Al sinds 2007 blog ik over internetrecht, maar ik ben er nog steeds niet over uit: wat is internetrecht nu eigenlijk? Het fascineert me dat zo’n bekende term geen definitie heeft, en dat mensen niet weten hoe het in te vullen. Ik had er in 2013 al eens over geblogd, maar eigenlijk kwam ik daar ook niet echt tot een definitie. In het kader van de nieuwe rubriek VrijdagMorgenRechtsFilosofie Een nieuwe poging!
Termen komen meestal uit de praktijk boven borrelen. Zo ook in het recht. Dat is ondertussen zó breed dat niemand kan stellen alles ervan te weten. Specialisatie is onvermijdelijk. Hij doet arbeidsrecht, zij zit in het strafrecht, mijn buurman focust op contractenrecht en het privacyrecht is sterk in opkomst. Een rechtsgebied is dus een stukje van het recht dat speciale aandacht verdient, en dat af te bakenen is aan de hand van een centraal onderwerp.
Internetrecht draait om internet (of computers, zeker als we het ICT-recht noemen) en dat verdient aandacht, daarom is er internetrecht. Internetrecht is volgens die visie eenvoudigweg al het recht waarbij internet (of computers) een belangrijke rol speelt. Computervredebreuk is in die visie dus internetrecht, maar iemands hersens inslaan met een laptop (of wurgen met een netwerkkabel) is dat niet. Computervredebreuk kun je per definitie alleen plegen met een computer en/of internet, terwijl wurging met elk flexibel ding zou moeten kunnen.
Maar is dat genoeg? Neem ransomware, het recente fenomeen waarbij iemands bestanden via encryptie in gijzeling worden genomen en de sleutel na betaling van enkele honderden euro’s in bitcoins wordt verstrekt. Dit is in de kern niet anders dan een andere gijzeling – ik heb je paard, laat 300 euro achter in de prullenbak achter het standbeeld – met een technisch verbeterde uitvoering en meer bescherming voor de ontvoerder. Waarom noemen we dat dan toch cybercrime, internetcriminaliteit? Waarom is dit meer dan gewoon strafrecht met een toevallige technische slimme delictsuitvoering? Als inbrekers ineens doorkrijgen dat je een cilinderslot met een tang kunt lostrekken, dan noemen dat niet ineens slotenrecht. Hooguit krijgt de techniek een naam – in dit geval de Bulgaarse methode – maar het blijft gewoon inbreken. Internetadvocaat Remy Chavannes roept dan ook al jaren dat “[de term] ’technologie en recht’ vooral een tijdelijke wachtkamer is voor ontwikkelingen die nog niet door hun eigen rechtsgebied zijn opgehaald.”
Oftewel, het is internetrecht omdat internet heel nieuw is en we daarom nog niet weten hoe het internetaspect van de zaak te wegen. Bahco’s kennen we, dus een slot slopen met een bahco is geen nieuw recht, zelfs niet als dat slopen binnen het strafrecht nieuw is. Internet, bitcoins en encryptievirussen kennen we niet, dus een bestand gijzelen met een encryptievirus en betaling in bitcoins eisen is iets nieuws en dat noemen we dan maar cybercrime. Over twintig jaar is dit heel normaal en dan heet het gewoon weer gijzeling of afpersing.
Ook het belang voor de maatschappij weegt mee. Onder juristen verplicht is dan de term paardenrecht, uit de lezing The law of the horse (pdf) van Amerikaanse rechter Frank Easterbrook. Dat zit zo. Natuurlijk geldt de wet ook bij dingen die paarden betreffen (aansprakelijkheid voor een op hol geslagen paard, of conformiteit bij een gekocht paard). En er zijn vast juristen gespecialiseerd in het recht rond paarden. Maar daarmee spreken we nog niet van paardenrecht. Waarom niet? Ik denk dat dat hem zit in de impact, het belang. Paardenrecht heeft weinig impact op de samenleving, zo weinig dat het daarom evident geen eigen rechtsgebied hoeft te hebben. Terwijl, noem eens een onderwerp, het arbeidsrecht wél een eigen rechtsgebied is. Ontslagen worden, geen bonus krijgen of zelfs maar je vakantieverzoek zomaar geweigerd krijgen: die vraagstukken raken buitengewoon veel mensen en dat kan erg zwaar vallen. Daarom verdient dat deel van het recht wel een eigen rechtsgebied.
Is internetrecht een vorm van paardenrecht? Niet volgens onze eigen internetrechtprof Arno Lodder. Internet verdient zijn eigen rechtsgebied, want Internet past in het rijtje voedsel en drinken, een eerste levensbehoefte waar vrijwel niemand meer zonder kan. Dat maakt het belangrijker dan paarden, en fundamenteler dan regels over het slopen van sloten. Nog verder gaat de Amerikaanse jurist Lawrence Lessig. Hij ziet (pdf) het internet als een fundamentele vernieuwing in de maatschappij, zo groot en zo belangrijk dat ook het recht erdoor verandert. De software en infrastructuur van internet veranderen onze normen en waarden, en die liggen ten grondslag aan het recht. Daarom is internetrecht meer dan alleen de regeltjes over internet, er gebeurt iets heel fundamenteels waar het recht wat van moet vinden. “[M]ore than law alone enables legal values, and law alone cannot guarantee them.” Daarom verdient internetrecht onze onverdeelde aandacht.
Volgens mij zit het in een combinatie van beiden. Internet -of iets breder, de ICT- is niet alleen (vrijwel) een levensbehoefte, het is ook uniek in dat men heel veel ruimte heeft om zelf de regels te maken. En dan bedoel ik niet alleen EULA’s waarin staat hoe je je moet gedragen. Huisregels heeft ieder café. Nee, het gaat om de achterliggende infrastructuur, de wijze van inrichting van de diensten. Die bepaalt wat je wel en niet mag. Code as law, zoals Lessig dat ooit formuleerde. En dát is echt uniek.
Neem spam, de ongewenste reclame die de bulk van het mailverkeer vormt. Hoewel daar zeker wettelijke regels over zijn, is de regulering primair technisch: spamfilters analyseren berichten en concluderen op inhoud en volume of iets spam is en in de map Ongewenste mail (of /dev/null, afhankelijk van het platform) terecht moet komen. Soms zijn de daarbij gebruikte heuristieken te herleiden tot expliciete regeling. Zo hanteert het bekende Spamhaus een definitie met twee punten: de mail is bulk, niet gericht op de ontvanger, en de ontvanger heeft er geen consent, toestemming voor gegeven.
Steeds vaker echter wordt de analyse uitgevoerd door zelflerende systemen, waarvan zelfs de auteur niet meer kan zeggen waarom ze beslissen wat ze beslissen. Iets is niet spam omdat Viagra in de onderwerpregel staat, maar omdat het Bayesiaanse filter het meer vindt lijken op eerder ontvangen spam dan op legitieme mail. Maar waarom? De computer knows it when it sees it. Dat is iets dat eigenlijk alleen binnen het internet- of ICT-recht gebeurt, en dát rechtvaardigt toch zeker wel een apart rechtsgebied.
Volgende week: wat is dat internet dan eigenlijk, als het zo belangrijk is voor onze maatschappij?
Arnoud
Vergeet ook het buitengewoon internationale aspect van het internet niet. Dat zorgt voor twee complicaties
1) Hoe om te gaan met zaken die cultureel/juridisch in een eerste land volledig normaal zijn en in een tweede juist helemaal niet? En ik heb het dan over beschaafde landen met een werkend rechtssysteem. Zie bijvoorbeeld de EULA’s en de privacyaspecten.
2) Hoe om te gaan met landen met een falend rechtssysteem, met servers die daar worden gezet, met diensten die officieel daar geleverd worden.
Een paar punten die ict/internet(recht) m.i. bijzonder maken:
De impact op maatschappij en het recht is nog maar net begonnen ….
Nog een ander punt wat internet(recht) m.i. anders maakt dan al het andere en dat is dat de kosten per stuk bijzonder laag zijn.
Bij gewone gijzeling is het (relatief) kostbaar om naar iemand toe te rijden en daar iets te gijzelen, vervolgens geld vragen en een overdracht regelen. Bij internet kan je dat bij miljoenen tegelijk doen en het allemaal geautomatiseerd afhandelen.
Zo ook bij de privacy. Om iemand in het echte leven te gaan volgen en bij te houden wat ze allemaal doen, met wie ze contact hebben, etc is onbegonnen werk. Via internet is het spotgoedkoop en makkelijk toe te passen op de miljarden burgers.
Daardoor zie je dat problemen die in het echte leven nauwelijks voorkomen (omdat de kosten niet opwegen tegen de baten), op internet opeens op grote schaal plaats kunnen vinden.
Een bijkomende complicatie bij datadiefstal en ransomware is, dat “data” juridisch gezien nog steeds niets is (zoals Arnoud ons herhaaldelijk op deze blog vertelt). Het is lastig om iemand te vervolgen voor diefstal als er juridisch gezien niets gestolen is. Daarvoor moet dus aparte digi-wetgeving ontwikkeld worden.
http://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/vernieling/
Ik vraag mij af of het Internetrecht zo’n groot gebied is dat het eigenlijk opgesplitst zou moeten worden in meerdere subvarianten. Want zo heb je natuurlijk criminele acties zoals de productie van malware, computervredebreuk en dat soort zaken. Maar er zijn ook civiele aspecten zoals het “illegaal” downloaden en uploaden of licentieschendingen. Er zijn zaken die gewoon online plaats vinden en er zijn zaken die geen Internet nodig hebben.
Ik denk dan ook dat we sowieso naast Internetrecht ook gewoon Computerrecht nodig hebben voor alles waar geen (of indirect) Internet bij komt kijken. Want een virus op mijn computer of een collega die een keylogger installeert of een illegale versie van Microsoft Office vinden wel plaats op een computer, maar staan verder los van het Internet.
En dan misschien nog zaken zoals Dronerecht voor alle op afstand te besturen robotten en de Google Auto.
En misschien ook wel het Internet-Of-Things-recht of IoTRecht waar alle apparaten onder vallen die je eigenlijk niet als een “normale computer” gebruikt.
En misschien wel het 3DPrintrecht over wat je nu wel of niet op je eigen 3D printer mag afdrukken. Want de slogan “You wouldn’t download a car!” begint eigenlijk een mogelijkheid te worden waarbij mensen straks de schema’s van een auto kunnen downloaden om deze zelf te 3D printen! 😀 Nu zijn het nog 3D modellen maar hoe lang nog voor een complete auto als 3D model beschikbaar komt?
Met de voortdurende ontwikkeling van digitale techniek wordt het natuurlijk steeds breder. Je zou ook kunnen zeggen dat digitale techniek in steeds meer rechtsgebieden belangrijk wordt.
Is de bestaande indeling van rechtsgebieden nog wel zinvol, en toepasbaar op het internet? Misschien wel, in ieder geval gedeeltelijk. Uiteindelijk gaat recht over hoe mensen met elkaar om gaan. Niet over hoe een mens met zichzelf om gaat of hoe een mens met zijn eigen machines om gaat, maar wel hoe een mens met een ander mens om gaat of met de machines van een ander mens. Machines zijn een soort verlengstukken van de mens, maar dat maakt het soort interacties tussen mensen, op het meest fundamentele niveau, niet per sé compleet anders.
Bij de ontwikkeling van nieuwe omstandigheden (zoals de komst van het internet) zou je, in plaats van bestaande (juridische) concepten direct toe te passen op die nieuwe omstandigheden, eerst na moeten gaan of dat wel passend is. Het beste dat je kunt doen is eerst helder krijgen waarom je die concepten überhaupt toepaste in de oude situatie. Het zou heel goed kunnen dat de argumentatie in de oude situatie uit gaat van bepaalde (impliciete) aannames die in de nieuwe situatie niet meer waar zijn. Of misschien is een concept een trade-off tussen voor- en nadelen, waarbij in de nieuwe situatie bepaalde, voorheen irrelevante, nadelen plotseling overheersend worden.
Zodra je dit helder hebt, kan je bestaande concepten misschien generaliseren naar bredere concepten die (op een misschien andere manier) ook toe te passen zijn op de nieuwe situatie. Of je komt tot de conclusie dat bepaalde concepten sowieso altijd al verkeerd waren, en dat de nieuwe inzichten duidelijk maken dat we die concepten af zouden moeten schaffen.
Arnoud schrijft “Termen komen meestal uit de praktijk boven borrelen”. Dat is misschien zo, maar het resultaat is dat die termen niet gebaseerd zijn op een stevig theoretisch inzicht. Veranderende omstandigheden, zoals de komst van het internet, vragen om veranderende “termen”; de oude “termen” voldoen niet altijd meer. De verleiding is misschien groot om met wat lelijke hacks de oude termen in te passen in de nieuwe praktijk, maar ik zie deze verandering van omstandigheden juist als een geweldige gelegenheid om eens te onderzoeken wat nou de theoretische basis vormt van al deze uit de praktijk borrelende termen. Waarom voelt iets in de fysieke wereld wel redelijk, maar op het internet niet? Of is het zo, na ervaring op gedaan te hebben op het internet, dat het in de fysieke wereld ook niet meer zo redelijk voelt? En waarom dan niet?
Is niet een groot verschil dat veel cyber in de bit en bytes gebeurt en niet in de fysieke ruimte. Een paard kun je schoppen 😉
Een digitaal slot slopen met een digitale bahco? Ook dat is een van de dingen waar je veel tegen aan loopt. De vertaalslag is soms moeilijk te maken. Het is een andere ruimte die (vaak) slecht vertaald naar het fysieke domein. Diensten en data staan overal en iedereen (en niemand) is de baas.
Ik weet niet of dat het wezenlijke verschil is. Een mening kun je net zo min schoppen, en iemands privacy is ook ontastbaar. Inderdaad gaat het vaak mis met analogieën, maar volgens mij komt dat eerder omdat men daarbij het verkeerde model gebruikt (cloudopslag is geen ordner met papier, het is een kerel die alles uit z’n hoofd leert) dan omdat virtueel zo wezenlijk wat anders is.
En om paarden en internetrecht dan eens te combineren is dit natuurlijk een fraai arrest: https://nl.wikipedia.org/wiki/Azewijnse_paard.