Onder welk recht vallen misdrijven in de Metaverse eigenlijk?

Via Twitter:

als je straks in het #Metaverse van Facebook een misdrijf begaat, onder welke wetten valt dat dan?
Ik zou zelf de Metaverse zeggen, maar dat terzijde. De vraag is natuurlijk relevant omdat de Metaverse een nieuwe manier is om via internet te interacteren en dingen te doen. Dat kunnen ook strafbare dingen zijn, en omdat de Metaverse nadrukkelijk wordt vormgegeven als een driedimensionale virtuele wereld, ontstaat dan het beeld van een ‘nieuw’ land, een nieuwe wereld. Hoe past dat bij oude wetten?

“Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind”, aldus ooit John Perry Barlow, die al in 1996 voorzag dat internet breed gezien zou worden als een nieuwe wereld. Helaas voor hem trok niemand zich wat aan van deze onafhankelijkheidsverklaring-1.0.html, met name niet als het gaat om strafrecht: landen, hoe vermoeid of ouderwets ook, zien het kunnen reguleren van hun burgers en hun grondgebied als een kerntaak waar andere mensen van af moeten blijven.

Het korte antwoord is dan ook: De wetten van de landen waar je handelingen criminele impact hebben. Dit is niet uniek, bij Web 1.0 en 2.0 ook al zo. Er is immers geen wereldstrafhof.

Het iets langere antwoord: omdat wetgeving het concept van virtuele werelden niet erkent, althans niet in de zin van “niet ons terrein, vriend”, moet je bij het bepalen van jurisdictie dus daar doorheen prikken. Wat gebeurt er juridisch gezien, en wáár gebeurt dat? Slaat iemand ergens data op, wordt er een bericht verstuurd of ontvangen, ondervindt er iemand schade en zo ja waar zit die iemand?

Onbevredigend is dat wel. Als je in het Metaverse actief bent, dan wil je eigenlijk niet weten in welk fysiek land je handelen zich nu afspeelt, zeker niet als landen rare dingen gaan doen als “de server staat bij ons” of “iemand die hier woont, kan het lezen”. Maar toch werkt het zo. En dat kan dus betekenen dat je de strafwetgeving van meerdere landen tegelijk moet respecteren, ook van landen waar je nooit gehoord hebt. Als Meta vanwege fiscale redenen een belangrijk deel van de dienst in een belastingparadijs als Nederland parkeert, dan valt iedereen onder Nederlands recht. En tegelijk misschien ook wel onder dat van Thailand, als die wereldwijde verboden hebben op het beledigen van hun staatshoofd.

Daar staat tegenover dat het meestal “alleen maar” om uitingsdelicten gaat. Smaad, laster, aanzetten tot haat, dat werk. Bij strafrecht denken we eerder aan moord en vernieling, maar in de Metaverse vind ik het moeilijk voor te stellen hoe je iemand zou vermoorden. Het kan zeer interessante en unieke lectuur (<- lees dit) opleveren, maar je komt echt niet in het terrein van het strafrecht. Hooguit bij virtuele diefstal, waar Nederland relatief unieke jurisprudentie over heeft.

Arnoud

Supreme Court deelt nieuwe klap uit aan Amerikaanse patenttrollen

Het wordt in de VS moeilijker om patentrechtszaken aan te spannen in districten die worden gezien als ‘gunstig’ voor de aanklager, las ik bij Nu.nl. Dit raakt met name patenttrollen, organisaties met patenten maar zonder eigen bedrijfsactiviteiten. Deze proberen geld los te peuteren van organisaties door te dreigen met rechtszaken in dergelijke jurisdicties, met name het Eastern District of Texas. Maar dat gaat niet meer zo makkelijk: in de Heartland-uitspraak bepaalt het Supreme Court nu dat alleen de rechtbank bevoegd is voor de plaats waar een bedrijf formeel opgericht is.

Een octrooitrol is een bedrijf dat niet zelf een uitvinding op de markt brengt en zichzelf beschermt met een octrooi, maar als enige bedrijfsactiviteit heeft het uitoefenen van haar octrooien tegen derden. Vaak zijn deze octrooien, of de claims jegens derden die men daarmee legt, van dubieuze waarde. De meeste bedrijven schikken echter toch, omdat octrooiprocedures in de VS tot de duurste ter wereld behoren en vele jaren kunnen duren. Bovendien geldt in de VS in beginsel geen proceskostenveroordeling voor de verliezende partij, zodat een bedrijf zelfs bij een overwinning duurder uit kan zijn dan het door de trol geëiste schikkingsbedrag.

Octrooitrollen of patenttrollen zijn berucht, met name in de ICT omdat patenten in die sector ook al een slechte reuk hebben. Dan krijg je dus dat mensen met een onzinpatent een claim leggen, en het toch goedkoper is om ze te betalen dan om naar de rechter te stappen. Zeker omdat je nooit kunt voorspellen of de mensen van de jury (die eigenlijk per definitie niets weten van techniek) niet tóch denkt dat het nieuw is, een hyperlink met je vinger aanklikken. En dan hang je voor een héleboel geld.

Trollen stappen ook naar de rechter als het moet: ongeveer de helft van alle patentzaken zou door trollen worden aangespannen. En dan is het mogelijk om een leuke plek te kiezen waar je dat doet, want uit allerlei statistieken is te achterhalen wie het gunstigt zou oordelen over de zaak.

Het Eastern District of Texas is daarbij berucht: ze zijn snel en deskundig, maar zeer vriendelijk voor eisers en zelden geneigd dingen ongeldig te verklaren. En het is makkelijk om daar uit te komen, want als er ook maar één product wordt verkocht in die buurt dan vindt de rechtbank dat ze bevoegd is.

De Supreme Court zet nu een dikke streep door die praktijk: “As applied to domestic corporations, “reside[nce]” in §1400(b) refers only to the State of incorporation.” Dus alleen de rechtbank in de staat waar een bedrijf opgericht is, is bevoegd om over dat bedrijf recht te spreken. En omdat bedrijven zelden opgericht worden in Texas, is daarmee dat Eastern District een vrijwel onmogelijke bestemming geworden. Het zal eerder de neutrale zakelijke rechtbank in Delaware worden of de technology-vriendelijke rechtbank in Californië.

Sowieso hebben patenttrollen al een tijdje problemen: sinds de Alice-uitspraak van 2015 is het vrijwel niet meer mogelijk om een softwarepatent er door te krijgen bij het USPTO, of bij de rechtbank overeind te houden. De cijfers blijven dramatisch: twee derde van alle patenten wordt bij de rechtbank ongeldig verklaard omdat het niet technologisch genoeg is. Dit is een nieuwe klap voor het businessmodel van de trol, en hopelijk de genadeklap.

Arnoud

Skype krijgt boete in België om weigeren medewerking in politieonderzoek

skype-chat-meetingMicrosoft-dochter Skype heeft in België een boete van 30.000 euro gekregen, omdat de dienst geen informatie over gesprekken vrij kon geven in een politieonderzoek. Dat meldde Nu.nl vorige week. De Belgische autoriteiten wilden toegang tot Skype-gesprekken, maar volgens het bedrijf waren die technisch niet te verstrekken. Bovendien zou de Belgische justitie geen rechtsmacht hebben omdat Skype in Luxemburg gevestigd zit.

Wanneer in een land een strafbaar feit is begaan, kan de lokale Justitie (politie en het openbaar ministerie, of hoe dat ter plaatse heet) daar natuurlijk onderzoek naar doen. Ook als het strafbaar feit (mede) via internetdiensten wordt gepleegd.

Daar kunnen buitenlandse partijen bij betrokken zijn die informatie hebben die nodig is voor het onderzoek. De meest voor de hand liggende manier om daarmee om te gaan is een rechtshulpverzoek bij Justitie in dat buitenland. Zo kan onze politie een verzoek bij de Amerikaanse FBI indienen als een verdachte mailt via Gmail of Microsoft Outlook.com. Deze beoordeelt dan het verzoek en haalt de gegevens op, zodat wij weer verder kunnen.

De Belgische rechtbank gaat echter een stapje verder. Skype adverteert haar diensten in België, en wordt daarmee geacht in België te opereren. Een niet onbekend argument, hoewel het hier natuurlijk gaat om strafrecht en niet om burgerlijk recht. Maar ik vind er wel wat voor te zeggen: als je de lusten wilt van zaken in een land, dan ook de strafrechtelijke lasten.

Het blijft een lastige. In de Eerste Wereldoorlog hadden we de zaak van het Azewijnse paard, dat vanuit Duitsland met een touw Nederland uit getrokken werd. Was dat nu een exporthandeling in Nederland (in strijd met de wet op dat moment)? Ja, want door het touw verbond men zich met het in Nederland bevindende paard en dus werd de strafbare handeling in Nederland gepleegd.

Als je dat als analogie loslaat op internet, dan is best verdedigbaar dat een communicatielijn naar een Belgische klant ertoe leidt dat je onder Belgisch recht valt. Zeker als je welbewust mikt op dat land. Dat je dan feitelijk lastiger aan te pakken bent (want je hebt geen directeur die d cel in kan of een bankrekening waar een boete van afgehaald kan worden) is een praktisch detail.

Arnoud

Mag een Amerikaanse rechter je .de domeinnaam offline laten halen?

fengtao-software-domeinnaam-beslag-dvdEen rechter in New York heeft inbeslagname gelast van tientallen domeinnamen van het Chinese bedrijf Fengtao Software, las ik bij Ars Technica. Ook moeten hun socialmediaaccounts gesloten worden en mogen betalingsproviders geen zaken meer met ze doen. Dit omdat Fengtao DVD-rippingsoftware verspreidt. Maar eh, ook de .de, .cn en .jp domeinnamen?

The Register meldt dat het onder meer gaat om DVDFab.com, DVDFab.net, DVDFab.jp, DVDFab.de, Ray-ripper.us, Boooya.org en CopyBiuRay.us, plus hun accounts op Facebook, Twitter, Google+ en YouTube en oh PayPal, Visa, MasterCard en Amazon Payments mogen geen betalingen meer faciliteren voor het bedrijf. Ben je mooi klaar mee dan, want die bedrijven blijken allemaal keurig gehoor te geven aan een court order van een Amerikaanse rechter. Alle domeinnamen zijn offline voor zover beheerd door een Amerikaans bedrijf, de grote sociale jongens hebben de accounts bevroren en betalingen lijken te zijn gestopt. Buitenlandse registries (zoals .de en .jp) trekken zich niets van het verbod aan.

Kan dat zomaar? Ja, dat kan zomaar. De software van Fengtao is ontworpen om de CSS kopieerbeveiliging op DVD’s en BluRay discs te kraken, en dat is een overtreding van de Amerikaanse auteurswet. Om die overtreding te beëindigen, bepaalt de rechter nu dat alle diensten die bij de verspreiding van de software worden ingezet, daarmee op moeten houden. Een in het juridisch kader begrijpelijke maatregel. Maar het voelt wel als een wereldwijde machtsgreep van een Amerikaanse rechter.

Feit is dat een heel groot deel van het wereldwijde web in feite Amerikaans is. Amerikaanse wetten (en gewoontes en fatsoensnormen) zijn dan ook zeer beeldbepalend voor wat er wel en niet kan en mag op internet. En dat zie je ook bij deze zaak terugkomen.

Natuurlijk, uiteindelijk zijn het Amerikaanse bedrijven dus het Amerikaans recht geldt, maar als internationale bedrijven zó afhankelijk zijn van Amerikaanse diensten, is dat dan nog wel eerlijk? En als het dat wel is, moeten we dan niet eens op zoek naar een andere infrastructuur waardoor de invloed van één land niet zo gigantisch is?

(Natuurlijk zou die Fengtao software bij ons ook een probleem zijn gezien onze antikopieerbeveiligingskraakwetten, maar daar gaat het nu even niet om. Een Amerikaanse rechter bepaalt niet of iets bij ons verboden is, toch?)

Arnoud

AliExpress heeft nu iDeal, vallen ze onder Nederlands recht?

aliexpressDe Chinese webwinkel AliExpress voegt ondersteuning toe voor de Nederlandse betaalmethode iDeal, meldde Tweakers onlangs. En een lezer vroeg me toen: vallen ze daarmee onder Nederlands recht? Er is al een Nederlandstalige site, met eigen subdomein en Nederlandse taal immers.

Er is geen hard criterium wanneer je onder welk recht valt. Bij zakendoen en e-commerce is de vraag eigenlijk “op welk land richt je je met je site”, en het antwoord is in feite een optelsom op gevoel. Hoe veel dingen zie je die generiek zijn (-1) en hoe veel dingen zie je die landspecifiek zijn (+1), en dan het totaal afronden naar wat je onderbuik zegt.

Bij AliExpress zie ik een Nederlandstalige site (+1) op een nl. subdomein (+1) waar je met IDeal mag betalen (+1), maar standaard de prijzen in dollars zijn (-1). Doorklikkend naar de help krijg ik meteen Engelse tekst (-1) maar wel met “We ship to NETHERLANDS” (+1) en daarna de optie de help Nederlands te krijgen (+1). Alleen is dat dan een machinevertaling (“Hoe werkt AliExpress bescherm ik mijn betalingen?”, -1). En dan zegt mijn onderbuik dat ik op +2 uitkom, oftewel deze site richt zich op Nederland en valt dus onder Nederlands recht.

Een interessante daarbij is nog dat AliExpress een marktplaats is en geen winkel. De vraag is dan eigenlijk of de winkeliers/aanbieders zelf ook onder Nederlands recht vallen. Mij lijkt dat hierbij hetzelfde criterium moet gelden als voor de marktplaats, omdat de aanbieders geen eigen winkeltjes met eigen opmaak hebben maar alleen hun productdata aanleveren en alle presentatie e.d. door AliExpress laten doen. Tegelijkertijd heb je als winkeltje weinig zicht op wát AliExpress dan doet aan opmaak en dergelijke. Dus dan val jij ineens onder Nederlands recht omdat je marktplaatsleverancier dat leuk vindt? Dat kan toch ook weer niet de bedoeling zijn?

Arnoud

In welke landen ben je aansprakelijk voor je website?

wij-stellen-ons-niet-aansprakelijk.jpgAls een website in een bepaald land op te roepen is, en daar is een inbreuk op auteursrecht (oid) te zien, dan is de rechter van dat land daarvoor bevoegd. Ook als die website niets te maken had met dat land, bijvoorbeeld omdat de domeinnaam een extensie van een ander land heeft. Wel is de schade dan beperkt tot hetgeen er in dat land is aangericht. Dat bepaalde het Hof van Justitie (via) eind januari. Oftewel: káp nou eens met “ik val onder Duits recht want ik heb een .de domein”.

In deze rechtszaak had een organisatie foto’s van een fotograaf met toestemming gebruikt, maar zonder toestemming op hun website gezet. De fotograaf stapte in Oostenrijk naar de rechter, en het bedrijf betwistte dat die bevoegd was omdat zij nu eenmaal in Duitsland was gevestigd en de website een .de extensie had. De rechtbank zette daarop haar juridische hulplijn in en vroeg het Hof van Justitie hoe dat nu zit: wanneer val je met je website onder het recht van een land als je via die website een onrechtmatige daad pleegt?

Nu is dit in het recht niet een heel nieuwe vraag. Het is al langer mogelijk om in land A iets te doen waar ze in land B last van hebben. Denk aan het exporteren van een krant met iets smadelijks, of het lozen van dingen in een rivier. Er zijn dan twee regels: 1) waar de veroorzaker gevestigd is, 2) waar de schade zich voordoet. Bij regel 2 geldt wel de beperking dat je dan alleen de schade mag vorderen die in dát land is voorgevallen. Volg je regel 1, dan mag je in dat land álle schade proberen vergoed te krijgen.

In deze zaak hielp regel 1 niet: de organisatie was immers in Duitsland gevestigd. Maar regel 2 vertaald naar internet gaat wél op:

In omstandigheden als die van het hoofgeding dient dus te worden aangenomen dat het intreden van de schade en/of het risico dat dit gebeurt, voortvloeien uit het feit dat in de lidstaat van de aangezochte rechter via de website van [de organisatie] toegang kon worden verkregen tot de foto’s die het voorwerp uitmaken van de rechten waarop [de fotograaf] zich beroept.

Ja, dat is wel gek: iedere website is in principe op te roepen in elk land. Die redenering kennen wij ook: menig Nederlands vonnis begint ergens met de formaliteit dat de website via internet op te roepen is vanuit Utrecht, Den Haag of Amsterdam en dat daarom de rechtbank Midden-Nederland (voorheen Utrecht), Den Haag of Amsterdam bevoegd is. Het deed me altijd wat flauw aan, maar ja als het Hof van Justitie het zegt dan valt het niet meer te ontkennen.

Dat de website wordt geëxploiteerd onder een Duits topleveldomein en niet op Oostenrijk gericht is, doet niet ter zake. Het gaat er echt alléén om dat je de website kunt benaderen vanuit Oostenrijk, en zodra dat het geval is mag de Oostenrijkse rechter zeggen hoe veel schade er in Oostenrijk geleden is. Deze regel is dus losser dan de regels bij de vraag op welk land een site zich richt bij elektronische handel en reclame. Daar moet je echt actief iets doen gericht op dat land, bijvoorbeeld in die taal adverteren, betaalmiddelen uit dat land accepteren of reclame maken op de radio aldaar.

Ik snap de redenering maar ik maak me er wel zorgen om. Het riekt heel erg naar de mogelijkheid van forumshoppen: zoek een land waar de wet of jurisprudentie je gunstig gestemd is, dien daar je rechtszaak in en hoop dat ze niet ál te moeilijk doen over je schadeclaim.

Arnoud

Is Googles Eemshavens datacenter nou privacytechnisch spannend?

datacenterGoogle gaat in de Eemshaven in Groningen een enorm datacenter bouwen., las ik bij NRCQ. Het datacenter zal zo’n 150 banen in Nederland opleveren en vertegenwoordigt een investering van minstens 600 miljoen euro. Waarop iedereen dacht: ja maar wacht eens, valt dat datacentrum niet onder Amerikaanse (privacy- en andere) jurisdictie? Althans, als ik mijn inbox mag geloven.

Eh, nee. Als je in Nederland iets bouwt, dan valt dat iets onder Nederlands recht. Of het nu een datacentrum is, een chemische fabriek of een ambassade. Want nee, een ambassade is géén grondgebied van de gast maar gewoon van het gastland (bij ons Nederland dus). Het Verdrag van Wenen bepaalt dat diplomaten en diplomatieke vertegenwoordigingen immuniteit of onschendbaarheid genieten in de landen waar ze te gast zijn (artikel 22) en dat niemand een ambassade mag betreden zonder toestemming van de ambassadeur.

Verder maakt het specifiek voor de privacy totaal niet uit of het datacentrum onder Nederlands of Amerikaans recht zou vallen. De privacywet kijkt niet naar waar de data staat, maar om wiens data het gaat. En is dat data van Nederlanders, dan geldt daarop de Nederlandse privacywet (die afgeleid is van de Europese).

De privacywet bepaalt dat persoonsgegevens niet mogen worden verwerkt in landen waar geen adequaat beschermingsniveau geldt voor zulke gegevens. De VS is het schoolvoorbeeld van zo’n land – ze hebben daar niet eens een wet die iets zegt over persoonsgegevens.

Google mag dus best hier een datacentrum neerzetten en daar gegevens van Nederlanders in opslaan. Ze moet er alleen voor zorgen dat die gegevens binnen Nederland, althans binnen Europa, blijven en met name dat Amerikaanse overheden daar niet bij kunnen.

En dat wordt nog een lastige voor het Amerikaanse bedrijf, tenzij concurrent Microsoft haar hoger beroep wint over het moeten afgeven van data uit haar dochterondernemingsdatacentrum in Iederland. Of Google moet het datacentrum alleen gebruiken voor niet-persoonsgegevens. Maar dat lijkt me sterk.

Arnoud