Staffan Malmgrens blogg

Kanske är det för att jag själv sysslat mycket med screenscraping och omstöpande av innehåll från andra webbplatser som jag tycker att SF Bio:s agerande enligt nedanstående är rent fantastiskt korkat — ännu mer så när det kommer från den enda sektor av filmbranschen som faktiskt i teorin kan erbjuda ett mervärde som inte kan kopieras digitalt.

“På SF medger man att biotider.se numera inte har möjlighet att automatiskt hämta information om var och när filmerna visas. Enligt informationschefen Thomas Runfors är nu de “spindlar”, eller program, som biotider.se använt blockerade”

(SvD, läs även Bloggywood eller direkt från källan.)

Jag kände inte till biotider.se sedan tidigare (man kan väl anta att de fått rätt bra med uppmärksamhet nu i elfte timmen, då ovanstående just nu är förstanyhet på svd.se), men det verkar vara en schysst site - lagom web 2.0-ig ut med taggmoln och pastellfärger och användarinteraktion och annat bra som SF:s egen webbplats inte har. Att alienera sådana passionerade användare känns som grund för uppsägning för en marknadschef på 2000-talet.

Men marknadsföring är inte min grej, så vad vet jag. Dock är de juridiska aspekterna är ju intressanta. Jag kan se tre separata frågor.

1: Har SF någon ensamrätt över sina biotider? Jag tycker det känns lite tveksamt — nån vanlig upphovsrätt kan det inte vara frågan om (då såväl verkshöjd som originalitet saknas), men kanske s.k. databas- eller tabellskydd? Denna ensamrätt är en s.k. närstående rättighet, som regleras i samma lag som upphovsrätten, men lyder under andra villkor. Huvudregeln för att något ska skyddas på detta sätt är att att det ska vara antingen en samling av ett stort antal uppgifter, eller att samlingen ska vara resultatet av en stor investering. Både rättsläget och det aktuella fallet är alltför komplicerat för att jag ska våga mig på att reda ut huruvida någon ensamrätt föreligger för biotiderna, men det är i vart fall inte självklart. (Den intresserade läser lämpligtvis Fixtures mot Svenska Spel och fortsätter med Johan Axhamns examensuppsats)

2: Har SF möjlighet att spärra ut crawlers? Till att börja med kan man observera att SF inte har någon robots.txt-policy, vilket är lite märkligt eftersom de hänvisar till den från sinlänkpolicysida. Eftersom rättsläget kring rekvisiten för dataintrång är så pass luddigt i svensk rätt (vilket jag skrivit om tidigare) är det lite oklart vilken betydelse en sådan icke-maskinläsbar policy har, men vi får anta att biotider.se åtminstone numera är medvetna om att de inte har SF Bio:s tillåtelse att hämta datat (”bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling”). Därmed kan det utgöra dataintrång att fortsätta.

3: Har SF möjlighet att förbjuda djuplänkar? (i betydelsen “länk till en resurs annan än “startsidan” på en webbplats.) Rent tekniskt har de möjligheten - sf.se har infört en referer-check genom vilken den som försöker följa en länk från biotider.se till SF:s bokningssida för en specifik film, plats och tid www.sf.se istället vidarebefordras till SF:s förstasida, och får välja film, plats och tid igen (och under processen exponeras för några reklambanners). Men kan SF på upphovsrättslig eller annan grund tvinga biotider.se att inte djuplänka? Rättsläget är inte solklart, men i tidigare diskussioner om länkning och svensk rätt har man främst riktat in sig på två fall:

• inramade länkar, dvs när en frame-tagg i ett frameset på en första webbplats hänvisar till en annan webbplats så att det för användaren framstår som den externa webbbplatsens innehåll är en del av den första webbplatsens, eller
• direktlänkar till ljud- eller bildfiler, som för användaren typiskt spelas upp utan att det tydligt framgår att innehållet kommer från en annan webbplats

Dessa skulle kunna falla in under beskrivningen av offentligt framförande, vilket är ett upphovsrättsligt förfogande. Men jag har svårt att se att en länkning från en sida till en annan sida, där det tydligt framgår att innehållet på den nya sidan kommer från en annan part, skulle kunna hindras på upphovsrättslig väg. Den kan förstås hindras på avtalsmässig väg, men nu har ju biotider.se och SF Bio knappast träffat något avtal.

Så möjligtvis finns det en (svag) juridisk grund för SF att hindra biotider.se att fortsätta sin verksamhet, även om det inte är den man hävdar i sina uttalanden. Klart är att man redan försökt hindra dem på teknisk väg åtskilliga gånger. Om SF lyckas blir förlorarna dels biotider.se, dels alla människor som trots att de blir utsatta för rent förolämpade pekpinnar envisas med att stödja filmbranschen. Men ser någon några vinnare?

Här är den tidigare omnämda PM:en om juridiska aspekter på robots.txt (i PDF-format), som jag skrev efter att ha diskuterat frågeställningarna med mina kollegor på IRI.

Idag blev jag uppringd av en person från domstolsverket, som hade sett lagen.nu. Personen i fråga var dock kritisk till att jag länkar direkt till rättsfallen på deras site; genom mina länkar hade nämligen Google hittat till rättsfallen och indexerat dessa. Det ansåg man var dåligt, då vissa referat kan innhålla personuppgifter, och om dessa indexeras kan dessas personliga integritet kränkas. Detta är grundproblemet, vilket jag har viss förståelse för.

Domstolsverket hade ursprungligen tänkt att Google och andra sökmotorer inte skulle kunna indexera rättsfallen genom att man valt en relativt komplicerad weblösning för att göra dessa tillgängliga, men då jag lade in direktlänkar på lagen.nu brast den förutsättningen.

Fråga uppstod om huruvida jag inte borde ha kontaktat domstolsverket innan, och även om min hantering kunde tänkas bryta mot personuppgiftslagen. Vad gäller att be om tillstånd innan man länkar har jag alltid tyckt att det är fullständigt fel. Välkommen till webben, det är så här den funkar, liksom. Vad gäller PUL så är jag relativt säker på att min behandling, som enbart befattar sig med den data som finns i varje domsluts detaljvy, inte faller under dess bestämmelser, då personuppgifter enbart kan förekomma i referaten.

Jag har, från tid till annan, funderat på att även behandla/lägga upp referaten, men valt att inte göra det just på grund av hänsyn till personuppgiftslagen. En lösning på problemet skulle vara att skaffa ett utgivningsbevis för lagen.nu så att YGL blir tillämplig; då gäller (enkelt uttryckt) inte PUL. Av flera olika anledningar är dock inte det aktuellt i dagsläget. Men det är ett ämne för ett inlägg någon annan dag.

Sedan i eftermiddag har domstolsverket valt att lösa problemet genom att stoppa in en restriktiv robots.txt på sin tjänst. Detta gör att jag inte, enligt den sedvänja som gäller på internet, får screenscrape:a tjänsten. Vilket jag naturligtvis tycker är dumt, inte minst med avseende på offentlighetsprincipen, och vilket leder till att listorna med rättsfall under paragraferna på lagen.nu gradvis kommer bli mer och mer irrelevanta. Jag har mailat en förfrågan om huruvida domstolsverket kan göra ett undantag i denna policy för mig, men inte fått något slutgiltigt besked.

Trots att slutresultatet, åtminstone som det ser ut nu, går lagen.nu emot, så tycker jag ändå att domstolsverket har handlat ganska rätt. Visst borde de haft en robots.txt uppe sen dag ett, och visst borde de göra undantag för min webrobot, och kanske borde man fråga sig vad personuppgifterna har att göra i domslutsreferat som ska vara anonymiserade, men nu har de iaf löst ett tekniskt problem med en teknisk, snarare än en juridisk, åtgärd. Alla tjänar på att sådana här riktlinjer uttrycks med kod, inte författningar.

Bruce Schneier länkar till en mycket intressant artikel om vad begreppet “Unauthorized access” betyder i datorsammanhang, i ett rättsligt perspektiv, utgående från amerikansk rättspraxis och -doktrin. Artikelförfattaren, Orin S. Kerr, kommer fram till att begrepp som “access” och “authorized” används som om deras mening vore otvetydig, när de i själva verket är väldigt dåligt definerade. Artikeln är inte pinfärsk (oktober 2003), men så vitt jag vet är de frågeställningar som tas upp fortfarande aktuella. Det handlar helt enkelt om var gränsen för brottet “dataintrång” skall dras.

Svensk och amerikansk lagstiftning verkar vara ganska likartad här, i det att det finns ett brott (dataintrång respektive “unauthorized access”) som har två rekvisit — i svensk lag “att bereda sig tillgång till upptagning för automatiserad databehandling”, samt att denna handling skall vara “otillåten” (BrB 4:9 c). Amerikansk lag har de bägge rekvisiten i brottsbenämningen.

Jag har tidigare intresserat mig för den svenska motsvarigheten, och kom fram till att framförallt “olovligen” var ett väldigt suddigt begrepp. Kerr kommer även i sin artikel fram till att gränserna är suddiga och inte har dragits konsekvent i praxis. Han förespråkar att “kontraktsbaserade” överträdelser inte i sig ska bedömas som “unauthorized”, utan att det ska krävas någon typ av kringående av en teknisk accesskontroll:

This Article proposes that courts should reject contract-based notions of authorization, and instead limit the scope of unauthorized access statutes to cases involving the circumvention of code-based restrictions. The fact that computer use violates a contractual restriction should not turn that use into an unauthorized access. The bypassing of a code-based restriction such as a password gate should be required to trigger criminal liability, such that hacking into a computer could be an unauthorized access, but violating Terms of Service would not be.

En kontraktsbaserad överträdelse skulle här kunna vara att bryta mot ett explicit eller implicit avtal (ett avtalsbrott kan dock naturligtvis alltid angripas med civilrättsliga principer). Ett explicit avtalsbrott skulle kunna vara att bryta mot en webtjänsts användarvillkor, ett implicit avtalsbrott skulle kunna vara att använda en annonsblockerare.

Den EG-konvention om angrepp mot informationssystem som Sverige har börjat implementera iom Ds 2005:5 gav utrymme för medlemsländerna att lagstifta om att det skulle krävas kringgående av säkerhetsåtgärder för att rekvisitet “olovligen” skulle uppfyllas. Utredningen bakom Ds 2005:5 har valt att inte utnyttja denna möjlighet, vilket jag tycker är synd. Det leder till, som jag skrev i mitt tidigare inlägg, att många handlingar som har ett positivt värde för samhället, kan betraktas som dataintrång.

Jag var på ett föredrag för ett tag sedan där Ds 2005:5 (och framförallt Ds 2005:6) presenterades. Jag fick intrycket att målsättningen hade varit att göra minsta möjliga ändring i de svenska lagarna för att kunna säga att EG-konventionskraven är uppfyllda. Det är förmodligen därför man inte gjorde något åt det hopplösa uttrycket “bereder sig tillgång till upptagning för automatisk databehandling” inte ändrats. Eller, fel av mig, man föreslår faktiskt en ändring, till “bereder sig tillgång till en upptagning för automatiserad databehandling”…

Kerrs artikel ger en bra analys av varför en definition av “unauthorized” som kan innefatta kontraktsbaserade överträdelser leder till en oförutsägbar rättstillämpning. Jag hoppas att den svenska lagstiftaren utnyttjar möjligheten till att tydliggöra begreppen längre fram i lagstiftningsprocessen.

Antipiratbyrån (APB) går idag ut med anledning av fredagens beslut från Datainspektionen (DI) och säger att “om vår insamling av IP-nummer är otillåten enligt personuppgiftslagen (PUL) så är också brandväggar otillåtna“.

Det är en intressant slutsats, men jag tror att den är felaktig. Det finns ett par skäl till varför en vanlig brandvägg skulle vara tillåten medans APB’s insamling av IP-nummer inte skulle vara det. Alla skäl är inte tillämpliga i alla situationer, men tillsammans täcker de in rätt många fall.

Privat verksamhet

Det första är framförallt tillämpligt på alla som har en brandvägg hemma i lägenheten (om man räknar in loggande bredbandsrouters blir vi rätt många): här är det fråga om “verksamhet av rent privat natur“, och då säger PUL 6 § säger att lagen inte är tillämplig i dessa fall.

Lagen om elektronisk kommunikation

Den andra skälet bygger på anledningen till varför man har en brandvägg överhuvudtaget — att skydda information. I lagen (2003:389) om elektronisk kommunikation (LEK), 6 kap. 3 § sägs följande:

Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst skall vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas. Den som tillhandahåller ett allmänt kommunikationsnät skall vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna skall vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsintrång.

I klartext: sätt upp en brandvägg så att du inte blir krakkad. Den här paragrafen ser onekligen ut att strida mot PUL. Men då PUL enligt 2 § är subsidär, har LEK högre prioritet:

2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla.

Just det här att PUL är en subsidär lag är rätt viktigt för resonerandet i största allmänhet. Om man kan hitta något annat skäl i författningarna till varför man är skyldig till att ha en brandvägg, så gäller det alltid över PUL.

Så långt allt bra. Men vad är en “elektronisk kommunikationstjänst” enligt LEK? Enligt 1 kap. 7 § så är det “tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät“. Exakt vad det innebär har jag inte grävt i, men det torde utesluta åtminstone en del av de företagsbrandväggar som finns idag. ISP’er och liknande borde dock kunna använda sig av det här försvaret.

DIFS 1998:3

Det tredje skälet tar sikte på varför en brandvägg loggar uppgifter – så att man i efterhand kan se varifrån ett angrepp kommit. Denna uppgift är nödvändig för att kunna utkräva ansvar från en angripare för skadan denne åsamkat — dvs att göra gällande ett rättsligt anspråk. Sådant är, enligt DIFS 1998:3 1 § d (PDF) tillåtet, så länge som det gäller “enstaka uppgift”.

Just det här anförde APB gällande DI’s beslut. DI underkände argumentet (PDF) främst på grund av att APB’s personuppgiftsbehandling var så omfattande:

Behandlingens omfattning innebär dock att den inte kan sägas avse endast enstaka uppgift. I denna bedömning har Datainspektionen beaktat att det när det gäller abuse-breven är fråga om behandling av en mycket stor mängd uppgifter som innebär att många människor riskerar att utpekas som misstänkta brottslingar.

Skulle en brandvägg, som varje dag loggar tusentals intrångsförsök, fortfarande kunna anses behandla “enskilda uppgifter”? Det beror på; om alla de tusentals intrångsförsöken skulle leda till krav på skadestånd, så nej, kanske inte.

Blir man drabbad av flera tusen intrångsförsök varje dag är sannolikheten stor att de allra flesta härstammar från maskar. Om man däremot avgränsar sig till att enbart anmäla riktade attacker så är det sannolikare att det är fråga om “enskilda uppgifter”.

Det här resonemanget går inte att utläsa ur varken PUL eller DIFS 1998:3, men jag tycker att DI’s beslut i APB-fallet går längs den här linjen.

I vilket fall som helst känns det absurt att en automatiserad uppgiftsbehandling som är OK en vecka (då endast ett enstaka intrångsförsök skedde) skulle vara otillåten nästa (då tusentals intrångsförsök skett), när ingen ändring skett å egen part.

PUL 10 § f)

Det sista skälet tar sikte på varför man egentligen har brandväggar — så att den stackars sysadminen kan hålla systemen körande, skyddade från det stora farliga internet. Det får sägas vara ett ganska berättigat intresse. Enligt 10 § f) PUL är det tillåtet att behandla personuppgifter om det är nödvändigt för att:

ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Den registrerades intresse av skydd mot kränkning av sin personliga integritet får sägas väga ganska lätt i det här fallet…

Men är det inte fortfarande fråga om personuppgifter om lagöverträdelser? Sådana går in under 21 §, där undantagen i 10 § inte är tillämpliga. Njae, inte nödvändigtvis. Det hela hänger på om man behandlar uppgifter om att ett datorintrångsförsök begåtts, eller om ett IP-paket med ett visst innehåll mottagits. Från förarbetena till PUL (SOU 1997:39 s 383):

En uppgift om att någon har eller kan ha begått stöld utgör otvivelaktigt en uppgift om lagöverträdelse även om det inte finns någon dom beträffande brottet; uppgiften har kvalificerats till att avse något visst brott. Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska iakttagelser kan anses utgöra uppgifter om lagöverträdelser, t.ex. en uppgift om att någon använt narkotika, en uppgift om att någon kört bil mellan två orter med viss (för hög) genomsnittlig hastighet, en uppgift om att någon som arbetar med att tömma parkeringsautomater har privat växlat in stora mängder mynt i bank osv. Elektronisk övervakningsutrustning, t.ex. kameror, installeras vidare ofta i privat verksamhet just i det befogade syftet att förr eller senare registrera lagöverträdelser, och det skulle givetvis innebära olägenheter om registreringen blev olaglig och skadeståndsgrundande i samma ögonblick som syftet med den uppnåtts, dvs. när genomförandet av t.ex. ett rån registrerats. Detta talar starkt för att uppgifter om faktiska iakttagelser om en persons handlande inte rimligen kan anses som uppgifter om lagöverträdelser i alla de fall handlandet kan innebära en lagöverträdelse.

Dvs: om den brandväggsansvarige inte behandlar uppgifterna i syfte att anmäla tusentals försök till datorintrång, utan bara för att hålla koll på vad för trafik som kommer in (kanske med syfte att spärra framtida kommunikation från specifika IP-nummer), så är 21 § inte tillämplig, och därmed går undantaget i 10 § f) att använda.

Summering

Det här är resultatet av en knapp förmiddags grävande i författningar och förarbeten, och är således förmodligen bristfällig och säkert åtminstone delvis felaktig. De fyra olika invändningarna tycker jag ändå pekar på att frågan är komplicerad och inte alls så självklar åt ena eller andra hållet som många vill göra gällande.

Niklas Lundblad directs me to a couple of interesting propositions about pending laws regarding computer crime (one of them actually uses the phrase “crimes in cyberspace” — very 1995′ish retro). Both Ds 2005:5 and Ds 2005:6 are intended to be the first steps in implementing recent EC legislation (particularly “Convention on Cybercrime ETS no.:185“) in swedish law.

Unfortunately, both documents are very thin when it comes to defining what should be regarded as “illegal access to information systems”. Swedish law has not been well defined in this area before, and I was hoping that maybe the lawmakers would take the opportunity to clarify this.

The issue I’m mostly concerned with is screen scraping. I like screen scraping. I think screen scraping is cool. I wrote my first screen scraping program the same week I got my first job, almost ten years ago (it was a simple script to automatically download the latest Dilbert cartoon and email it as an attachment to myself).

Now, it’s easy to see why a content provider would be opposed to screen scraping. When I got my Dilbert strip in my inbox, there was no advertising attached to it, thus I was depriving Unitedmedia of ad revenue.

Years later, I was involved in the XMLTV project as I was playing around with a homebrew HTPC. For Swedish TV listings, there was a simple program that would fetch TV listings from dagenstv.com and re-format them into the XMLTV format. One day, their service started to serve up a very hostile-worded text file when I ran this program. Basically, dagenstv.com had changed their web server configuration so that requests from a certain User-agent (our screen scraper program), would get a stern warning that we were doing illegal things and that our IP adress had been logged, or something like that.

Now, were we doing something illegal? Keep in mind that each user would run this program on his or hers individual computer; we never redistributed the content. Wheter or not we could have done that legally in Sweden is another question, one that maybe could be answered by pondering URL 49 § and related materials. It’s an interesting question in it’s own right, just not the subject of today’s blog post.

Was the mere act of accessing the site with a different tool than the site owner intended, thus gaining access to digital data in a non-approved way, illegal? For me as a programmer, this feels like an absurd question. I’m only sending humble GET requests, if the site owner doesn’t want me to have the information, then don’t send it! But with my legal student-glasses on, this could be considered as computer infringement, as per the wording in BrB 4:9 c: “Den som […] olovligen bereder sig tillgång till upptagning för automatisk databehandling […]döms för dataintrång till böter eller fängelse i högst två år.”. (A rough translation would be “Someone who gets hold of a recording for automatic computer handling without permission is to be sentenced for computer infringement to fine or prison for no more than two years”).

Dagenstv.com could be said to have given users with normal web browsers implicit permission to access the data, but probably not to us with our screen scraper. If we had asked the site owners, they would very likely had said “no”, and therefore, they could well argue that we were getting hold of a “recording” witout permission.

(As an aside: the use of “recording” (”upptagning” in swedish) in the quoted law text is interesting in it’s own right — the legislation was originally written with telephone wiretapping, opening of letters, and similar things in mind, then “adapted” (used in the loosest of senses) into the digital age.)

I would prefer that questions like these were solved by technical, not legal, means. Dagenstv.com used one such mean (the User-agent discrimination) to block our screen scraper. We could have changed our program to masquerade as a normal Internet Explorer browser, but that would only escalate into a pointless arms race. Someone wrote a different script that fetched the data from another site instead, and that was the end of it. Furthermore, if we had bypassed dagenstv.com’s User-agent check, we would have essentially said “Even though we’ve been told in no uncertain terms that what we’re doing is not permitted by the site owners, we’re choosing to ignore that and circumvent the access control” — if we had done that, dagenstv.com would really be right in saying we were getting hold of data without permission.

But there’s a lot to be said for screen scraping. lagen.nu could not exist without screen scraping. A lot of really cool web services over the years have been made possible by screen scraping. It has enabled loose coupling years before anyone had talked about web services. It’s the basis for a lot of interesting research and data mining. And sometimes it just enables plain cool stuff.

Furthermore, it would be wrong to assume that all content providers are opposed to screen scraping. For example, what is the one thing that distinguishes forward-thinking web companies? They provide API’s to their services (Amazon, Livejournal, Yahoo, Google, Flickr), enabling anyone to build cool applications on top of their data, just like we wanted to build a cool HTPC application using data from dagenstv.com. By providing API’s, smart web sites remove the need for actual screen scraping (which, in all fairness, is a messy and seldom very interesting technological challenge, and furthermore only a means to an end), but enable and encourage the same kinds of applications. These API’s (and the XML-RPC/SOAP-based underpinnings) did not emerge from a vacuum. People have been screen-scraping Amazon.com for their own little needs since it was launched. Smart service providers realise that it’s better to work with all this creativity than against it.

If web site providers choose to do what dagenstv.com did, then fine. They’ve stated their intent, it’s their service, their rules, they’re entitled to take their ball and go home. But before a site owner puts such a block in place (which could also be done through a robots.txt file), screen scraping should in no way be considered unlawful computer infringement.

It turns out that the EC convention that this new legislation is to implement provides for these kinds of distinctions, under article 2 (my emphasis):

Article 2 - Illegal access

Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system.

Knowingly circumventing a access control system by, for example, changing the User-agent string, might be considered infringing security measures (weak as they are), but an unassuming GET request could, with this definition, never be considered illegal access. I hope that Sweden takes this opportunity to better define what should be considered illegal access.

Another aside: Since lot of my current activities, and thus my blog writing, revolve around swedish law, it’s sometimes difficult to write in English, as there are a lot of precise Swedish legal terms that I’m not comfortable translating. For anyone versed in Swedish law, posts about it in English is probably way harder to read. Furthermore, most of these posts are probably of limited interest to non-swedes.

Therefore, I’m considering switching the language of this blog to Swedish. If you don’t understand Swedish, but would like to continue reading this blog, please say so in the comments. Thank you.