Internetrecht door Arnoud Engelfriet

De OPTA heeft een bedrijf en een persoon onterecht een boete opgelegd voor betrokkenheid bij de DollarRevenue-spywarezaak, meldde Tweakers gisteren. Een wat merkwaardige insteek: je zou denken dat het grote nieuws is dat de EULA bij de adware/spyware als onvoldoende duidelijk werd aangemerkt en je niet langs deze weg legaal software mag installeren. Dat de OPTA dan ten onrechte één BV en één van de directeuren privé had beboet, lijkt me dan meer iets voor de vierde alinea.

De boete werd opgelegd in 2007 vanwege het ongevraagd installeren van software, wat namelijk in strijd is met de Telecommunicatiewet, of beter gezegd het Besluit Universele Dienstverlening en Eindgebruikersbelangen (Bude). Het bedrijf DollarRevenue bood via allerlei affiliates een downloader aan, dat nadat het was geïnstalleerd op de computer van een eindgebruiker, zonder tussenkomst van die eindgebruiker automatisch contact opnam met de DollarRevenue server om daar nog meer software te downloaden. Daardoor kreeg de eindgebruiker een stroom van reclameboodschappen in floepvensters en een extra zoekbalk in de taakbalk van Windows XP, plus nog de nodige narigheid.

Nou mag dat op zich allemaal wel, mits je maar de gebruiker vooraf vertelt wat hij gaat downloaden. Dat was hier niet gebeurd: de software werd via botnets verspreid maar ook als ActiveX control aangeboden. En vanwege dat laatste maakten de DollarRevenue-jongens bezwaar tegen de boete. Bij ActiveX wordt namelijk een EULA getoond, en daar stond het allemaal heus in. Zeker sinds SP2, waarbij Microsoft de informatievoorziening rond installeren van ActiveX controls had uitgebreid.

Daar trapte de verrassed cluevolle rechtbank niet in:

Bij XP SP2 wordt immers uitsluitend algemene informatie verstrekt over de toepassing van ActiveX en wordt er geen informatie gegeven over de doeleinden en plaatsing van de downloader, de loader.exe en de advertentiebundel. Het duidelijk verschaffen van informatie komt neer op de invulling van ‘Name’ en ‘Publisher’ in het standaard ActiveX venster. Met betrekking tot de naam is het vermelden van ‘Click here to agree to this download’, zoals bij DollarRevenue, ontoereikend. Deze ruimte dient immers gebruikt te worden om de naam van de software kenbaar te maken. In bijvoorbeeld het ActiveX venster van Adobe Flash Player staat duidelijk om welke software het gaat, namelijk de Flash Player. Dit is met de naam ‘click here to agree to this download niet het geval.

(Een rechter die Flash installeert? Het moet niet gekker worden.)

De DollarRevenue jongens hadden nog wat achter de hand: in de EULA stond deze toch niets aan duidelijkheid overlatende zin:

Carefully read the following license agreement and the partner software application eulas found at the above online sites, because by downloading or installing, registering for, or using the software and/or partner application software, you are consenting to be bound by and are becoming a party to these agreements applicable to your software.

Maar het noemen van een EULA plus verwijzing naar die van anderen is toch bezwaarlijk uit te leggen als voldoende duidelijke uitleg over wat deze software nu gaat doen. Verwijzen naar EULAs van advertentiebedrijven helpt daarbij niet.

Bij andere verspreidingsvormen, zoals via dat botnet of via de silent install optie (bedoeld om de eindgebruiker “een overdaad aan informatieschermen te besparen”, hoe krijg je het verzonnen) en via exploits, werd zelfs helemaal niets in beeld gebracht. Dus hoe dan ook werd artikel 4.1 Bude overtreden.

Na een kort intermezzo over de bevoegdheid (veel gebruikers van deze software woonden buiten Nederland, maar dat bleek niet relevant) maakt de rechtbank vervolgens korte metten met het argument dat het allemaal de schuld van de affiliates was. DollarRevenue verspreidde de software ook zelf, en had bovendien niets gedaan om te controleren dat de affiliates zich netjes zouden gedragen.

Arnoud

De OPTA heeft drie Nederlandse bedrijven en hun twee directeuren een boete van in totaal een miljoen euro opgelegd, meldde Planet dinsdag. De boete (van 1 miljoen) was voor het verspreiden van de DollarRevenue reclamesoftware. Deze software installeerde ongevraagd andere software, toonde reclame in floepvensters (popups) en was niet of nauwelijks te verwijderen. Goed dus dat daar hard ingegrepen is, maar sinds wanneer doet de telecomwaakhond dat?

Nou, sinds augustus dit jaar ongeveer. Ongevraagd installeren van software is verboden op grond van het (Koninklijk) Besluit Universele Dienstverlening, en de OPTA gaat over de uitvoering van dat besluit.

Zoals ik destijds schreef:

Artikel 4.1 van dat Besluit regelt dat opslaan van gegevens op iemands computer alleen mag als men eerst de gebruiker duidelijk en nauwkeurig informeert over het hoe en waarom, en ook nog eens op een “voldoende kenbare wijze” gelegenheid biedt om dat opslaan te weigeren

Mooie zaak dus dat de OPTA zo voortvarend bezig is gegaan met deze regeling. Want malware kan niet hard genoeg bestreden worden.

Arnoud

In mei berichtte ik over het bedrijf Zango dat boos was dat hun spyware als spyware werd aangemerkt. Ze deden de anti-spyware industrie een proces aan om te eisen dat hun software van de zwarte lijst ging.

Nu is die eis afgewezen, met een beroep op een oudere Amerikaanse internetwet: de Communications Decency Act. Precies, die ja.

In the important ruling for the anti-malware industry, Judge Coughenour of the Western District of Washington threw out Zango’s lawsuit on the grounds that Kaspersky was immune from liability under the Communications Decency Act, part of which states: “No provider or user of an interactive computer service shall be held liable on account of any action voluntarily taken in good faith to restrict access to or availability of material that the provider or user considers to be obscene, lewd, lascivious, filthy, excessively violent, harassing, or otherwise objectionable, whether or not such material is constitutionally protected, or any action taken to enable or make available to information content providers or others the technical means to restrict access to [such] material.”

In Nederland is er niet zo’n specifieke regeling over aansprakelijkheid van dienstverleners bij het filteren van content. Integendeel, je kunt bij ons alleen wettelijke bescherming tegen aansprakelijkheid claimen als je niet filtert.

Maar zo´n regeling is ook niet nodig. Als ik wil roepen dat software-pakket X spyware is, dan mag ik dat. De grens zit hem in de reputatie van het bedrijf. Als ik die onnodig door het slijk haal, kan ik daarvoor aansprakelijk gesteld worden. De merkenwet (want een bedrijfsnaam is meestal een merk) zegt dat je geen afbreuk mag doen aan het onderscheidend vermogen of de reputatie van het merk. Tenzij je een geldige reden hebt, en kritiek leveren op foute praktijken of een slecht product is een geldige reden.

Hanteer ik duidelijke criteria, en voldoet iemand daaraan, dan heb ik het volste recht om die persoon (of dat bedrijf, of dat pakket) op zo’n lijst te zetten.

Bij personen zou het eerder om smaad gaan.

Arnoud

Een verrassende nieuwe speler in de strijd tegen computercriminaliteit: de OPTA! Iedereen meldt over de harde aanpak van de OPTA om de verspreiding van malware tegen te gaan. Er zijn veel definities van malware, kwaadaardige software, maar de OPTA ziet het breed: software die ongevraagd wordt geïnstalleerd. Vaak is dat ook spyware, maar dat hoeft dus niet per se. Want ongevraagd installeren van software is verboden op grond van het (Koninklijk) Besluit Universele Dienstverlening, dat aangenomen is krachtens de Telecommunicatiewet.

Artikel 4.1 van dat Besluit regelt dat opslaan van gegevens op iemands computer alleen mag als men eerst de gebruiker duidelijk en nauwkeurig informeert over het hoe en waarom, en ook nog eens op een “voldoende kenbare wijze” gelegenheid biedt om dat opslaan te weigeren. En software zijn ook gegevens, dus het installeren van software valt hieronder. De Nota van Toelichting bij dit artikel verklaart:

Het gaat hier dan bijvoorbeeld niet alleen om het gebruik van cookies, maar ook om het gebruik van webtaps, spionage-software of soortgelijke programmatuur (waaronder zogeheten dialer-programma’s – inbelprogramma’s).

Verspreiding van malware is sinds vorig jaar een strafbaar feit. Het verspreiden of ter beschikking stellen van programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk is strafbaar met maximaal vier jaar cel (art. 350a lid 3 Strafrecht). Maar het strafrecht is een stuk trager dan een besluit van de OPTA. Bovendien moet dan bewezen worden dat de slachtoffers schade hebben opgelopen en dat die schade het doel was van de malware. Een stuk spyware dat alleen geanonimiseerde gegevens verzamelt en doorgeeft, zal niet snel onder het strafrecht vallen. Maar omdat het ongevraagd wordt geïnstalleerd, kan de OPTA er tegen optreden.

De beste manier om malware te bestrijden blijft natuurlijk preventie.

UPDATE (22 december): de eerste boete is binnen.

Arnoud