Trybunał Sprawiedliwości: brak ogólnego obowiązku nadzoru i filtrowania dostępu do Sieci, ale...
Dziś zapadł ciekawy wyrok Trybunału Sprawiedliwości w sprawie C-70/10. Trybunał uznał, że prawo Unii Europejskiej stoi na przeszkodzie wydanemu przez sąd krajowy nakazowi zobowiązującemu dostawcę dostępu do Internetu do wdrożenia systemu filtrowania mającego na celu zapobieganie niezgodnemu z prawem pobieraniu plików. Co więcej - Trybunał uznał, że tego typu nakaz nie jest zgodny z zakazem nakładania na takiego usługodawcę ogólnego obowiązku nadzoru ani z wymogiem zapewnienia odpowiedniej równowagi pomiędzy, z jednej strony, prawem własności intelektualnej, a, z drugiej strony, wolnością prowadzenia działalności gospodarczej, prawem do ochrony danych osobowych oraz wolnością otrzymywania i przekazywania informacji. Mamy zatem wyrok, w którym łączą się rozważania o ochronie prawa autorskiego oraz neutralności sieci, a także problem filtrowania (moderowania, blokowania, zwłaszcza jeśli chodzi o usługi peer-2-peer) treści przesyłanych w Sieci. Nie można nakładać ogólnego obowiązku, ale - co pośrednio, jak uważam, wynika z tego wyroku - jeśli dostawca dostępu do Internetu sam zdecyduje się wprowadzić taki nadzór lub wprowadzi system filtrowania - może ponosić odpowiedzialność za treści przesyłane w Sieci przez osoby trzecie, a dodatkowo będzie musiał spełnić wszystkie (dodatkowe) przesłanki ochrony danych osobowych, ochrony konkurencji i konsumentów. Generalnie: udostępnianie "neutralnej sieci" jest mniej ryzykowne dla przedsiębiorców, niż takiej, która jest "zarządzana" w zależności od "rodzaju" przesyłanych treści.
Wyrok Trybunału w sprawie C-70/10 dostępny jest na stronach Trybunału (również w języku polskim). W tej sprawie Trybunał analizował m.in. takie przepisy, jak art. 15 dyrektywy 2000/31 o handlu elektronicznym (ogólny brak obowiązku nadzorowania informacji, który w polskim porządku prawnym implementowany jest do art. 15 ustawy o świadczeniu usług drogą elektorniczną i dotyczy również tzw. "zwykłego przesyłu/przekazu"; por. Czy istnieje coś takiego, jak "mere conduit" - "zwykły przekaz"?), motywy 45 i 47 dyrektywy 2000/31 (ograniczenia odpowiedzialności usługodawców będących pośrednikami nie mają wpływu na możliwości zakazów, które mogą np. przybierać formę orzeczeń sądów lub innych organów administracyjnych wymagających, aby usunąć lub zapobiec każdemu naruszeniu prawa oraz brak możliwości nakładania na usługodawców obowiązku nadzoru jedynie w odniesieniu do obowiązków o charakterze ogólnym), artykuł 1 oraz art. 12 wspomnianej dyrektywy (a więc właśnie odpowiedzialność za "mere conduit"). Trybunał analizował również przepisy dyrektywy 2001/29 w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym (tu zaś motywy 16 i 59 dyrektywy i art. 8 dyrektywy) oraz Dyrektywy 2004/48 w sprawie egzekwowania praw własności intelektualnej (czyli IPRED; chodzi o motyw 23, art. 3 i art. 11 tej dyrektywy). Trybunał również analizował kwestie ochrony prywatności i ochrony danych osobowych (por. Neutralność sieci oraz zarządzanie siecią w oczach Europejskiego Inspektora Ochrony Danych Osobowych), tj. przepisy dyrektyw 95/46/WE i 2002/58/WE.
Trybunał orzekł:
Dyrektywy:
- 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym);
- 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym;
- 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności;
- 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, oraz
- 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej),
pozostające w związku i interpretowane w świetle wymogów wynikających z ochrony mających zastosowanie praw podstawowych, należy rozumieć w ten sposób, że stoją na przeszkodzie skierowanemu do dostawcy dostępu do Internetu nakazowi wdrożenia systemu filtrowania
- wszystkich połączeń elektronicznych przekazywanych za pośrednictwem jego usług, w szczególności przy zastosowaniu programów „peer-to-peer”;
- mającego zastosowanie bez rozróżnienia w stosunku do wszystkich jego klientów;
- w celach zapobiegawczych;
- na wyłączny koszt dostawcy i
- bez ograniczeń w czasie,
zdolnego do zidentyfikowania w sieci tego dostawcy przypadków przekazywania plików elektronicznych zawierających utwory muzyczne, kinematograficzne lub audiowizualne, co do których strona powodowa rości sobie prawa własności intelektualnej, celem zablokowania transferu plików, których wymiana narusza prawo autorskie.
W komunikacie prasowym po dzisiejszym wyroku (PDF) czytamy (wytłuszczenie moje):
U źródła omawianej sprawy leży spór pomiędzy Scarlet Extended SA, dostawcą dostępu do Internetu, a SABAM – belgijską organizacją zarządzającą prawami w zakresie udzielania zezwoleń na wykorzystywanie przez podmioty trzecie utworów muzycznych autorów, kompozytorów i wydawców.
W 2004 r. SABAM stwierdziła, że internauci korzystający z usług Scarlet pobierają z Internetu, bez zezwolenia i bez uiszczania opłat, utwory zapisane w katalogu SABAM za pomocą sieci „peer–to–peer” (przejrzysty środek pozwalający na wymianę treści, niezależny, zdecentralizowany i wyposażony w zaawansowane funkcje wyszukiwania i pobierania).
Na wniosek SABAM prezes tribunal de premiere instance de Bruxelles (Belgia) nakazał Scarlet jako dostawcy dostępu do Internetu, pod groźbą okresowej kary pieniężnej, doprowadzenie do zaprzestania tych naruszeń praw autorskich, poprzez uniemożliwienie przesyłania lub odbierania przez jej klientów, w jakiejkolwiek formie, za pomocą programów „peer-to-peer”, plików elektronicznych zawierających utwory muzyczne z repertorium SABAM.
Scarlet wniosła apelację do cour d´appel de Bruxelles podnosząc niezgodność nakazu z prawem Unii z tego względu, że nałożył on na nią de facto ogólny obowiązek nadzorowania połączeń w jej sieci, co pozostaje w sprzeczności z dyrektywą o handlu elektronicznym i z prawami podstawowymi. W tym kontekście cour d’appel de Bruxelles zwrócił się do Trybunału Sprawiedliwości z pytaniem, czy prawo Unii pozwala państwom członkowskim dopuścić, by sąd krajowy nakazał dostawcy dostępu do Internetu wdrożenie systemu filtrowania połączeń elektronicznych – o zasięgu ogólnym, w celach zapobiegawczych, na jego wyłączny koszt i bez ograniczenia w czasie – w celu identyfikacji nielegalnego pobierania plików.
W wydanym dzisiaj wyroku Trybunał przypomniał przede wszystkim, że podmioty praw własności intelektualnej mogą występować o wydanie nakazu przeciwko pośrednikom, takim jak dostawcy dostępu do Internetu, których usługi są wykorzystywane przez podmioty trzecie w celu naruszenia ich praw. Zasady wydawania nakazów podlegają prawu krajowemu. Niemniej jednak, te przepisy krajowe muszą pozostawać w zgodności z ograniczeniami wynikającymi z prawa Unii, takimi jak w szczególności przewidziany dyrektywą o handlu elektronicznym i skierowany do organów krajowych zakaz przyjmowania przepisów zobowiązujących dostawców dostępu do Internetu do prowadzenia ogólnego nadzoru nad informacjami, które przekazują oni w ramach swoich sieci.
W tym względzie Trybunał stwierdził, że taki nakaz wymagałby od Scarlet prowadzenia aktywnego nadzoru nad wszystkimi danymi każdego z jej klientów w celu zapobieżenia wszelkim naruszeniom praw własności intelektualnej. Wynika z tego, że omawiany nakaz nałożyłby obowiązek sprawowania ogólnego nadzoru, co jest niezgodne z dyrektywą o handlu elektronicznym. Ponadto taki nakaz byłby niezgodny z mającymi zastosowanie prawami podstawowymi.
Ochrona prawa własności intelektualnej została wprawdzie przewidziana w Karcie Praw Podstawowych Unii Europejskiej. Niemniej jednak, z Karty ani z orzecznictwa Trybunału w żaden sposób nie wynika, by prawo to było nienaruszalne i że w konsekwencji powinno być objęte bezwzględną ochroną.
Tymczasem w niniejszym przypadku nakaz ustanowienia sytemu filtrowania oznacza nadzorowanie, w interesie podmiotów prawa autorskiego, wszystkich połączeń elektronicznych realizowanych w sieci danego dostawcy dostępu do Internetu, przy czym nadzór taki jest ponadto nieograniczony w czasie. Co za tym idzie, taki nakaz stanowiłby kwalifikowane naruszenie wolności prowadzenia przez Scarlet działalności gospodarczej, ponieważ zobowiązywałby ją do wprowadzenia złożonego, kosztownego i trwałego systemu informatycznego na jej wyłączny koszt.Co więcej, skutki takiego nakazu nie ograniczyłyby się do Scarlet, gdyż sporny system filtrowania może naruszać także prawa podstawowe jej klientów, a mianowicie ich prawo do ochrony danych osobowych oraz wolność otrzymywania i przekazywania informacji, chronione Kartą Praw Podstawowych Unii Europejskiej. Oczywiste jest bowiem, po pierwsze, że nakaz ustanowienia sytemu filtrowania pociągałby za sobą konieczność przeprowadzania systematycznej analizy wszelkich zawartości oraz gromadzenie i identyfikację adresów IP użytkowników, od których pochodzą przesłane w sieci nielegalne treści, przy czym adresy te stanowią chronione dane osobowe. Po drugie, istnieje ryzyko, że omawiany nakaz naruszyłby wolność informacji, ponieważ system ten mógłby nie rozróżniać w wystarczającym stopniu niezgodnej z prawem zawartości i zgodnej z prawem zawartości, skutkiem czego jego wdrożenie mogłoby doprowadzić do blokady połączeń o zawartości zgodnej z prawem.
W konsekwencji Trybunał stwierdził, że wydając nakaz zobowiązujący Scarlet do wdrożenia takiego systemu filtrowania sąd krajowy nie spełniłby wymogu zapewnienia odpowiedniej równowagi pomiędzy, z jednej strony, prawem własności intelektualnej, a, z drugiej strony, wolnością prowadzenia działalności gospodarczej, prawem do ochrony danych osobowych oraz wolnością otrzymywania i przekazywania informacji.
Trybunał udzielił zatem odpowiedzi, iż prawo Unii stoi na przeszkodzie skierowanemu do dostawcy dostępu do Internetu nakazowi wdrożenia systemu filtrowania wszystkich połączeń elektronicznych przekazywanych za pośrednictwem usług tego dostawcy, mającego zastosowanie bez rozróżnienia w stosunku do wszystkich jego klientów, w celach zapobiegawczych i na wyłączny koszt dostawcy oraz bez ograniczeń w czasie.
I dodam od siebie, że jeśli przedsiębiorca telekomunikacyjny zdecyduje się jednak wprowadzić filtrowanie lub analizowanie samodzielnie, bez nakazu sądu (co pewnie będzie dotyczyło każdego rodzaju zarządzania przepływem w Sieci, który dotyczyłby analizy treści przesyłu), to chociaż, jak uważam - może to zrobić, ale wówczas nie może korzystać z wyłączenia odpowiedzialności za mere conduit, a dodatkowo musi spełnić wszelkie (dodatkowe) wymogi prawne związane z ochroną danych osobowych i prywatności, a także z ochroną konkurencji i konsumentów...
PS
Przywołajmy jeszcze ten art. 15 dyrektywy o handlu elektronicznym, o którym tu mowa:
Artykuł 15
Brak ogólnego obowiązku w zakresie nadzoru
1. Państwa Członkowskie nie nakładają na usługodawców świadczących usługi określone w art. 12, 13 i 14 ogólnego obowiązku nadzorowania informacji, które przekazują lub przechowują ani ogólnego obowiązku aktywnego poszukiwania faktów i okoliczności wskazujących na bezprawną działalność.
2. Państwa Członkowskie mogą ustanowić w stosunku do usługodawców świadczących usługi społeczeństwa informacyjnego obowiązek niezwłocznego powiadamiania właściwych władz publicznych o rzekomych bezprawnych działaniach podjętych przez ich usługobiorców lub przez nich przekazanych informacjach lub obowiązek przekazywania właściwym władzom, na ich żądanie, informacji pozwalających na ustalenie tożsamości ich usługobiorców, z którymi mają umowy o przechowywanie.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Dlaczego uważa Pan, że
Dlaczego uważa Pan, że jeśli dostawca wprowadzi sam filtrowanie, to nie może korzystać z wyłączenia odpowiedzialności?
Chodzi mi w tym przypadku o filtrowanie uzgodnione z użytkownikiem, tj. użytkownik świadomie kupuje usługę:
a) dostępu do określonych serwisów internetowych (np. Facebook, GG i Onet.pl);
b) dostępu do Internetu z wyjątkiem określonych serwisów internetowych (np. zawartych na liście stanowiącej załącznik do umowy);
c) dostępu do Internetu z wyjątkiem określonych kategorii tematycznych (np. portale społecznościowe, zakupy online, pornografia, hazard), które będą filtrowane wg zawartości bazy danych systemu filtrowania używanego przez ISP (np. Fortinet);
d) dostępu do Internetu z filtrowaniem wirusów (ochrona antywirusowa online).
Potencjalna odpowiedzialność dotyczy bowiem danych, które docierają do użytkownika (wtedy bowiem można mówić o przekazie danych), a informacje zawarte w tych danych - z wyjątkiem d) - nie są wybierane ani modyfikowane przez ISP. Jednak i w przypadku d) można stanąć na stanowisku, że informacje wybiera tu użytkownik, a nie ISP z własnej inicjatywy.
Takie pakiety oznaczałyby
Takie pakiety usług oznaczałyby konieczność obserwacji ogółu połączeń (by przepuszczać niektóre, a niektóre blokować). Czyli również ochrona antywirusowa będzie mieściła się dokładnie w tej tezie, która - posługując się słowami uzasadnienia TS do ww. wyroku - w odniesieniu do ochrony prawnoautorskiej brzmi:
A jeśli ISP nadzoruje (pełni aktywną rolę) i część ruchu filtruje/blokuje, a część przepuszcza, to nie mamy do czynienia ze "zwykłym przekazem", o którym mowa w art 12 dyrektywy, bo ISP "wybiera oraz modyfikuje informacje zawarte w przekazie" (cóż, że na prośbę użytkownika?). W takim przypadku usługodawca ponosi odpowiedzialność na zasadach ogólnych (tj. bez możliwości skorzystania z wyłączenia odpowiedzialności z art. 12 dyrektywy i uśude, w których to przepisach mowa tylko o takiej sytuacji, w której usługodawca (c) nie wybiera i nie modyfikuje informacji zawartych w przekazie; por. Czy istnieje coś takiego, jak "mere conduit" - "zwykły przekaz"?).
Obowiązku nadzoru nie można nałożyć (odgórnie), ale jeśli ktoś się decyduje na taki nadzór samodzielnie (a może to zrobić), to wynikają z tego konsekwencje m.in. związane z zakresem odpowiedzialności za przesyłane treści. To prosta konsekwencja: albo przepuszcza (udostępnia) Sieć "jak leci" (i korzysta z wyłączenia odpowiedzialności), albo nie przepuszcza (udostępnia) Sieci "neutralnie", więc nie korzysta z wyłączenia odpowiedzialności za treści.
PS
I nie odpowiadam teraz na pytanie, czy to dobrze, czy to źle, że takie przepisy prawodawca UE wprowadził, a państwa członkowskie musiały wdrożyć. Być może przepisy te nie są najszczęśliwsze (nie odpowiadają na proste, praktyczne pytania związane z zarządzaniem ruchem, jak np. Load balancing w sieciach poszczególnych ISP), ale takie są. Pole do interpretacji jest tu chyba w kreśleniu "informacje zawarte w przekazie". No, ale jeśli filtruje się treści takie jak spam i wirusy, to jednak się filtruje, a jeśli się filtruje coś (wprowadza się mechanizm filtrowania czegokolwiek), to odpowiada się za wszystko (na zasadach ogólnych, więc czasem na zasadzie winy (karnie, czy cywilnie), chociaż warto pamiętać, że w przypadku prawa autorskiego jest sobie art. 79, który przewiduje odpowiedzialność nawet przy braku winy, chociaż z licencją z art. 231 związaną z przejściowym lub incydentalnym zwielokrotnianiem utworu, niemające samodzielnego znaczenia gospodarczego związanego z przekazem w systemie teleinformatycznym, ale w tym przypadku również można oceniać, czy chodzi o "zgodne z prawem korzystanie"), w tym za ew. pomocnictwo lub podżeganie (jak TPB; por. Sądowy strzał w Mininova.org, Szwedzki wyrok w sprawie TPB: rok pozbawienia wolności i 905 tys dolarów dla każdego, Sąd apelacyjny podtrzymał wyrok przeciwko twórcom The Pirate Bay).
--
[VaGla] Vigilant Android Generated for Logical Assassination
...by nie oznaczały
konieczności obserwowania całości ruchu a tym mniej "ogółu połączeń". Internet to nie rura z wodą. Wystarczy że sprzedam klientowi sieć z dostępem do mojego DNS, z którego usunę rozwiązanie nazwy prawo.vagla.pl (albo wpiszę jej rozwiązanie na sztywno jako dajmy na to 94.152.199.153) i już mam jakąś (excuse le mot - dziadowską, ale zawsze) formę dyskryminowania Cię bez jakiegokolwiek nadzoru nad połączeniami i ich śledzenia.
A
jak się zaprę to ewentualnie żeby być mocniej dyskryminującym jeszcze ruch na porcie 53 (DNS) gdziekolwiek indziej w świat odfiltruję (nie rejestrując kto i po co tam pakiety/datagramy wysyła) dla wszystkich (z wyjątkiem tego mojego DNSa ma się rozumieć). Też nie będę niczego na bieżąco śledził tylko technicznie nie przepuszczał części pakietów.
Możemy dyskutować czy statyczne filtrowanie to śledzenie na bieżąco, ale jak mnie sąd zapyta to powiem, że w pojęciu "śledzenie połączeń" pewnikiem chodziło o filtrowanie dynamiczne (ze śledzeniem stanu - statefull filtering) a nie o statyczne (bezstanowe - stateless), bo jeśli się trzymać analogii komunikacyjnym, to jeśli ktoś strzela wyłącznie do krążowników, a przepuszcza niszczyciele, trawlery i rowery wodne, to jest to jednak jest co innego niż jeśli strzela wyłącznie do kajaków płynących z Leningradu do Bangi. To ostatnie kryterium ostatnie wymaga śledzenia połączeń, to pierwsze - nie. :)
Śledzenie a wybór i modyfikowanie
Śledzenie ruchu wiąże się np. z obowiązkami wynikającymi z ochrony danych osobowych. Śledzenie to nie to samo co wybór i modyfikowanie informacji zawartych w przekazie. Ja piszę o konsekwencjach wynikających z wprowadzenia mechanizmów polegających na wyborze i/lub modyfikowaniu informacji. Przeczytaj, proszę, jak brzmi art. 12 dyrektywy o handlu elektronicznym (i polskiej ustawy o świadczeniu usług drogą elektroniczną) i jak się ma ten przepis do art. 15, który leżał w polu zainteresowania Trybunału w powyżej referowanej sprawie.
--
[VaGla] Vigilant Android Generated for Logical Assassination
napisałeś
komentując uwagę o pakietach, w których ISP oferowałby klientowi między innymi
(pominąłem punkt d, bo skaner antywirusowy wymaga rzeczywiście śledzenia zawartości pakietów). Technicznie filtrowanie np adresów w usłudze www nie wymaga śledzenia połączeń ani ruchu (tak jak śledzenia ruchu drogowego nie wymaga postawienie zakazu wjazdu dla ciężarówek, dopiero kierowanie ruchem przez policjanta wymaga śledzenia tegoż ruchu, przynajmniej w teorii ;))
Nie o śledzenie tu chodzi, a o wybór i/lub modyfikowanie
Drogi Macieju, wklejam poniżej art. 12 dyrektywy (byśmy mieli wspólną płaszczyznę). To jest podstawa wyłączenia odpowiedzialności. Mój grzech może polegać na tym, że nie przywołuję innej normatywnej podstawy wyłączenia odpowiedzialności (jest taka?). Jeśli nie zachodzą przesłanki wymienione w art. 12 dyrektywy o handlu elektronicznym, to masz odpowiedzialność na zasadach ogólnych (i nie rozważam teraz, czy to dobrze napisany przepis, czy nie, ale wytłuściłem, o co mi chodzi):
Art. 15 ww. dyrektywy przywołany jest w "PS" notatki, która stanowi początek tego wątku.
--
[VaGla] Vigilant Android Generated for Logical Assassination
ale jeśli blokuję rozwiązywanie nazw DNS to
nie jestem inicjatorem przekazu, nie wybieram odbiorcy przekazu oraz nie wybieram oraz nie modyfikuję informacji zawartych w przekazie.
No bo jak? DNS nie rozwiązuje części żądań. I tyle.
A co do art 15 (może lepiej naszej ustawy), to racjonalny ustawodawca (lubiący infologiczną definicję informacji i danych) użył dwóch pojęć:
"przekazu danych" oraz "informacji zawartych w przekazie". Sądziłbym (gdybym był sędzią), że w pierwszym przypadku mowa o wszystkich bajtach (nagłówkach pakietów, sumach kontrolnych etc.), a w drugim - o treści komunikatów. Czyli jeśli narzuciłbym filtrowanie dostępu po adresach IP to informacji bym nie wybierał, natomiast jeśli filtrowałbym po słowach kluczowych to już raczej tak. (W ten sposób uratowałbym przynajmniej stare firewalle, bo te Next Generation Fiewalls to już raczej nie). Walczyłbym o anywirusy: nie modyfikuję ani nie wybieram informacji, bo wirus to taki program komputerowy, a dla ustawodawcy program nie jest informacją (bo choć jest nią dla informatyka nie jest dla infologa i tak dalej jak wyżej), ale deep packet filtering by się chyba nie ostał. Taaaaak. No ale z Twojego spostrzeżenia wynika wniosek prosty acz ciężki: jeśli IAP chce wprowadzić usługę, o której mowa powyżej (filtrowanie antywirus etc.) musi z klientem zawrzeć umowę, która uwolni go jakoś przynajmniej od odpowiedzialności cywilnej. A pewnie od karnej uwolni go art. 1 par 3 KK (nie wiem, pytam)? Poza tym jak karać osobę prawna jaką jest w większości przypadków IAP?
Na podstawie ustawy :)
Na podstawie ustawy z dnia 28 października 2002 r. o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Tu mowa o karze do 5 mln PLN.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Ograniczenie dostepu do informacji
W moim przekonaniu ograniczenie dostępu do DNS jest ograniczeniem dostępu do informacji. To coś jak zakaz montowania anten satelitarnych przez spółdzielnie w sytuacji, gdy operator kablówki jest monopolista i udostępnia tylko wybrane przez siebie kanały. Na to jest inna dyrektywa, ale Vagla o tym wspomniał.
No i
No i jest jeszcze doktryna urządzeń kluczowych, którą kieruje się zarówno UOKiK, jak i UKE.
--
[VaGla] Vigilant Android Generated for Logical Assassination
ale
przecież jak ktoś sobie chce używać innego DNSa to może nawet po tych samych kabelkach. Ot VPN do ciepłych krajów albo TOR i już ;) Wolno montować anteny satelitarne ale przykręcać je trzeba wyłącznie złotymi śrubkami na masztach z irydu ;)
Wg mnie jest różnica
Wg mnie jest różnica między tym, co ETS określił jako "aktywny nadzór", a np. ochroną antywirusową. W przypadku tej ostatniej nie mamy do czynienia z sytuacją nadzorowania wszystkich danych pod wszelkim kątem (w tym w szczególności zgodności z prawem - nie ma tu "systematycznej analizy wszelkich treści"), a jedynie pod kątem tego, czy znajdują się w nich wirusy. Z tego, że provider jest w stanie odfiltrować wirusa nie wynika, że jest on w stanie nadzorować i odfiltrowywać np. treści nielegalne udostępniane przez jego użytkowników.
Natomiast w przypadku pakietu dającego dostęp do Facebooka, GG i Onetu sytuacja wygląda tak, że przekaz danych następuje jedynie w przypadku, gdy użytkownik łączy się z Facebookiem, GG czy Onetem i informacje w nim zawarte nie są wtedy w żaden sposób modyfikowane ani wybierane przez dostawcę dostępu. Taka sytuacja moim zdaniem następowałaby, gdyby np. do wiadomości wysyłanych przez użytkownika przez GG provider doklejał jakiś swój tekst albo wybiórczo przepuszczał tylko niektóre teksty (np. usuwał wulgarne słowa).
Tak naprawdę, problem tu leży w interpretacji pojęcia "przekaz danych", które nie jest zdefiniowane w u.ś.u.d.e. W prawie telekomunikacyjnym istnieje pojęcie "przekazu telekomunikacyjnego", które oznacza "treści rozmów telefonicznych i innych informacji przekazywanych za pomocą sieci telekomunikacyjnych". Czy protokoły TCP, HTTP i inne umożliwiające w ogóle połączenie z np. stroną internetową są "treściami"? Bo jeśli nie, to zablokowanie jakiejś strony np. po adresie IP albo po domenie nie oznacza ingerencji w przekaz - taką ingerencją jest dopiero wybieranie lub modyfikowanie informacji wysyłanej i odbieranej wewnątrz aplikacji. A czy wirus doklejony do kodu strony WWW albo robak rozsyłający się samemu jest "treścią przekazu"?
Dodam jeszcze
Dodam jeszcze, że również art. 14 (ten, który stanowi o warunkowej odpowiedzialności świadczącego usługi drogą elektroniczną), też nie rozróżnia sytuacji, w której moderuję komentarze tylko ze względu na literówki od tej, w której moderuję ze względu na jakiekolwiek sprawy. Albo moderuję (w dowolny sposób) - i odpowiadam za wszystko, albo nie moderuję wcale (i wówczas mogę korzystać z dobrodziejstwa notice and takedown). Przy czym w przypadku art. 14 "automatyczne moderowanie" nie jest równoznaczne z wiedzą o bezprawnym charakterze danych. W przypadku art. 12 nie ma takich przesłanek, jak "wiedza", tylko właśnie trigger jest ustawiony na wybór i modyfikowanie (jakiekolwiek). Być może tu jest jakiś postulat de lege ferenda, by ten system prawny poprawić dla ogólnego bezpieczeństwa prawnego przedsiębiorstw oferujących dostęp "do internetu" (albo "do części internetu").
Oczywiście zakładam też, że może pojawić się interpretacja, która będzie wskazywała, że filtrowanie w jednym zakresie nie powoduje odpowiedzialności w innym zakresie (albo, że filtrowanie nie jest modyfikowaniem i wyborem). Chętnie przeczytam takie argumenty prawne, które odnosiłyby się do brzmienia art. 12 dyrektywy o handlu elektronicznym. Chętnie ugnę się pod ciężarem takich argumentów i uznam, że nie mam racji.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Według mnie można
Według mnie można interpretować art. 12 w taki sposób, że odpowiedzialność usługodawcy dotyczy tylko treści tych konkretnych danych, w których przekazie dokonuje on lub może dokonywać modyfikacji lub wyboru informacji. Czyli jeśli np. dokonuje on jedynie kontroli antywirusowej, to nie jest odpowiedzialny za treść o charakterze bezprawnym (np. naruszającą czyjeś dobra osobiste), której skaner antywirusowy w żaden sposób nie mógł zmodyfikować ani zablokować (bo nie jest wirusem).
Ogólnie: jeśli dane mają postać AAAAABBBB, a provider może dokonywać wyboru / modyfikacji tylko w zakresie BBBB, to nie ponosi odpowiedzialności za AAAAA (bo w tym zakresie nie wybiera on, ani nie modyfikuje informacji).
odpowiedzialność
zamawiam w kiosku prenumeratę gazety, to jasne, że kioskarz nie odpowiada za treści w tej gazecie zawarte. Ale zamawiam w wyspecjalizowanej firmie robienie przeglądu prasy pod kątem mojej osoby (bo chcę zostać celebrytą i wiedzieć jaki odzew wzbudziły moje najnowsze wygłupy) to poczuję się co najmniej dotknięty jeśli połowy artykułów nie dostanę a druga połowa będzie dotyczyła kogoś innego. I zażądam odszkodowania.
OT: Ci od clippingu
Ci od clippingu dodatkowo mogą się spodziewać kłopotów ze strony wydawnictw (contentu), jeśli nie dogadali się wcześniej na kasę i stosowne licencje.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Można jednakże założyć model
w którym usługa dostępu do Internetu została tak skonfigurowana technicznie, że to użytkownik wg własnych potrzeb i uznania wskazuje, do jakich treści chce mieć dostęp. Chodzi o taki system, w którym to właśnie użytkownik dokonuje konfiguracji systemu i tym samym usługi, jaką chce otrzymywać, natomiast jej realizacja (świadczenie) dokonywałoby się w zupełnie już zautomatyzowany sposób (świadomie odrywam się w tym zakresie od wszelkich technicznych aspektów funkcjonowania takiego systemu).
Przenosząc tę sytuację na grunt art. 12 dyrektywy można wykazywać, że ciężar "inicjowania przekazu", "wyboru odbiorcy" jak również "wyboru oraz modyfikacji informacji zawartych w przekazie" został przeniesiony w całości na użytkownika. I to właśnie użytkownik w takim modelu jest podmiotem dokonującym tych wszystkich trudnych wyborów. Innymi słowy filtrowanie w całości przerzucone na użytkownika (zarówno w zakresie inicjowania jak i kontroli takiego filtrowania, przy równoczesnej bierności providera) nie pozbawiałoby jeszcze statusu ISP z art. 12 dyrektywy.
Podobnie z hostingiem - wprowadzenie zautomatyzowanego systemu nadzoru/filtrowania treści realizowanego i kontrolowanego przez użytkowników nie może automatycznie prowadzić do konkluzji, że w takiej sytuacji art. 14 dyrektywy nie znajduje zastosowania. Różnica rzeczywiście dotyczyłaby w tym przypadku wiedzy takiego host providera, tj. ustalenia czy taki system przypadkiem nie zwiększa świadomości host providera w zakresie ew. treści bezprawnych. I czy nie jest to przypadkiem "aktywna rola" (w mojej ocenie raczej nie), o której wspominał ETS w sprawie C-324/09 (szkoda, że ETS nie rozwinął tego wątku).
trzeba dobrze napisać umowę
między IAPem a klientem. No ale to odnośnie do odpowiedzialności cywilnej. A jak jest z karną (nasuwa się art 202 KK i art 269b KK, jeśli filtr przepuści odpowiednio pornografię i wirusy)?
Ale rozumiem, że
poruszamy się na gruncie art. 12-14 dyrektywy o handlu elektronicznym i odpowiednio art. 12-14 uśude, mówimy więc o horyzontalnym ograniczeniu odpowiedzialności obejmującym również odpowiedzialność karną, czyż nie?
karną również
Karną również (por. m.in. Roszczenie przeciwko serwisom aukcyjnym o zaniechanie naruszenia). Tylko trzeba pamiętać, że to ograniczenie nie jest bezwarunkowe.
--
[VaGla] Vigilant Android Generated for Logical Assassination
ale cywilną
mogę sobie bardzo dobrze obejść odpowiednio formułując umowę albo przynajmniej mogę zeksternalizować ryzyko wykupiwszy polisę OC, a odpowiedzialności karnej w ten sposób nie sposób uniknąć (choć przyznam że pomysł ubezpieczenia od odpowiedzialności karnej, szczególnie w przypadku czynów zagrożonych jedynie karą grzywny mógłby być rewelacyjny w swej prostocie, szczególnie na przykład dla rodziców nieletnich chuliganów :))
I jeszcze przypomnienie o sprawie C-324/09
Trzeba chyba też odnotować, że przed Trybunałem Sprawiedliwości toczyła się również sprawa C-324/09 (o wyroku w tej sprawie pisałem w tekście Wyrok Trybunału: znaki towarowe (reklama, linki) w platformach aukcyjnych i odpowiedzialność pośredników), w której chodziło o spór L’Oréal SA wraz z jej spółkami zależnymi, a eBay Inc. i jej trzema spółkami zależnymi. Tam również chodzi o ochronę praw własności intelektualnej oraz o to, jak chronić i jak stosować filtry (ale inne niż w przypadku przedsiębiorców oferujących dostęp do Sieci; chodzi filtry stosowane przez świadczącego usługi drogą elektroniczną - czyli nie art. 12, a art. 14 uśude i dyrektywy o handlu elektronicznym). W tym sporze L’Oréal twierdziła, że eBay ponosi solidarnie odpowiedzialność za naruszenia znaków towarowych poprzez używanie oznaczeń identycznych ze znakami towarowymi dla towarów identycznych z tymi, dla których znaki towarowe są zarejestrowane. W tej sprawie Trybunał zinterpretował m.in. art. 14 dyrektywy o handlu elektronicznym w kontekście "aktywnej roli" świadczącego usługi, stwierdzając:
--
[VaGla] Vigilant Android Generated for Logical Assassination
Należałoby ten wyrok przeczytać
bardzo dokładnie i dobrze przemyśleć. Nie sądzę, żeby trybunał zdelegalizował właśnie firewalle (filtrują przecież) i antywirusy. O ile widzę Trybunał powiedział, że nie wolno nakazać IAPowi wprowadzenia na jego koszt systemu filtrowania spełniającego kilka warunków (niech mnie jakiś prawnik oświeci proszę czy pomiędzy warunkami na liście wypunktowanej zachodzi koniunkcja czy alternatywa). Nie wnikając głębiej w te warunki nie widzę żeby z tego wyroku wynikało:
a. Że nie można nakazać mu wdrożenia tego (tego konkretnego) systemu na przykład na koszt kogo innego
b. Że IAP nie może go wdrożyć z własnej woli
c. Że nie można nakazać mu wdrożenia innego systemu (w szczególności na przykład takiego, który nie gromadziłby danych o adresach i nie zaglądał do treści tylko do nagłówków, vide prosty bezstanowy firewall)
et caetera
Nawet jeśli mówimy o powołanym "zakazie przyjmowania przepisów zobowiązujących dostawców dostępu do Internetu do prowadzenia ogólnego nadzoru nad informacjami, które przekazują oni w ramach swoich sieci" to, jak się wydaje, powołany wyrok doprecyzowuje tylko kwestię TEGO (a nie podobnych) systemów. Inna rzecz, że fizycznie pewnie nie było żadnego "tego systemu" (znaczy się nie było desygnatu, o którym mówił sąd krajowy w kwestionowanym nakazie prezes tribunal de premiere instance de Bruxelles (Belgia)). BRRRR
Nikt nie delegalizuje firewalli
Nikt nie delegalizuje firewalli. Wyrok dotyczy sytuacji, w której albo sąd (nakaz, zabezpieczenie powództwa), albo prawo krajowe w przepisach powszechnie obowiązujących, wprowadzi sprzeczny z art. 15 dyrektywy obowiązek ogólnego nadzoru (ten wyrok właśnie to mówi, że takie wprowadzenie byłoby sprzeczne z art. 15 dyrektywy w związku z innymi przepisami). I tyle. Takiego obowiązku odgórnie (przepisami czy sądowo) nie można narzucić.
Reszta to już dopowiedzenie: można sobie taki nadzór prowadzić na własną rękę (bez narzuconego odgórnie przez sąd lub przepisy) i z tym się wiążą konsekwencje.
I te konsekwencje nie dotyczą zdelegalizowania takiego działania, tylko wyłączenia braku odpowiedzialności (czyli jest "modyfikowanie" lub "wybór" informacji zawartych w przekazie, więc nie jest się beneficjentem wyłączenia odpowiedzialności z art. 12 dyrektywy). Nadal można sobie filtrować (wybierać) lub modyfikować (tylko mają tu wówczas zastosowanie inne przepisy stanowiące o granicach tego prawa, bo np. prawo autorskie chroni integralność utworu). Wybór lub modyfikacja informacji zawartej w przekazie ma konsekwencje takie, że można wówczas ponosić odpowiedzialność za treści, które się w sieci przesyła.
--
[VaGla] Vigilant Android Generated for Logical Assassination
takie wprowadzenie nakazu
czyli wprowadzenie nakazu wdrożenia
Powtórzę pytanie: czy mowa o wszystkich tych warunkach na raz czy o ich alternatywie, tj. czy można nakazać na przykład wprowadzenie systemu systemu filtrowania wszystkich połączeń elektronicznych przekazywanych za pośrednictwem jego usług, w szczególności przy zastosowaniu programów „peer-to-peer”; mającego zastosowanie bez rozróżnienia w stosunku do wszystkich jego klientów; w celach zapobiegawczych; na niewyłączny koszt dostawcy i z ograniczeniem w czasie, zdolnego do zidentyfikowania w sieci tego dostawcy przypadków przekazywania plików elektronicznych zawierających utwory muzyczne, ale nie kinematograficzne lub audiowizualne, co do których strona powodowa rości sobie prawa własności intelektualnej, celem zablokowania transferu plików, których wymiana narusza prawo karne?
A co do odpowiedzialności to chyba za daleko idący wniosek. Jeśli jako IAP umówiłem się z klientem, że wycinam (przykład z komentarza wcześniejszego) cały ruch z prawo.vagla.pl to czemu mam być odpowiedzialny że mój klient zobaczył to co napisałeś np na facebooku?
Moim zdaniem
Moim zdaniem temu (odpowiadam na "czemu?"), że art 12 dyrektywy (analogicznie też w uśude), który jest podstawą wyłączenia odpowiedzialności, ma zastosowanie tylko w określonych w nim (w art. 12 właśnie) sytuacjach.
--
[VaGla] Vigilant Android Generated for Logical Assassination
nadal w sewrze teorii (np. DNS)
Jestem np. ciekaw takiej umowy na określonej/ograniczonej "usługi" ISP (poruszanej w początkowym komentarzu), gdy np. najdzie mnie ochota na zastosowanie (choćby nieświadomie) darmowego Comodo z funkcją "Secure DNS"(jest w standardzie)?
Uruchomię wtedy np. GG i ta kombinacja dwóch filtrowań usunie mi wiadomość całkowicie, która nie miała być w ogóle naruszana("prawnie").
Z tego powodu uważam że wpis "teoretyczny" Pana Jacka na temat "filtrowania ISP" na obecnym etapie po prostu w praktyce nie może mieć zastosowania.
A w przyszłości?
Skorzystam z kolejnej usługi, choćby "Cloud Computing"?
Oczywiście pytam teoretycznie :)))))