Tornado Cash-ontwikkelaar veroordeeld voor maken criminele tool, niks neutrale privacytool

Photo by BilliTheCat on Pixabay

“Met oogkleppen op, geheel voorbijgaand aan het misbruik dat via en door Tornado Cash plaatsvond, is verdachte doorgegaan met het ontwikkelen en exploiteren van Tornado Cash.” Dat laat aan duidelijkheid niets te over: de rechtbank veroordeelt de maker van deze cryptocurrency-tumbler tot 64 maanden cel – niks neutrale privacytool.

Het verhaal begint enigszins dramatisch op 23 maart 2022:

De dag waarop de Lazarus Group zichzelf onrechtmatig toegang bleek te hebben verschaft tot Axie Infinity, een ontwikkelaar van online games op de Ethereum blockchain. Op die bewuste dag wordt door de Lazarus Group ETH, met een waarde van 625 miljoen USD, gestolen. Volgens het OM is een aanzienlijk deel van deze ETH, met een waarde van in totaal bijna 450 miljoen USD, via Tornado Cash witgewassen.
Witwassen is een strafbaar feit, als volgt gedefinieerd in de wet (art. 420bis Sr):
hij die van een voorwerp de werkelijke aard, de herkomst, de vindplaats, de vervreemding of de verplaatsing verbergt of verhult, dan wel verbergt of verhult wie de rechthebbende op een voorwerp is of het voorhanden heeft, terwijl hij weet dat het voorwerp – onmiddellijk of middellijk – afkomstig is uit enig misdrijf;
De betreffende Ether was afkomstig uit misdrijven, en werd via Tornado Cash verhuld. Het doel van dergelijke systemen – ook wel tumblers geheten – is om het moeilijk te maken de afkomst van het geld dat eruit komt te achterhalen. Dit gebeurt door allerlei munten met elkaar te mengen en te splitsen, vandaar de term.

Ik probeer dit zo neutraal mogelijk te beschrijven. Zoals ik bij de arrestatie van deze meneer blogde:

Maar als ik heel eerlijk ben, ik heb grote moeite een legitieme toepassing hiervoor te bedenken. Want ja ik vind dan “het is een neutrale tool waarmee je je privacy beschermt” toch een tikje te generiek als verweer. Of nou ja: naïef. Zeker als ik dan lees dat “minimaal één miljard dollar” (FIOD) van de zeven miljard doorvloeiend cryptogeld vrij zeker crimineel is (14%, andere bronnen komen bij 25%). Dan verwacht je iets meer in de reactie dan obligate opmerkingen over grondrechten.
Meer dan die obligate opmerkingen kwamen niet los tijdens de rechtszaak:
De intentie van de ontwikkelaars van [crypto-systeem] was nooit het overtreden van de wet of het faciliteren van criminele activiteiten, maar was het bieden van een legitieme privacy oplossing voor een groeiende behoefte in de cryptogemeenschap. [crypto-systeem] is daarmee een privacy tool die in een legitieme behoefte wil voorzien. Het is aan de gebruiker om deze software niet te misbruiken voor illegale doeleinden.
De rechter gelooft hier dus geen bal van. De iets juridischer discussie is wie er precies witwast – de persoon die er uit misdrijf verkregen munten in stopt en wit geld terugkrijgt, of de operator van de dienst? Die was niet triviaal, omdat het systeem opgezet is met smart contracts, zelfstandig opererende computerprogramma’s.

De rechtbank oordeelt toch dat je dit aan de verdachte kunt toewrijven:

[V]erdachte, [medeverdachte 1] en [medeverdachte 2] zijn de bedenkers, de makers en de uitvoerders van [crypto-systeem]. Daarmee zijn zij ook verantwoordelijk voor de (gevolgen van de) werking van deze tool. Het autonome, onveranderlijke en niet te stoppen karakter van de smart contracts werkt in dit verband niet disculperend. Dat is immers geen toevallige omstandigheid. Deze eigenschappen zijn het gevolg van bewuste keuzes van de ontwerpers. [crypto-systeem] werkt zoals het is bedacht. Naar het oordeel van de rechtbank kan verdachte daarom worden aangemerkt als pleger van de door [crypto-systeem] uitgevoerde witwashandelingen.
In december 2020 verschoof het beheer naar een zogeheten DAO: een Decentralized Autonomous Organisation, oftewel de gemeenschap van enthousiastelingen rondom de software. Daarbij werd er gedecentraliseerd gestemd, zij het dat bepaalde dingen onveranderlijk vastlagen in die smart contracts. Bovendien had de verdachte met zijn medeverdachten zo’n 30% van de stemmen, zodat hij hoe dan ook nog een forse vinger in de pap hield bij wat de software deed.

Blijft over of de verdachte dit alles opzettelijk deed – dus opzet op het witwassen.

Gelet op dit alles was het naar het oordeel van de rechtbank vanaf het begin voorzienbaar dat in [crypto-systeem] uit misdrijf afkomstige Ether zouden worden gestort, vanwege het verhullende effect van [crypto-systeem] . Dit is ook daadwerkelijk veelvuldig en in grote mate gebeurd. Verhullen is de facto steeds een kernactiviteit van [crypto-systeem] geweest. De kans dat de in [crypto-systeem] gestorte Ether van misdrijf afkomstig zouden zijn, was dan ook aanmerkelijk.
Zoals juristen dat zeggen, het aanvaarden van een aanmerkelijke kans is een vorm van opzet – voorwaardelijke opzet, om precies te zijn.

Het helpt natuurlijk niet als in de pers je dienst veelvuldig neergezet wordt als witwasdienst, en als de politie met enige regelmaat in de chat hangt vanwege criminele transacties en wat je daaraan gaat doen. En nee, dat is geen bewijs dat je crimineel wilde handelen, maar als je zulke dingen weet en je doet vervolgens niets om het criminele handelen van je klanten te stoppen, dan komt er een punt dat de rechter denkt, eigenlijk vond je het wel prima, je aanvaardde die situatie. En dan ga je voor de bijl.

Arnoud

 

ACM beboet Epic voor oneerlijke praktijken gericht op kinderen in Fortnite

Photo by Joshua Hoehne on Unsplash

De Autoriteit Consument & Markt (ACM) beboet gameontwikkelaar Epic Games International voor oneerlijke handelspraktijken gericht op kinderen in het spel Fortnite. Dat meldde de toezichthouder begin deze week. De ACM zag onder meer dat kinderen in het spel met teksten als ‘Get it now’ of ‘Buy now’ werden opgeroepen tot het doen van aankopen. En damanie, zouden ze in Brabant zeggen.

Iets formeler: het is een zwartelijst-agressieve handelspraktijk (art. 6:193i BW) om

kinderen in reclame er rechtstreeks toe aanzetten om geadverteerde producten te kopen of om hun ouders of andere volwassenen ertoe over te halen die producten voor hen te kopen;
En dat is natuurlijk precies wat je doet met zo’n letterlijke aanprijzing in een spel dat nadrukkelijk op kinderen (18-minners) gericht is.

Maar het is niet alleen een iets te assertieve “kopen kopen nu nu” aanprijzing. De ACM zag structurelere problemen, zo lees ik in het Sanctiebesluit:

Bij het aanbod in de Item Shop wordt onder andere gebruik gemaakt van timers (in combinatie met roulerend aanbod). Timers duiden op een beperking in tijd om te beslissen over een aanbod. Het roulerend aanbod na afloop van de timer wijst op (kunstmatige) schaarste. Kinderen zullen logischerwijs denken dat items in de Item Shop na afloop van de timer niet meer beschikbaar zijn en dat kan gevolgen hebben voor hun aankoopbeslissing.
Zo’n manier van druk uitoefenen is ook een vorm van agressief of oneerlijk handelen als bedrijf jegens consumenten. De ACM citeert onderzoek dat laat zien dat schaarste leidt tot snellere koopbeslissingen, en dat bij kinderen fear of missing out een zwaardere factor is die meeweegt dan bij volwassenen. Oftewel, kinderen gaan onzindingen kopen omdat er een klok afloopt:
Schaarste leidt volgens John, Melis et al. tot een voorkeur onder kinderen voor unieke, hedonistische producten zonder functionele eigenschap (zoals cosmetische items of dansjes en ‘moves’ voor characters) omdat meer schaarste gepaard gaat met meer FOMO en omdat kinderen dergelijke schaarse producten gebruiken om zich uniek te voelen.
Het is zeer verfrissend om een juridisch bindend besluit zo nadrukkelijk bij onderzoek en literatuur aan te zien sluiten. Ik weet niet waarom maar het gebeurt niet vaak dat er niet-juridische bronnen worden geciteerd in besluiten zoals deze.

Men noemt nog aanvullende overwegingen, zoals dat de klok om middernacht begint te lopen, dat willen opvallen en differentiëren bijzonder zwaar weegt bij kinderen en dat je onder sterke tijdsdruk staat om te kiezen zodat je niet geëlimineerd te worden in het spel terwijl je stond te treuzelen in de winkel.

Epic was het er natuurlijk niet mee eens: die literatuur was allemaal anekdotisch, een deel was pas na de onderzoeksperiode gepubliceerd en bevindingen worden verder doorgetrokken dan zou mogen. Daar laat de ACM geen spaan van heel.

Wat er met name misging met die timers, was dat ze de indruk wekken dat content na 24 uur verdween terwijl dat niet daadwerkelijk zo was. Na afloop van de timers ververste en veranderde het aanbod, maar dingen konden dan goed blijven staan, zij het op een andere plek. Inderdaad, die kledingzaak die al zes maanden “opheffingsuitverkoop” heeft of de dumpstore met elke week alles nú met 50% korting.

Alles bij elkaar ziet de ACM een duidelijke serie overtredingen en legt ze ruim een miljoen euro boete op. Ook krijgt Epic een aantal bindende aanwijzingen. Zo moet men voortaan per item aangeven wanneer het weggaat uit de shop en moet een langere tijd dan 24 uur worden gehanteerd (Epic is al naar 48 uur, en dat is prima). Als laatste komen er “cabined accounts“, waar ouders van minderjarigen effectieve controle op aankoopgedrag en dergelijke kunnen uitoefenen.

Arnoud

 

 

 

Franse toezichthouder beboet Google wegens trainen AI op nieuwsberichten

Photo by Patrick Tomasso on Unsplash

De Franse toezichthouder legt Google een boete van 271 miljoen dollar op wegens auteursrechtschending op generatieve AI, las ik bij CIO Magazine. Niet precies: het is geen schadevergoeding of boete voor het overtreden van de Auteurswet, maar wegens een schending van een eerdere schikking rondom toen nog Bard.

Zoals het artikel nader uitlegt:

De Autorité de la concurrence zei woensdag dat de zoekgigant niet heeft voldaan aan een schikking uit juni 2022 over het gebruik van nieuwsverhalen in zijn zoekresultaten, Nieuws- en Discover-pagina’s. Google vermeed op dat moment een boete door onder meer te beloven te goeder trouw te gaan onderhandelen over compensatie met nieuwsaanbieders voor hun inhoud.
Deze schikking betrof een breder onderzoek naar vermeende auteursrechtinbreuk door Google met hun News-dienst. De discussie was toen of het overnemen van snippets en kleine afbeeldingen telt als inbreuk, citaatrecht of iets anders.

Over zo’n dispuut kun je schikken, en dan kun je allerlei afspraken maken. En als je daarbij niet uitkijkt dan komen die afspraken terug in een geheel andere context:

With regard to “Bard”, the artificial intelligence service launched by Google in July 2023, the Autorité found in particular that Bard had used content from press agencies and publishers to train its foundation model, without notifying either them or the Autorité. Google subsequently linked the use by its artificial intelligence service of the content concerned to the display of protected content, by failing to propose a technical solution for press agencies and publishers to opt out of the use of their content by Bard without affecting the display of content protected by related rights on other Google services, thus obstructing the ability of press agencies and publishers to negotiate remuneration.
Voor mij is met name dat “technical solution” heel relevant: Google zal nu een opt-out moeten gaan ontwikkelen voor Franse nieuwsdiensten. Dat kan zo simpel zijn als duidelijk maken hoe men hun aparte AI-scraper bot kan weren met een robots.txt-bestand (want het zou oneerlijk zijn om als je daarmee ook de gewone Googlebot zou weren).

Interessanter is als men een nieuw protocol ontwikkelt (ai.txt?) waarmee je als uitgever kan aangeven dat data mining voor AI-training niet toegestaan is. Dat zou dan bredere consequenties hebben, omdat onder de Europese auteursrechtregels tekst- en datamining (TDM) is toegestaan op beschermd werk tenzij dit machinaal leesbaar is voorbehouden. Tot nu toe is er geen enkele standaard op dit gebied, en machineleesbaarheid bestaat niet zonder standaard.

Arnoud

 

Gaat Volkswagen Porsche automodellen van de markt halen vanwege de EU cybersecurity regels?

Photo by Pixabay on Pexels

Nieuwe EU-regels voor cyberbeveiliging zorgen ervoor dat autofabrikanten oude modellen mijden, las ik bij Deutsche Welle (DW). Het verhaal duikt op meerdere plekken op: De Volkswagen Up en T6.1, en bij Porsche de Macan, Boxter en Cayman-modellen, worden stopgezet zonder een directe opvolger “vanwege strengere EU-cyberveiligheidseisen”. Hoe zit dat?

Het klopt dat zowel Volkswagen als Porsche modellen niet langer in productie houden, en daarbij cybersecurity als reden citeren:

VW brand chief Thomas Schäfer told dpa [Deutsche Presse-Agentur, AE] the measures were necessary due to the high compliance costs. “Otherwise, we would have to integrate a completely new electronic architecture [in the car model], which would simply be too expensive,” he said.
Dit klinkt natuurlijk een beetje als “we worden met onze populaire auto’s weggepest vanwege rare cybersecurity-regels uit het bureaucratische Brussel waar ze geen verstand hebben van innovatie”, een ondertoon waar ik steeds meer een hekel aan begin te krijgen.

Het grappige is wel dat het niet eens gáát om Europese regels – dus wie aan de Cyber Resilience Act of NIS2 dacht, heeft het mis. Helemaal onderaan het DW artikel wordt het correct genoemd: het is UN R155/R156, de Cyber security and cyber security management system definitie van de UNECE. Die regels zijn er al even, maar het is 1 juli 2024 dat problematisch gaat worden:

From July 2022, manufacters in the EU, obtaining approval for new vehicle types, must comply with this Regulation. The obligation will extend to all the new vehicles sold in this territory from July 1st, 2024.

To obtain the cybersecurity certification, manufacturers must show that their models are cyber protected against 70 vulnerabilities. This list of risks to avoid includes potential cyber-attacks during the whole process: development, production, and post-production of the vehicle, so those models that get the certification will be protected throughout their entire life cycle.

De kern is dus dat Volkswagen en Porsche het bij deze modellen sinds 2021 (inwerkingtreding R155) niet waardevol genoeg vonden om te investeren in een adequate cybersecurity, en daarom per 1 juli 2024 moeten stoppen met deze modellen. Dat is ook weer wat kort door de bocht (haha), want in de standaard staat letterlijk:
However, for type approvals prior to 1 July 2024, if the vehicle manufacturer can demonstrate that the vehicle type could not be developed in compliance with the CSMS, then the vehicle manufacturer shall demonstrate that cybersecurity was adequately considered during the development phase of the vehicle type concerned.
Hieruit haal ik dat VW en Porsche met deze oudere modellen alleen hoeven te laten zien dat er adequaat nagedacht is over cybersecurity ten tijde van het ontwerp (2007 voor de Up, 2014 voor Porsche). Mogelijk dat zaken als die sleutelhack uit 2016 hierin meewogen.

Arnoud

 

 

 

 

Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?

Photo by Austin Chan on Unsplash

Een lezer vroeg me:

Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?

Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, ‘gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.

Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.

Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.

Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.

Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.

(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)

Arnoud

 

Mag je een tshirt aanhebben met een stopteken daarop? (Wetende dat AI auto’s dan gaan stoppen.)

(bronvideo)

Mag je van de wet een tshirt met een stopbord (B07) erop dragen op straat? En maakt het dan uit of je weet dat er zelfrijdende auto’s in de buurt zijn die dan gaan stoppen? Vele mensen stuurden me de video van het plaatje hiernaast, waarin een meneer in San Francisco precies dat uitprobeert.

Een sleutelcomponent van zelfrijdende auto’s is beeldherkenning, specifiek het herkennen van verkeersborden, -lichten en dergelijke. Herken je een stopbord (B07), dan moet je stoppen. Duh.

Deze meneer had kennelijk een hekel aan zelfrijdende auto’s en begon dus een tshirt (en rugzak) met daarop een officieel stopbord te dragen. Auto’s reageren daarop, want die zien het verschil niet met een bord aan een paal.

In Nederland hoort dat zo: verkeersdeelnemers moeten gehoor geven aan een verkeersteken/verkeersbord dat gebod of verbod inhoudt, ook wanneer blijkt dat plaatsing daarvan (nog) niet berust op geldig verkeersbesluit. Het staat niet ter beoordeling van weggebruikers of een verkeersbord overeenkomstig voorschriften en terecht is geplaatst.

Mijn enige twijfel is of een bord op een tshirt telt als een “verkeersbord”. Het RVV 1990 specificeert niet dat een bord aan een paal moet hangen, of zelfs maar op ijzer geschilderd moet zijn. Dit zou dus betekenen dat ook die shirts met 50 (jaar) erop een “verkeersbord” zijn, iets waar ik toch moeite mee heb.

Tegelijkertijd kan deze man een boete krijgen voor het veroorzaken van potentieel gevaar (art. 5 WVW), want menselijke bestuurders zullen het shirt negeren en niet vermoeden dat zelfrijdende auto’s anders gaan handelen.

Wat ik me vooral afvraag is of je dit als een gebrek aan datagovernance kunt zien in het ontwerp van de auto’s. Had men dit mee moeten nemen bij het opzetten van de dataset met verkeersborden?

Arnoud

 

Mag je andermans bedrijfsnaam in je emailadres gebruiken?

Photo by OpenIcons on Pixabay

Via Reddit:

[Ik gebruik] andermans bedrijfsnaam in mijn emailadres,  bijvoorbeeld: reddit@ed_random.bla. … Nu vertelde iemand mij dus dat dit niet mag en dat zo’n bedrijf hier melding van zou kunnen maken. Dat vind ik interessant, en ik ben benieuwd waar ik daar meer over kan lezen. Ik snap dat impersonatie verboden is, maar dat doe ik dus niet want ik doe mij niet voor als iemand van het bedrijf, mijn domeinnaam is niet verborgen en lijkt ook niet op die van het bedrijf.
Het is een bekende truc: gebruik niet overal hetzelfde mailadres, maar varieer dit. Daarmee kun je bij een datalek of doorverkoop van je mailadres achterhalen welke partij hiervoor verantwoordelijk is.

De makkelijkste manier om dit te doen, is door de naam van de betreffende partij te gebruiken. Ik zie diverse mensen die hier reageren met een mailadres zoals “iusmentis@example.com”. Op de blog van mijn kantoor zouden ze dan “ictrecht@example.com” gebruiken, bijvoorbeeld.

Dat gaat goed als je je eigen domeinnaam hebt, want dan kun je (zoals ook de vraagsteller) het systeem zo instellen dat alle mailtjes in je eigen inbox komen, ongeacht wat er voor het @-teken staat. Als je dat niet hebt, is gebruik van het + teken een goed alternatief: wim.tenbrink+iusmentis@example.com komt bij veel mailsystemen gewoon in de mailbox van Wim.

Als die naam een merknaam is (wat voor de hand ligt), dan kan ik me voorstellen dat iemand denkt, is dat geen merkinbreuk. Zomaar iemands merk gebruiken, het zou verboden moeten worden. Maar nee, dit is echt legaal, al is het maar omdat je de merknaam alleen passief en privé gebruikt in een registratie of aanvraag.

Pas als de merknaam ergens zichtbaar is (je usernaam dus, op Reddit) dan kunnen we een juridische discussie starten of hier wellicht sprake is van inbreuk door jezelf voor te doen als (geaffilieerd aan) de merkhouder.

Arnoud

 

Herman van Veen slaat alarm om diefstal eigen stem, Tweede Kamer wil ingrijpen bij AI-app Udio

Photo by Andy Makely on Unsplash

Een meerderheid van de Tweede Kamer wil actie ondernemen tegen de grootschalige ‘diefstal’ van stemmen en teksten van Nederlandse artiesten en tekstschrijvers door aanbieders van kunstmatige intelligentie. Dat meldde het AD onlangs. Apps zoals Udio kunnen middels AI liedjes maken met de stemmen van bekende artiesten, zoals Herman van Veen die zich hier erg kwaad over maakt.

Het artikel noemt twee juridische routes en stelt verder dat de Tweede Kamer iets kan doen om de positie van artiesten en tekstschrijvers kan verbeteren. Allereerst de Digital Services Act: deze regelt het verwijderen van illegale content (notice/action) en verplicht tot transparantie over de werking van algoritmen. Of Udio daaraan voldoet is de vraag, maar belangrijker: het is zeker niet gezegd dat een liedje “in de stijl van” of “klinkend zoals” onrechtmatig is en dus verwijderd zou moeten worden.

Dan komt ook de AI Act langs:

Het CDA wijst naar nog een andere wet: de Europese AI Act, een wet die vanaf 2025 eist dat creatieve makers eerst toestemming moeten geven. ,,De opkomst van Udio laat zien dat er geen tijd te verliezen is om die te vertalen naar concrete regels”, waarschuwt CDA-Kamerlid Herman Krul.
Ik denk dat hier sprake is van een misverstand, want de AI Act zegt alleen dat de producenten van algemene AI modellen (zoals LLaMa of GPT) iets met auteursrecht moeten en dan ook nog eens alleen in de vorm van een duidelijk beleid over hoe zij aan de wet voldoen. Toestemming vragen is zeer zeker niet genoemd in de AI Act.

Ook wie de Auteurswet erbij pakt, komt niet uit bij toestemming. Deze wet kent namelijk een uitzondering voor tekst- en datamining, die neerkomt op “je mag een AI trainen met auteursrechtelijk beschermde data”. De uitzondering daar weer op is als het auteursrecht op machinaal leesbare manier is voorbehouden – en dát kan alleen als er een standaard is over hoe je dat voorbehoud maakt. In een tekstbestand de letters op een rij zetten “Auteursrecht voorbehouden” is geen machinaal leesbaar voorbehoud. Dat is dus nog een probleem.

Meer algemeen is mij niet duidelijk wat de Tweede Kamer zou moeten doen aan dit probleem. Het auteursrecht is Europees geregeld, en onze wetgever kan en mag geen eigen regels aannemen die strenger zijn op dit punt. Ook collectief beheer (AI voor muziekuitvoer trainen mag mits Buma/Stemra geld krijgt) is niet mogelijk binnen het Europese stelsel.

De AI Act is ook een Europese wet, net als de DSA, en beiden bieden geen optie om aparte auteursrechtregels of toestemmingsvereisten in te voeren. De enige route die ik kan bedenken is dat de DSA-toezichthouder ACM via de open norm van een systemic risk assessment bij de app-aanbieders afdwingt dat deze anders met auteursrecht omgaan. Maar dat kan alleen als die apps VLOP zijn (zeer groot online platform), en volgens mij voldoen die bij lange na niet aan deze definitie.

Daar komt bij dat de ACM nog steeds niet formeel aangewezen is als toezichthouder onder de DSA. Dat is dan weer wél iets dat de Tweede Kamer snel zou kunnen regelen, overigens.

Arnoud

 

 

 

 

Zullen we héél erg alsjeblieft niet gaan beginnen met AI-verklaringen op je website?

Kennelijk zat er iets in het water, want afgelopen week zag ik het óveral: de AI verklaring. Ik snap dat mensen iets willen doen en dat de privacyverklaring een prettig en bekend iets is, maar ik wil dit graag per direct de kop indrukken want het hoeft niet van de Act, is niet interessant voor je bezoekers en voegt nul toe aan wat je wél moet doen. Dus nee.

De AI verklaring is bedoeld als analogie met de privacyverklaring. De diverse varianten die ik heb gezien, benoemen ook keurig onderwerpen die je in de AI Act langs ziet komen: waarom gebruiken we AI, welke beveiliging hebben we hierop, hoe kun je klagen of recht van uitleg krijgen (art. 86 AIA) en vele mooie woorden over het nastreven van afwezigheid van bias.

Moet dit van de AI Act? Welnee. Er staan geen informatieplichten in naar gebruikers of betrokkenen (“affected persons”). Je moet transparant zijn dát je met een AI te maken hebt (art. 50) en als een AI een beslissing neemt heb je recht op uitleg (art. 86), en dat is het wel zo’n beetje. Voor de rest gaat de AI Act er van uit dat je AI gewoon netjes werkt; dat hoef je niet te verklaren want als ie dat niet doet (bv. vanwege bias) dan mag het ding de markt niet op.

Eigenlijk was de privacyverklaring zelf ook altijd al een slecht idee. En nee, die moest niet van de AVG en ook niet van de Wbp. Je moest informatie verstrekken over wat je verzamelt en wat je ermee doet, maar dat hoefde zeer zeker niet als een dik boekwerk.

Die specifieke praktijk komt uit de VS: de FTC had ooit geoordeeld dat het een oneerlijke handelspraktijk is als je niet expliciet uitlegt wat voor persoonlijke informatie je verzamelt en waarom. En in de VS is een dik onleesbaar boekwerk neerplempen een geaccepteerde praktijk – jij als consument moet maar goed lezen en anders ben je gewoon de pineut.

(Wat er wél moet onder de AI Act lees je in mijn nieuwe boek The Annotated AI Act, pre-order is nu al mogelijk.)

Arnoud

 

 

Discussie over eigendom games escaleert, en dat wordt de hoogste tijd

"Offline" by mikecogh is licensed under CC BY-SA 2.0

The Crew is niet meer. Ubisoft haalde de online-onlyracegame onlangs van alle digitale gameplatformen en sindsdien verdwijnt het spel ook uit de gamebibliotheken van gamers. Dat meldde Tweakers onlangs. Het gaf ophef: The Crew is nu de zondebok voor de beweging Stop Killing Games. Maar hoe zit dat juridisch?

Het probleem met dit spel is dat het altijd een continue internetverbinding vergde. Niet alleen voor multiplayer, ook wie single player wilde spelen, moest continu contact hebben met een Ubisoft-server. En die staan nu uit. Daarmee is het spel niet meer te spelen.

Het gaf nieuwe input aan de discussie: van wie is een game? Immers, wie de EULA leest zal concluderen dat hij alleen een tijdelijk gebruiksrecht heeft dat zonder nader order of motivatie kan worden ingetrokken, en wie dat niet bevalt die heeft pech – private arbitrage in Californië voor jou.

Hier in Europa ligt dat even anders. We hebben al een paar jaar een expliciete regeling voor “overeenkomsten waarbij de handelaar digitale inhoud of een digitale dienst aan de consument levert” (art. 7:50ab BW). Deze regels zijn min of meer hetzelfde als de regels voor de koop van fysieke zaken, en ze zijn dwingend: het is verboden hiervan ten nadele van de consument af te wijken (art. 7:50ap BW).

De belangrijkste regel van zo’n inhoudsovereenkomst is dat “de afgeleverde digitale inhoud of digitale dienst moet aan de overeenkomst beantwoorden” (art. 7:50ad BW), de conformiteitseis zoals die ook bij koop van zaken geldt. De wet noemt een lijstje met dingen die daar onder vallen, en daarop staat (art. 7:50ae lid 2(d) BW):

beschikken over de hoeveelheid, kwaliteit en prestatiekenmerken, onder meer met betrekking tot functionaliteit, compatibiliteit, toegankelijkheid, continuïteit en beveiliging, waarover de digitale inhoud of digitale diensten van hetzelfde type gewoonlijk beschikken en die de consument gezien de aard van de digitale inhoud of digitale dienst redelijkerwijs mag verwachten, rekening houdend met publieke mededelingen die zijn gedaan door of namens de handelaar of andere personen in eerdere schakels van de transactieketen, in het bijzonder in reclameboodschappen of op etikettering.
Hier zit de kern van de discussie: heeft deze software de mate van continuïteit die je mag verwachten gezien deze markt en de mededelingen van Ubisoft over dit spel?

Ubisoft is altijd duidelijk geweest bij journalisten en dergelijke uitingen dat het een online-only game is. Op de Steam-vermelding kon ik hier geen directe verwijzing naar vinden. Het zou hebben geholpen, als letterlijk bij de aanschaf was gemeld: “Werkt alleen met actieve internetverbinding. Houdt op met werken als wij servers uitzetten, wat wij te allen tijde mogen doen zonder opgaaf van redenen. Geen geld terug bij uitzetten.”

Ik snap dat dit commercieel niet zo aantrekkelijk is.

Arnoud