”På SF medger man att biotider.se numera inte har möjlighet att automatiskt hämta information om var och när filmerna visas. Enligt informationschefen Thomas Runfors är nu de ”spindlar”, eller program, som biotider.se använt blockerade”

(SvD, läs även Bloggywood eller direkt från källan.)

Jag kände inte till biotider.se sedan tidigare (man kan väl anta att de fått rätt bra med uppmärksamhet nu i elfte timmen, då ovanstående just nu är förstanyhet på svd.se), men det verkar vara en schysst site – lagom web 2.0-ig ut med taggmoln och pastellfärger och användarinteraktion och annat bra som SF:s egen webbplats inte har. Att alienera sådana passionerade användare känns som grund för uppsägning för en marknadschef på 2000-talet.

Men marknadsföring är inte min grej, så vad vet jag. Dock är de juridiska aspekterna är ju intressanta. Jag kan se tre separata frågor.

1: Har SF någon ensamrätt över sina biotider? Jag tycker det känns lite tveksamt — nån vanlig upphovsrätt kan det inte vara frågan om (då såväl verkshöjd som originalitet saknas), men kanske s.k. databas- eller tabellskydd? Denna ensamrätt är en s.k. närstående rättighet, som regleras i samma lag som upphovsrätten, men lyder under andra villkor. Huvudregeln för att något ska skyddas på detta sätt är att att det ska vara antingen en samling av ett stort antal uppgifter, eller att samlingen ska vara resultatet av en stor investering. Både rättsläget och det aktuella fallet är alltför komplicerat för att jag ska våga mig på att reda ut huruvida någon ensamrätt föreligger för biotiderna, men det är i vart fall inte självklart. (Den intresserade läser lämpligtvis Fixtures mot Svenska Spel och fortsätter med Johan Axhamns examensuppsats)

2: Har SF möjlighet att spärra ut crawlers? Till att börja med kan man observera att SF inte har någon robots.txt-policy, vilket är lite märkligt eftersom de hänvisar till den från sinlänkpolicysida. Eftersom rättsläget kring rekvisiten för dataintrång är så pass luddigt i svensk rätt (vilket jag skrivit om tidigare) är det lite oklart vilken betydelse en sådan icke-maskinläsbar policy har, men vi får anta att biotider.se åtminstone numera är medvetna om att de inte har SF Bio:s tillåtelse att hämta datat (”bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling”). Därmed kan det utgöra dataintrång att fortsätta.

3: Har SF möjlighet att förbjuda djuplänkar? (i betydelsen ”länk till en resurs annan än ”startsidan” på en webbplats.) Rent tekniskt har de möjligheten – sf.se har infört en referer-check genom vilken den som försöker följa en länk från biotider.se till SF:s bokningssida för en specifik film, plats och tid www.sf.se istället vidarebefordras till SF:s förstasida, och får välja film, plats och tid igen (och under processen exponeras för några reklambanners). Men kan SF på upphovsrättslig eller annan grund tvinga biotider.se att inte djuplänka? Rättsläget är inte solklart, men i tidigare diskussioner om länkning och svensk rätt har man främst riktat in sig på två fall:

• inramade länkar, dvs när en frame-tagg i ett frameset på en första webbplats hänvisar till en annan webbplats så att det för användaren framstår som den externa webbbplatsens innehåll är en del av den första webbplatsens, eller
• direktlänkar till ljud- eller bildfiler, som för användaren typiskt spelas upp utan att det tydligt framgår att innehållet kommer från en annan webbplats

Dessa skulle kunna falla in under beskrivningen av offentligt framförande, vilket är ett upphovsrättsligt förfogande. Men jag har svårt att se att en länkning från en sida till en annan sida, där det tydligt framgår att innehållet på den nya sidan kommer från en annan part, skulle kunna hindras på upphovsrättslig väg. Den kan förstås hindras på avtalsmässig väg, men nu har ju biotider.se och SF Bio knappast träffat något avtal.

Så möjligtvis finns det en (svag) juridisk grund för SF att hindra biotider.se att fortsätta sin verksamhet, även om det inte är den man hävdar i sina uttalanden. Klart är att man redan försökt hindra dem på teknisk väg åtskilliga gånger. Om SF lyckas blir förlorarna dels biotider.se, dels alla människor som trots att de blir utsatta för rent förolämpade pekpinnar envisas med att stödja filmbranschen. Men ser någon några vinnare?

Domstolsverket hade ursprungligen tänkt att Google och andra sökmotorer inte skulle kunna indexera rättsfallen genom att man valt en relativt komplicerad weblösning för att göra dessa tillgängliga, men då jag lade in direktlänkar på lagen.nu brast den förutsättningen.

Fråga uppstod om huruvida jag inte borde ha kontaktat domstolsverket innan, och även om min hantering kunde tänkas bryta mot personuppgiftslagen. Vad gäller att be om tillstånd innan man länkar har jag alltid tyckt att det är fullständigt fel. Välkommen till webben, det är så här den funkar, liksom. Vad gäller PUL så är jag relativt säker på att min behandling, som enbart befattar sig med den data som finns i varje domsluts detaljvy, inte faller under dess bestämmelser, då personuppgifter enbart kan förekomma i referaten.

Jag har, från tid till annan, funderat på att även behandla/lägga upp referaten, men valt att inte göra det just på grund av hänsyn till personuppgiftslagen. En lösning på problemet skulle vara att skaffa ett utgivningsbevis för lagen.nu så att YGL blir tillämplig; då gäller (enkelt uttryckt) inte PUL. Av flera olika anledningar är dock inte det aktuellt i dagsläget. Men det är ett ämne för ett inlägg någon annan dag.

Sedan i eftermiddag har domstolsverket valt att lösa problemet genom att stoppa in en restriktiv robots.txt på sin tjänst. Detta gör att jag inte, enligt den sedvänja som gäller på internet, får screenscrape:a tjänsten. Vilket jag naturligtvis tycker är dumt, inte minst med avseende på offentlighetsprincipen, och vilket leder till att listorna med rättsfall under paragraferna på lagen.nu gradvis kommer bli mer och mer irrelevanta. Jag har mailat en förfrågan om huruvida domstolsverket kan göra ett undantag i denna policy för mig, men inte fått något slutgiltigt besked.

Trots att slutresultatet, åtminstone som det ser ut nu, går lagen.nu emot, så tycker jag ändå att domstolsverket har handlat ganska rätt. Visst borde de haft en robots.txt uppe sen dag ett, och visst borde de göra undantag för min webrobot, och kanske borde man fråga sig vad personuppgifterna har att göra i domslutsreferat som ska vara anonymiserade, men nu har de iaf löst ett tekniskt problem med en teknisk, snarare än en juridisk, åtgärd. Alla tjänar på att sådana här riktlinjer uttrycks med kod, inte författningar.

Svensk och amerikansk lagstiftning verkar vara ganska likartad här, i
det att det finns ett brott (dataintrång respektive ”unauthorized
access”) som har två rekvisit — i svensk lag ”att bereda sig tillgång
till upptagning för automatiserad databehandling”, samt att denna
handling skall vara ”otillåten” (BrB 4:9 c). Amerikansk lag
har de bägge rekvisiten i brottsbenämningen.

Jag har tidigare
intresserat mig för den svenska motsvarigheten, och kom fram till
att framförallt ”olovligen” var ett väldigt suddigt begrepp. Kerr kommer även i sin artikel fram till att gränserna är suddiga och inte
har dragits konsekvent i praxis. Han förespråkar att
”kontraktsbaserade” överträdelser inte i sig ska bedömas som
”unauthorized”, utan att det ska krävas någon typ av kringående av en
teknisk accesskontroll:

This Article proposes that courts should reject contract-based
notions of authorization, and instead limit the scope of unauthorized
access statutes to cases involving the circumvention of code-based
restrictions. The fact that computer use violates a contractual restriction
should not turn that use into an unauthorized access. The bypassing
of a code-based restriction such as a password gate should be
required to trigger criminal liability, such that hacking into a computer
could be an unauthorized access, but violating Terms of Service would
not be.

En kontraktsbaserad överträdelse skulle här kunna vara att bryta mot
ett explicit eller implicit avtal (ett avtalsbrott kan dock
naturligtvis alltid angripas med civilrättsliga principer). Ett
explicit avtalsbrott skulle kunna vara att bryta mot en webtjänsts
användarvillkor, ett implicit avtalsbrott skulle kunna vara att
använda en annonsblockerare.

Den EG-konvention
om angrepp mot informationssystem som Sverige har börjat
implementera iom Ds 2005:5 gav
utrymme för medlemsländerna att lagstifta om att det skulle krävas
kringgående av säkerhetsåtgärder för att rekvisitet ”olovligen”
skulle uppfyllas. Utredningen bakom Ds 2005:5 har valt att inte
utnyttja denna möjlighet, vilket jag tycker är synd. Det leder till,
som jag skrev i mitt tidigare
inlägg, att många handlingar som har ett positivt värde för
samhället, kan betraktas som dataintrång.

Jag var på ett
föredrag för ett tag sedan där Ds 2005:5 (och framförallt Ds 2005:6)
presenterades. Jag fick intrycket att målsättningen hade varit att
göra minsta möjliga ändring i de svenska lagarna för att kunna säga
att EG-konventionskraven är uppfyllda. Det är förmodligen därför man
inte gjorde något åt det hopplösa uttrycket ”bereder sig tillgång till
upptagning för automatisk databehandling” inte ändrats. Eller, fel av
mig, man föreslår faktiskt en ändring, till ”bereder sig tillgång till
en upptagning för automatiserad databehandling”…

Kerrs artikel ger en bra analys av varför en definition av
”unauthorized” som kan innefatta kontraktsbaserade överträdelser leder
till en oförutsägbar rättstillämpning. Jag hoppas att den svenska
lagstiftaren utnyttjar möjligheten till att tydliggöra begreppen
längre fram i lagstiftningsprocessen.

Det är en intressant slutsats, men jag tror att den är felaktig. Det
finns ett par skäl till varför en vanlig brandvägg skulle vara
tillåten medans APB’s insamling av IP-nummer inte skulle vara
det. Alla skäl är inte tillämpliga i alla situationer, men tillsammans
täcker de in rätt många fall.

Privat verksamhet

Det första är framförallt tillämpligt på alla som har en brandvägg
hemma i lägenheten (om man räknar in loggande bredbandsrouters blir vi
rätt många): här är det fråga om ”verksamhet av rent privat
natur”, och då säger PUL 6
§ säger att lagen inte är tillämplig i dessa fall.

Lagen om elektronisk kommunikation

Den andra skälet bygger på anledningen till varför man har en
brandvägg överhuvudtaget — att skydda information. I lagen (2003:389)
om elektronisk kommunikation (LEK), 6 kap. 3 § sägs följande:

Den som tillhandahåller en allmänt tillgänglig elektronisk
kommunikationstjänst skall vidta lämpliga åtgärder för att säkerställa
att behandlade uppgifter skyddas. Den som tillhandahåller ett allmänt
kommunikationsnät skall vidta de åtgärder som är nödvändiga för att
upprätthålla detta skydd i nätet. Åtgärderna skall vara ägnade att
säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik
och kostnaderna för att genomföra åtgärderna, är anpassad till risken
för integritetsintrång.

I klartext: sätt upp en brandvägg så att du inte blir
krakkad. Den här paragrafen ser onekligen ut att strida mot PUL. Men då
PUL enligt 2 § är subsidär,
har LEK högre prioritet:

2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall de bestämmelserna gälla.

Just det här att PUL är en subsidär lag är rätt viktigt för
resonerandet i största allmänhet. Om man kan hitta något annat skäl i
författningarna till varför man är skyldig till att ha en brandvägg,
så gäller det alltid över PUL.

Så långt allt bra. Men vad är en ”elektronisk kommunikationstjänst”
enligt LEK? Enligt 1 kap. 7 § så är det
”tjänst som vanligen tillhandahålls mot ersättning och som helt
eller huvudsakligen utgörs av överföring av signaler i elektroniska
kommunikationsnät”. Exakt vad det innebär har jag inte grävt i,
men det torde utesluta åtminstone en del av de företagsbrandväggar som
finns idag. ISP’er och liknande borde dock kunna använda sig av det
här försvaret.

DIFS 1998:3

Det tredje skälet tar sikte på varför en brandvägg loggar uppgifter –
så att man i efterhand kan se varifrån ett angrepp kommit. Denna
uppgift är nödvändig för att kunna utkräva ansvar från en angripare
för skadan denne åsamkat — dvs att göra gällande ett rättsligt
anspråk. Sådant är, enligt DIFS
1998:3 1 § d (PDF) tillåtet, så länge som det gäller ”enstaka
uppgift”.

Just det här anförde APB gällande DI’s beslut. DI underkände
argumentet (PDF) främst på grund av att APB’s
personuppgiftsbehandling var så omfattande:

Behandlingens omfattning innebär dock att den inte kan sägas avse
endast enstaka uppgift. I denna bedömning har Datainspektionen beaktat
att det när det gäller abuse-breven är fråga om behandling av en
mycket stor mängd uppgifter som innebär att många människor riskerar
att utpekas som misstänkta brottslingar.

Skulle en brandvägg, som varje dag loggar tusentals intrångsförsök,
fortfarande kunna anses behandla ”enskilda uppgifter”? Det beror på;
om alla de tusentals intrångsförsöken skulle leda till krav på
skadestånd, så nej, kanske inte.

Blir man drabbad av flera tusen intrångsförsök varje dag är
sannolikheten stor att de allra flesta härstammar från maskar. Om man
däremot avgränsar sig till att enbart anmäla riktade attacker så är
det sannolikare att det är fråga om ”enskilda uppgifter”.

Det här resonemanget går inte att utläsa ur varken PUL eller DIFS
1998:3, men jag tycker att DI’s beslut i APB-fallet går längs den här
linjen.

I vilket fall som helst känns det absurt att en automatiserad
uppgiftsbehandling som är OK en vecka (då endast ett enstaka
intrångsförsök skedde) skulle vara otillåten nästa (då tusentals
intrångsförsök skett), när ingen ändring skett å egen part.

PUL 10 § f)

Det sista skälet tar sikte på varför man egentligen har
brandväggar — så att den stackars sysadminen kan hålla systemen
körande, skyddade från det stora farliga internet. Det får sägas vara
ett ganska berättigat intresse. Enligt 10 § f) PUL är det tillåtet
att behandla personuppgifter om det är nödvändigt för att:

ett ändamål som rör ett berättigat intresse hos den
personuppgiftsansvarige eller hos en sådan tredje man till vilken
personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse
väger tyngre än den registrerades intresse av skydd mot kränkning av
den personliga integriteten.

Den registrerades intresse av skydd mot kränkning av sin personliga
integritet får sägas väga ganska lätt i det här fallet…

Men är det inte fortfarande fråga om personuppgifter om
lagöverträdelser? Sådana går in under 21 §, där undantagen i 10 §
inte är tillämpliga. Njae, inte nödvändigtvis. Det hela hänger på om
man behandlar uppgifter om att ett datorintrångsförsök begåtts, eller
om ett IP-paket med ett visst innehåll mottagits. Från förarbetena
till PUL (SOU 1997:39 s 383):

En uppgift om att någon har eller kan ha begått stöld utgör otvivelaktigt
en uppgift om lagöverträdelse även om det inte finns någon dom beträffande
brottet; uppgiften har kvalificerats till att avse något visst brott.
Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska
iakttagelser kan anses utgöra uppgifter om lagöverträdelser, t.ex. en
uppgift om att någon använt narkotika, en uppgift om att någon kört
bil mellan två orter med viss (för hög) genomsnittlig hastighet, en
uppgift om att någon som arbetar med att tömma parkeringsautomater har
privat växlat in stora mängder mynt i bank osv. Elektronisk
övervakningsutrustning, t.ex. kameror, installeras vidare ofta i
privat verksamhet just i det befogade syftet att förr eller senare
registrera lagöverträdelser, och det skulle givetvis innebära
olägenheter om registreringen blev olaglig och skadeståndsgrundande i
samma ögonblick som syftet med den uppnåtts, dvs. när genomförandet av
t.ex. ett rån registrerats. Detta talar starkt för att uppgifter om
faktiska iakttagelser om en persons handlande inte rimligen kan anses
som uppgifter om lagöverträdelser i alla de fall handlandet kan
innebära en lagöverträdelse.

Dvs: om den brandväggsansvarige inte behandlar uppgifterna i syfte att
anmäla tusentals försök till datorintrång, utan bara för att hålla
koll på vad för trafik som kommer in (kanske med syfte att spärra
framtida kommunikation från specifika IP-nummer), så är 21 § inte
tillämplig, och därmed går undantaget i 10 § f) att använda.

Summering

Det här är resultatet av en knapp förmiddags grävande i författningar och förarbeten, och är således förmodligen bristfällig och säkert åtminstone delvis felaktig. De fyra olika invändningarna tycker jag ändå pekar på att frågan är komplicerad och inte alls så självklar åt ena eller andra hållet som många vill göra gällande.

Unfortunately, both documents are very thin when it comes to
defining what should be regarded as ”illegal access to information
systems”. Swedish law has not been well defined in this area
before, and I was hoping that maybe the lawmakers would take the
opportunity to clarify this.

The issue I’m mostly concerned with is screen
scraping. I like screen scraping. I think screen scraping is
cool. I wrote my first screen scraping program the same week I got my
first job, almost ten years ago (it was a simple script to
automatically download the latest Dilbert cartoon and email it as an
attachment to myself).

Now, it’s easy to see why a content provider would be opposed to
screen scraping. When I got my Dilbert strip in my inbox, there was no
advertising attached to it, thus I was depriving Unitedmedia of ad
revenue.

Years later, I was involved in the XMLTV project as I was
playing around with a homebrew HTPC. For Swedish TV listings, there
was a simple program that would fetch TV listings from dagenstv.com and
re-format them into the XMLTV format. One day, their service started
to serve up a very hostile-worded text file when I ran this
program. Basically, dagenstv.com had changed their web server
configuration so that requests from a certain User-agent (our
screen scraper program), would get a stern warning that we were doing
illegal things and that our IP adress had been logged, or something
like that.

Now, were we doing something illegal? Keep in mind that each user
would run this program on his or hers individual computer; we never
redistributed the content. Wheter or not we could have done that
legally in Sweden is another question, one that maybe could be
answered by pondering URL 49
§ and related materials. It’s an interesting question in it’s own
right, just not the subject of today’s blog post.

Was the mere act of accessing the site with a different tool than
the site owner intended, thus gaining access to digital data in a
non-approved way, illegal? For me as a programmer, this feels like an
absurd question. I’m only sending humble GET
requests, if the site owner doesn’t want me to have the
information, then don’t send it! But with my legal student-glasses on,
this could be considered as computer infringement, as per the wording
in BrB 4:9 c: ”Den som
[...] olovligen bereder sig tillgång till upptagning för automatisk
databehandling [...]döms för dataintrång till böter eller fängelse i
högst två år.”. (A rough translation would be ”Someone who gets
hold of a recording for automatic computer handling without permission
is to be sentenced for computer infringement to fine or prison for no
more than two years”).

Dagenstv.com could be said to have given users with normal web
browsers implicit permission to access the data, but probably not to
us with our screen scraper. If we had asked the site owners, they
would very likely had said ”no”, and therefore, they could well argue
that we were getting hold of a ”recording” witout permission.

(As an aside: the use of ”recording” (”upptagning” in swedish) in
the quoted law text is interesting in it’s own right — the
legislation was originally written with telephone wiretapping, opening
of letters, and similar things in mind, then ”adapted” (used in the
loosest of senses) into the digital age.)

I would prefer that questions like these were solved by technical,
not legal, means. Dagenstv.com used one such mean (the User-agent
discrimination) to block our screen scraper. We could have changed our
program to masquerade as a normal Internet Explorer browser, but that
would only escalate into a pointless arms race. Someone wrote a
different script that fetched the data from another site instead, and
that was the end of it. Furthermore, if we had bypassed dagenstv.com’s
User-agent check, we would have essentially said ”Even though we’ve
been told in no uncertain terms that what we’re doing is not permitted
by the site owners, we’re choosing to ignore that and circumvent the
access control” — if we had done that, dagenstv.com would really be
right in saying we were getting hold of data without permission.

But there’s a lot to be said for screen scraping. lagen.nu could not exist without screen
scraping. A lot of really cool web services over the years have been
made possible by screen scraping. It has enabled loose
coupling years before anyone had talked about web services. It’s
the basis for a lot of interesting research and data mining. And
sometimes it just enables plain cool stuff.

Furthermore, it would be wrong to assume that all content providers
are opposed to screen scraping. For example, what is the one thing
that distinguishes forward-thinking web companies? They provide API’s
to their services (Amazon,

Livejournal,
Yahoo, Google, Flickr), enabling
anyone to build cool applications on top of their data, just like we
wanted to build a cool HTPC application using data from
dagenstv.com. By providing API’s, smart web sites remove the need for
actual screen scraping (which, in all fairness, is a messy and seldom
very interesting technological challenge, and furthermore only a means
to an end), but enable and encourage the same kinds of applications.
These API’s (and the XML-RPC/SOAP-based underpinnings) did not emerge
from a vacuum. People have been screen-scraping Amazon.com for their
own little needs since it was launched. Smart service providers
realise that it’s better to work with all this creativity than against
it.

If web site providers choose to do what dagenstv.com did, then
fine. They’ve stated their intent, it’s their service, their rules,
they’re entitled to take their ball and go home. But before a site
owner puts such a block in place (which could also be done through a
robots.txt file), screen
scraping should in no way be considered unlawful computer
infringement.

It turns out that the EC
convention that this new legislation is to implement provides for
these kinds of distinctions, under article 2 (my emphasis):

Article 2 – Illegal access

Each Party shall adopt such legislative and other measures as may be
necessary to establish as criminal offences under its domestic law,
when committed intentionally, the access to the whole or any part of a
computer system without right. A Party may require that the offence be
committed by infringing security measures, with the intent of
obtaining computer data or other dishonest intent, or in relation to a
computer system that is connected to another computer system.

Knowingly circumventing a access control system by, for example,
changing the User-agent string, might be considered infringing
security measures (weak as they are), but an unassuming GET request
could, with this definition, never be considered illegal access. I
hope that Sweden takes this opportunity to better define what should
be considered illegal access.

Another aside: Since lot of my current activities, and thus my blog
writing, revolve around swedish law, it’s sometimes difficult to write
in English, as there are a lot of precise Swedish legal terms that I’m
not comfortable translating. For anyone versed in Swedish law, posts
about it in English is probably way harder to read. Furthermore, most
of these posts are probably of limited interest to non-swedes.

Therefore, I’m considering switching the language of this blog to
Swedish. If you don’t understand Swedish, but would like to continue
reading this blog, please say so in the comments. Thank you.