Sites die links naar illegale bestanden aanbieden kunnen medeplichtig zijn aan een strafbaar feit, juicht BREIN op Boek 9. ‘Internetpiraten’ grotendeels vrijgesproken, kopt daarentegen Nu.nl. Toch was er, zoals Planet terecht opmerkt, sprake van een principiële overwinning voor Brein in een recente strafzaak tegen twee eDonkey-sites.

Via eDonkey kunnen mensen bestanden met elkaar uitwisselen. Daarbij wordt gebruik gemaakt van hashcodes, die uniek zijn voor een bestand. Wie dus een bepaald bestand zoekt, moet weten welke hashcode het heeft. Op de sites Releases4u en Shareconnector van de verdachten was te zien welke code bij illegaal aangeboden films en muziek hoorde.

Nu werden er inderdaad opzettelijk en zonder toestemming werken verspreid, dus de aanbieders op eDonkey pleegden een misdrijf. Ben je nu medeplichtig aan dat misdrijf als je de hashcodes aanbiedt waarmee anderen de werken kunnen verspreiden? Ja, oordeelde de rechtbank:

[H]et handelen van de bij de website betrokken personen, onder wie verdachte als administrator, [kan] in beginsel beschouwd worden als medeplichtigheid aan de door de gebruikers van de website gepleegde inbreuken op auteursrechten door middel van het uploaden, doordat met de website de gelegenheid wordt geboden tot snelle verspreiding van de bestanden.

Wel moet worden bewezen dat bezoekers van de website via de aangeboden hashcodes werken hebben gevonden en die vervolgens ook weer hebben verspreid (geupload). Want zonder plegers geen medeplichtigen. Dat lukte in dit geval niet, waardoor de verdachten werden vrijgesproken.

Het vonnis bespreekt ook nog de vraag of de beheerders van de site schuldig waren aan medeplegen van de inbreuk. Bij medeplegen pleeg je het misdrijf zelf, in samenwerking met anderen. Er moet dan sprake zijn van “bewuste, nauwe en volledige samenwerking” tussen de betrokkenen. Bij medeplichtigheid help je of geef je gelegenheid tot het plegen. De mate van samenwerking mag dan een stuk minder zijn.

De legaliteit van torrentsites, maar ook van linksites in het algemeen, komt met dit vonnis onder druk te staan. De bekende vraag zijn hyperlinks legaal heeft er daarmee weer een nuance bij.

Arnoud

In Duitsland is het bedrijf Skype veroordeeld voor schending van de GPL, melden onder andere Heise en Slashdot. Het bedrijf gebruikt open source in haar Voice-over-IP telefoon WSKP100, en bood de broncode daarvan aan op haar website (een 106 MB zipfile met een Linux kernel, Busybox, GNU binutils, curl, glibc, libjpeg, u-Boot en wpa_supplicant).

Punt is alleen dat dat niet genoeg is. De GPL eist dat je de broncode meelevert of op zijn minst een schriftelijk aanbod bijsluit om mensen de broncode toe te sturen als ze daar om vragen. Verwijzen naar een website mag alleen als de software zelf ook via een website wordt verspreid. Verspreid je de software anders, bijvoorbeeld in een telefoon dus, dan moet je meeleveren of dat aanbod bijsluiten. Verder bleek de handleiding geen kopie van de tekst van de GPL te bevatten, wat ook verplicht is.

De telefoon in kwestie is overigens afkomstig van SMC. Maar omdat Skype deze op de markt bracht, zijn zij toch verplicht om zich aan de GPL te houden. Het bedrijf kan zich niet verschuilen achter de toeleverancier (wat eerder ook D-Link niet lukte). Tegen SMC loopt een identieke rechtszaak trouwens.

iFross merkt nog op:

Zudem macht das Urteil in unmissverständlicher Weise klar, dass eine nur ungefähre Beachtung der GNU GPL nicht ausreichend ist, sondern auch Verletzungen von Lizenzdetails zum Rechtsverlust des Lizenznehmers und damit zur rechtswidrigen Nutzung der GPL-Software führen.

In het eerste vonnis inzake Sitecom werd namelijk nog simpelweg gezegd dat Sitecom niet mocht verspreiden

without at the same time – in accordance with the license conditions of the GNU General Public License, Version 2 (GPL) – making reference to the licensing under the GPL and attaching the license text of the GPL as well as making available the source code of the software “netfilter/ iptables free of any license fee.

Sitecom maakte vervolgens de software als download beschikbaar, met de zure opmerking “that these downloads are completely unnecessary unless you plan to do programming to alter the code.” Dat blijkt nu dus onvoldoende te zijn.

Op Slashdot wordt nog wat gemopperd over het Duitse vonnis, want dat gaat er vanuit dat de GPL een contract is. Maar naar Duits recht is de GPL ook een contract. Naar Nederlands recht ook.

Arnoud

Via Slashdot vond ik de site van Innovation at Risk, een nieuw boek over de problemen met het (Amerikaanse) octrooisysteem. Het boek is geschreven door James Bessen en Michael Meurer, beiden ervaren researchers in dit onderwerp. Bessen publiceerde o.a. het veel geciteerde paper An Empirical Look at Software Patents.

Het boek is zo nieuw dat het nog niet uit is, maar via de site zijn een aantal hoofdstukken al in te zien.

Het basisargument is dat

patents today often fail to grant well-defined property rights. Over the last two decades, the courts have made patent boundaries less certain, most notably by permitting increasingly abstract patent claims and tolerating patents on a growing number of obvious inventions. As a result, most innovators cannot easily and reliably determine whether their technology infringes others’ patents. Institutions that effectively support clear property boundaries for real property are dysfunctional or non-existent for patents.

Zij noemen dit het “notice problem” en stellen dat dit aan de basis ligt van de problemen met octrooien. Als mensen niet goed kunnen zien wat welk octrooi afdekt, kunnen ze de risico’s van inbreuk (of de mogelijkheid van omzeilen) niet meer inschatten, en dat maakt bedrijven terughoudend bij het introduceren van nieuwe innovaties.

Zonder duidelijke grenzen dekken octrooien abstracte technnieken af. Nu kan dat formeel niet, want octrooiwetten verbieden octrooi op ideeën, principes en abstracte zaken. Maar zeker wanneer software gebruikt wordt, kan een claim veel meer afdekken dan alleen die ene concrete machine. Bessen en Meurer signaleren twee problemen:

First, these claims reward patentees for inventions they do not invent. This means that the actual, future inventors face reduced incentives because they have to obtain a license from the patentee to develop or to commercialize their inventions. Clearly this counters the social benefit of the patent system.

Second, it may be difficult to determine the boundaries of such claims and thus it may be difficult to provide notice, to conduct clearance searches, or to even determine the content of the prior art. The problem of mapping words to technology is difficult and it is made more difficult if the claims are not tethered to a specific device or to a specific physical or chemical process.

In hoofdstuk 9 leggen ze uitgebreid uit waarom dit specifiek een probleem is voor software, veel meer dan voor andere technologie.

Software patents are, in fact, responsible for a major share of patent lawsuits. They thus play a central role in the failure of the patent system as a whole. Any serious effort at patent reform must address these problems and failure to deal with the problems of software patents—either with software specific measures or general reforms—will likely doom any reform effort.

Arnoud

De gemeente Baarn heeft de elektronische brief ingevoerd, meldt Computable. Een dergelijke brief is, mits digitaal ondertekend met de DigiD, net zo rechtsgeldig als een papieren brief.

De Algemene Wet Bestuursrecht bepaalt dat een bericht (zoals een beschikking, besluit of mededeling) van of naar de overheid ook elektronisch verzonden kan worden, als de betrokkenen daar maar mee instemmen. Baarn heeft dat dus op deze manier gedaan. De inwoners van Baarn kunnen nu dus een bezwaarschrift elektronisch indienen.

Arnoud

Octrooigemachtigde Axel H. Horns blogt over een nieuwe uitspraak van de Kamer van Beroep van het Europees octrooibureau (T 1351/04) waarin het Octrooibureau een zoeksysteem tot technische uitvinding verklaart.

Het Europees Octrooiverdrag verbiedt octrooi op “software als zodanig”, maar het Europees Octrooibureau legt dit verbod beperkt uit. Als er een computer aan te pas komt, is sprake van een technische vinding:

The claimed method requires the use of a computer. It has therefore technical character and constitutes an invention within the meaning of Article 52(1) EPC

Dit bevestigt de eerdere uitspraken van het Octrooibureau, met name de Hitachi-beslissing T 258/03. Maar het is natuurlijk wel erg kort door de bocht.

Arnoud

Wat betekent de conclusie van de advocaat-generaal van het Europese Hof van Justitie over het afgeven van verkeersgegevens van klanten?

Over het afgeven van persoonsgegevens door providers is veel te doen. Recente jurisprudentie lijkt te suggereren dat dat altijd moet als er een klacht komt van bijvoorbeeld BREIN of de Buma. Zelfs XS4All heeft haar beleid op dit punt versoepeld. Nu moet het Europese Hof zich voor de eerste keer buigen over de vraag of een provider verplicht kan worden persoonsgegevens aan auteursrechten-organisaties af te geven.

Er zijn nu al twee stromingen over wat deze conclusie betekent: afgifte van verkeersgegevens is verboden, of juist het verbieden van afgifte is toegestaan.

Kokott begint namelijk als volgt (met dank aan Planet voor de vertaling)

Hieruit volgend zal ik aantonen dat de gemeenschapsrechterlijke voorschriften over databescherming bij elektronische communicatie de doorgifte van persoonlijke verkeersdata slechts toestaan aan instellingen van de staat en geen directe doorgifte aan de vertegenwoordigers van rechtenorganisaties, die hun eisen civielrechtelijk kunnen vorderen.

Dat lijkt dus duidelijk: afgifte is verboden.

De uiteindelijke aanbeveling aan het Hof is echter veel minder verstrekkend:

Het is met het Gemeenschapsrecht verenigbaar wanneer Lidstaten de doorgifte van persoonlijke verkeersgegevens in het kader van civielrechtelijke handhaving van auteursrechten verbieden.

En daarom zegt BREIN:

De conclusie van de AG komt erop neer dat het EU recht toestaat dat lidstaten bepalen dat persoonsgegevens niet voor dit doel aan private patrijen mogen worden afgegeven. Als het Europese hof die conclusie volgt dan is vervolgens de vraag of een lidstaat een dergelijke uitsluiting kent. In die landen zou dan alleen strafrechtelijke vervolging van inbreukmakende p2p-gebruikers zijn toegestaan. In Nederland is dat niet het geval.

Maar dat gaat me ook weer te snel. Het Hof moet antwoord geven op vragen van nationale rechtbanken, en de vraag was hier, “mag de Spaanse rechter verbieden dat persoonsgegevens worden afgegeven in civiele zaken?” Het antwoord daarop is dus “ja”, met als motivatie dat Europees recht geen ruimte biedt voor afgifte.

De vraag was niet “mogen providers verplicht worden persoonsgegevens afgeven in civiele zaken”. Het antwoord daarop zou zijn geweest “nee, want Europees recht biedt daar geen ruimte voor.”

Het uitgangspunt is dat verkeersgegevens en IP-adressen persoonsgegevens zijn en dus alleen mogen worden afgegeven als Europese wetgeving daar de mogelijkheid voor biedt. Dat volgt uit de Privacy-richtlijn 95/46, bij ons de Wet Bescherming Persoonsgegevens.

Is er een mogelijkheid voor auteursrechten-organisaties? Nee, zegt de A-G.

Zo bepaalt Richtlijn 2002/58 betreffende privacy en elektronische communicatie dat verkeersgegevens kunnen worden afgegeven aan “bevoegde organen … met het oog op het beslechten van geschillen, in het bijzonder met betrekking tot interconnectie en facturering”. De Spaanse auteursrechten-organisatie betoogde dat zij daar ook onder vielen, maar de A-G is het daar niet mee eens. Dit gaat uitsluitend over afgeven aan rechtbanken of instanties als de OPTA.

Artikel 15 van deze richtlijn biedt de mogelijkheid om uitzonderingen op deze regels te maken, maar “ruzie over auteursrecht” staat er niet bij:

De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in (…) deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem (…)

De richtlijnen over auteursrecht bieden de mogelijkheid om inbreuk op auteursrecht strafbaar te stellen. Zo is in Nederland “opzettelijke inbreuk op het auteursrecht” strafbaar met zes maanden cel (artikel 31 Auteurswet). Een lidstaat zou kunnen besluiten uitwisseling zonder toestemming via filesharing strafbaar te stellen. In zo’n situatie kan een provider dus verplicht worden mee te werken aan de opsporing van de pleger van dat feit. Maar ook dan gaat het om “opsporen en vervolgen van strafbare feiten” en ook dat biedt geen basis voor het afgeven van die gegevens aan een private organisatie zoals BREIN of de Buma.

De recente richtlijn 2006/24 over bewaren van verkeersgegevens verplicht providers om verkeersgegevens te bewaren en zonodig af te geven. Ook hier weer: alleen aan de bevoegde nationale autoriteiten. Niet aan private organisaties.

Er is met andere woorden geen grondslag in Europees recht om afgifte van verkeersgegevens aan private organisaties toe te staan. Een verbod is dus in overeenstemming met Europees recht. Een plicht tot afgifte is dan echter juist in strijd met dit recht. Maar ja, dat was de vraag niet, en het Hof beantwoordt alleen de vragen die men stelt.

De conclusie van de A-G is trouwens juridisch niet bindend. Dat is alleen het arrest van het Hof, dat over een aantal maanden wordt verwacht. Het Hof kan zonder meer een heel ander besluit nemen. Maar vaak wordt de conclusie wel grotendeels overgenomen.

Arnoud

Portretrecht voor de politie, het blijft een actueel onderwerp. Het Nederlands Juridisch Dagblad bericht over de antwoorden van minister Ter Horst over kamervragen over publicatie van foto’s van agenten. Kort gezegd ziet de minister geen aanleiding om nadere regels te stellen over het politiek-portretrecht.

De regels omtrent het portretrecht bepalen dat bij foto’s als deze een belangenafweging gemaakt moet worden tussen de privacy van de agent en de uitingsvrijheid van degene die de foto publiceert.

Uit jurisprudentie blijkt dat een van de uitgangspunten bij de belangenafweging is dat personen die in het kader van een onderwerp van maatschappelijk belang in het openbaar in de uitoefening van hun functie optreden, zoals politieambtenaren, als publieke personen onder omstandigheden meer kritiek en een grotere inbreuk op hun persoonlijke levenssfeer moeten toestaan dan privépersonen.

Er is dus geen algemeen antwoord te geven op de vraag of agenten op de foto mogen, en of zo’n foto gepubliceerd mag worden. Het hangt er van af.

Arnoud

Perfect 10, de pornoboer met de vele rechtszaken, heeft onlangs een zaak verloren waarin ze probeerde creditcard-maatschappijen aansprakelijk te houden voor inbreuk op auteursrecht door betaalsites. Dat meldt de Register:

Perfect10, which touts its products as featuring “tasteful copyrighted images of the world’s most beautiful natural models,” sued Visa, MasterCard and others after sending repeated notices that some of the websites receiving credit card processing services from the financial institutions contained stolen Perfect10 images.

The court dismissed Perfect10’s contributory copyright claim after determining that the credit card companies had neither materially contributed to nor induced the infringing behavior. Since, the court argued, Visa and MasterCard did not use their payment processing systems to locate, transmit, alter or display copyrighted works, they did not contribute to the infringement.

In de Verenigde Staten kent men naast de “gewone” inbreuk op auteursrecht ook afgeleide varianten. Een “contributory infringer” is iemand die weet van de inbreuk en deze ook nog eens actief steunt. Bijvoorbeeld door de apparatuur te leveren waarmee het kan. Sony werd destijds onder dit leerstuk aangepakt toen ze de Betamax-videorecorder op de markt brachten, maar werd vrijgesproken omdat de videorecorder “substantial noninfringing uses” had en daarmee niet de inbreuken actief steunden. Filesharing bedrijf Grokster ging daarentegen hiermee nat omdat hun software vooral gericht was op het uitwisselen zonder toestemming.

Een “vicarious infringer” weet van de inbreuk en heeft de mogelijkheid om deze te stoppen. Bijvoorbeeld de organisatie van een computerbeurs: die kunnen een kraampje sluiten als daar illegale DVD’s worden verkocht. Doen ze dat niet, dan zijn ze in de VS aansprakelijk voor de inbreuk door die verkopers.

Het argument hier was dus dat de creditcard-maatschappijen onder een van deze varianten moest vallen, omdat zij immers inbreuk steunen door de betaling mogelijk te maken. Bovendien kunnen ze het stoppen: weiger je medewerking, en de inbreukmaker gaat vanzelf failliet.

Het 9e Hof vindt dit echter wel erg vergezocht. Je moet immers meehelpen aan de inbreuk zelf, en niet alleen maar in het algemeen samenwerken met het bedrijf:

The credit card companies cannot be said to materially contribute to the infringement in this case because they have no direct connection to that infringement. Here, the infringement rests on the reproduction, alteration, display and distribution of Perfect 10’s images over the Internet. Perfect 10 has not alleged that any infringing material passes over Defendants’ payment networks or through their payment processing systems, or that Defendants’ systems are used to alter or display the infringing images.

Je bent pas aansprakelijk als je op een of andere manier meehelpt aan de verspreiding van de inbreukmakende materialen zelf. Een online betalingsmogelijkheid doet dat niet. Die heeft net zo veel te maken met de dienst die verkopers leveren als bijvoorbeeld het electriciteitsbedrijf of de cateraar.

Arnoud

CorCom schrijft over de meest cruciale schakel bij het voorkomen van computercriminaliteit, die tegelijkertijd ook vaak de zwakste schakel is: de mens.

Bedrijven, landelijke, regionale en lokale overheden, opsporingsdiensten, verzekeringsmaatschappijen, banken en vliegvelden schermen hun interne netwerk af van het Internet door middel van firewalls, brengen Indringer Detectie Systemen aan, stellen procedures op voor het veilig omgaan met vertrouwelijke informatie en nemen maatregelen voor veilig thuiswerken. Maar het blijft allemaal mensenwerk en mensen kunnen misleid worden om dingen te doen die vanuit veiligheidsoverwegingen niet zouden mogen gebeuren.

Met nuttige tips over hoe social engineering te voorkomen.

Arnoud

Auteursrecht duurt tot zeventig jaar na de dood van de maker, maar is dat wel de optimale duur? Niet volgens onderzoek van Rufus Pollock, die promoveert op innovatie en intellectuele eigendom bij de Universiteit van Cambridge. Ars Technica vat het samen:

Pollock’s work is based on the promise that the optimal level of copyright drops as the costs of producing creative work go down. As it has grown simpler to print books, record music, and edit films using new digital tools, the production and reproduction costs for creative work in have dropped substantially, but actual copyright law has only increased.

Dat laatste verbaast natuurlijk niet. Zo schrijft Pollock zelf ook:

the level of protection is not usually determined by a benevolent and rational policy-maker but rather by lobbying. This results in policy being set to favour those able to lobby effectively – usually groups who are actual, or prospective, owners of a substantial set of valuable copyrights – rather than to produce any level of protection that would be optimal for society as a whole. Furthermore, on this logic, extensions will be obtained precisely when copyright in existing, and valuable, material is about to expire.

Op Slashdot wordt er uitgebreid op doorgegaan. Eén reactie wil ik u niet onthouden:

Ironically, longer copyright protection is arguably more valuable to the Free Software movement than it is to commercial software developers who publish their works in binary form. With a 14-year copyright length, for example, Windows NT 3.1 would soon enter the public domain, but since only binaries were published, free access to it would be of little value. In contrast, all of the GNU software from the same period was published in source form, and with the expiry of its copyright, would become free for commercial developers to use in closed source software.

En inderdaad, de kracht achter het open source model zit hem in de samenwerkingsovereenkomst, het verplicht delen van wijzigingen zodat iedereen op elkaars werk kan voortbouwen.

Arnoud