Den 28. mars 2019 avsa Høyesterett kjennelse i den såkalte Tidal-saken. Saken gjaldt om påtalemyndigheten har adgang til å ransake og ta beslag i materiale som er lagret på lagringsmedier (servere) som befinner seg utenfor norsk jurisdiksjon (i «skyen»). Nærmere bestemt skulle Høyesterett ta stilling til om et slikt inngrep fra norsk påtalemyndighet krenker det lands suverenitet hvor datamaterialet er lagret, og således er i strid med folkeretten (suverenitetsprinsippet).

Høyesterett fant at det ikke er etablert noen folkerettslig sedvane på området. Etter en konkret helhetsvurdering ble det konkludert med at ransakingen ikke krenket suverenitetsprinsippet. Avgjørelsen gir norsk påtalemyndighet en noe nær ubegrenset adgang til å ransake og ta beslag i materiale som er lagret på servere som befinner seg utenfor norsk jurisdiksjon.

Høyesteretts drøftelse og konklusjon er oppsiktsvekkende. Det følger av suverenitetsprinsippet at en stats adgang til å utøve makt (håndhevelsesjurisdiksjon) er strengt begrenset til statens eget territorium. Høyesterett fremholder derimot at et slikt «alminnelig utgangspunkt» gir mindre veiledning når det gjelder ransaking og beslag av elektronisk lagret materiale. «Slikt materiale kan ikke bare lagres på brukerens personlige lagringsenheter – for eksempel egen datamaskin, minnepinne eller harddisk – men kan også plasseres ‘i skyen’. Dette skjer gjerne ved bruk av lagringstjenester som tilbys av utenlandske selskaper, slik som Google og Amazon i saken her. Også ved slik lagring befinner imidlertid materialet seg på en eller flere fysiske lagringsenheter – for enkelhets skyld ofte omtalt som servere. Etter det opplyste kan det være nokså tilfeldig på hvilken server en norsk brukers data lagres. Og lagringsstedet kan over tid endres uten at brukeren blir informert eller kan kontrollere dette. Selv om det skulle være på det rene at det fysiske lagringsstedet ikke er i Norge, kan det – slik saken her viser – være ukjent i hvilket land materialet til enhver tid er lagret.»

De forhold som her nevnes, medfører ikke at suverenitetsprinsippet endrer karakter fra å være det mest grunnleggende prinsippet i folkeretten (ius cogens), til å bli et «alminnelig utgangspunkt». At det kan være vanskelig å identifisere hvor i utlandet materiale er lagret, endrer ikke det faktum at materialet er lagret i utlandet.

Det sentrale kriteriet for vurderingen av om stat As myndighetsutøvelse krenker stat Bs suverenitet, er om As myndighetsutøvelse har effekt på stat Bs territorium, jf. bl.a. saken Trail Smelter (United States of America v. Canada, 1938/41). Når materiale er lagret på en enhet som befinner seg i utlandet, er det utvilsomt at ransaking og beslag som er rettet mot det, gjennomføres og har effekt i utlandet.

Dette er også den herskende oppfatning i folkerettslig litteratur. Det samme kan utledes av traktatretten. Europarådets Cybercrime-konvensjon er ratifisert av Norge og 71 andre stater. Artikkel 31, 32 og 35 etablerer detaljerte prosedyrer for hvordan myndighetene i stat A skal gå frem dersom de ønsker «accessing of stored computer data» i stat B. Hvis suverenitetsprinsippet ikke begrenset stat As tilgang til data lagret i stat B, ville artiklene i konvensjonen vært formålsløse. Staters praksis viser også at ransaking og beslag gjennomført av stat A på stat Bs territorium, som den klare hovedregel er uforenlig med suverenitetsprinsippet. United Nations Office on Drugs and Crimes «Comprehensive Study on Cybercrime» (2013) fremholder: «As regards the permissibility of foreign law enforcement access to computer systems or data, around two-thirds of countries in all regions of the world stated that this was not permissible.» Belgia, Frankrike, Nederland og Storbritannia har nylig vedtatt lovgivning som til en viss grad åpner for at myndighetene kan ransake og ta beslag i materiale som er lagret elektronisk i utlandet. Fellestrekk ved lovene er at de anerkjenner at ransaking og beslag gjennomført av stat A på stat Bs territorium, som den helt klare hovedregel er i strid med suverenitetsprinsippet. De er utformet etter minste inngreps prinsipp, i lys av anerkjente unntak fra suverenitetsprinsippet i folkeretten («consent», «self-defense», «countermeasures», force majeure, «distress» og «necessity as long as the circumstance subsists»), og inngrep krever jevnt over notifisering av myndighetene i den stat hvor inngrepet skjer. I 2018 fikk USA lovgivning om myndighetsinngrep i materiale lagret i «skyen» («Cloud Act»). Loven pålegger selskaper basert i USA å utlevere data som er i selskapets besittelse, men som er lagret utenfor USA, til amerikanske myndigheter. Det kreves domstolskontroll av om materielle og prosessuelle vilkår for inngrepet er oppfylt. Loven forbyr i utgangspunktet utenlandske myndigheter å skaffe seg tilgang til materiale lagret på servere i USA. Ransaking og beslag fra norske myndigheters side av materiale lagret på en server i USA, som ikke følger reglene i Cloud Act, er i strid med amerikansk lov. EU arbeider med lovgivning med tilsvarende innretning. Nevnte argumenter ble presentert for Høyesterett, men er forbigått i stillhet.

Høyesteretts rettsoppfatning i Tidal-saken er ikke forenlig med folkerettens suverenitetsprinsipp. Justis- og beredskapsdepartementet bør igangsette arbeid med å få lovregulert norske myndigheters adgang til gjennomføre ransaking og ta beslag i materiale som er lagret på lagringsmedier som befinner seg utenfor norsk jurisdiksjon.