Virtuele goederen én belminuten kun je stelen

second-life-mobiele-telefoon-diefstal.jpgVirtuele goederen, zoals de meubi’s bij Habbo en de amuletten in Runescape, kun je stelen. Dat wisten we al een tijdje maar de Hoge Raad geeft er nu definitief haar zegen aan. En op dezelfde dag bepaalt ze ook dat je belminuten en sms’jes kunt stelen. En dát was voor mij in ieder geval nieuws.

Om van diefstal te kunnen spreken, moet er een “goed” zijn, oftewel een voor menselijke beheersing vatbaar tastbaar iets dat kan worden weggenomen. Elektriciteit valt onder die definitie (prima te hanteren met rubber handschoenen immers), maar computergegevens niet (kopiëren is geen stelen, hoi Tim).

Op het eerste gezicht leek het dan ook gek dat bij een Habbo-zaak diefstal met geweld, oftewel beroving, ten laste werd gelegd. Twee jongens hadden een ander met een mes gedwongen zijn meubi’s af te geven in het spel namelijk. Maar zijn die meubi’s wel te stelen? Het zijn toch computergegevens in de servers van Habbo? Idem voor een Runescape-zaak met ongeveer dezelfde omstandigheden.

Ja, die dingen kun je stelen, aldus de rechtbank in beide zaken. Zulke virtuele goederen zijn gemáákt om te worden verplaatst en weggegeven. Daarmee zit de mogelijkheid van stelen (wegnemen) er in gebouwd. Even IT-technisch: wanneer een systeem alleen de atomaire actie “verplaatsen” kent en niet “kopiëren” dan is het diefstal de verplaatsbare objecten te verplaatsen zonder toestemming van hun eigenaar.

Voor virtuele goederen kan ik dat nog wel volgen, maar in een ander arrest bepaalde de Hoge Raad hetzelfde voor belminuten en sms’jes. In die zaak had een man een simkaart van een bedrijf weten te verkrijgen en was hij daarmee gaan bellen, wat opviel toen de rekening van ” 2.645,39 binnenkwam. Hij werd vervolgd, en wel voor diefstal – nee, niet van de sim maar van de belminuten en de 100 euro aan sms’jes.

Volgens het gerechtshof was er inderdaad sprake van diefstal, omdat belminuten en sms’jes gewoon ‘goederen’ zijn die je kunt wegnemen. Immers, wie ze gebruikt, maakt ze op, en ze vertegenwoordigen nog waarde ook. En “gelet op de functie die belminuten en sms-berichten in het maatschappelijke verkeer vertegenwoordigen” moeten we ze dus gewoon als goederen zien. De Hoge Raad is het daarmee eens, want

Ook een niet-stoffelijk object kan [onder ‘steelbaar goed’] worden begrepen, mits het gaat om een object dat naar zijn aard geschikt is om aan de feitelijke heerschappij van een ander te worden onttrokken.

En tsja, de mogelijkheid een sms-bericht te versturen (want daar komt het op neer) voldoet aan die definitie. Dat object, die teller in de databank bij de telecomprovider, ben je kwijt als het aangepast wordt in die databank. Sjonge.

Mijn oude prof aan de TU Eindhoven zei ooit “het verschil tussen hardware en software is dat hardware pijn doet als het op je voet valt”. Dat vond ik altijd wel een mooi criterium, ook voor de vraag of iets te stelen is. Maar juridisch gezien klopt dat niet meer; ook niet-tastbare zaken zijn dus prima te stelen als hun functie is dat ze kunnen worden verbruikt of verplaatst. Dataverkeer zal er zeker onder vallen nu, en credits in een spel ook.

Wie weet er nog meer dingen die volgens dit criterium kunnen worden gestolen?

Update (18 april): de Hoge Raad bepaalde vandaag dat ook credits gestolen (verduisterd) kunnen worden. Die credits konden worden gekocht via een telefoon en daarna doorgezet naar andere diensten.

Arnoud

Moet je controleren of iemand minderjarig is?

minderjarigEen lezer vroeg me:

Naar aanleiding van de discussie over minderjarige forumleden vroeg ik me af: hoe kun je als forumbeheerder controleren hoe oud een lid is? Je kunt toch moeilijk zeggen: “Registreren is gratis,maar we willen wel even een kopie van je paspoort!” En wat gebeurt er als ik het niet controleer en de ouders erachter komen?

Je hebt gelijk, dat is bijna niet te controleren. In de praktijk gaat het meestal goed, omdat je er niets van merkt dat iemand minderjarig is. Een 14-jarige kan ook prima discussiëren op een forum of meedoen aan een spel. Als de ouders erachter komen, dan kunnen ze eisen dat zijn account wordt verwijderd, en dat moet je dan doen als beheerder.

Pas als er dingen betaald moeten worden (abonnementen, diensten etc) wordt het echt relevant hoe oud iemand is. Want als iemand nog geen 18 is, moeten zijn ouders toestemming geven voor die transactie, tenzij het volstrekt normaal is dat iemand van die leeftijd die transactie aangaat.

Een 14-jarige die Habbo-meubi, mobiel beltegoed of Runescape-punten koopt, kan dat doen zonder toestemming want dat is volstrekt normaal vandaag de dag. Maar als hij acht jaar is, denk ik dat de ouders het wel terug kunnen draaien. Al was het maar omdat Habbo zelf verbiedt dat je meedoet onder de 12 jaar zonder toestemming. Een webhostingabonnement bij een 14-jarige vind ik een twijfelgeval.

Een ander punt is publicatie van persoonsgegevens. Die 14-jarige kan dingen over zichzelf publiceren die de ouders niet online willen hebben. De ouders kunnen te allen tijde eisen dat die informatie eraf gaat, en kunnen vaak zelfs de site aansprakelijk stellen omdat het erop stond. Dit volgt uit de Wet Bescherming Persoonsgegevens, die hier erg ongenuanceerd streng over is.

Arnoud

Habbo-meubi’s wegnemen is diefstal (en computervredebreuk)

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud

In een virtuele wereld kun je ook stelen

runescape-diefstal.jpgEen amulet in een virtuele wereld blijkt een zaak die je kunt stelen, zo vonniste de rechtbank Leeuwarden eergisteren. Twee jongens wisten september vorig jaar van hun slachtoffer enkele virtuele goederen in de online roleplaying game Runescape af te pakken. (Dit is dus niét de Habbo-zaak waarover ik in november vorig jaar berichtte) Het slachtoffer werd met geweld gedwongen om naar het huis van één van de daders te gaan, waar men inlogde op Runescape en het slachtoffer verplicht werd om in te loggen zodat men de controle over zijn account over kon nemen en al zijn virtuele goederen naar hun eigen avatars kon overzetten. Ook dit ging gepaard met het nodige fysieke geweld.

Het is duidelijk dat hier sprake was van bedreiging met en gebruik van geweld, maar het opmerkelijke aan deze zaak was dat men diefstal van de goederen ten laste had gelegd. Het is namelijk geen uitgemaakte zaak dat je dergelijke virtuele zaken kúnt stelen.

Waarom was dit dan wel diefstal? De rechtbank formuleert een aantal eisen. Zo moet de bezitter waarde hechten aan het item, maar dat hoeft geen financiële waarde te zijn. Dat was in deze zaak duidelijk het geval. Ook moet je de feitelijke macht erover kwijt kunnen raken, en dat kan bij dit soort virtuele zaken natuurlijk prima.

De belangrijkste eis is echter dat sprake moet zijn van “voor menselijke beheersing vatbare objecten”. En dat is een lastige als het gaat om dingen die geen pijn doen als ze op je voet vallen. Computergegevens zijn bijvoorbeeld geen zaken die je kunt stelen, en bandbreedte ook niet. Elektriciteit dan weer wel, wat voor de fysici onder u misschien moeilijk te verteren is, maar dat mag u in de comments kwijt. In ieder geval, de rechtbank is daar vrij makkelijk in:

De virtuele amulet en het virtueel masker als bedoeld in de onderhavige zaak zijn geen stoffelijke goederen, alhoewel ze wel waarneembaar zijn. Gelet op de bedoelde jurisprudentie is dat geen beletsel om ze als goed als bedoeld in artikel 310 van het Wetboek van Strafrecht aan te merken.

Daarmee is de strafbaarheid gegeven. Vanwege de jonge leeftijd van de verdachten (14 jaar ten tijde van de diefstal) krijgen ze een werkstraf van 160 uur.

Dit is een baanbrekend vonnis, dat bij mijn weten één van de eerste keren vormt dat in Europa een virtueel item als steelbaar aanmerkt. Wat mij betreft een goede ontwikkeling. Wat offline moet online gelden heet het altijd, en het wegnemen van virtuele goederen is in principe net zo kwalijk als het wegnemen van “echte” goederen.

Natuurlijk betekent dat niet dat elke kopieeractie nu diefstal is. Het uploaden van muziek valt dus niet onder 310 Strafrecht (lees je mee, Tim?), want daarmee raakt de uploader noch de rechthebbende de feitelijke macht kwijt over de muziek. Dit vonnis gaat over situaties waarin één specifiek persoon de macht heeft over een object, en die kan overdragen. Het zal dus vooral voor virtuele werelden zoals Runescape, maar ook Habbo Hotel of World of Warcraft van belang zijn.

Update (12 november 2009): bevestigd in hoger beroep.

Ik twijfel of het ook opgaat voor domeinnamen. Ook die zijn maar door één persoon tegelijk te gebruiken, en je kunt op dezelfde manier als deze jongens deden zorgen voor de overdracht van een domeinnaam. Wat denken jullie? En waar zou dit vonnis nog meer toepassing vinden?

Arnoud

Mag ik alleen jongens in mijn clan?

Ok, deze is origineel. Een speler van Runescape was een clan begonnen en wilde daar geen meisjes bij. Eén van de geweigerde meiden was kennelijk juridisch onderlegd, want zij kwam met de Wet Gelijke Behandeling aanzetten. Als een werkgever een sollicitant niet mag weigeren omdat ze vrouw is, waarom deze clanleider dan wel?

De Wet Gelijke Behandeling verbiedt onderscheid op geslacht in veel gevallen. Wie een dienst aanbiedt of een aanbod tot een overeenkomst doet, mag in principe geen ongeoorloofd onderscheid maken (art. 7 lid 1 WGB). Dat geldt ook voor natuurlijke personen die niet handelen in de uitoefening van een beroep of bedrijf, als zij het aanbod in het openbaar doen.

Je zou kunnen zeggen dat een clan, een samenwerkingsverband tussen spelers in een virtuele wereld, een soort van dienst is. Of in ieder geval een samenwerkingsovereenkomst. Je belooft elkaar te helpen en je samen in te zetten voor de clan. Zolang zo’n clan beperkt blijft tot een klein groepje waar je alleen op uitnodiging lid van kunt worden, staat de WGB toe dat de leider op elke grond die hij wil mag kiezen of iemand lid mag worden of niet.

Wordt het aanbod in het openbaar gedaan, dan ligt het moeilijker. De enige redding voor deze jongen is dan nog de uitzondering dat het onderscheid mag als het gaat om “eisen die gelet op het privé-karakter van de omstandigheden waarop de rechtsverhouding ziet in redelijkheid kunnen worden gesteld.” (artikel 7 lid 3). Dat zie ik niet zo snel opgaan in deze situatie.

Van een andere orde is als de exploitant van het spel een dergelijk onderscheid zou maken. Dat speelde in 2006 bij datzelfde WoW toen een speler een ‘guild’ voor homoseksuele en lesbische spelers wilde opzetten. Exploitant Blizzard verbood dat omdat het aanleiding zou geven tot gescheld en geruzie van andere spelers.

Wat zal ik deze jongen adviseren? Wees blij dat er meisjes meedoen? 🙂

Arnoud

Forumlid worden als minderjarige vereist toestemming ouders

“Ik stem toe met de voorwaarden en ben ouder dan 13 jaar.” Wie zich op een Nederlandstalig forum registreert dat phpBB gebruikt, moet op deze zin klikken om de registratie te voltooien. Die zin is rechtstreeks afkomstig uit de Amerikaanse versie, waar de Children’s Online Privacy Protection Act eist dat forumbeheerders uitdrukkelijke toestemming van de ouders moeten vragen voordat ze personen onder de 13 jaar lid mogen laten worden van het forum.

De Nederlandse wet is veel strenger. Voor personen onder de zestien jaar is toestemming van diens ouders of verzorgers nodig.

Minderjarigen (personen onder de achttien) kunnen alleen overeenkomsten sluiten als zij daarvoor toestemming hebben van hun ouders of verzorgers. Een overeenkomst zonder toestemming kan altijd door de ouders worden teruggedraaid. De wederpartij heeft dan pech; hij kan zich niet beroepen op bijvoorbeeld het feit dat hij dacht dat de koper meerderjarig was. Registratie bij (lid worden van) een forum is ook een overeenkomst en valt dus ook onder deze regel.

De toestemming wordt verondersteld te zijn gegeven als de overeenkomst voor personen van diezelfde leeftijd gebruikelijk is. Een twaalfjarige kan dus rechtsgeldig een blikje cola kopen op het station. Een zeventienjarige kan een mountainbike kopen. De ouders van deze twee kunnen daar niets tegen beginnen.

Internet is natuurlijk erg populair onder jongeren, dus je kunt goed verdedigen dat lid worden van een internetforum gebruikelijk is. Daarmee is het voor jongeren toegestaan om zich zonder expliciete toestemming van hun ouders op te geven. Zou je denken.

De spelbreker hier is namelijk de artikel 5 van de Wet Bescherming Persoonsgegevens. Bij registratie op een forum geef je namelijk persoonsgegevens aan de site. Daarvoor is toestemming van de ouders nodig als de minderjarige de leeftijd van zestien jaren nog niet heeft bereikt.

En die toestemming moet altijd expliciet worden gegeven. De regel hierboven van “verondersteld te zijn gegeven” geldt hier niet.

Het “ik ben ouder dan dertien” moet in Nederland dus “ik ben minimaal zestien” worden.

En dat realiseren zich maar weinig sites. Habbo Hotel: “wanneer je jonger bent dan 12 jaar”). Myspace “verklaart en garandeert u dat … u 14 jaar of ouder bent”. Sugababes en Superdudes: “Je moet minimaal 13 jaar zijn om lid te mogen worden”. Hyves: stelt geen eisen. TMF: idem. De Nederlandse vertalers van phpBB bevelen zelfs aan de hele controle te verwijderen.

De Richtsnoeren persoonsgegevens op internet van het College Bescherming Persoonsgegevens leggen uit waarom:

De dagelijkse gang van zaken op internet is dat veel jongeren gedetailleerde informatie over zichzelf en hun vrienden en kennissen publiceren op internet, op een eigen website of in sociale netwerkomgevingen. Zo lang de betrokkenen geen hinder ondervinden van dergelijke publicaties, kan het wettelijk toestemmingsvereiste daarbij soms zinloos lijken. Bij publicatie op internet moet echter rekening worden gehouden met het feit dat de gevolgen pas jaren later merkbaar kunnen worden, door koppeling van gegevens over een persoon door de tijd heen, of omdat een jongere zich in een nieuwe omgeving (bijvoorbeeld bij wisseling van school) op een andere manier wil kunnen ontwikkelen dan voorheen.

Arnoud

Eerste aanhouding wegens virtuele diefstal

De politie heeft voor het eerst in Nederland iemand opgepakt wegens virtuele diefstal, meldt Planet. Het gaat om de meubi’s (meubels) uit de virtuele wereld voor tieners Habbo Hotel. Spelers lopen als virtueel personage rond, en kunnen hun eigen kamers in dat Habbo Hotel inrichten met speciale credits. Die credits zijn de inkomstenbron van Habbo: die moet je kopen met echt geld.

De verdachten zouden door middel van hacken bij de accounts van de Habbo-gebruikers zijn gekomen en vervolgens meubels naar hun eigen kamers hebben verplaatst. Omdat de Habbo-credits zijn gekocht met echt geld wordt de verdachte behalve hacken ook diefstal ten laste gelegd.

Het lijkt me duidelijk dat het hacken van iemands account, in dit geval het aftroggelen van wachtwoorden, computervredebreuk is. Dat is een strafbaar feit, een misdrijf zelfs. Het intrigerende vond ik de tenlastelegging van diefstal.

Diefstal is het wegnemen van iets “met het oogmerk om het zich wederrechtelijk toe te eigenen” (art. 310 Wetboek van Strafrecht). Er moet dan alleen wel een “iets” zijn om weg te nemen. In een eerdere blogpost over Diefstal van game credits ging ik in op de vraag hoe tastbaar spelobjecten zoals die meubi’s van Habbo zijn. Dat bleek wat twijfelachtig. Maar dat ging over de definitie van “zaak” in het Burgerlijk Wetboek. En hier gaat het om strafrecht. Bij strafrecht zijn de regels anders. Elektriciteit is niet bepaald een tastbare zaak. Toch werd al in 1921 door de Hoge Raad beslist dat diefstal van elektriciteit mogelijk was (het Elektriciteitsarrest, HR 23 mei 1921).

Bovendien: het gaat niet om diefstal van de meubi’s maar om diefstal van het geld waarmee die meubi’s zijn gekocht. Dat is een originele invalshoek. Giraal geld stelen is strafbaar.

De zeer creatieve constructie is dan dat Habbo een bank is, die je saldo op een originele manier laat zien: als meubi’s. Waarom zou giraal geld tenslotte per se een saai getal in je internetbankapplicatie moeten zijn? Je kunt het ook laten zien als een tafel van 5 euro, een stoel van 3 en een plantenbak van 2,50. En (opvoedkundig verantwoord, het is voor kinderen tenslotte) je mag dan zelf uitrekenen dat je saldo 10,50 is.

Arnoud

Diefstal van game-credits – kun je daar eigenaar van zijn?

‘Een principieel verschil met het pikken van andermans knikkers is er niet.’ Planet – Arjan Dasselaar maakt zich boos over de sensatiezoekende berichtgeving over de pogingen om de Runescape-credits in te pikken.

Sinds wanneer komt het NOS Journaal opdraven op het moment dat een leerling van een middelbare school een paar tikken krijgt? Nou, sinds er internet bij kan worden gehaald.

Hoe die discussie afloopt, leest u bij zijn column op Planet. Ik was zelf meer geinteresseerd in of het nou strafbaar is, iemands credits aftroggelen. Natuurlijk is mishandeling en bedreiging strafbaar, ongeacht de reden waarom. Maar er zijn genoeg manieren om iemands credits of ander bezit bij Habbo, Runescape en World of Warcraft te pakken te krijgen. Mag dat?

In principe mag alles dat van de spelregels mag. Als ik weken bezig ben een duur harnas te pakken te krijgen, en mijn karakter wordt daarna door een medespeler vermoord, dan ben ik het harnas kwijt. Jammer maar helaas, dat zijn de spelregels. Het wordt twijfelachtig als die medespeler een bot gebruikt, dat is een vorm van valsspelen. Dan moet ik bij de spelleiding gaan klagen, zodat zij de boel ongedaan maken. Het via de rechter verhalen van schade door iemands overtreden van de spelregels kan vaak ook. Een voetballer die na een grove tackle ‘op de man’ zijn been breekt, kan de ziekenhuiskosten terug krijgen.

Het wordt juridisch relevant wanneer spelobjecten verhandeld worden voor echt geld. Je kunt op diverse sites bieden op zulke “in-game objects”. Na betaling komt er dan in het spel een karakter naar je toe, dat je het object geeft. Er gaat zo veel geld om in die activiteit dat het voor Korea al aanleiding was om er belasting op te heffen. Dan gaan er mensen beginnen over “eigendom” en “diefstal”, want die zijn hun dure investering kwijt.

Via R-win.com vond ik het boek Recht in een virtuele wereld (Word-bestand) over de juridische aspecten van Massive Multiplayer Online Role Playing Games (MMORPG), door Arno Lodder (red.) van het NVvIR met veel nuttige observaties over dit onderwerp.

Wie iets maakt of iets koopt, heeft daar gewoon het eigendomsrecht op. Alleen, dat iets moet dan wel een “voor menselijke beheersing vatbaar object” zijn, zo staat in het Burgerlijk Wetboek. Abstracte dingen zijn geen “zaken” en die kun je dus niet in eigendom hebben. Sommige abstracte zaken kun je met een intellectueel eigendomsrecht beschermen. Op een tekst heb je auteursrecht, en op een uitvinding kun je octrooi aanvragen. Je bent dan nog steeds geen “eigenaar van de uitvinding” maar je kunt wel anderen verbieden die commercieel toe te passen.

Hoe tastbaar is nu een spelobject? Genoeg om met een tafel of auto vergelijkbaar te zijn? Dat blijkt een lastige vraag. Je kunt heel natuurkundig kijken: een spelobject bestaat uit elektrische stroompjes of magnetische velden in een computersysteem, en die stroompjes of velden zijn uniek en bovendien voor menselijke beheersing vatbaar. De alfa’s die het Burgerlijk Wetboek hebben geschreven, wilden daar niet aan: “het begrip zaak mag niet worden vereenzelvigd met ‘stof’ in natuurwetenschappelijke zin, en uitsluitend de eisen van het ‘praktische rechtsleven’ bepalen wat het recht als zaak beschouwt.”

Oftewel: als maar genoeg mensen vinden dat ze eigenaar zijn van hun Habbo-meubilair of zeldzame Warcraft-uitrusting, dan is dat ook zo.

Voor zelf ontworpen objecten (bv voor in Second Life) zou de ontwerper waarschijnlijk wel auteursrecht kunnen claimen. Het zijn creatieve werken, en tekeningen op de computer zijn net zo goed beschermd als tekeningen op papier.

Bij standaard spelobjecten gaat die redenering niet op. Die zijn door de spelontwerper gemaakt, en de spelers kunnen ze alleen gebruiken en aan elkaar geven. Een speler kan dus geen intellectueel eigendomsrecht claimen.

Arnoud