Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

| AE 11863 | Regulering, Security, Uitingsvrijheid | 6 reacties

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal enige rust geven bij veel onderzoekers, want in de literatuur werd vaak gedacht van wel: je bent dan immers ergens waar je niet mag zijn, en dat zou naar de letter van de wet al computervredebreuk zijn. Maar de rechter wijst erop dat je dan private partijen de strafwet laat schrijven, en dat is natuurlijk niet de bedoeling.

De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk ” intentionally accessing a computer without authorization or in excess of authorization”, waarbij onduidelijk is wat “authorization” dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA’s prohibition on “access[ing] a computer without authorization,” even though phrased “in the form of a general prohibition” that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service “is a law unto itself,” Emp’t Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er ‘gewoon’ bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud

Een website als gemeenschappelijk eigendom, het kan

| AE 10855 | Intellectuele rechten | 13 reacties

Een opmerkelijke (maar positieve) uitspraak van de rechtbank Amsterdam: de website Boschproject.org (over het werk van Jheronimus Bosch) telt als gemeenschappelijk eigendom van partijen die daaraan gewerkt hebben. Dat las ik bij IE-Forum. Dat is opmerkelijk omdat een website niet echt een ding is dat je in eigendom kunt hebben, laat staan gemeenschappelijk eigendom dus. Maar de uitspraak is een mooie oplossing voor een praktisch probleem: wat doe je met een gezamenlijk gebouwde site als er ruzie ontstaat en partijen uit elkaar willen?

Achtergrond van deze zaak was de verdieping van kennis van het werk van Jheronimus Bosch door middel van internationaal wetenschappelijk onderzoek. Deel hiervan was het ontwikkelen van een projectwebsite waarin met geavanceerde technieken hoge kwaliteit reproducties van het werk van Bosch ontsloten zou worden. De ontwikkeling hiervan liep kort gezegd niet zoals iedereen beoogd had, maar uiteindelijk kwam er toch iets te staan dat rudimentair in de buurt kwam.

Na het nodige geharrewar wilde de stichting achter het Bosch-initiatief de website aanpassen en verder publiceren, maar de persoon die de reproducties maakte weigerde dat met onder meer een beroep op zijn auteursrechten op de software die daarbij nodig was. Vervolgens zette deze ook de domeinnaam op zijn eigen naam, althans niet meer die van de stichting. Wat nu?

Dit is een voorbeeld van iets dat ik vaak in de mail krijg: mensen hebben samen een site gebouwd, krijgen dan ruzie of verschil van inzicht over hoe verder en zitten dan met de vraag, van wie is dat ding nu? En daar zit hem het probleem, want een website is geen ding. Het is een verzameling rechten (met name auteursrechten) plus gestolde kennis rondom configuratie et cetera, en een heleboel nuttigs daar omheen dat juridisch echter niet bestaat. Daar een verdeling in maken is bepaald niet eenvoudig.

In dit geval zag de rechtbank gelukkig wel een optie: er is nauw samengewerkt in het begin om die site te bouwen, en ieders aandeel lijkt ongeveer van gelijke waarde te zijn geweest. Daarom merken we de site aan als een gemeenschap (art. 3:166 BW), waarbij iedereen gelijke rechten heeft op dat resultaat. Meestal hebben we het dan over fysieke dingen maar de gemeenschap gaat over goederen – inderdaad, die waarin je kunt trouwen – en omvat dus ook intellectuele scheppingen. Zoals een website.

Ik blijf er altijd wat moeite mee hebben om een website als een schepping te zien, alsof het één ding is zoals een stoel of een auto. Maar het werkt wel in dit soort situaties. Je moet vervolgens er samen uit zien te komen wie wat mag, want je bent nu tot elkaar veroordeeld. Het bijpassende schilderij mag u zelf bedenken.

Arnoud

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

ie-aagree-ezelGaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul.

Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch, want er was bar weinig geregeld. Bovendien kwamen de eerste commerciële sites uit Amerika, en daar staat sowieso alles dichtgetimmerd met voorwaarden. Dus dat schept een precedent, zeker bij sitebouwers die denken “het zal wel moeten” en de tekst van de vorige site copypasten. Sorry, ja, ik ben wat cynisch.

Hoe dan ook, iedere site heeft dus voorwaarden. Ze komen allemaal op ongeveer hetzelfde neer: doe normaal en zeur niet. Ah sorry, ga ik weer. Ze komen allemaal op hetzelfde neer: je mag de dienst gebruiken, hij kan wijzigen of uit de lucht zijn, wij zij niet aansprakelijk en als je je wangedraagt dan gooien we je er van af. Precies – zeur niet en doe normaal.

Omdat ze allemaal hetzelfde zijn, en vooral omdat je in de praktijk toch weinig verhaal hebt, leest geen hond die voorwaarden. Je kent de site van reputatie, je weet dus ongeveer wat moderatoren of auteurs gaan doen en je merkt het wel als je foto wordt geblokkeerd of je bijdrage wordt aangepast wegens schending voorwaarden. Daar heb je die voorwaarden niet voor nodig. Ook niet omdat uiteindelijk er altijd staat “naar ons inzicht”, dus hoe dan ook hebben ze gelijk. Zeur niet.

Dit experiment bewijst dus niets nieuws, wat mij betreft. Het is een feit van algemene bekendheid dat voorwaarden niet worden gelezen. Desondanks: je zit er in principe wél juridisch aan vast. Het zijn algemene voorwaarden zoals de wet dat noemt, en die zijn ook bindend als ze niet worden gelezen. Zolang je ze maar had kúnnen lezen. Dat je dan twee jaar van je leven kwijt bent met al die voorwaarden is juridisch niet relevant.

Omdat het dan wel érg hard door kan schieten – ze zouden eens je eerstgeboren kind kunnen opeisen – kent de wet daar een paar correctiemechanismes voor. Algemene voorwaarden mogen niet onredelijk bezwarend zijn. Zo mag een dienst niet zomaar zijn aansprakelijkheid op nul zetten, dat is onredelijk bezwarend zonder héle goeie reden. De voorwaarden ineens 100% omgooien is ook onredelijk. En voor zaken als kinderen opeisen is er een nóg hardere juridische stok om mee te slaan: overeenkomsten in strijd met de openbare orde of goede zeden zijn nietig. Bestaan niet. Je kúnt niet contracteren dat je kind wordt afgestaan.

Vervelend blijft uiteindelijk wel dat je daarvoor naar de rechter moet. En als je dat niet weet of niet ziet zitten, dan kun je een probleem hebben als de site toch die voorwaarden gaat handhaven. Denk aan het opeisen van maandbedragen of het eisen van een schadevergoeding voor het een of ander. Dat is natuurlijk niet specifiek voor sitevoorwaarden, maar het is wel een probleem.

Wat mij betreft schaffen we het hele zootje dan ook zo snel mogelijk af, in ieder geval voor consumenten. Dat hebben we in feite al gedaan bij de ecommerce: het is wettelijk vrijwel 100% geregeld wat je mag als webwinkel. Je kunt alleen nog in het voordeel van de consument dingen anders doen, zoals een dertigdagenretourtermijn in plaats van de wettelijke veertien. Waarom doen we dat nog steeds niet voor online diensten?

Arnoud

Gebruik van mijn browser betekent akkoord met mijn gebruiksvoorwaarden

| AE 8649 | Informatiemaatschappij | 14 reacties

Gebruik van mijn browser betekent akkoord met mijn gebruiksvoorwaarden, een idee van David Rosenthal, digitaal conservator uit Amerika. Hij vroeg zich af waarom al die sites wegkomen met “Gebruik van onze site betekent akkoord met onze voorwaarden” en of dat niet om te keren was. Dan stel jij voorwaarden aan gebruik van je browser, en… Lees verder

Wat moet ik doen als mijn mediabureau failliet gaat?

| AE 8149 | Informatiemaatschappij | 22 reacties

Een lezer vroeg me: Ik heb een website laten bouwen bij een fullservice mediabureau. Zij hosten, doen vormgeving, hebben de domeinnaam geregistreerd en regelen gewoon alles. Erg prettig, maar nu zitten zij in zwaar weer en is er een bewindvoerder aangesteld. Daarmee gaat het allemaal een stuk minder vlot. Ik wil graag naar een ander,… Lees verder

Gebruik van AdBlock Plus (weer) legaal verklaard in Duitsland

| AE 7708 | Ondernemingsvrijheid | 16 reacties

AdBlock Plus is legaal verklaard in Duitsland, las ik bij Business Insider. Zij wonnen een rechtszaak aangespannen door website-uitgevers die stelden dat ABP misbruik maakte van haar machtspositie en bovendien auteursrechten schond door ongeautoriseerd webpagina’s aan te passen. Dit is de tweede overwinning in korte tijd voor de advertentiefilterdienst. Het blokkeren van advertenties bij websites… Lees verder

Nee, netneutraliteit geldt niet voor websites (maar zou dat moeten?)

| AE 7459 | Ondernemingsvrijheid | 11 reacties

In het DMSA-model is de toegang tot de mobiele versie van de website exclusief voorbehouden aan de gebruikers van merken mobiele telefoons en tablets die daarvoor een overeenkomst hebben afgesloten met Marketingfacts, meldde Marketingfacts vorige week. Het bleek een stunt vanwege hun vernieuwde site, maar het riep bij veel mensen wel vragen op over netneutraliteit…. Lees verder