschisă pentru semnătură la 23 noiembrie 2001 și a intrat în vigoare la 1 iulie 2004. Este primul și singurul tratat internațional privind crimele comise pe Internet și este deschis tuturor statelor. Convenția impune țărilor să stabilească ca infracțiuni penale următoarele acte: accesul ilegal la un sistem informatic, interceptarea ilegală a datelor informatice, interferența cu datele sau cu un sistem informatic, utilizarea abuzivă a dispozitivelor, falsificarea și fraudă a computerelor, pornografia pentru copii și încălcarea drepturilor de autor și a drepturilor conexe. Protocolul suplimentar la Convenția privind crima cibernetică, adoptat în 2003, necesită în continuare criminalizarea discursului de ură, a xenofobiei și a rasismului. Domeniul de aplicare al dispozițiilor procedurale ale Convenției depășește infracțiunile definite în Convenție în sensul că se aplică oricărei infracțiuni comise prin intermediul unui sistem informatic: „1. Fiecare parte adoptă măsurile legislative și de altă natură necesare pentru stabilirea competențelor și procedurilor prevăzute în prezenta secțiune în scopul unor anchete sau proceduri penale specifice. ... fiecare parte aplică competențele și procedurile menționate la alineatul (1) din prezentul articol la: (a) infracțiunile penale stabilite în conformitate cu articolele 2-11 din prezenta convenție; (b) alte infracțiuni penale comise prin intermediul unui sistem informatic; și (c) colectarea de dovezi în forma electronică a unei infracțiuni penale. ...” 25. Puterile procedurale includ următoarele: conservarea accelerată a datelor stocate, conservarea accelerată și divulgarea parțială a datelor de trafic, ordinea de producție, căutarea și confiscarea datelor de calculator, colectarea în timp real a datelor de trafic și interceptarea datelor de conținut. În special relevanța este competența de a ordona unui furnizor de servicii să prezinte informații de abonați referitoare la serviciile sale; într-adevăr, raportul explicativ descrie dificultatea de a identifica autorul ca fiind una dintre provocările majore în combaterea crimei în mediul rețelei: „1. Fiecare parte adoptă măsurile legislative și de altă natură care pot fi necesare pentru a-și permite autoritățile competente să ordone: (a) o persoană pe teritoriul său să prezinte date informatice specifice în posesia sau controlul persoanei respective, care este depozitată într-un sistem informatic sau într-un mediu de stocare a datelor informatice; și (b) un prestator de servicii care își oferă serviciile pe teritoriul părții să prezinte informații de abonat referitoare la aceste servicii în posesia sau controlul prestatorului de servicii respectiv. Atribuțiile și procedurile menționate în prezentul articol sunt supuse articolelor 14 și 15. În sensul prezentului articol, mențiunea „informații subscrisoare” înseamnă orice informații conținute sub forma datelor informatice sau a oricărei alte forme deținute de un furnizor de servicii, referitoare la abonați ai serviciilor sale, altele decât datele privind traficul sau conținutul și prin care se poate stabili: (a) tipul de serviciu de comunicare utilizat, dispozițiile tehnice luate în acest sens și perioada de serviciu; (b) identitatea abonatului, adresa poștală sau geografică, numărul de acces, informațiile de facturare și de plată, disponibile pe baza acordului sau a aranjamentului de serviciu; (c) orice altă informație privind locul de instalare a echipamentelor de comunicare, disponibile pe baza acordului sau aranjamentului de serviciu.” 26. Raportul explicativ menționează că, în cursul unei anchete penale, poate fi necesară informații privind abonații în principal în două situații. În primul rând, pentru a identifica ce servicii și măsuri tehnice aferente au fost utilizate sau sunt utilizate de un abonat, cum ar fi tipul de serviciu telefonic utilizat, tipul de alte servicii asociate utilizate (de exemplu, transmiterea de apeluri, telefonul vocal) sau numărul de telefon sau altă adresă tehnică (de exemplu, adresa de e-mail). În al doilea rând, în cazul în care este cunoscută o adresă tehnică, sunt necesare informații privind abonații pentru a contribui la stabilirea identitatii persoanei în cauză. O ordine de producție oferă o măsură mai puțin intruzătoare și mai puțin oneroasă pe care autoritățile de aplicare a legii pot aplica în loc de măsuri precum interceptarea datelor privind conținutul și colectarea în timp real a datelor privind traficul, care trebuie sau pot fi limitate numai la infracțiuni grave (articolele 20 și 21 din Convenția privind crima cibernetică). 27. O conferință globală, „Cooperare împotriva criminalității cibernetice”, care a avut loc la Strasbourg la 1-2 aprilie 2008, a adoptat „Guide pentru cooperarea dintre prestatorii de servicii de aplicare a legii și furnizorii de servicii de Internet împotriva criminalității cibernetice”. Scopul orientărilor este de a ajuta autoritățile de aplicare a legii și furnizorii de servicii de Internet să își structureze interacțiunile în ceea ce privește problemele legate de infracțiuni cibernetice. Pentru a spori securitatea cibernetică și a reduce la minimum utilizarea serviciilor în scopuri ilegale, s-a considerat esențial ca cele două părți să coopereze reciproc într-un mod eficient. Orientările prezintă măsurile practice care trebuie luate de către agențiile de aplicare a legii și furnizorii de servicii, încurajându-le să schimbe informații pentru a consolida capacitatea acestora de a identifica și de a combate tipurile emergente de crimă cibernetică. În special, furnizorii de servicii sunt încurajați să coopereze cu agențiile de aplicare a legii pentru a contribui la reducerea la minimum a gradului în care serviciile sunt utilizate pentru activitatea penală, astfel cum sunt definite de lege. 28. Din o serie de rezoluții adoptate în domeniul ciberspațiului, cele mai relevante în sensul prezentului caz sunt Rezoluțiile Adunării Generale 55/63 din 4 decembrie 2000 și 56/121 din 19 decembrie 2001 privind combaterea abuzului criminal al tehnologiilor informaționale. Printre măsurile de combatere a abuzului, în Rezoluția 55/63 s-a recomandat: „(f) sistemele juridice ar trebui să permită conservarea și accesul rapid la datele electronice referitoare la anumite anchete penale”” 29. Rezoluția ulterioară a luat în considerare valoarea diferitelor măsuri și a invitat din nou statele membre să le ia în considerare. 30. La 15 martie 2006, Parlamentul European și Consiliul Uniunii Europene au adoptat Directiva 2006/24/CE privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea de servicii publice de comunicații electronice sau a rețelelor publice de comunicații, de modificare a Directivei anteriore de reținere a datelor 2002/58/CE. Obiectivul directivei este să armonizeze dispozițiile statelor membre privind obligațiile furnizorilor de comunicații în ceea ce privește păstrarea anumitor date, pentru a se asigura că datele sunt disponibile în scopul anchetei, detectarea și urmărirea penală a infracțiunilor grave, astfel cum sunt definite de fiecare stat membru în legislația sa națională. Acesta se aplică atât datelor privind traficul, cât și locația persoanelor juridice și a persoanelor fizice, cât și datelor aferente necesare pentru identificarea abonatului sau a utilizatorului înregistrat. Nu se aplică conținutului de comunicații electronice. Directiva impune statelor membre să se asigure că anumite categorii de date sunt reținute pentru o perioadă de între șase luni și doi ani. art. 5 specifică datele care urmează să fie păstrate: „1. Statele membre se asigură că următoarele categorii de date sunt păstrate în temeiul prezentei directive: (a) datele necesare pentru a depista și identifica sursa unei comunicări: ... (2) privind accesul la Internet, adresa de e-mail și telefonia internetului: ... (iii) numele și adresa abonatului sau a utilizatorului înregistrat căruia s-a alocat o adresă a Protocolului Internet (IP), un ID de utilizator sau un număr de telefon la momentul comunicării;” 31. Statele membre au avut până la 15 septembrie 2007 de punere în aplicare a directivei. Cu toate acestea, șaisprezece state, inclusiv Finlanda, au folosit dreptul de a amâna aplicația lor la accesul la Internet, telefonia Internet și e-mail-ul Internet până la 15 martie 2009. 32. O revizuire comparativă a legislației naționale ale statelor membre ale Consiliului Europei arată că în majoritatea țărilor există o obligație specifică de către prestatorii de servicii de telecomunicații de a prezenta datele informatice, inclusiv informațiile de abonați, în răspunsul la o cerere de către autoritățile de investigare sau de judecată, indiferent de natura unei infracțiuni. Unele țări dispun de numai dispoziții generale privind producția de documente și alte date, care ar putea fi extinse în practică pentru a acoperi, de asemenea, obligația de a prezenta date specifice privind calculatorul și abonatul. Mai multe țări nu au pus în aplicare încă dispozițiile articolului 18 din Convenția Consiliului Europei privind crima cibernetică. 33. Fundația Helsinki pentru Drepturile Omului a susținut că acest caz ridică problema echilibrării protecției vieții private, onorării și reputației, pe de o parte, și exercitarea libertății de exprimare pe de altă parte. Acesta a luat în considerare că acest caz oferă Curtei o oportunitate de a defini obligațiile pozitive ale statului în acest domeniu și, prin urmare, de a promova standardele comune în utilizarea Internetului pe întreg teritoriul statelor membre. 34. El a subliniat că Internet este o metodă foarte specială de comunicare și unul dintre principiile fundamentale ale utilizării sale este anonimitatea. Nivelul ridicat de anonimitate încurajează libera exprimare și exprimare a diferitelor idei. Pe de altă parte, Internetul este un instrument puternic pentru difamarea sau insultarea oamenilor sau violarea dreptului lor la intimitate. Datorită anonimității Internetului, victima unei încălcări este într-o poziție vulnerabilă. Contrar mass-media tradițională, victima nu poate identifica ușor persoana care difamă datorită faptului că este posibil să se ascundă în spatele unui pseudonim sau chiar să folosească o identitate falsă.

The applicant was born in 1986. 7. On 15 March 1999 an unidentified person or persons placed an advertisement on an Internet dating site in the name of the applicant, who was 12 years old at the time, without his knowledge. The advertisement mentioned his age and year of birth, gave a detailed description of his physical characteristics, a link to the web page he had at the time, which showed his picture, as well as his telephone number, which was accurate save for one digit. In the advertisement, it was claimed that he was looking for an intimate relationship with a boy of his age or older “to show him the way”. 8. The applicant became aware of the advertisement on the Internet when he received an e-mail from a man, offering to meet him and “then to see what you want”. 9. The applicant’s father requested the police to identify the person who had placed the advertisement in order to bring charges against that person. The service provider, however, refused to divulge the identity of the holder of the so-called dynamic Internet Protocol (IP) address in question, regarding itself bound by the confidentiality of telecommunications as defined by law. 10. The police then asked the Helsinki District Court (käräjäoikeus, tingsrätten) to oblige the service provider to divulge the said information pursuant to section 28 of the Criminal Investigations Act (esitutkintalaki, förundersökningslagen; Act no. 449/1987, as amended by Act no. 692/1997). 11. In a decision issued on 19 January 2001, the District Court refused since there was no explicit legal provision authorising it to order the service provider to disclose telecommunications identification data in breach of professional secrecy. The court noted that by virtue of Chapter 5a, section 3, of the Coercive Measures Act (pakkokeinolaki, tvångsmedelslagen; Act no. 450/1987) and section 18 of the Protection of Privacy and Data Security in Telecommunications Act (laki yksityisyydensuojasta televiestinnässä ja teletoiminnan tietoturvasta, lag om integritetsskydd vid telekommunikation och dataskydd inom televerksamhet; Act no. 565/1999) the police had the right to obtain telecommunications identification data in cases concerning certain offences, notwithstanding the obligation to observe secrecy. However, malicious misrepresentation was not such an offence. 12. On 14 March 2001 the Court of Appeal (hovioikeus, hovrätten) upheld the decision and on 31 August 2001 the Supreme Court (korkein oikeus, högsta domstolen) refused leave to appeal. 13. The person who had answered the dating advertisement and contacted the applicant was identified through his e-mail address. 14. The managing director of the company which provided the Internet service could not be charged, because in his decision of 2 April 2001 the prosecutor found that the alleged offence had become time-barred. The alleged offence was a violation of the Personal Data Act (henkilötietolaki, personuppgiftslagen; Act no. 523/99, which came into force on 1 June 1999). More specifically, the service provider had published a defamatory advertisement on its website without verifying the identity of the sender. 15. The Finnish Constitution Act (Suomen hallitusmuoto, Regeringsform för Finland; Act no. 94/1919, as amended by Act no. 969/1995) was in force until 1 March 2000. Its section 8 corresponded to Article 10 of the current Finnish Constitution (Suomen perustuslaki, Finlands grundlag; Act no. 731/1999), which provides that everyone’s right to private life is guaranteed. 16. At the material time, Chapter 27, Article 3, of the Penal Code (rikoslaki, strafflagen; Act no. 908/1974) provided: “A person who in a manner other than that stated above commits an act of malicious misrepresentation against another by a derogatory statement, threat or other degrading act shall be sentenced for malicious misrepresentation to a fine or to imprisonment for a maximum period of three months. If the malicious misrepresentation is committed in public or in print, writing or a graphic representation disseminated by the guilty party or which the guilty party causes, the person responsible shall be sentenced to a fine or to imprisonment for a maximum period of four months.” 17. At the material time, Chapter 5a, section 3 of the Coercive Measures Act provided: “Preconditions of telecommunications monitoring Where there is reason to suspect a person of (1) an offence punishable by not less than four months’ imprisonment; (2) an offence against a computer system using a terminal device, a narcotics offence; or (3) a punishable attempt to commit an offence referred to above in this section; the authority carrying out the criminal investigation may be authorised to monitor a telecommunications connection in the suspect’s possession or otherwise presumed to be in his use, or temporarily to disable such a connection, if the information obtained by the monitoring or the disabling of the connection can be assumed to be very important for the investigation of the offence ...” 18. Section 18, subsection 1(1) of the Protection of Privacy and Data Security in Telecommunications Act, which came into force on 1 July 1999 and was repealed on 1 September 2004, provided: “Notwithstanding the obligation of secrecy provided for in section 7, the police have the right to obtain: (1) identification data on transmissions to a particular transcriber connection, with the consent of the injured party and the owner of the subscriber connection, necessary for the purpose of investigating an offence referred to in Chapter 16, Article 9 (a), Chapter 17, Article 13 § 2 or Chapter 24, Article 3 (a) of the Penal Code (Act no. 39/1889) ...” 19. Section 48 of the Personal Data Act provides that the service provider is under criminal liability to verify the identity of the sender before publishing a defamatory advertisement on its website. Section 47 provides that the service provider is also liable in damages. 20. At the material time, processing and publishing sensitive information concerning sexual behaviour on an Internet server without the subject’s consent was criminalised as a data protection offence in section 43 of the Personal Files Act (Act no. 630/1995) and Chapter 38, Article 9 (Act no. 578/1995) of the Penal Code, and as a data protection violation in section 44 of the Personal Files Act. Furthermore, it could have caused liability in damages by virtue of section 42 (Act no. 471/1987) of the said Act. 21. Section 17 of the Exercise of Freedom of Expression in Mass Media Act (laki sanavapauden käyttämisestä joukkoviestinnässä, lagen om yttrandefrihet i masskommunikation; Act no. 460/2003), which came into force on 1 January 2004, provides: “Release of identifying information for a network message At the request of an official with the power of arrest, a public prosecutor or an injured party, a court may order the keeper of a transmitter, server or other similar device to release information required for the identification of the sender of a network message to the requester, provided that there are reasonable grounds to believe that the contents of the message are such that providing it to the public is a criminal offence. However, the release of the identifying information to the injured party may be ordered only in the event that he or she has the right to bring a private prosecution for the offence. The request shall be filed with the District Court of the domicile of the keeper of the device, or with the Helsinki District Court, within three months of the publication of the message in question. The court may reinforce the order by imposing a threat of a fine.” 22. The rapid development of telecommunications technologies in recent decades has led to the emergence of new types of crime and has also enabled the commission of traditional crimes by means of new technologies. The Council of Europe recognised the need to respond adequately and rapidly to this new challenge as far back as in 1989, when the Committee of Ministers adopted Recommendation No. R (89) 9 on computer-related crime. Resolved to ensure that the investigating authorities possessed appropriate special powers in investigating computer-related crimes, in 1995 the Committee of Ministers adopted Recommendation No. R (95) 13 concerning problems of criminal procedural law connected with information technology. In point 12 of the principles appended thereto, it recommended that: “Specific obligations should be imposed on service providers who offer telecommunication services to the public, either through public or private networks, to provide information to identify the user, when so ordered by the competent investigating authority.” 23. The other principles relating to the obligation to cooperate with the investigating authorities stated: “9. Subject to legal privileges or protection, most legal systems permit investigating authorities to order persons to hand over objects under their control that are required to serve as evidence. In a parallel fashion, provisions should be made for the power to order persons to submit any specified data under their control in a computer system in the form required by the investigating authority. 10. Subject to legal privileges or protection, investigating authorities should have the power to order persons who have data in a computer system under their control to provide all necessary information to enable access to a computer system and the data therein. Criminal procedural law should ensure that a similar order can be given to other persons who have knowledge about the functioning of the computer system or measures applied to secure the data therein.” 24. In 1996, the European Committee on Crime Problems set up a committee of experts to deal with cybercrime. It was felt that, although the previous two recommendations on substantive and procedural law had not gone unheeded, only a binding international instrument could ensure the necessary efficiency in the fight against cyberspace offences. The Convention on Cybercrime was opened for signature on 23 November 2001 and came into force on 1 July 2004. It is the first and only international treaty on crimes committed via the Internet and is open to all States. The Convention requires countries to establish as criminal offences the following acts: illegal access to a computer system, illegal interception of computer data, interference with data or a computer system, misuse of devices, computer-related forgery and fraud, child pornography, and the infringement of copyright and related rights. The additional protocol to the Convention on Cybercrime, adopted in 2003, further requires the criminalisation of hate speech, xenophobia and racism. The scope of the Convention’s procedural provisions goes beyond the offences defined in the Convention in that it applies to any offence committed by means of a computer system: “1. Each Party shall adopt such legislative and other measures as may be necessary to establish the powers and procedures provided for in this section for the purpose of specific criminal investigations or proceedings. 2. ... each Party shall apply the powers and procedures referred to in paragraph 1 of this Article to: (a) the criminal offences established in accordance with Articles 2 through 11 of this Convention; (b) other criminal offences committed by means of a computer system; and (c) the collection of evidence in electronic form of a criminal offence. 3. ...” 25. The procedural powers include the following: expedited preservation of stored data, expedited preservation and partial disclosure of traffic data, production order, search and seizure of computer data, real-time collection of traffic data and interception of content data. Of particular relevance is the power to order a service provider to submit subscriber information relating to its services; indeed, the explanatory report describes the difficulty in identifying the perpetrator as being one of the major challenges in combating crime in the networked environment: “1. Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to order: (a) a person in its territory to submit specified computer data in that person’s possession or control, which is stored in a computer system or a computer-data storage medium; and (b) a service provider offering its services in the territory of the Party to submit subscriber information relating to such services in that service provider’s possession or control. 2. The powers and procedures referred to in this Article shall be subject to Articles 14 and 15. 3. For the purpose of this Article the term ‘subscriber information’ means any information contained in the form of computer data or any other form that is held by a service provider, relating to subscribers of its services, other than traffic or content data and by which can be established: (a) the type of communication service used, the technical provisions taken thereto and the period of service; (b) the subscriber’s identity, postal or geographic address, telephone and other access number, billing and payment information, available on the basis of the service agreement or arrangement; (c) any other information on the site of the installation of communication equipment, available on the basis of the service agreement or arrangement.” 26. The explanatory report notes that, in the course of a criminal investigation, subscriber information may be needed mainly in two situations. Firstly, to identify which services and related technical measures have been used or are being used by a subscriber, such as the type of telephone service used, the type of other associated services used (for example, call forwarding, voicemail), or the telephone number or other technical address (for example, the e-mail address). Secondly, where a technical address is known, subscriber information is needed in order to assist in establishing the identity of the person concerned. A production order provides a less intrusive and less onerous measure which law enforcement authorities can apply instead of measures such as interception of content data and real-time collection of traffic data, which must or can be limited only to serious offences (Articles 20 and 21 of the Convention on Cybercrime). 27. A global conference, “Cooperation against Cybercrime”, held in Strasbourg on 1-2 April 2008 adopted the “Guidelines for the cooperation between law enforcement and Internet service providers against cybercrime”. The purpose of the Guidelines is to help law enforcement authorities and Internet service providers structure their interaction in relation to cybercrime issues. In order to enhance cybersecurity and minimise the use of services for illegal purposes, it was considered essential that the two parties cooperate with each other in an efficient manner. The Guidelines outline practical measures to be taken by law enforcement agencies and service providers, encouraging them to exchange information in order to strengthen their capacity to identify and combat emerging types of cybercrime. In particular, service providers are encouraged to cooperate with law enforcement agencies to help minimise the extent to which services are used for criminal activity as defined by law. 28. Out of a number of resolutions adopted in the field of cyberspace, the most pertinent for the purposes of the present case are General Assembly Resolutions 55/63 of 4 December 2000 and 56/121 of 19 December 2001 on combating the criminal misuse of information technologies. Among the measures to combat such misuse, it was recommended in Resolution 55/63 that: “(f) legal systems should permit the preservation of and quick access to electronic data pertaining to particular criminal investigations;” 29. The subsequent Resolution took note of the value of the various measures and again invited member States to take them into account. 30. On 15 March 2006 the European Parliament and the Council of the European Union adopted Directive 2006/24/EC on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks, amending the previous data-retention Directive 2002/58/EC. The aim of the Directive is to harmonise member States’ provisions concerning the obligations of communications providers with respect to the retention of certain data, in order to ensure that the data are available for the purpose of the investigation, detection and prosecution of serious crime, as defined by each member State in its national law. It applies to traffic and location data on both legal entities and natural persons and to the related data necessary to identify the subscriber or registered user. It does not apply to the content of electronic communications. The Directive requires member States to ensure that certain categories of data are retained for a period of between six months and two years. Article 5 specifies the data to be retained: “1. Member States shall ensure that the following categories of data are retained under this Directive: (a) data necessary to trace and identify the source of a communication: ... (2) concerning Internet access, Internet e-mail and Internet telephony: ... (iii) the name and address of the subscriber or registered user to whom an Internet Protocol (IP) address, user ID or telephone number was allocated at the time of the communication;” 31. Member States had until 15 September 2007 to implement the Directive. However, sixteen States, including Finland, made use of the right to postpone their application to Internet access, Internet telephony and Internet email until 15 March 2009. 32. A comparative review of the national legislation of the member States of the Council of Europe shows that in most countries there is a specific obligation on the part of telecommunications service providers to submit computer data, including subscriber information, in response to a request by the investigating or judicial authorities, regardless of the nature of a crime. Some countries have only general provisions on the production of documents and other data, which could in practice be extended to cover also the obligation to submit specified computer and subscriber data. Several countries have not yet implemented the provisions of Article 18 of the Council of Europe Convention on Cybercrime. 33. The Helsinki Foundation for Human Rights submitted that the present case raises the question of balancing the protection of privacy, honour and reputation on the one hand and the exercise of freedom of expression on the other. It took the view that the present case offers the Court an opportunity to define the State’s positive obligations in this sphere and thereby to promote common standards in the use of the Internet throughout the member States. 34. It pointed out that the Internet is a very special method of communication and one of the fundamental principles of its use is anonymity. The high level of anonymity encourages free speech and expression of various ideas. On the other hand, the Internet is a powerful tool for defaming or insulting people or violating their right to privacy. Due to the anonymity of the Internet, the victim of a violation is in a vulnerable position. Contrary to traditional media, the victim cannot easily identify the defaming person due to the fact that it is possible to hide behind a pseudonym or even to use a false identity.

§ Cauze similare