De strafbaarheid van het omzeilen van een IP-ban

bannedEen ander IP-adres aannemen of een proxy gebruiken om zo een IP-ban op een website te omzeilen is in de VS een strafbaar feit, meldde Ars Technica vorige week. In het eerste vonnis over deze vraag bepaalde de district court in Californië dat een gebande bezoeker dan “intentionally accesses a computer without authorization or exceeds authorized access” en dat is strafbaar als computervredebreuk naar Amerikaans recht. En hoe zit dat in Nederland?

Het bedrijf 3taps haalde periodiek met een scraper data op van de bekende advertentiesite Craigslist. Craigslist reageerde met een ip-ban en een schriftelijk toegangsverbod (cease and desist letter), waarop 3taps andere ip-adressen inzette en proxies gebruikte om zo toch bij de advertentiedata van Craigslist te kunnen. Daarop stapte Craigslist naar de rechter, en die bevestigt nu dat 3taps computervredebreuk had gepleegd. Hoewel Craigslist voor het publiek toegankelijk is, betekent dat niet dat Craigslist niemand mag weren van zijn site. Toestemming kan worden ingetrokken en dan moet je wegblijven. Kom je dan toch terug, dan is dat strafbaar.

In Nederland lijkt me dit niet veel anders te liggen. Ook hier geldt: je mag niet willens en wetens een geautomatiseerd werk gebruiken waarvan je weet dat je daar niet mag zijn – dat is de definitie van computervredebreuk. En toegegeven, dat is discutabel bij publieke URL’s en dergelijke situaties waarin er geen beveiliging omzeild gaat worden. Maar als iemand je specifiek per brief zegt “blijf wég van mijn site” en je IP-adressen blokkeert, dan lijkt het me toch niet zo gek dat we dan spreken van computervredebreuk. In de analogie met huis- en erfvredebreuk is een dergelijke brief óók genoeg. “Tegen de verklaarde wil van de eigenaar zich bevinden op”, heet dat dan.

Het lijkt me alleen vrij onwaarschijnlijk dat Justitie zal gaan vervolgen in zo’n situatie. Het voelt als iets dat je zelf ook prima kunt oplossen met een burgerlijke rechtszaak. Het begaan van een strafbaar feit is ook een onrechtmatige daad, dus je kunt dan een verbod met dwangsom bij de rechter gaan halen. En proxy’t meneer dan toch nog een keer terug, dan kun je de dwangsom incasseren. (Mits je kunt bewijzen dat hij het was, wat bij een proxy wat lastig is.)

Specifiek bij scrapers is schending van het databankrecht ook nog een route. Je kunt dan als site een dwangsom laten zetten op verder scrapen, en je krijgt natuurlijk je vollédige advocaatkosten vergoed. Dit werkt niet altijd: je moet wel een en natuurlijk beschermde databank hebben en schade lijden door de inbreuk.

Weet je niet wie het is, dan is dagvaarden lastiger. En hoewel je dan op een verstekzaak zou kunnen aansturen (die je automatisch wint, niet komen == verliezen immers) heb je dan nog geen mogelijkheid om dat af te dwingen. Dus wat moet je dan?

Arnoud

10 reacties

  1. Nu krijg ik eenmaal per 24 uur een nieuw IP-Adres. Automatisch, zonder dat ik daar iet voor hoef te doen. Sterker nog, als ik dat niet wil, moet ik mijn provider hier in Duitsland extra gaan betalen. Een IP-ban heeft bij mij dus weinig zin.

    In het beschreven geval echter is het niet alleen de IP-ban die omzeild wordt, er ligt een uitdrukkelijke schriftelijke verklaring voor, en dat veranderd dus de zaak wel iets. Zolang ik niet weet (de ban merk ik niet en de mails van de betreffende banner gaan ongezien als spam sowieso de vuilnisbak in) dat ik er niet meer mag komen ga ik vrij uit? Dan dus een brief sturen “je mag niet meer komen…”. Prima, maar daar moet je dan wel mijn NAW gegevens voor hebben. De enige die je die kan geven is mijn provider en die doet dat alleen op aanwijzing van de rechter (die in dit geval in Köln zit en dat verdomd makkelijk doet, maar dat is een ander verhaal).

    1. Als ze je irritant genoeg bent, zullen ze op ten duur wellicht een hele range IP adressen of je complete provider gaan blokkeren. Dat is een afweging die een dergelijke site dan moet maken. Wil ik x-duizend mensen blokkeren omdat deze ene irritant is.

  2. Is het niet zo dat het het eerst gerechtelijk besloten moet worden en niet door een bedrijf dat ik een gebiedsverbod krijg? Ik zie een website als een etalage in een winkelstraat, dat de winkelier mij verbied om in de winkel te komen ok, maar mag toch op straat naar zijn etalage kijken? 😉

    1. De eerste regel van Richard: het introduceren van willekeurige analogieen opent net altijd het verkeerde gaatje in de discussie, meestal ongewild.

      Het ging hier om het herpubliceren van de gegevens van de website. Dan zou je wel met een vishengel de spullen uit de etalage staan te vissen in jouw analogie.

    2. Een toegangsverbod tot een winkel of huis kan de eigenaar van dat pand zélf opleggen. Ik heb geen rechter nodig om te kunnen bepalen dat jij m’n huis niet meer in mag. En je bent écht strafbaar als je dan toch weer naar binnen gaat. Bij een gebiedsverbod wordt ook toegang tot de openbare weg verboden en dát is wel iets dat een rechter even moet checken.

  3. Ik vind dit wel een beetje een Webwereld-kop. Want het gaat eigenlijk niet om het omzeilen van een IP-ban. Er is ook een cease-and-desist verzonden, en de IP-ban is/was waarschijnlijk slechts een technische maatregel om de gebruiker snel te blokkeren / af te remmen.

    In de ruling* wordt het bannen van het IP dan ook beschouwd als een additionele manier van “communiceren van de beslissing om de autorisatie in te trekken”

    Ik denk dat als er enkel een IP-block was geweest, het vonnis anders was uitgevallen.

    Craigslist affirmatively communicated its decision to revoke 3Taps’ access through its cease-and-desist letter and IP blocking efforts. 3Taps never suggests that those measures did not put 3Taps on notice that Craigslist had banned 3Taps; indeed, 3Taps had to circumvent Craigslist’s IP blocking measures to continue scraping, so it indisputably knew that Craigslist did not want it accessing the website at all (…) Craigslist made a complete access restriction when it told 3Taps that it could not access Craigslist’s website “for any reason,” and then put in place a technological barrier designed to completely cut off 3Taps’ ability to view the site (…) Here, 3-Taps (1) received a personally-addressed cease-and-desist letter stating that it could not access Craigslist’s website “for any reason”; (2) discovered that it could no longer access the website at all from its IP addresses; and (3) was sued for continuing to access that website after circumventing the IP restrictions. A person of ordinary intelligence would understand Craigslist’s actions to be a revocation of authorization to access the website, and thus have fair notice that further access was “without authorization.

    *) Een leuk detail is het filesystem path in de titel van het PDF bestand G:\CRBALL...

  4. He, Arnoud! Heb je die ICTVakkenvuller spammer van gisteren ook op zijn IP geband? 🙂

    Een goede reden om in forums een IP ban op te leggen is indien spammers door middel van comment-spam je site gaan verzieken. En helaas komt dit nog best vaak voor. Uitzoeken wie de spammer precies is door aan de provider alle gegevens op te vragen is best veel werk, terwijl een blokkade op IP adres al voldoende kan zijn. Vraag is alleen of het voldoende is om door alleen IP adressen te blokkeren de spammer civielrechtelijk of strafrechtelijk te vervolgen indien hij daarna gewoon doorgaat met spammen maar dan vanaf diverse proxies en andere methodes. Ik vraag mij zelfs af in hoeverre het toegestaan zou zijn om een blacklist van IP adressen bij te houden en te delen met andere forum-eigenaren.

  5. Art. 138ab spreekt van wederrechtelijk binnendringen. Ik vind het lastig om van binnendringen te spreken, omdat je gebruikmaakt van een publieke dienst. Maar a la, laten we dan toch aannemen dat het opvragen van een website onder binnendringen valt. Een normale bezoeker dringt ook binnen, maar is niet strafbaar, omdat het binnendringen niet wederrechtelijk is. De vraag is waarom we het normaal vinden om onszelf uit te nodigen op blog.iusmentis.com, terwijl het vóór het eerste bezoek helemaal niet duidelijk is of bezoekers wel welkom zijn op zo’n site.

    Weet je niet wie het is, dan is dagvaarden lastiger. En hoewel je dan op een verstekzaak zou kunnen aansturen (die je automatisch wint, niet komen == verliezen immers) heb je dan nog geen mogelijkheid om dat af te dwingen. Dus wat moet je dan?
    Hoe wordt zo’n dagvaarding dan betekend?

    1. Ik vergelijk het met een café. Daarvan weet iedereen dat je naar binnen mag binnen de openingstijden. Er is dan niets wederrechtelijk aan naar binnen gaan (tenzij je via een openstaand raampje achter in de steeg bij de keuken binnen klimt wellicht). Maar zet de cafébaas je buiten en ga je dan terúg door die open deur, dan pleeg je ineens wel een strafbaar feit. Dat is lokaalvredebreuk.

      Het lijkt me dat je bij een website ook mag zeggen dat iedereen weet dat je erop mag. Maar krijg je te horen dat je geband bent, dan mag je dus niet meer terug.

      Een dagvaarding bij een gedaagde met onbekende verblijfplaats is moeilijk. De standaardprocedure is dat ie dan maar in de krant wordt gedagvaard, in de hoop dat ie die leest. Je moet toch iets, het is niet handig als mensen zich kunnen verstoppen en zo rechtspraak ontlopen. Plus, we hebben dan de verstekprocedure: je verliest, maar zodra je hoort van het vonnis mag je in verzet en dan kijken we nog een keer.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.