Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal enige rust geven bij veel onderzoekers, want in de literatuur werd vaak gedacht van wel: je bent dan immers ergens waar je niet mag zijn, en dat zou naar de letter van de wet al computervredebreuk zijn. Maar de rechter wijst erop dat je dan private partijen de strafwet laat schrijven, en dat is natuurlijk niet de bedoeling.

De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk ” intentionally accessing a computer without authorization or in excess of authorization”, waarbij onduidelijk is wat “authorization” dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA’s prohibition on “access[ing] a computer without authorization,” even though phrased “in the form of a general prohibition” that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service “is a law unto itself,” Emp’t Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er ‘gewoon’ bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud

6 reacties

  1. Ik ken de Amerikaanse wet niet, maar indien ze daar rechtsgeldige boeteclausules in de Terms of Service kunnen hebben staan, dan zou het alsnog onprettig kunnen worden voor onderzoekers. 10.000 dollar per nepprofiel en 500 dollar per gescrapte vacature zouden bijvoorbeeld aardig in de cijfers lopen.

    1. Dat is denk ik iets wat sowieso, op basis van bestaande wetgeving, al niet zou kunnen. Boetes betaal je niet aan de eiser, die kan hoogstens een schadevergoeding eisen voor toegebrachte schade, die dan ook in de VS aantoonbaar moet zijn, maar IANAL. Het blijft uiteraard een vreemde situatie waar nu in elk geval iets van duidelijkheid over is.

      1. Ik had het niet over computervredebreuk, maar over de Terms of Service, wat als contract gezien wordt. Jij en ik zouden bijvoorbeeld af kunnen spreken dat ik jou 30 euro per week betaal om mijn gras te maaien, maar dat jij mij 200 euro betaal elke week dat je het vergeet. Er is niks onwettigs aan zo’n contract.

        1. Er is een groot verschil tussen ergens niet mogen zijn en iets doen wat niet mag op een plek waar je wél mag zijn.

          De onderzoekers mogen op die plekken komen en dus zou het m.i. nooit computervredebreuk kunnen zijn. Dat je vervolgens iets doet wat de eigenaar niet leuk vindt zou inderdaad nooit strafbaar mogen zijn.

          1. En daarnaast, wanneer ga je akkoord met een eventuele ToS? Vaak krijg je voorwaarden pas gepresenteerd op het moment dat je een account aan gaat maken, en niet zodra je een site opent. Als ik alleen vacatures zou scrapen en daarvoor niet in hoef te loggen en dus geen account aanmaak, ben ik dan gebonden aan de ToS?

    2. Contractuele boetes zijn eigenlijk niet mogelijk onder Amerikaans recht. Daar vindt men het oneerlijk dat jij je zou kunnen verrijken door andermans fout. Schade herstellen kan wel maar moet bewezen worden. Dit verklaart mede waarom die hoge auteursrecht claims zo controversieel zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.