Internetrecht door Arnoud Engelfriet

Alweer even geleden, maar ik was er helemaal over vergeten te bloggen. Dit voorjaar volgde ik het interessante mastervak Electronic Commerce: international legal aspects bij de Universiteit van Tilburg. Samen met twee medestudenten schreef ik als onderdeel van dat vak de column “Real human rights in virtual words”, die werd gepubliceerd bij NJblog:

Virtual worlds are artificial, fictitious, and invented, they are unreal. But this does not mean they fall entirely outside the ambit of reality – or the law. Virtual worlds are no longer “just a game for nerds.” By 2011, four out of every five people who use the internet will work or play in virtual worlds. 1 Millions of people spend a large portion of their waking lives in virtual worlds.2 And more than just work or play: they form communities, social groups of people that share a common interest or background. Virtual worlds therefore mean a great deal to a large number of people and social activities that are conducted in virtual worlds should be protected by real-world laws.

People and communities have human rights. They are allowed to assemble on the church square, demonstrate in front of the town hall or preach their convictions in the park. But how far do these rights go in virtual worlds? Operated by companies and regulated by the End-User License Agreement (EULA), these worlds are private spaces. While most human rights are also in force in horizontal relations between citizens, it is possible to surrender the exercise of these rights as a condition of access to someone else’s private space.

Lees verder in Real human rights in virtual worlds bij NJblog.

En teken daarna snel alsnog in voor mijn boek!

Arnoud
(Afbeelding via Freakitude)

Het internet blijkt bijzonder kwetsbaar voor een vrijwel niet op te sporen of te bestrijden fout, zo werd onlangs bekend. De fout zit in het zogeheten Border Gateway Protocol, waar alle routering van internetpakketjes mee gebeurt. Het blijkt triviaal om pakketjes ongemerkt om te leiden via een zelfgekozen server, zodat deze afgetapt en/of gefilterd kunnen worden zonder dat iemand dat kan detecteren.

Is dat strafbaar? Je zou denken van wel. Aftappen van datacommunicatie is toch computercriminaliteit? Ja, maar alleen als het gaat om “wederrechtelijk” aftappen. Wie mij een e-mail stuurt, kan me moeilijk verwijten dat ik die lees.

Hier gebeurt iets analoogs: de aanvaller stuurt berichtjes rond die neerkomen op “ik kan heel snel alle pakketjes onderweg naar Google.com doorgeven”. Het BGP is nogal naïef opgezet en gelooft alles wat hem verteld wordt. Alle pakketjes naar Google gaan dan via de servers van de aanvaller.

Is het strafbaar om misbruik te maken van naïviteit?

Arnoud

De Software Freedom Law Center (SFLC) heeft een gids uitgebracht over hoe bedrijven zich aan de GPL moeten houden. De SFLC is verantwoordelijk voor de meeste Amerikaanse rechtszaken over inbreuk op de GPL, hoewel ze in tegenstelling tot het Duitse GPL-Violations.org eigenlijk altijd schikken, maar dat terzijde.

Nu wil je als bedrijf natuurlijk niet in een rechtszaak verwikkeld raken over een vermeende GPL-schending, of er nu geschikt wordt of niet. Het is dus zaak te zorgen dat je weet aan welke verplichtingen je je moet houden, en om dat ook aan je ontwikkelaars uit te dragen. Plus, niet te vergeten, aan je bedrijfsjurist of advocaat, zodat die niet de hele tijd “nee” zegt uit vermeende angst voor aansprakelijkheid of het zogenaamde virale aspect van de GPL. Deze gids kan daarbij helpen.

De belangrijkste punten uit de gids op een rijtje:

• Weet wanneer de licentie van toepassing is: klinkt als een open deur, maar dit is de grootste uitdaging voor bedrijven die GPL software gebruiken.
• Let op uw software-acquisitie: uw leveranciers leveren u open source, en met een beetje geluk weten ze dat zelf ook. Controleer dus wat u krijgt, en neem een boetebeding op in de leveringscontracten voor het geval u iets krijgt waar u niet om gevraagd heeft.
• Houd alle releases goed bij: tussen releases kan het nodige veranderen aan de software-architectuur. De kans is dan aanwezig dat GPL software ineens anders wordt meegelinkt of gecombineerd, en dat kan juridische gevolgen hebben.
• Ontsla uw “build guru”: zorg ervoor dat het build-proces waarmee de software wordt gecompileerd en voor verspreiding geschikt gemaakt, niet afhankelijk is van één persoon. De kennis in het hoofd van die persoon moet worden gedeeld.

Deze punten zijn inderdaad relevant voor elk bedrijf, maar hoe je ze praktisch uitwerkt is een heel ander verhaal. Ik heb zelf van 2002 tot 2008 bij Philips aan deze en vergelijkbare punten gewerkt, en ik weet uit eigen ervaring en die van collega’s bij andere bedrijven dat dit soms jaren kan duren om goed te krijgen. Met name het punt van leveranciers is een continu proces van aandacht, opletten en aanpakken. Deze gids is dan ook een goed startpunt om je eigen bedrijfsprocessen mee te verbeteren, maar verwacht niet dat het rondmailen van deze gids naar de ontwikkelaars en juristen voldoende is om open source problemen te vermijden.

De gids bevat verder nog een goede uitleg over wat je nu precies moet uitleveren als je GPL software in een product verwerkt, en een sectie over hoe om te gaan met vermeende inbreuk op de GPL.

Via Slashdot.

Arnoud

Luchtvaartmaatschappij Ryanair heeft een hoogoplopend conflict met enkele vliegwebsites meldde Nu.nl gisteren. De sites zouden de ticketprijzen van de site van Ryanair ’scrapen’ om daarmee leuke aanbiedingen met een minstens zo leuke marge er bovenop te kunnen doen.

De truc is dat een robotje van de vliegwebsites zich aanmeldt op de site van Ryanair, zogenaamd als onschuldige consument op zoek naar een ticket. De actuele prijzen van Ryanair worden zo uitgelezen (die kunnen per dag of zelfs per query veranderen) en met de bovengenoemde leuke marge getoond als speciale aanbieding op de vliegwebsite. Wil een bezoeker daar van die aanbieding gebruik maken, dan meldt het robotje zich weer bij Ryanair om met de gegevens van die bezoeker het ticket te bestellen.

Mag dat zomaar? Het scrapen van andermans site is juridisch nogal tricky. Je krijgt te maken met databankrechten, auteursrechten en geschifte, pardon geschriftenbescherming. Ryanair heeft al een paar jaar geleden een creatieve eigen manier bedacht om aan deze praktijken een einde te maken. Men weigert simpelweg tickets te leveren wanneer zo’n robotje het ticket bestelt namens een klant. Die manier van werken is verboden in de algemene voorwaarden van Ryanair.

Maar waar maakt Ryanair zich zo druk om? Een klant is een klant, zou je zeggen. Vliegwebsite Ebookers.ie verklaart in Silicon Republic dat het Ryanair te doen zou zijn om de extra’s die men naast de goedkope tickets probeert te slijten. Op hotel- en autohuur verdient Ryanair meer dan op de tickets, aldus Ebookers. En omdat anderen ook onder die prijzen gaan zitten, wil Ryanair hen het leven moeilijk maken.

Ryanair heeft aangekondigd te gaan lobbyen voor meer juridische bescherming van prijsinformatie en het via robotjes laten doen van bestellingen. Zucht.

Arnoud

Professor Bernt Hugenholtz stelt zich in een open brief aan de Europese Commissie zeer kritisch op over het zogeheten forward-looking package van diezelfde Commissie. Naast een ongetwijfeld interessant Groenboek bevat dit voorstel namelijk een voorstel tot verlenging van de bescherming voor naburige rechten (op geluids- en filmopnames) van 50 naar 95 jaar na opname. “The extended term would benefit performers who could continue earning money over an additional period.” staat er dan ook doodleuk als motivatie in het voorstel bij.

Het Instituut voor Informatierecht, waar Hugenholtz directeur van is, heeft de afgelopen jaren twee uitgebreide studies uitgevoerd in opdracht van de Europese Commissie over de consequenties van verlenging van auteursrechten en naburige rechten. De conclusie: niet doen, die verlenging.

In het vooruitkijkend pakket staat echter geen enkele verwijzing naar deze studies. Sterker nog, in het voorstel staat dat er geen noodzaak was om bij de consultatie enige externe expertise in te schakelen. Leuk inderdaad, als twee jaar werk op die manier afgepoeierd wordt. Vooral als ze dan precies met die argumenten komen die jij in dat werk keurig weerlegd hebt.

En ja, het voorstel is echt alleen gebaseerd op het idee “anders verliezen artiesten hun inkomsten.” Geluidsopnamen uit de jaren ‘50 en ‘60 zijn binnenkort namelijk publiek domein. Mooi, zou ik denken. Maar nee, dat zou betekenen dat artiesten “lose all of their contractual royalty income or statutory remuneration for broadcasting and communication to the public over the next ten years. This would have considerable social and cultural impacts.”

Waarom het erg is dat mensen die royalties kwijtraken, staat er niet bij. Dat kan ook niet, want daar is geen fatsoenlijke motivatie voor te geven. Zoveel wordt wel duidelijk uit de studies van het IViR. Nou mag je het daar best mee oneens zijn - zoals de Commissie ook duidelijk is - maar het is dan wel zo netjes om aan te geven waarom en wat dan je tegenargumenten zijn.

Uit de brief:

By wilfully ignoring scientific analysis and evidence that was made available to the Commission upon its own initiative, the Commission’s recent Intellectual Property package does not live up to this ambition. Indeed, the Commission’s obscuration of the IViR studies and its failures to confront the critical arguments made therein seem to reveal an intention to mislead the Council and the Parliament, as well as the citizens of the European Union.

Inderdaad.

Via Livre.

Arnoud

Een netwerkprinter aan de University of Washington kreeg een DMCA takedown notice omdat deze zich bezig zou hebben gehouden met illegale verspreiding van films via peer-to-peer netwerken. Nee, niet door ze uit te printen. Netwerkprinters hebben ook IP-adressen, en die adressen kunnen opduiken in filesharing netwerken, waar organisaties zoals Mediasentry weer door getriggerd worden om blafbrieven te sturen.

Om aan te tonen dat dit proces vaak onzorgvuldig en op basis van te weinig bewijs gebeurt, hebben onderzoekers van deze universiteit een aantal simpele technieken bedacht waarmee opzettelijk onjuiste aanmeldingen in filesharing netwerken gedaan worden. Zo kunnen zij elk het doen voorkomen alsof een willekeurig IP-adres elke gewenste film in de aanbieding heeft. Omdat die toezichthoudende clubs niet controleren of die film ook werkelijk daar op te vragen is, kan het dus gebeuren dat een volstrekt onschuldige printer ineens een takedown notice krijgt.

Naast kwaadwillenden die anderen erbij willen lappen, is het ook mogelijk dat mensen per abuis voor illegale filesharers worden aangezien. Vrijwel iedereen gaat het internet op met een dynamisch IP-adres, dat bij elke sessie op internet verandert. Stel iemand gaat met zo’n IP-adres zijn collectie adverteren op een filesharing netwerk, maar verliest ineens zijn internetverbinding omdat hij per ongeluk de stekker uit de PC trekt. Dat IP-adres en de bijbehorende films blijven nog een tijdje ‘rondzingen’ op dat netwerk. In de tussentijd kan het adres alweer aan een nieuwe gebruiker zijn toegekend door de provider. Als de controleur daarna eens gaat kijken wie er nog illegale films in de aanbieding heeft, komt hij via de provider uit bij die nieuwe gebruiker.

Het volledige paper is als PDF beschikbaar. Het abstract:

We reverse engineer copyright enforcement in the popular BitTorrent file sharing network and find that a common approach for identifying infringing users is not conclusive. We describe simple techniques for implicating arbitrary network endpoints in illegal content sharing and demonstrate the effectiveness of these techniques experimentally, attracting real DMCA complaints for nonsense devices, e.g., IP printers and a wireless access point. We then step back and evaluate the challenges and possible future directions for pervasive monitoring in P2P file sharing networks.

Via Schneier on Security.

Arnoud

Intrigerend. Via SOLV vond ik een vonnis over stalking via internet, waarbij de dader onder andere een website en Hyve had aangemaakt met de naam en foto van zijn slachtoffer. Perfect dus voor een blogpost, maar toen ik het vonnis wilde lezen, kreeg ik slechts: Deze uitspraak is ingetrokken door de centrale redactie.

Nu zag ik in de bespreking bij Solv de nodige namen en andere persoonlijke details genoemd. Vonnissen op rechtspraak.nl worden altijd geanonimiseerd, maar in dit geval was dat niet gebeurd. Alleen zou ik dan verwachten dat men het vonnis alsnog snel anonimiseert in plaats van het geheel weg te laten.

Mogelijkerwijs besloot de redactie dat de privacy van de slachtoffers dusdanig zwaar woog dat het hele vonnis maar offline moest. Jammer, maar begrijpelijk. Want het is toch een intrigerende uitspraak als je leest:

In het licht van bovenstaand, verbiedt de rechter [gedaagde] onder meer om zich in woord en/of geschrift, of dat nu via internet, weblog, e-mail, sms, krant, persoonlijke schrijvens en circulaires of anderszins is, uit te laten omtrent [eisers] of zijn relatie met (één van) hen of zijn gevoelens jegens één van hen.

(anonimisering door mij)

Arnoud

De tijd van graduated response tegen inbreuk op auteursrecht is gekomen, zo citeert Ars Technica de IFPI. Graduated response, in de VS ook wel bekend als three-strikes beleid, is een aanpak waarbij een provider bij gemelde inbreuk op rechten zelfstandig optreedt tegen de verantwoordelijke klant. Eerst met een waarschuwing, dan met een sommatie en dan met afsluiting van (een deel van) de internetdienstverlening. Zo’n systeem van waarschuwingen is in juli in Engeland ingevoerd.

Nu zie ik niet zo veel problemen met de klanten verplicht waarschuwen. Dat maakt de provider een doorgeefluik tussen klager en klant. In plaats van persoonsgegevens te moeten afgeven (met alle privacyimplicaties en -risico’s van dien) stuurt de provider langs de bekende weg de berichten door. De klant kan er dan zelf voor kiezen om direct te reageren. In de door Remy Chavannes voorgestelde Nomen Nescio-procedure zou de provider uiteindelijk ook de dagvaarding door moeten sturen, waarna de klant zelf gedaagd wordt.

Wat me wel zorgen baart, is het vervolg op “three strikes”, namelijk “you’re OUT”. Afsluiten van internet, of zelfs maar een deel daarvan, is een ingrijpende maatregel die alleen na een gerechtelijk vonnis opgelegd zou mogen worden. Recht op toegang is tenslotte een grondrecht, en daarin zijn inbreuken alleen toegelaten als die bij wet geregeld zijn. Ik zou zelfs zeggen in de strafwet, zodat je als internetter de hoogstemogelijke bescherming krijgt.

Arnoud

Reden voor een feestje: IE-blog Boek 9 heeft een nieuwe huisstijl, en belangrijker, heeft eindelijk paginatitels die overeenkomen met waar de pagina over gaat.

Bij deze beloof ik dus plechtig niet meer naar deze blog te verwijzen als “Volledig bericht, pardon Boek 9″.

Alleen, waarom zegt de RSS feed afkomstig te zijn van Energierecht.nu?

Arnoud

Oeps: de BUMA mag geen licenties voor online muziekgebruik meer geven. Althans wanneer de website buiten Nederland te benaderen is. Dat blijkt uit een vonnis in kort geding dat gisteren werd gepubliceerd. BUMA is niet gerechtigd om licenties voor muziekwerk van buitenlandse artiesten te verkopen voor gebruik buiten Nederland.

Elk land heeft zijn eigen rechtenorganisatie. In Nederland is dat de BUMA, in Groot-Brittannië is dat de Performing Right Society (PRS), Deze organisaties hebben een leuk Europees kartel opgezet. Iedere organisatie geeft iedere andere organisatie het recht om licenties te geven voor bij hen aangesloten leden, maar alleen in het land waar die andere organisatie actief is. De BUMA mag dus licenties verkopen voor Britse muzikanten (die bij PRS zitten), maar alleen voor muziekgebruik in Nederland.

Nu is dat contract uit 1936 (ja, 1936) dus hoe er moest worden omgegaan met online muziekgebruik was nooit echt duidelijk geregeld. Na een tijdelijke regeling die in 2003 afliep, kregen PRS en BUMA kennelijk ruzie want er werd verder niets meer geregeld. In juli 2008 verkocht BUMA een licentie voor heel Europa aan Beatport.

Daar werd PRS heel boos om, en stapte naar de rechter. En die besliste nu dus dat BUMA daar het recht niet voor had:

De voorzieningenrechter in kort geding verbiedt de Nederlandse muziekrechtenorganisatie BUMA om licenties voor online muziekgebruik (via satelliet, kabel of internet) van het muziekrepertoire van de Britse muziekrechtenorganisatie PRS buiten Nederland aan te bieden, af te sluiten of daaraan uitvoering te geven. BUMA is niet bevoegd dergelijke licenties te verlenen, nu PRS haar die rechten nimmer heeft overgedragen. Een redelijke contractsuitleg van de wederzijdse overeenkomst tussen partijen brengt dat ook niet mee.

Dat maakt de waarde van een BUMA-licentie voor internetmuziekwinkels of webcasting stations dus behoorlijk twijfelachtig. Een treurige zaak, want zonder Europawijde licentie is een muziekwebsite niet of nauwelijks nog te opereren.

BUMA had terecht nog aangevoerd dat de bovengenoemde marktverdeling in feite een verboden kartel is (iets wat de Europese Commissie in 2000 ook al vond), maar de rechter vond dat geen aanleiding om het verbod te weigeren. Het enkele beperken tot een bepaald land is nog geen verboden marktverdeling.

Met een beetje pech zit elke Europese muzieksite straks ook achter zo’n irritante “wij kunnen aan uw IP-adres zien dat u uit Nederland komt en mogen u dus helaas geen muziek leveren” venstertje. Mooi is dat. Gelukkig is downloaden uit illegale bron nog steeds legaal bij ons.

Via Boek9.nl (!!!).

Arnoud