Waarom wanhopige tractoreigenaren illegale firmware downloaden

| AE 9346 | Auteursrecht | 39 reacties

Wanhopige John Deere-tractoreigenaren downloaden Oekraiense firmware hacks om hun oogst binnen te kunnen halen, las ik bij Boing Boing. Tractormerk John Deere heeft namelijk in de EULA die bij de landbouwvoertuigen hoort, bepaald dat herstel en verbetering alleen door een geautoriseerd JD-bedrijf mag worden verricht. Maar veel eigenaren hebben aanpassingen nodig om hun tractor te laten werken op hun land.

Een EULA op een tractor, het moet niet gekker worden. Maar iedere recente auto, en dus ook ieder landbouwvoertuig is al jaren eigenlijk gewoon een computer: vol met software die bepaalt wat het ding doet (of niet). En waar dat in de jaren tachtig nog beperkt was tot firmware die een chipje verving om zo één functie wat flexibeler te doen, is nu de firmware eigenlijk allesbepalend voor zo ongeveer alle functionaliteit.

Het tunen van tractors is al sinds jaar en dag staand gebruik in de landbouwbranche. Afhankelijk van terrein, gewas en andere zaken kan meer snelheid, meer tractie of wat anders erg belangrijk zijn. Ten tijde van de tractor uit het plaatje rechtsboven deed je dat met een moersleutel, nu doe je dat met een USB stick met nieuwe firmware.

Alleen: dat mag dus niet van John Deere. Want hoewel zo’n tractor rustig enkele tonnen kan kosten, ben je er geen eigenaar van. Ja van de hardware wel, maar de firmware krijg je in licentie en daar zit keurig een EULA op die aanpassen verbiedt door een ieder anders dan een geautoriseerd dealer. (Oh en die zegt dat Deere gevrijwaard moet blijven van aanspraken wegens gemiste oogst en dergelijke.) En dat kost dan $230 plus $130 per uur tijd en materialen. Dat schiet niet op als je urgent iets nodig hebt en pas geld gaat verdienen als die oogst binnen is.

Niet zo gek dus dat men dan naar illegale firmware grijpt. En nee, onder Amerikaans recht is het inderdaad illegaal je firmware te tunen: de DMCA verbiedt het onrechtmatig verschaffen van toegang tot een auteursrechtelijk beschermd werk, zoals die firmware dus. Dat die wet bedoeld was om het hacken van beschermde films en muziek tegen te gaan, doet niet ter zake. Dit is in Nederland ook verboden trouwens, hoewel er in Nederland nog geen serieuze klachten over toepassing van onze wet (art. 29a lid 2 Auteurswet) zijn geweest.

Wat nu? Een aantal Amerikaanse staten werkt aan een wettelijk “right to repair”: een herstelrecht voor eigenaren van software-aangedreven apparaten. Deze zouden dan ondanks EULA of Auteurswet gerechtigd zijn de firmware in die apparaten aan te passen als dat nodig is voor herstel of functioneel verbeteren van dat apparaat. Maar niet verrassend zijn bedrijven als John Deere daar zwaar op tegen.

Arnoud

Fair use moet je meewegen bij een notice/takedownverzoek

| AE 8020 | Auteursrecht | 8 reacties

Een Youtube-gebruiker die een video van haar dansende baby online zette en werd aangeklaagd door het platenlabel van zanger Prince heeft een slag gewonnen in haar auteursrechtenzaak, las ik bij Nu.nl. In 2007 uploadde zij een video van 29 seconden van haar peuter die danste op het liedje Let’s go crazy van Prince. Youtube haalde de video echter weg toen men een DMCA takedownclaim kreeg van Universal Music Group, omdat deze ongeautoriseerde publicatie inbreuk op auteursrechten zou zijn. De rechtbank in hoger beroep oordeelt nu dat dit onterecht was: Universal had rekening moeten houden met ‘fair use’ voordat zij de claim deed.

Het gebeurt zeer, zeer regelmatig dat rechthebbenden verzoeken doen om materiaal weg te laten halen dat hun werk bevat, terwijl er toch op zijn minst een begin van een argument is dat dit gebruik een citaat, parodie of Amerikaansrechtelijk ‘fair use’ oplevert. Denk aan een remix van een muziekwerk, een flits uit een film in een commentaar of zoals hier een achtergronddeuntje bij een toevallige opname.

Jarenlang is het argument geweest dat zo’n fair use-verweer niet relevant is. De wet zegt immers alleen, als je als rechthebbende een schending ziet, kun je dat werk laten weghalen. Is men het daar niet mee eens, dan kan men een tegenclaim indienen waarin eventuele fair use-bezwaren worden onderbouwd. Dat had wisselend succes, zeker als een rechthebbende gewoon bleef zeggen “volgens ons is het inbreuk”. Veel mensen lieten het er dan bij zitten, want een rechtszaak over zo’n situatie is het geld niet waard.

Deze uitspraak maakt de zaak wat lastiger voor rechthebbenden. Het Hof zegt namelijk dat men bij het opstellen van de claim al direct moet nadenken over fair use, en dat het verboden is om claims in te dienen wanneer dat niet is gebeurd. Dat is niet hetzelfde als “je mag geen claim indienen als fair use in theorie mogelijk is” of “je mag geen claim indienen totdat je fair use volledig weerlegd hebt”. De eis uit de wet is dat men “in good faith” oftewel te goeder trouw mocht denken dat de video de rechten van Universal schond. En dat betekent:

Universal faces liability if it knowingly misrepresented in the takedown notification that it had formed a good faith belief the video was not authorized by the law, i.e., did not constitute fair use.

In dit geval was duidelijk dat Universal in het geheel niet had nagedacht over fair use; in hun visie was dat immers iets dat pas bij de tegenclaim of bij de rechter überhaupt een issue kon zijn. Dat is dus fout, aldus het Hof, je moet als rechthebbende wel íets van een evaluatie doen voordat je een claim indient. Dus laat maar zien, Universal, waaruit blijkt welke evaluatie je hebt gedaan.

Intrigerend is nog dat het Hof vervolgens opmerkt dat het best mogelijk moet zijn zo’n evaluatie te automatiseren. Als je automatisch werken kunt herkennen (en erover klagen) dan kun je vast ook iets inbouwen waardoor je automatisch kunt zeggen “dat zou fair use kunnen zijn, skip”. Code as law, dus.

Ik ben alleen heel benieuwd hoe dat eruit moet gaan zien. Het punt van fair use is namelijk dat het geen simpel trucje is. Er zijn vier factoren:

  1. Het doel en karakter van het gebruik, inclusief de vraag of het gebruik commercieel is of educatief en non-profit;
  2. De aard van het beschermde werk;
  3. De omvang en de scope van het overgenomen deel in verhouding tot het beschermde werk als geheel; en
  4. Het effect van het gebruik op de potentiële markt voor of waarde van het beschermde werk.

Je kunt dus niet zeggen “minder dan 30 seconden dus fair/meer dan 30 dus unfair”. Alle vier de factoren moeten worden langsgelopen. Lengte en commerciële intenties wegen mee maar bijvoorbeeld óók hoe transformerend jouw gebruik van het werk is. Letterlijk het hele werk herpubliceren voor geldelijk gewin is zelden fair use, een nauwelijks herkenbaar fragmentje in een privéfilmpje vrijwel altijd.

Maar misschien zijn er toch shortcuts te verzinnen. Het gaat immers niet om een algoritme dat fair use bewijst of weerlegt, maar om een algoritme waarmee je te goeder trouw kunt zeggen “fair use is onwaarschijnlijk, takedown die hap”. Het Hof suggereert dat dat bijvoorbeeld kan door te kijken welk deel van het werk is gebruikt: hoe kleiner het deel, hoe groter de kans op fair use. Ook kun je kijken naar de website, staan er advertenties op of wordt er toegang tot het werk verkocht? (Ik ben benieuwd welke jullie nog zouden weten.)

In ieder geval is het niet meer mogelijk om gewoon botweg te zeggen “ons algoritme detecteert een fragment dat van ons is, takedown die hap”. En dat is alvast een heel stuk winst.

Arnoud

Mag een bedrijf een datalek-publicatie offline halen?

| AE 7958 | Aansprakelijkheid, Privacy | 3 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Kan een bedrijf als Ashley Madison iedere website offline halen die hun gelekte data publiceert? Ik snap dat ze bepaalde rechten hebben op die data, maar er is toch ook zoiets als het algemeen belang, kunnen weten of je getroffen bent door deze datalek?

Vorige maand werden bij de datingsite data gestolen van 32 miljoen gebruikers, inclusief namen, adressen en creditcardtransacties. Kort daarna verschenen diverse sites waar deze data op gepubliceerd werd, zoals https://ashleymadisonleakeddata.com/

Wie nu op die site kijkt, ziet echter “I received a takedown notice from Avid Dating Life Media, Inc. so I’m forced to shut down this site”. De datingdienst heeft onder de Digital Millennium Copyright Act een bezwaar gestuurd: deze publicatie schendt ons auteursrecht en moet onmiddellijk offline. Onder het Amerikaans auteursrecht moet een hoster daar gehoor aan geven, en pas daarna gaan we eens uitzoeken hoe het zit.

Althans, áls er een geldig auteursrecht wordt geschonden. En dat kun je je ten zeerste afvragen. Voor auteursrecht is vereist dat de maker enige creativiteit in het werk stopte. Enkel veel data verzamelen of hard werken om het werk te maken, is gewoonweg niet genoeg. Niet bij ons en niet in de VS.

Ik zou werkelijk niet weten welke creativiteit er zit in een klantenbestand. In Europa bestaat er nog het databankrecht, waarmee je als producent van een dataverzameling rechten kunt claimen. Maar dat recht kennen ze niet in de VS.

Natuurlijk kun je zo’n bestand je “intellectual property” noemen, maar dat is een term zonder juridische betekenis. Data is geen eigendom, en “intellectueel eigendom” is jargon voor auteursrecht, octrooien en dergelijke. Meer niet. Je kunt je dus bij de rechter niet op je IP beroepen als je geen auteursrecht (of dergelijk recht) kunt aanwijzen.

Dus nee, ik heb geen idee op welke grond Ashley Madison meent dat zij een takedown mogen doen van die data.

Daar staat wel tegenover dat publicatie van die data de privacy schendt van de getroffen gebruikers. Daarmee zou je dus wel tegen de wet handelen. Alleen is dat niet iets waar het bedrijf iets tegen kan doen: een privacyschending is het probleem van de getroffen burger, niet van het bedrijf.

Bovendien geldt in de VS dan nog de specifieke regel dat je als hoster nóóit gehouden bent data te verwijderen op welke grond dan ook (zelfs als de inhoud strafbaar is), behalve bij auteursrechtinbreuk. Bij ons is dat breder: je moet als hoster optreden bij iedere evidente overtreding van de wet, dus ook bij privacyzaken. In Europa zou een getroffen persoon dus kunnen eisen dat zijn data offline gaat.

Arnoud

Boete voor DMCA-misbruikende tandarts

| AE 7494 | Auteursrecht, Meningsuiting | 4 reacties

Een tandarts die het auteursrecht op reviews opeiste, moet $4.766 aan juridische kosten vergoeden aan de patiënt in kwestie. Dat meldde Ars Technica vorige week. De opeisclausule was in strijd met het New Yorks contractenrecht en leverde een vorm van misbruik van omstandigheden op. De rechtbank besliste dan ook in het voordeel van de patiënt…. Lees verder

Misbruik van de DMCA, hoe werkt dat eigenlijk?

| AE 7141 | Aansprakelijkheid | 13 reacties

Onlangs las ik bij Popehat weer een prachtig verhaal over hoe de DMCA misbruikt wordt om onwelgevallige meningen te verwijderen. Het ging hier om een videospelmaker die een recensie op Youtube niet beviel en deze wegens auteursrechtschending weg liet halen. Dat is natuurlijk een werkelijk schandálige inbreuk op free speech en the American way. Nee… Lees verder

Gluren bij de buren versus de DMCA

| AE 4761 | Auteursrecht, Beveiliging | 14 reacties

De redactie van PC-Active werd getipt door een lezer, die erachter kwam dat openbaar hangende camera’s van het bedrijf WebCam.NL door een simpele wijziging van het webadres ineens inzoomen op gebieden die normaal gesproken niet zichtbaar mogen zijn, ontdekte PC-Active. De tipgever had ook enkele beelden van de webcams online gezet, en deze werden door… Lees verder

Automatische auteursrechtaansprakelijkheidsclaims

| AE 4564 | Auteursrecht | 17 reacties

Microsoft eist Google-ban op BBC, Wikipedia en Bing, meldde Webwereld maandag. Het bedrijf had via automatisch gegenereerde DMCA notice/takedownberichten de verwijdering geëist van zo’n vijf miljoen webpagina’s, volgens TorrentFreak omdat deze het getal “45” bevatten dat kennelijk iets met Windows 8 te maken heeft. Eh, oeps. Het idee achter de DMCA was een simpel wettelijk… Lees verder

Hoe een printer aangeklaagd werd voor auteursrechteninbreuk

| AE 1188 | Auteursrecht, Beveiliging | 3 reacties

Een netwerkprinter aan de University of Washington kreeg een DMCA takedown notice omdat deze zich bezig zou hebben gehouden met illegale verspreiding van films via peer-to-peer netwerken. Nee, niet door ze uit te printen. Netwerkprinters hebben ook IP-adressen, en die adressen kunnen opduiken in filesharing netwerken, waar organisaties zoals Mediasentry weer door getriggerd worden om… Lees verder