Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

| AE 11863 | Regulering, Security, Uitingsvrijheid | 6 reacties

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal enige rust geven bij veel onderzoekers, want in de literatuur werd vaak gedacht van wel: je bent dan immers ergens waar je niet mag zijn, en dat zou naar de letter van de wet al computervredebreuk zijn. Maar de rechter wijst erop dat je dan private partijen de strafwet laat schrijven, en dat is natuurlijk niet de bedoeling.

De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk ” intentionally accessing a computer without authorization or in excess of authorization”, waarbij onduidelijk is wat “authorization” dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA’s prohibition on “access[ing] a computer without authorization,” even though phrased “in the form of a general prohibition” that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service “is a law unto itself,” Emp’t Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er ‘gewoon’ bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud

Wanneer is het strafbaar met een nepnaam internet op te gaan?

| AE 7934 | Ondernemingsvrijheid, Privacy, Regulering | 16 reacties

facebook-profielRoel Stellinga (18) ontdekte vorige maand bij toeval dat zijn foto’s van Facebook werden misbruikt door ene ‘Oscar’. Dat las ik in het AD. Via dit nepprofiel – en dus met zijn foto’s – werden jonge meisjes benaderd. De les van Roels vader: “Als je je account niet goed afschermt, kan het blijkbaar toch vrij gemakkelijk gebeuren dat er misbruik wordt gemaakt van je foto’s.” Met aanverwant de vraag, hoe strafbaar is dat, een nepprofiel?

Op zich is het volgens mij niet strafbaar om een valse naam te gebruiken op internet. Sterker nog, dat is een goed idee vanwege de privacyproblemen die je tegen kunt komen als je onder je eigen naam online gaat.

Bij een naam hoort een plaatje, en als je naam vals is dan ligt het voor de hand om ook niet je eigen foto te gebruiken. Dat gebeurt evenzo massaal, en ook daar lijkt me (afgezien van auteursrecht van de fotograaf) weinig mis mee. Tenminste, zolang het plaatje evident niet de indruk wekt jouzelf af te beelden.

Gebruik je andermans profielfoto, dan wek je de indruk dat jij die persoon bent. Dan zou de vraag voor mij worden, kan jouw publiek die persoon herkennen en dus denken dat jij het bent? Het maakt nogal uit of je zoals hier een foto van een stadsgenoot gebruikt of van een willekeurige Amerikaan als je in Nederland actief gaat chatten en profielen. In dat laatste geval zie ik juridisch gezien niet echt een probleem.

Als je iemand anders identiteit aanneemt, dan heet dat juridisch identiteitsfraude en dat is strafbaar. De wet (art. 231b Strafrecht) bepaalt:

Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

(‘Verhelen’ betekent ‘verhullen, achterhouden’.) Hiermee is het dus eenvoudiger geworden dan vroeger: toen was identiteitsfraude op zich niet strafbaar maar moest er ook een ander strafbaar feit worden gepleegd, zoals oplichting of smaad.

Die ander moet “enig nadeel” lijden door de fraude. Enkel chatten met andermans foto lijkt me niet snel ‘nadeel’, tenzij je zoals hier de grens van het strafbare grooming van minderjarigen opgaat. Dat kan immers afstralen op de geportretteerde persoon. Ook het mensen geld aftroggelen omdat ze je herkennen als die ander en bv. een schuld willen aflossen of jou iets lenen, is een vorm van “nadeel” dat onder deze wet strafbaar is.

De praktijk is natuurlijk buitengewoon weerbarstig bij dit soort zaken. Ik verwacht dat je weinig meer voor elkaar zult krijgen dan Facebook het profiel laten opdoeken – NAW-gegevens opeisen bij het sociale netwerk is een theoretische optie, maar vooralsnog niet heel succesvol. Aangifte kan, maar ik heb nog geen succesvolle verhalen daarover gehoord.

Wat zouden jullie doen als je in Roels positie verkeerde?

Arnoud

Datingsite veroordeeld voor het plaatsen van nepprofielen bij concurrenten

| AE 7287 | Iusmentis | 22 reacties

Datingsite Cupidos.nl is veroordeeld voor het plaatsen van nepprofielen op andere Nederlandse datingsites en daarvoor door een rechter op de vingers getikt, las ik bij Nu.nl. Drie concurrenten, een stichting en de Consumentenbond hadden een rechtszaak aangespannen nadat bleek dat de exploitanten van Cupidos op die sites accounts hadden aangemaakt om gebruikers naar dat Cupidos te lokken. Dit verklaart de rechter tot een oneerlijke handelspraktijk. En geen zorgen, ik heb in deze blog géén “haha”-tjes gestopt.

Stel, je krijgt dit bericht:

Heej! Zal je me willen opzoeken op Cupidos.nl Ga mijn profiel hier namelijk verwijderen, heb het niet echt naar mijn zin. Maar wil jou wel graag leren kennen hihi! Mijn GB is daar fristi. Ben daar nog wel even online , hoop op een leuk berichtje van je daar !! Xx

Zou je overgaan? Kennelijk een hoop mensen wel, en genoeg om de concurrenten geërgerd samen met de Consumentenbond een rechtszaak te laten beginnen.

Dat dit niet helemaal fris is, moge duidelijk zijn, maar welke juridische onderbouwing is er? De rechtbank vindt die in art. 6:193c BW, het niet misleiden van de consument:

Een handelspraktijk is misleidend indien informatie wordt verstrekt die feitelijk onjuist is of die de gemiddelde consument misleidt of kan misleiden, al dan niet door de algemene presentatie van de informatie (…)

Persoonlijk had ik het gegooid op de zwarte lijst voor misleidende handelspraktijken (art. 6:193g BW), waar immers letterlijk stáát dat je je niet mag voordoen als consument:

op bedrieglijke wijze beweren of de indruk wekken dat de handelaar niet optreedt ten behoeve van zijn handel, bedrijf, ambacht of beroep of zich op bedrieglijke wijze voordoen als consument;

Maar de uitkomst is hetzelfde: hiermee handel je onzorgvuldig en misleidend, de consument wordt op het verkeerde been gezet want hij besluit nu “mevrouw fristi” te volgen terwijl die helemaal niet bestaat, althans deze consument niet graag wil leren kennen.

Giecheltoetsverweer:

Dat de profielen zijn aangemaakt door tevreden klanten van Cupidos.nl, zoals Cupidos en [gedaagde sub 2] ter zitting hebben aangevoerd, acht de voorzieningenrechter niet aannemelijk.

Cupidos mag een dikke 1200 euro proceskosten vergoeden en moet op straffe van een dwangsom van €5.000 per nepbericht hiermee ophouden. Terecht, lijkt me.

Overigens, wie hierboven de leukste zin vindt om een dubieusmakende “haha” of andere vettige opmerking te verwerken krijgt een gratis exemplaar van mijn boek.

Arnoud