Hof vindt website geen geautomatiseerd werk en spreekt verdachte vrij

| AE 13510 | Regulering, Security | 13 reacties

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost werd veroordeeld tot een gevangenisstraf van twee maanden, waarvan één maand voorwaardelijk, is in hoger beroep vrijgesproken, las ik bij Security.nl. Dit omdat een website volgens het gerechtshof Den Haag niet als geautomatiseerd werk kan worden aangemerkt. Is dat een pietluttig zoeken naar spijkers op laag water of zit hier meer achter?

Eerst een organisatie hacken, en vervolgens voor veel geld aanbieden om het ‘lek’ te dichten. Dat was volgens het OM het business model van de 29-jarige man uit Tiel. Hem werd computervredebreuk ten laste gelegd, het OM kon zijn beroep op “white hat hacken” niet serieus nemen. Het was een mooie casus om eens te bepalen wat er wel en niet kan als je tegen lekken aanloopt en het je werk is die te dichten.

Die kans is gemist, want na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. In 2013 hadden we nog een discussie over die term ‘inrichting’, dat mag best een samenstel van fysieke dingen zijn maar er moeten wel fysieke ding(en) gehackt zijn, uiteindelijk. (Ook de tegenwoordige definitie, die nog niet gold ten tijde van dit feit, vereist een of meer stukken hardware.)

In 2020 deed ditzelfde Hof ook zoiets, toen het ging om het hacken van een Facebook-account: “Een account op Facebook bestaat feitelijk slechts uit een samenstel van gegevens en heeft daarmee geen fysieke vorm. ” Het OM was daar destijds op voorbereid, door subsidiair “de server achter het account” op te nemen als voorwerp van hack, maar dat mocht dan ook weer niet:

Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.
Nou weet ik dat men in het strafrecht van de precieze is, en het is inderdaad fout om te zeggen dat er bij Jansen is ingebroken als men bij een pand in eigendom Pietersen naar binnen ging. Maar ik snap in deze situatie niet welk belang het Hof probeert te beschermen. Had in die Facebook-zaak Meta als mede-slachtoffer moeten zijn opgevoerd? Dat voelt raar: als Jansen de huurder was van dat pand van Pietersen, dan is “inbreken bij Jansen” toch gewoon juist?

Een jaar later kwam de Hoge Raad met een arrest over ddos-aanvallen, die ook alleen op geautomatiseerde werken kunnen worden uitgevoerd. Daar was in de tenlastelegging alleen opgenomen dat “gegevens toegezonden naar de website “[internetsite 2]” waren, wat kennelijk genoeg was:

Het hof heeft vastgesteld dat de verdachte via de website ‘[internetsite 1]’ zestien Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) heeft laten uitvoeren op de website ‘[internetsite 2]’, en dat de toegang tot de website ‘[internetsite 2]’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis en gelet op wat hiervoor onder 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting.
De HR lijkt dus “website” zo te lezen dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoort, en heeft er geen moeite mee dat de website-eigenaar een andere entiteit is dan de eigenaar of exploitant van die hardware. Het belang van de strafbaarheid zit hem erin dat die website offline was, of hier dat de verdachte is gegaan waar hij niet mocht zijn. Niet of er een complete lijst bijgevoegd is van de eigenaren van alle componenten.

Dus nee, ik zie niet hoe het Hof in enige redelijkheid tot deze conclusie kan komen.

Arnoud

Hoe kun je nou rechten claimen op wetten en vonnissen?

| AE 11938 | Intellectuele rechten, Ondernemingsvrijheid | 5 reacties

Juridische AI-dienst ROSS is uit z’n slof geschoten in haar verweerschrift tegen de rechtszaak van Thomson Reuters, las ik bij Artificial Lawyer. De Thomson Reuters dienst Westlaw zou zijn gebruikt als bron om ROSS te trainen, en daardoor op een of andere manier haar rechten schenden. Wat volgens ROSS volkomen onlogisch is: dat zou dan gaan om rechten op tussenkopjes en andere verrijkte informatie, maar ROSS werkt juist het beste omdat ze alleen naar brondata kijkt.

ROSS is de bekendste juridische AI: ze zoeken relevante rechtspraak bij cases die je erin stopt, wat in de VS en Engeland het belangrijkste middel is om een aanklacht of verweer te ondersteunen. En vooral: er is véél meer rechtspraak dan bij ons, want honderd jaar teruggaan is niet raar in common law rechtssystemen.

ROSS is er vrij goed in, wat natuurlijk (naast de inzet van torenhoge IBM machines) komt door hun uitgebreide dataset. En dat is waar Thomson over valt: die stellen dat hún data er voor is gebruikt. Thomson maakt namelijk annotaties van rechtspraak, inclusief indexaties, tussenkopjes en verwijzingen. Dat verkopen ze dan voor veel geld aan advocatenkantoren – wat een stuk beter gaat omdat er eigenlijk geen fatsoenlijke openbare bronnen van wetten en met name jurisprudentie zijn in deze landen.

De beschuldiging aan ROSS lijkt gebaseerd op het werk van een toeleverancier die wetten en case law uit de Thomson database heeft gehaald en dat heeft opgestuurd inclusief tussenkopjes en annotaties. ROSS heeft nu interne mails overlegd waaruit blijkt dat ze nadrukkelijk dat hebben afgekeurd: ze hebben daar namelijk niets aan omdat het machine learning algoritme juist gaat om het leren uit de bronteksten. Wat vrij logisch klinkt voor mij, en zoals ze zelf zeggen:

In fact, anyone that accesses our platform (which is freely accessible through our website) can readily see that we have no editorialized content. It has always been our view that the editorialized content approach, in addition to being fallible and difficult to quality-check, produces work that is stale the moment it is published. That is the old legal research playbook. We chose a new way.

De grote frustratie is uiteraard dat je dan uberhaupt in actie moet komen tegen zo’n onzineis. En dat is in de VS echt wel een probleem, want in de fase waar men nu is (discovery) heb je rustig een ton neer te leggen om je te verweren en de gevraagde informatie te overleggen. Discovery is namelijk de verplichting om álle relevante materialen af te geven aan je wederpartij, en dat zijn meerdere vrachtwagens als je niet uitkijkt.

Arnoud

AI rechters en het juridische novum

| AE 10674 | Innovatie | 10 reacties

“De doker begraaft zijn vergissingen; die van de rechter worden tot wet”. Met die tekst opende Coen Drion een blog over de koersvastheid van de rechter. Dat is namelijk een dingetje in het recht: mag een rechter afwijken van eerdere uitspraken van collega’s of zelfs hogere rechtbanken? In het Engelse en Amerikaanse common law systeem is dat een doodzonde, het principe van “stare decisis” vereist daar dat de rechtbank doet wat hoger is bepaald, en dat alleen hogere rechtbanken “om” kunnen gaan. Nu steeds meer stemmen opgaan om rechtspraak door AI of robots te laten doen, is het goed daar nog eens over na te denken want AI-gevoede rechtspraak gaat heel anders om met precedenten dan mensenrechtspraak.

Artificial Intelligence wordt binnen de juridische wereld nu vooral ingezet voor analyse en adviseren. Maar in theorie is er weinig technisch bezwaar tegen een AI systeem dat uitspraken gaat doen over daadwerkelijke zaken. Het infameuze E-court heeft al een robotrechter, die op basis van een hele stapel eerdere uitspraken analyseert hoe kansrijk een geldvordering is, en deze dan toe- of afwijst.

Dat is ook precies hoe AI werkt. Een robotrechter leert geen rechtsregels zoals menselijke juristen doen, en leert zelfs niet het analyseren van eerdere jurisprudentie wat belangrijke factoren zijn. AI’s zijn goed in het vergelijken: gegeven een dataset waarin elk item (elk vonnis dus) in een zit, bepaal welke factoren per item essentieel zijn om in een bepaald bakje te horen. Dat is een beetje hoe een ervaren menselijke rechter ook werkt: oké, een standaard-incassozaakje of daar heb je weer een fotoclaim met het bekende verhaal over citaatrecht. Maar niet helemaal: een AI kijkt blind naar alle factoren die hij ziet, en dat kunnen ook onbedoelde factoren zijn (als advocaat X pleit of de eiser in Amstelveen woont, dan is dat een indicatie dat de zaak niet sterk is).

Uiteindelijk is de kern echter wel dat een AI alléén afgaat op de eerdere dataset. Hij leert immers alleen daaruit hoe er recht gesproken moet worden. Een afwijking van die dataset is daarbij niet te verwachten. Computers zijn immers niet creatief, en niet gevoelig voor ongewone omstandigheden, nieuwe feiten of het overtuigendste pleidooi. Dat is ook de reden waarom robotrechters alleen voor standaardwerk ingezet moeten kunnen worden, én dat er altijd ruimte moet zijn om die ongewone omstandigheden te kunnen stellen waarna een mensenrechter en aar kijkt.

Complex daarbij vind ik wel dat je robotrechters inzet om standaardwerk te doen, en dat je wilt voorkomen dat iedereen alsnog naar de mensenrechter wil. Maar hoe toets je of iemands beroep op bijzondere omstandigheden legitiem is en dus naar de mensenrechter mag? Per definitie kan een robotrechter dat niet bepalen.

Arnoud

Wanneer is een gerechtelijke uitspraak nu jurisprudentie?

| AE 5191 | Informatiemaatschappij | 11 reacties

Met enige regelmaat krijg ik vragen over wanneer iets nu jurisprudentie is. Daarmee bedoelen ze dan meestal, wanneer is een vonnis bindend en mag ik erop vertrouwen dat de uitspraak ook voor mij geldt. Dat is een moeilijke vraag, maar dat komt met name omdat in vonnissen zelden zúlke harde lijnen staan dat ze eenvoudig… Lees verder

Bookmark dit: IEPT – rechtspraak over intellectueel eigendom

| AE 398 | Informatiemaatschappij | Er zijn nog geen reacties

Zeer nuttige nieuwe site voor juristen met interesse in intellectueel eigendom: IEPT. IEPT ontsluit jurisprudentie voor de IE-professional. Het is een zuster-site van IE-Portal. Het doel van IEPT is voor de IE-praktijk relevante rechtspraak op een overzichtelijke wijze en in een handzaam formaat beschikbaar te stellen. Met name nuttig en leuk zijn de korte samenvattingen… Lees verder

Fotograferen en journalistiek op het station

| AE 346 | Regulering, Uitingsvrijheid | 11 reacties

Niet echt Internetrecht, alhoewel ze wel Internet hebben op stations: hoe zit het met fotograferen op stations. Journalist Brenno de Winter zag een Segway op station Utrecht en wilde hier met een foto verslag van doen, maar dat werd hem verboden door de Spoorwegpolitie. Kan die dat zomaar? Nee, en wel hierom. Op zich mag… Lees verder