Internetrecht door Arnoud Engelfriet

De Amerikaanse provider Comcast nam wel een heel aparte maatregel om ongewenst Bittorrent-verkeer tegen te gaan, meldt Tweakers. Een klant merkte dat zijn Bittorrent-verkeer wel erg traag ging, en ging op onderzoek uit:

In twee van de drie gevallen mislukte de overdracht, in het derde geval begon deze pas na tien minuten. Toen de onderzoekers nagingen waarom het misging, bleek dat de sessie werd gesloten doordat beide computers een zogenaamd ‘reset’-packet ontvingen, een verzoek om de communicatie te staken. Het afzendadres was dat van de andere computer. Uit de netwerklogs van de computers bleek echter dat zij deze packets niet hadden verzonden. De conclusie was dat ze ergens in het netwerk van Comcast waren toegevoegd.

Ars Technica dook er dieper in, en vond dit citaat uit de New York Times:

Another Comcast executive told the New York Times that the company “occasionally” delays P2P traffic, “postponing” it in some cases. His rather clumsy analogy was that of getting a busy signal when making a phone call and eventually getting through after several attempts. “It will get there eventually,” is the takeaway message.

Alleen, het gaat hier niet om afknijpen of vertragen. Dat men Bittorrent (P2P)-verkeer minder prioriteit geeft, zou tot daar aan toe zijn. Bij een grote download doen tien minuten er niet echt toe. Dan liever mijn mailtjes en chatboodschappen (en de pingtijd van mijn online games) wat sneller.

Wat Comcast doet, is echter het opzettelijk sturen van “reset” packets. Dat is een speciaal soort IP-pakket, dat wordt gestuurd om een verbinding dicht te doen. Inderdaad, dat pakketje zorgt voor die cryptische “Connection reset by peer” boodschap.

Is dit nou strafbaar? Je zou het kunnen zien als het veroorzaken van een “stoornis in de gang of in de werking van werk voor telecommunicatie”, en dat is strafbaar als netwerkvandalisme (art. 161sexies Strafrecht). Maar ik verwacht niet dat de politie snel prioriteit zal geven aan een actie als deze.

Wel kun je je afvragen of Comcast zo wanprestatie pleegt: zij schrijft in haar voorwaarden immers

Our customers enjoy unfettered access to all the content, services, and applications that the Internet has to offer. We respect our customers’ privacy and we don’t monitor specific customer activities on the Internet or track individual online behavior such as which Web sites they visit.

Als je onbeperkte toegang belooft, en vervolgens opzettelijk dingen gaat frustreren, houd je je niet aan jouw kant van het contract. De klant kan dan schadevergoeding eisen.

Arnoud

U en ik hebben daar natuurlijk geen weet van, maar de hoeveelheid porno op file sharing netwerken schijnt gigantisch te zijn. Onlangs stak men (ahem) de koppen bij elkaar om mondeling (haha) te kunnen overleggen. Ars Technica meldt:

The porn industry is sick of people pirating its content, and some players in the industry have finally decided to take an official stand against it. A group of 65 producers, attorneys, and other industry members held a piracy conference last week, billed as one of the first major roundtables for the industry to get together and address what has become a big problem for porn sales.

Men is hard (haha) op zoek naar oplossingen. Een porno-Buma wellicht? Zodanig diep gaan (haha) met de prijs dat de illegale verspreiders er geen meer in zien? Of zijn combinaties van films en fysieke producten wellicht een gat (haha) in de markt?

De creatiefste oplossing las ik in de comments op Tweakers: een porno-BUMA die namen van verspreiders achterhaalt, en een sommatie met betalingsverzoek stuurt in grote opvallende envelop. Liefst gericht aan je vrouw natuurlijk.

Wie nog meer leuke woordspelingen heeft, kan ze hieronder kwijt. Het is tenslotte vrijdagavond!

Arnoud

Langzaam maar zeker ben ik mijn site Iusmentis aan het herverbouwen. Dankzij deze blog wordt steeds duidelijker welke onderwerpen er nu voor internetrecht relevant zijn, en dat vertaal ik dan naar nieuwe thema’s op de site. De nieuwste toevoeging:

Verspreiding van muziek, films en ander auteursrechtelijk beschermd materiaal via zogeheten file sharing (”bestanden delen”) netwerken wordt steeds populairder.

Peer-to-peer (P2P) File sharing (iusmentis.com) door Arnoud Engelfriet.

Arnoud

Een opvallende passage uit het persbericht van BREIN waarin men meldt weer 6 Bittorrent websites uit de lucht te hebben gehaald :

Met de verstrekte naam- en adresgegevens van de site-eigenaren kan BREIN deze in persoon aanspreken om herhaling te voorkomen en schadevergoeding te vorderen. Het komt voor dat service providers niet over betrouwbare klantgegevens beschikken omdat zij toestaan dat deze zich anoniem of met valse gegevens registeren. In dat geval trekken zij de aansprakelijkheid voor de door de site veroorzaakte schade naar zich toe.

Volgens mij heb ik een nieuwe Kluwer collegebundel nodig. Waar staat dat?

Artikel 6:196c BW gaat over de aansprakelijkheid van providers.

Een webhoster valt onder lid 4:

Degene die diensten van de informatiemaatschappij verricht als bedoeld in artikel 15d lid 3 van Boek 3, bestaande uit het op verzoek opslaan van van een ander afkomstige informatie, is niet aansprakelijk voor de opgeslagen informatie, indien hij:
a. niet weet van de activiteit of informatie met een onrechtmatig karakter en, in geval van een schadevergoedingsvordering, niet redelijkerwijs behoort te weten van de activiteit of informatie met een onrechtmatig karakter, dan wel
b. zodra hij dat weet of redelijkerwijs behoort te weten, prompt de informatie verwijdert of de toegang daartoe onmogelijk maakt.

Ik zie daar nergens staan dat ze moeten weten wie hun klanten zijn. Als ze (moeten) weten dat de informatie onrechtmatig is, dan moeten ze de informatie verwijderen. Dat lijkt me logisch, en dat zou ook genoeg moeten zijn.

De Nederlandse wet heeft wel een regeling over afgifte van identificerende gegevens:

Artikel 54A Wetboek van Strafrecht. Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.

Maar let wel: de officier van justitie. Niet Brein.

Dat past ook binnen het advies van de Advocaat-Generaal van het Europese Hof trouwens. Ook die was van mening dat de Richtlijn alleen gebruikt kan worden om afgifte van persoonsgegevens aan opsporingsdiensten toe te staan. Niet aan private personen of organisaties.

Via ISPam.nl.

Arnoud

Schending van auteursrecht is Bagatellkriminalität, aldus de Duitse rechter. In Duitsland kun je als auteursrechthebbende niet zoals in Nederland van een provider eisen dat deze persoonsgegevens van gebruikers afgeeft als die je auteursrecht schenden. Alleen het Openbaar Ministerie kan dit opvragen, wanneer er sprake is van een misdrijf. Maar in deze recente beslissing (die volgens Heise niet uniek is in Duitsland trouwens) wordt schending van auteursrechten niet als ernstig genoeg gezien.

On the grounds of “obvious disproportionateness” the Local Court (AG) in Offenburg had on July 20 prohibited the local public prosecutor’s office from requesting that a provider reveal the personal data that match the IP addresses of alleged P2P network users. Offering a few copyright-protected music tracks via a P2P network client was “a petty offense,” the court declared.

Bovendien leek het niet waarschijnlijk dat de organisatie werkelijk geïnteresseerd was in strafvervolging.

The case did not fulfill the indispensable condition of an investigation being in the public interest, because the offenses committed by the alleged users of the file-sharing network had not “disturbed law and order beyond the sphere of life of the client,” the chief public prosecutor’s office in Celle declared. In addition the offenses were “minor.” And there was no evidence that substantial damage had been done. The chief public prosecutor’s office goes on to say that “some parties may regret the fact” that the legislator has not given holders of copyrights a civil law right to obtain the type of information in question from providers. Such parties “could not however expect such omissions on the part of the legislator to be offset in other areas and in every minor case by the endeavors of the prosecuting authorities with their limited resources.”

Het Duitse beleid is daarmee in lijn met het advies dat onlangs aan het Europese Hof van Justitie werd gegeven over precies dit onderwerp.

Arnoud

Als een provider alles van zijn klanten kan controleren, moet hij dat dan ook gaan doen? Uitgebreid artikel op Ars Technica over Deep packet inspection en de implicaties voor netwerkneutraliteit.

The “deep” in deep packet inspection refers to the fact that these boxes don’t simply look at the header information as packets pass through them. Rather, they move beyond the IP and TCP header information to look at the payload of the packet. The goal is to identify the applications being used on the network, but some of these devices can go much further; those from a company like Narus, for instance, can look inside all traffic from a specific IP address, pick out the HTTP traffic, then drill even further down to capture only traffic headed to and from Gmail, and can even reassemble e-mails as they are typed out by the user.

Met Deep Packet Inspection of DPI wordt het dus mogelijk om op elk niveau te zien wat welke gebruiker uitspookt op internet. Een zorgelijke ontwikkeling, want de belangrijkste reden om Internetproviders niet aansprakelijk te houden voor wat gebruikers doen, was nou juist dat ze dat onmogelijk konden monitoren.

Als providers dat wel kunnen, betekent dat dan dat ze het ook moeten? In dat licht is dat Belgische vonnis over filteren van P2P-verkeer slechts de eerste stap.

Arnoud

Netkwesties schrijft in Vrijspraak met bijsmaak een mooi overzicht van de strafzaak inzake het aanbieden van codes voor peer-to-peer uitwisseling.

Ondanks de vrijspraak voor van ‘georganiseerde piraten’ in het eerste Nederlandse strafproces voor p2p-beheerders schept de Rotterdamse rechtbank een opmerkelijk precedent: het beheren van linksites kan in beginsel wél strafbaar zijn. Ze zijn ‘medeplichtig’ aan illegaal uploaden, in principe althans.

Arnoud

In een opmerkelijk Belgisch vonnis is internetprovider Scarlet (Tiscali) veroordeeld om filesharing verkeer van klanten te voorzien van een filter. Dat filter moet materiaal detecteren waarvan de rechthebbenden de verspreiding hebben verboden. Sabam pakt gelijk maar door en eist dat ook alle andere Belgische ISP’s zo’n filter installeren. Scarlet gaat in hoger beroep trouwens.

Dat filteren werkt met zogeheten digitale vingerafdrukken, zoals bijvoorbeeld Audible Magic en Gracenote (dat het kocht van Philips trouwens). Van muziek en film worden dan bepaalde unieke kenmerken gemeten, zoals veranderingen in signaalsterkte binnen bepaalde frequentiebanden. Deze worden, net als echte vingerafdrukken, vergeleken met eerder opgeslagen kenmerken in een database. Staat het werk in die database, dan mag het werk niet verspreid worden. Dat werkt in principe dus betrouwbaarder dan het enkele filteren op bestandsnaam of titel en naam van de artiest (wat bij Napster een totale mislukking werd).

Juridisch gezien is deze beslissing opmerkelijk, omdat hiermee een provider via de achterdeur aansprakelijk gehouden wordt voor inbreukmakende handelingen van klanten. Zoals Christiaan Alberdingk Thijm schrijft:

Je bent misschien niet aansprakelijk voor het uitwisselen van muziek, maar wel voor het nalaten maatregelen daartegen te treffen. Scarlet moet voor de kosten van de maatregelen opdraaien en enorme boetes betalen indien deze inadequaat zijn.

De belangrijkste eis om niet aansprakelijk gehouden te worden is namelijk dat providers niet filteren. Artikel 6:196c BW zegt letterlijk dat een provider “niet aansprakelijk [is] voor de doorgegeven informatie, indien hij: … de doorgegeven informatie niet heeft geselecteerd of gewijzigd.” Filteren is een vorm van selecteren, je laat immers alleen door wat het filter niet tegenhoudt.

Bovendien is er nog een ander probleem. De vingerafdruk wordt genomen van ongeveer 10 seconden van de muziek. Als iemand nu zo’n stukje om legitieme redenen gebruikt (bijvoorbeeld een citaat), zal het werk toch tegengehouden worden. Op deze manier filteren zou dus hooguit toegestaan moeten zijn als vaststaat dat het gehele werk wordt gedeeld zonder toestemming.

Een creatief alternatief is in mei door de Amerikaanse profielensite Myspace ingevoerd: “Take down and stay down“. De vingerafdruk wordt daar pas genomen na de eerste klacht. Vanaf dat moment kan geen enkele gebruiker het werk meer publiceren bij zijn of haar profiel. Dit vind ik een stuk redelijker. Er ligt dan een concrete klacht over een specifiek werk. Dat is reactief in plaats van pro-actief. En het past ook binnen de wet: een provider die materiaal aanbiedt dat inbreukmakend blijkt te zijn, is niet aansprakelijk als hij “prompt de nodige maatregelen neemt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken” na een klacht.

Arnoud

Wat betekent de conclusie van de advocaat-generaal van het Europese Hof van Justitie over het afgeven van verkeersgegevens van klanten?

Over het afgeven van persoonsgegevens door providers is veel te doen. Recente jurisprudentie lijkt te suggereren dat dat altijd moet als er een klacht komt van bijvoorbeeld BREIN of de Buma. Zelfs XS4All heeft haar beleid op dit punt versoepeld. Nu moet het Europese Hof zich voor de eerste keer buigen over de vraag of een provider verplicht kan worden persoonsgegevens aan auteursrechten-organisaties af te geven.

Er zijn nu al twee stromingen over wat deze conclusie betekent: afgifte van verkeersgegevens is verboden, of juist het verbieden van afgifte is toegestaan.

Kokott begint namelijk als volgt (met dank aan Planet voor de vertaling)

Hieruit volgend zal ik aantonen dat de gemeenschapsrechterlijke voorschriften over databescherming bij elektronische communicatie de doorgifte van persoonlijke verkeersdata slechts toestaan aan instellingen van de staat en geen directe doorgifte aan de vertegenwoordigers van rechtenorganisaties, die hun eisen civielrechtelijk kunnen vorderen.

Dat lijkt dus duidelijk: afgifte is verboden.

De uiteindelijke aanbeveling aan het Hof is echter veel minder verstrekkend:

Het is met het Gemeenschapsrecht verenigbaar wanneer Lidstaten de doorgifte van persoonlijke verkeersgegevens in het kader van civielrechtelijke handhaving van auteursrechten verbieden.

En daarom zegt BREIN:

De conclusie van de AG komt erop neer dat het EU recht toestaat dat lidstaten bepalen dat persoonsgegevens niet voor dit doel aan private patrijen mogen worden afgegeven. Als het Europese hof die conclusie volgt dan is vervolgens de vraag of een lidstaat een dergelijke uitsluiting kent. In die landen zou dan alleen strafrechtelijke vervolging van inbreukmakende p2p-gebruikers zijn toegestaan. In Nederland is dat niet het geval.

Maar dat gaat me ook weer te snel. Het Hof moet antwoord geven op vragen van nationale rechtbanken, en de vraag was hier, “mag de Spaanse rechter verbieden dat persoonsgegevens worden afgegeven in civiele zaken?” Het antwoord daarop is dus “ja”, met als motivatie dat Europees recht geen ruimte biedt voor afgifte.

De vraag was niet “mogen providers verplicht worden persoonsgegevens afgeven in civiele zaken”. Het antwoord daarop zou zijn geweest “nee, want Europees recht biedt daar geen ruimte voor.”

Het uitgangspunt is dat verkeersgegevens en IP-adressen persoonsgegevens zijn en dus alleen mogen worden afgegeven als Europese wetgeving daar de mogelijkheid voor biedt. Dat volgt uit de Privacy-richtlijn 95/46, bij ons de Wet Bescherming Persoonsgegevens.

Is er een mogelijkheid voor auteursrechten-organisaties? Nee, zegt de A-G.

Zo bepaalt Richtlijn 2002/58 betreffende privacy en elektronische communicatie dat verkeersgegevens kunnen worden afgegeven aan “bevoegde organen … met het oog op het beslechten van geschillen, in het bijzonder met betrekking tot interconnectie en facturering”. De Spaanse auteursrechten-organisatie betoogde dat zij daar ook onder vielen, maar de A-G is het daar niet mee eens. Dit gaat uitsluitend over afgeven aan rechtbanken of instanties als de OPTA.

Artikel 15 van deze richtlijn biedt de mogelijkheid om uitzonderingen op deze regels te maken, maar “ruzie over auteursrecht” staat er niet bij:

De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in (…) deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem (…)

De richtlijnen over auteursrecht bieden de mogelijkheid om inbreuk op auteursrecht strafbaar te stellen. Zo is in Nederland “opzettelijke inbreuk op het auteursrecht” strafbaar met zes maanden cel (artikel 31 Auteurswet). Een lidstaat zou kunnen besluiten uitwisseling zonder toestemming via filesharing strafbaar te stellen. In zo’n situatie kan een provider dus verplicht worden mee te werken aan de opsporing van de pleger van dat feit. Maar ook dan gaat het om “opsporen en vervolgen van strafbare feiten” en ook dat biedt geen basis voor het afgeven van die gegevens aan een private organisatie zoals BREIN of de Buma.

De recente richtlijn 2006/24 over bewaren van verkeersgegevens verplicht providers om verkeersgegevens te bewaren en zonodig af te geven. Ook hier weer: alleen aan de bevoegde nationale autoriteiten. Niet aan private organisaties.

Er is met andere woorden geen grondslag in Europees recht om afgifte van verkeersgegevens aan private organisaties toe te staan. Een verbod is dus in overeenstemming met Europees recht. Een plicht tot afgifte is dan echter juist in strijd met dit recht. Maar ja, dat was de vraag niet, en het Hof beantwoordt alleen de vragen die men stelt.

De conclusie van de A-G is trouwens juridisch niet bindend. Dat is alleen het arrest van het Hof, dat over een aantal maanden wordt verwacht. Het Hof kan zonder meer een heel ander besluit nemen. Maar vaak wordt de conclusie wel grotendeels overgenomen.

Arnoud

Mag je zomaar links naar films verzamelen en publiceren? Marco Raaphorst citeert het -volgens mij machinaal vertaalde- auteursrecht-beleid van Flowed, de Nederlandse Joox:

Wij bevorderen geen piraterij. Wij moedigen onze bezoekers niet aan om onwettige video’s te uploaden. Dit is slechts een vrij openbaar-archief van verbindingen aan media beschikbaar op andere plaatsen. Het verzekeren van de wettigheid van het video beschikbare materiaal zou door moeten worden behandeld uploadt beleid van de websites die wij hebben verbonden met, maar gewoonlijk aan hun uploadersdiscretie verlaten.

Hyperlinks zijn legaal. Op zich is het dan ook geen probleem om een linksite te bouwen, of dat nu met links naar webpagina’s is of naar MP3’s of zelfs streaming video. Of torrents natuurlijk.

Er zijn echter grenzen. Voor linksites blijken die uit de Techno Design zaak:

1. het soort materialen dat je indexeert (waar je links naar verzamelt) wordt overwegend illegaal aangeboden
2. je weet dat je bezoekers met name naar de illegaal aangeboden materialen zoeken
3. je verdient daar geld mee

Arnoud