Internetrecht door Arnoud Engelfriet

Een netwerkprinter aan de University of Washington kreeg een DMCA takedown notice omdat deze zich bezig zou hebben gehouden met illegale verspreiding van films via peer-to-peer netwerken. Nee, niet door ze uit te printen. Netwerkprinters hebben ook IP-adressen, en die adressen kunnen opduiken in filesharing netwerken, waar organisaties zoals Mediasentry weer door getriggerd worden om blafbrieven te sturen.

Om aan te tonen dat dit proces vaak onzorgvuldig en op basis van te weinig bewijs gebeurt, hebben onderzoekers van deze universiteit een aantal simpele technieken bedacht waarmee opzettelijk onjuiste aanmeldingen in filesharing netwerken gedaan worden. Zo kunnen zij elk het doen voorkomen alsof een willekeurig IP-adres elke gewenste film in de aanbieding heeft. Omdat die toezichthoudende clubs niet controleren of die film ook werkelijk daar op te vragen is, kan het dus gebeuren dat een volstrekt onschuldige printer ineens een takedown notice krijgt.

Naast kwaadwillenden die anderen erbij willen lappen, is het ook mogelijk dat mensen per abuis voor illegale filesharers worden aangezien. Vrijwel iedereen gaat het internet op met een dynamisch IP-adres, dat bij elke sessie op internet verandert. Stel iemand gaat met zo’n IP-adres zijn collectie adverteren op een filesharing netwerk, maar verliest ineens zijn internetverbinding omdat hij per ongeluk de stekker uit de PC trekt. Dat IP-adres en de bijbehorende films blijven nog een tijdje ‘rondzingen’ op dat netwerk. In de tussentijd kan het adres alweer aan een nieuwe gebruiker zijn toegekend door de provider. Als de controleur daarna eens gaat kijken wie er nog illegale films in de aanbieding heeft, komt hij via de provider uit bij die nieuwe gebruiker.

Het volledige paper is als PDF beschikbaar. Het abstract:

We reverse engineer copyright enforcement in the popular BitTorrent file sharing network and find that a common approach for identifying infringing users is not conclusive. We describe simple techniques for implicating arbitrary network endpoints in illegal content sharing and demonstrate the effectiveness of these techniques experimentally, attracting real DMCA complaints for nonsense devices, e.g., IP printers and a wireless access point. We then step back and evaluate the challenges and possible future directions for pervasive monitoring in P2P file sharing networks.

Via Schneier on Security.

Arnoud

Helemaal vergeten te melden, sorry. Twee weken terug werd provider Leaseweb in een arrest in hoger beroep veroordeeld wegens het hosten van de site Everlasting, waar torrentbestanden naar illegaal aangeboden films, muziek, software en dergelijke te vinden waren. In eerste instantie werd Leaseweb verplicht de site te sluiten en de NAW-gegevens van de klant aan Brein af te geven. Dat vonnis is nu bekrachtigd.

We weten al dat het hosten van verwijzingen naar inbreukmakend aanbod verboden is, als dat grootschalig en op commerciele basis gebeurt. Zie bijvoorbeeld Brein/KPN. En dat werd ook in dit vonnis bevestigd:

Dit een en ander leidt naar het voorlopige oordeel van het hof tot de conclusie dat Everlasting welbewust een faciliterende rol speelde bij het op grote schaal inbreuk maken op de auteursrechten en/of naburige rechten – naar moet worden aangenomen – (mede) van diegenen voor de bescherming van wier belangen Brein in dit geding opkomt. Daarmee handelt zij onmiskenbaar onrechtmatig jegens diegenen.

Maar hier gaat het nog iets verder: niet de aanbieders van de torrentsite werden gedaagd, maar hun provider, Leaseweb. Want:

Nu het handelen van Everlasting onmiskenbaar onrechtmatig was, dit handelen plaats vond op de door Leaseweb ge-‘hoste’ website en Brein Leaseweb daar voldoende adequaat op had geattendeerd, handelde Leaseweb op haar beurt onrechtmatig door de website niet te verwijderen.

Brein is natuurlijk blij met de uitspraak. Maar ook Leaseweb is tevreden: er is nu helderheid over wat wel en niet mag, en Leaseweb voelt zich nu gesterkt in haar besluit om alle torrentsites te weren als klant. Bij ISPam de reactie van Leaseweb:

We zijn blij met de uitslag van ons hoger beroep tegen stichting Brein. Het is een winst voor LeaseWeb en voor de hostingmarkt. Wij hebben absoluut bereikt wat we wilden bereiken. Eindelijk is er in Nederland juridische duidelijkheid over de status van Bittorrent in Nederland. Door de rechtszaak die we gevoerd hebben, is het pas nu voor iedereen helder dat Bittorrent in Nederland illegaal is.

Die laatste zin is dan wel weer jammer: Bittorrent is niet illegaal, Bittorrent sites zijn niet illegaal, maar Bittorrentsites die verwijzen naar illegaal aanbod zijn illegaal. Maar dat zal wel te genuanceerd zijn geweest.

Arnoud

Een Amerikaanse rechtbank heeft p2p-site Torrentspy een boete opgelegd van 110 miljoen dollar (72 miljoen euro), meldden Nu.nl en Tweakers. De site bood links aan waarmee films en tv-programma’s kunnen worden gedownload. Toch zegt dit weinig over de legaliteit van andere filesharing sites. Torrentspy kreeg deze schadevergoeding vooral opgelegd vanwege haar klunzige manier van omgaan met bewijs.

Zo had Torrentspy tegen de rechter gezegd dat men geen IP-adressen bijhield van gebruikers. Men bleek echter wel een systeem te hebben waarmee gebruikers op basis van IP-adres geband konden worden, en bovendien konden moderatoren wel degelijk IP-adressen van alle gebruikers zien.

Ook ging men na de aanklacht even snel berichtjes op de forums wijzigen: alle titels van beschermde werken werden veranderd in “[een niet nader te noemen film]”. Niet handig als de eiser allang een screendump heeft gemaakt natuurlijk.

Ook niet handig was de mailconversatie tussen de eigenaren over wat te doen met ‘foute’ content: laten we die op een besloten forum zetten, dan ziet de MPAA dat niet. Ja, goed plan! Vooral omdat je in de VS al je e-mailconversaties en al het andere mogelijk relevante bewijs aan de wederpartij moet afgeven als onderdeel van de pre-trial discovery.

Nee, dat had Torrentspy niet handig aangepakt. Bewijs vervalsen of vernietigen is iets waar rechters boos om worden. Bovendien is het automatische gevolg dat je de rechtszaak verliest:

Those actions rubbed the judge the wrong way. “Plaintiffs have convinced the Court that their ability to prove their case has been inalterably prejudiced by Defendants’ willful spoliation of evidence, making terminating sanctions the only effective recourse,” wrote Judge Florence-Marie Cooper in her decision. “The Court has concluded that Defendants’ conduct constitutes spoliation and second, that termination of the case in favor of Plaintiffs is the proper sanction.”

Erg jammer. Want de principiele vraag komt hierdoor niet aan bod. En de hoogte van het bedrag zal andere sites wel twee keer laten nadenken over een schikking in plaats van het voor de rechter te laten komen.

Arnoud

De hashcode-site Shareconnector handelt onrechtmatig door structureel te verwijzen naar illegaal aangeboden films en andere werken op het eDonkey peer-to-peer file sharing netwerk, zo oordeelde de voorzieningenrechter gisteren. Dit is in lijn met de eerdere ZoekMP3- en Dutchtorrent-zaken. Ook daar bleek dat als je links, torrents of andere codes indexeert die verwijzen naar overwegend illegaal aangeboden materiaal, je al snel onrechtmatig handelt.

De rechter motiveert helaas niet of nauwelijks waarom het publiceren van een hashcode dan onzorgvuldig is. De eigenaren van Shareconnector schreven dit half januari:

The whole point is that ShareConnector solely indexes hashcodes (identification) of files that are already available on the eD2k network. Hashcodes are just a bunch of keywords that are initiated as a search in the eMule client when you click on them. The same files can easily be found by copy pasting the filename from legal sites like NFOrce.nl and performing the search in the eMule client/Google/etc. and get the same results. If that is illegal, than all indexing sites like Google should be shutdown as well and that would certainly kill the internet.

Dat is wel een beetje erg makkelijk. “Het is ook bij anderen te vinden, dus ik ben legaal bezig”.

Bovendien is een hashcode wel iets meer dan een trefwoord. Een eDonkey hashcode is een unieke aanduiding van een bestand dat via het eDonkey peer-to-peer file sharing netwerk wordt aangeboden. Een voorbeeld is ed2k://|file|The_Two_Towers-The_Purist_Edit-Trailer.avi|14997504|965c013e991ee246d63d45ea71954c4d|/

Op Shareconnector waren de hashcodes te vinden van films en andere werken die via het eDonkey peer-to-peer netwerk werden aangeboden. Door de codes in te voeren in je eDonkey client, kon je dan snel het juiste bestand downloaden. De client voert dan namelijk een zoekopdracht uit naar alle aangesloten computers die een bestand met deze code hebben. Vervolgens wordt aan al die computers gevraagd een kopie op te sturen.

Nu kun je wel zeggen dat die hashcodes gewoon trefwoorden zijn die gebruikers intypen in een zoekmachine, maar voor hashcodes is een vrijwel geheel geautomatiseerd systeem gebouwd waardoor je met 1 klik het proces in gang zet waarmee het bestand op je computer terechtkomt. Net zoals een webadres misschien wel een trefwoord is (”ga naar iusmentis.com en typ dan ‘auteursrecht hyperlinks’ in de zoekgleuf”), maar ook daar kan dat eenvoudiger (klik hier). Daarom zie ik een aanklikbare verwijzing die automatisch leidt tot een download als meer dan alleen een trefwoord.

Nu zijn hyperlinks legaal, behalve in bijzondere omstandigheden. En sites als Shareconnector zijn zo’n bijzondere omstandigheid. Shareconnector vergelijkt zichzelf met Google, maar dat gaat niet op. Google indexeert zonder enig filter elke site die zij tegenkomt. Wat Google laat zien, heeft geen kwaliteitsgarantie. Shareconnector zorgde wel voor kwaliteit door gebruikers te laten filteren uit de vele duizenden hashcodes voor materiaal op eDonkey. Zij geven aan welke hashcodes corresponderen met goede films en welke je absoluut niet moet hebben (bv. omdat er een virus in zit of omdat het Grieks nagesynchroniseerd met Perzische ondertiteling is).

Een linksite begeeft zich daarmee op juridisch glad ijs. Door de links inhoudelijk te controleren, kun je niet meer volhouden dat je geen boodschap aan de boodschap had. Google kan dat wel.

Opvallend is wel dat de zaak al sinds 2004 speelt en nu pas tot een kort geding komt. Normaal moet je een “spoedeisend belang” kunnen laten zien voor een kort geding, anders moet je een (langer durende maar grondiger) bodemprocedure aanspannen. BREIN had eerst de FIOD om een strafrechtelijk onderzoek gevraagd, wat leidde tot een strafzaak waarin bleek dat hashcodes aanbieden medeplichtigheid aan het misdrijf “opzettelijke inbreuk op het auteursrecht” kon zijn. De sitehouders werden echter vrijgesproken omdat niet bewezen was dat iemand van de aangeboden codes gebruik had gemaakt, en zonder plegers van inbreuk kunnen er natuurlijk geen medeplichtigen zijn. Dat was in juli 2007. Toch had BREIN in december 2007 nog steeds het voor een kort geding vereiste spoedeisend belang.

(Vonnis via Danny, bedankt!)

Arnoud

De Amerikaanse provider Comcast nam wel een heel aparte maatregel om ongewenst Bittorrent-verkeer tegen te gaan, meldt Tweakers. Een klant merkte dat zijn Bittorrent-verkeer wel erg traag ging, en ging op onderzoek uit:

In twee van de drie gevallen mislukte de overdracht, in het derde geval begon deze pas na tien minuten. Toen de onderzoekers nagingen waarom het misging, bleek dat de sessie werd gesloten doordat beide computers een zogenaamd ‘reset’-packet ontvingen, een verzoek om de communicatie te staken. Het afzendadres was dat van de andere computer. Uit de netwerklogs van de computers bleek echter dat zij deze packets niet hadden verzonden. De conclusie was dat ze ergens in het netwerk van Comcast waren toegevoegd.

Ars Technica dook er dieper in, en vond dit citaat uit de New York Times:

Another Comcast executive told the New York Times that the company “occasionally” delays P2P traffic, “postponing” it in some cases. His rather clumsy analogy was that of getting a busy signal when making a phone call and eventually getting through after several attempts. “It will get there eventually,” is the takeaway message.

Alleen, het gaat hier niet om afknijpen of vertragen. Dat men Bittorrent (P2P)-verkeer minder prioriteit geeft, zou tot daar aan toe zijn. Bij een grote download doen tien minuten er niet echt toe. Dan liever mijn mailtjes en chatboodschappen (en de pingtijd van mijn online games) wat sneller.

Wat Comcast doet, is echter het opzettelijk sturen van “reset” packets. Dat is een speciaal soort IP-pakket, dat wordt gestuurd om een verbinding dicht te doen. Inderdaad, dat pakketje zorgt voor die cryptische “Connection reset by peer” boodschap.

Is dit nou strafbaar? Je zou het kunnen zien als het veroorzaken van een “stoornis in de gang of in de werking van werk voor telecommunicatie”, en dat is strafbaar als netwerkvandalisme (art. 161sexies Strafrecht). Maar ik verwacht niet dat de politie snel prioriteit zal geven aan een actie als deze.

Wel kun je je afvragen of Comcast zo wanprestatie pleegt: zij schrijft in haar voorwaarden immers

Our customers enjoy unfettered access to all the content, services, and applications that the Internet has to offer. We respect our customers’ privacy and we don’t monitor specific customer activities on the Internet or track individual online behavior such as which Web sites they visit.

Als je onbeperkte toegang belooft, en vervolgens opzettelijk dingen gaat frustreren, houd je je niet aan jouw kant van het contract. De klant kan dan schadevergoeding eisen.

Arnoud

U en ik hebben daar natuurlijk geen weet van, maar de hoeveelheid porno op file sharing netwerken schijnt gigantisch te zijn. Onlangs stak men (ahem) de koppen bij elkaar om mondeling (haha) te kunnen overleggen. Ars Technica meldt:

The porn industry is sick of people pirating its content, and some players in the industry have finally decided to take an official stand against it. A group of 65 producers, attorneys, and other industry members held a piracy conference last week, billed as one of the first major roundtables for the industry to get together and address what has become a big problem for porn sales.

Men is hard (haha) op zoek naar oplossingen. Een porno-Buma wellicht? Zodanig diep gaan (haha) met de prijs dat de illegale verspreiders er geen meer in zien? Of zijn combinaties van films en fysieke producten wellicht een gat (haha) in de markt?

De creatiefste oplossing las ik in de comments op Tweakers: een porno-BUMA die namen van verspreiders achterhaalt, en een sommatie met betalingsverzoek stuurt in grote opvallende envelop. Liefst gericht aan je vrouw natuurlijk.

Wie nog meer leuke woordspelingen heeft, kan ze hieronder kwijt. Het is tenslotte vrijdagavond!

Arnoud

Langzaam maar zeker ben ik mijn site Iusmentis aan het herverbouwen. Dankzij deze blog wordt steeds duidelijker welke onderwerpen er nu voor internetrecht relevant zijn, en dat vertaal ik dan naar nieuwe thema’s op de site. De nieuwste toevoeging:

Verspreiding van muziek, films en ander auteursrechtelijk beschermd materiaal via zogeheten file sharing (”bestanden delen”) netwerken wordt steeds populairder.

Peer-to-peer (P2P) File sharing (iusmentis.com) door Arnoud Engelfriet.

Arnoud

Een opvallende passage uit het persbericht van BREIN waarin men meldt weer 6 Bittorrent websites uit de lucht te hebben gehaald :

Met de verstrekte naam- en adresgegevens van de site-eigenaren kan BREIN deze in persoon aanspreken om herhaling te voorkomen en schadevergoeding te vorderen. Het komt voor dat service providers niet over betrouwbare klantgegevens beschikken omdat zij toestaan dat deze zich anoniem of met valse gegevens registeren. In dat geval trekken zij de aansprakelijkheid voor de door de site veroorzaakte schade naar zich toe.

Volgens mij heb ik een nieuwe Kluwer collegebundel nodig. Waar staat dat?

Artikel 6:196c BW gaat over de aansprakelijkheid van providers.

Een webhoster valt onder lid 4:

Degene die diensten van de informatiemaatschappij verricht als bedoeld in artikel 15d lid 3 van Boek 3, bestaande uit het op verzoek opslaan van van een ander afkomstige informatie, is niet aansprakelijk voor de opgeslagen informatie, indien hij:
a. niet weet van de activiteit of informatie met een onrechtmatig karakter en, in geval van een schadevergoedingsvordering, niet redelijkerwijs behoort te weten van de activiteit of informatie met een onrechtmatig karakter, dan wel
b. zodra hij dat weet of redelijkerwijs behoort te weten, prompt de informatie verwijdert of de toegang daartoe onmogelijk maakt.

Ik zie daar nergens staan dat ze moeten weten wie hun klanten zijn. Als ze (moeten) weten dat de informatie onrechtmatig is, dan moeten ze de informatie verwijderen. Dat lijkt me logisch, en dat zou ook genoeg moeten zijn.

De Nederlandse wet heeft wel een regeling over afgifte van identificerende gegevens:

Artikel 54A Wetboek van Strafrecht. Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.

Maar let wel: de officier van justitie. Niet Brein.

Dat past ook binnen het advies van de Advocaat-Generaal van het Europese Hof trouwens. Ook die was van mening dat de Richtlijn alleen gebruikt kan worden om afgifte van persoonsgegevens aan opsporingsdiensten toe te staan. Niet aan private personen of organisaties.

Via ISPam.nl.

Arnoud

Schending van auteursrecht is Bagatellkriminalität, aldus de Duitse rechter. In Duitsland kun je als auteursrechthebbende niet zoals in Nederland van een provider eisen dat deze persoonsgegevens van gebruikers afgeeft als die je auteursrecht schenden. Alleen het Openbaar Ministerie kan dit opvragen, wanneer er sprake is van een misdrijf. Maar in deze recente beslissing (die volgens Heise niet uniek is in Duitsland trouwens) wordt schending van auteursrechten niet als ernstig genoeg gezien.

On the grounds of “obvious disproportionateness” the Local Court (AG) in Offenburg had on July 20 prohibited the local public prosecutor’s office from requesting that a provider reveal the personal data that match the IP addresses of alleged P2P network users. Offering a few copyright-protected music tracks via a P2P network client was “a petty offense,” the court declared.

Bovendien leek het niet waarschijnlijk dat de organisatie werkelijk geïnteresseerd was in strafvervolging.

The case did not fulfill the indispensable condition of an investigation being in the public interest, because the offenses committed by the alleged users of the file-sharing network had not “disturbed law and order beyond the sphere of life of the client,” the chief public prosecutor’s office in Celle declared. In addition the offenses were “minor.” And there was no evidence that substantial damage had been done. The chief public prosecutor’s office goes on to say that “some parties may regret the fact” that the legislator has not given holders of copyrights a civil law right to obtain the type of information in question from providers. Such parties “could not however expect such omissions on the part of the legislator to be offset in other areas and in every minor case by the endeavors of the prosecuting authorities with their limited resources.”

Het Duitse beleid is daarmee in lijn met het advies dat onlangs aan het Europese Hof van Justitie werd gegeven over precies dit onderwerp.

Arnoud

Als een provider alles van zijn klanten kan controleren, moet hij dat dan ook gaan doen? Uitgebreid artikel op Ars Technica over Deep packet inspection en de implicaties voor netwerkneutraliteit.

The “deep” in deep packet inspection refers to the fact that these boxes don’t simply look at the header information as packets pass through them. Rather, they move beyond the IP and TCP header information to look at the payload of the packet. The goal is to identify the applications being used on the network, but some of these devices can go much further; those from a company like Narus, for instance, can look inside all traffic from a specific IP address, pick out the HTTP traffic, then drill even further down to capture only traffic headed to and from Gmail, and can even reassemble e-mails as they are typed out by the user.

Met Deep Packet Inspection of DPI wordt het dus mogelijk om op elk niveau te zien wat welke gebruiker uitspookt op internet. Een zorgelijke ontwikkeling, want de belangrijkste reden om Internetproviders niet aansprakelijk te houden voor wat gebruikers doen, was nou juist dat ze dat onmogelijk konden monitoren.

Als providers dat wel kunnen, betekent dat dan dat ze het ook moeten? In dat licht is dat Belgische vonnis over filteren van P2P-verkeer slechts de eerste stap.

Arnoud