It-advokat om Tingbogen-kopi: Det kan give bøder at scrape offentlige data
Der gik kun en dags tid fra, at en kopi af Tingbogens database blev offentliggjort på en privat hjemmeside, til den blev taget ned igen.
Den anonyme person bag Tingbogen-kopien mente ikke selv, at han havde gjort noget ulovligt.
Alligevel fik han kolde fødder, da han blev kontaktet af Rigspolitiets Nationale Cyber Crime Center (NC3) og bedt om at blokere sitet, som samtidig blev heftigt debatteret i medierne. Til sidst valgte han at lukke siden ned.
Omdrejningspunktet for debatten var, at han blot havde taget allerede offentligt tilgængelige data og lagt dem ind i en ny database på hans eget domæne. Hvad skulle der være ulovligt ved det, spurgte nogle af Version2’s læsere.
Historien blev især blæst op på, at man i kopien af Tingbogen kunne finde navne på personer, som nød navne- og adressebeskyttelse i den officielle udgave af Tingbogen.
»Kære danskere, kan I venligst forklare mig, hvad det er for et postyr med disse beskyttede adresser?,« spurgte den udenlandske person bag sitet, der på Reddit kalder sig Protuck.
Det viser sig dog nu, at der næppe er tale om tusindvis af kompromitterede navne, som først antaget. I den officielle og nutidige udgave af Tingbogen er der 15.560 personer med navnebeskyttelse, viser en optælling som Tinglysningsretten har foretaget for Version2. På kopi-sitet var der 15.0041 personer med navnebeskyttelse ifølge en analyse foretaget af datalog Christian Panton.
Forskellen på de to udgaver skyldes sandsynligvis, at Protuck scrapede Tingbogen i perioden august til december 2015, og at der sidenhen er flere personer, som har fået tildelt navnebeskyttelse. Hvor disse ændringer slår igennem på den officielle udgave af Tingbogen med det samme, så vil kopi-databasen kun indeholde de gamle oplysninger.
Denne konklusion anerkender retspræsident for Tinglysningsretten, Søren Sørup Hansen, der er mest tilbøjelig til at tro, »at oplysningerne alene er hentet fra den offentlige del af systemet.«
Således kunne man foranledige til at tro, at Protucks kopi-database var helt lovlig. Alligevel er der flere ting, der gør hans scraping og efterfølgende offentliggørelse af Tingbogen problematisk ifølge it-advokat Martin von Haller Grønbæk.
Sagen kan dermed også gøre det klarere for entusiastiske hackere (i ordets positive betydning), hvordan de skal forholde sig, inden de begynder at scrape og sammenkøre offentlige databaser.
1. Sådan må du ikke anskaffe data - jf. straffeloven
Selvom det kan virke indlysende på de fleste, så er det ulovligt at indhente oplysninger, hvis man har fået uautoriseret adgang til nogle af dem.
Dette bliver i straffeloven også kendt som hackerparagraffen, og det er blandt andet den, som den svenske Pirate Bay-stifter Gottfrid Svartholm Warg blev dømt efter i forbindelse med hackingen af CSC-mainframen.
I den konkrete sag om Tingbogen, var alle data dog allerede offentligt tilgængelige. Protuck benyttede sig af en hjemmelavet web scraper til at hente dem systematisk over en række måneder, hvilket var helt legalt ifølge Tinglysningsretten.
»Den pågældende har ikke gjort noget galt i forhold til os. Data er indhentet helt legalt ved forespørgsler,« siger Søren Sørup Hansen.
Dette står i skarp kontrast til Rigspolitiets henvendelse, hvor der blandt andet står, at han har »tilegnet sig databasen på ulovlig vis« samt, at data indeholder personlige oplysninger om personer, der bliver anset som mulige mål for terrorister.
Når Rigspolitiet skriver sådan, så tyder det ifølge Martin von Haller Grønbæk på, at de mistænker ham for en overtrædelse af hackerparagraffen i straffeloven.
»Betragtes det som hacking, er det desuden en særskilt forbrydelse at videregive de her oplysninger,« siger it-advokaten.
Rigspolitiet bekræfter over for Version2 henvendelsen samt ordlyden af den, men vil ikke svare på, om de mener, at det er ulovligt at scrape en offentligt tilgængelig database.
»Vi gør ikke noget videre ved sagen på nuværende tidspunkt,« siger kommunikationskonsulent ved Rigspolitiet Thomas Kristensen.
Det er derfor stadig uvist, hvad politiet mener med, at Protuck har indhentet data »på ulovlig vis«.
2. Offentlige databaser kan også være beskyttet af ophavsretten
Det kan godt være, at data ligger åbent tilgængelige, som det eksempelvis er tilfældet med Tingbogen. Men det betyder ikke nødvendigvis, at man uden videre måde indsamle hele databaser ifølge Martin von Haller Grønbæk.
Et enkelt opslag med navn og adresse i Tingbogen er der ikke noget i vejen for at indsamle. Grænsen går, når man indsamler hele eller dele af databaser, da de kan være beskyttet af ophavsrettens særlige beskyttelse af databaser.
Martin von Haller Grønbæk anbefaler, at man undersøger, om data bliver stillet til rådighed på åbne vilkår.
Gør de ikke det, så kan ejeren af databasen anklage data-scraperen for at overtræde ophavsretten.
»Åbne data forudsætter, at den der har databasen har gjort det eksplicit, at man godt må downloade og bruge databasen,« siger han.
I tilfældet med Tingbogen er der ikke givet eksplicit tilladelse til, at man må indsamle databasen. Men da det er op til ejeren af databasen selv at påberåbe sig ophavsretten, er det ikke altid, at det ender med en sag. Og det har Tinglysningsretten tilsyneladende ikke tænkt sig at gøre i den aktuelle situation.
»Det er ikke et problem for os med ophavsretten, fordi data ligger offentligt tilgængeligt,« siger Søren Sørup Hansen.
3. Vær varsom med personhenførbare data
Umiddelbart skulle man tro, at hvis noget allerede ligger offentligt på nettet, så er der ikke noget i vejen for, at man offentliggør det et andet sted.
Dette er også Datatilsynets generelle vurdering:
»Ting der i forvejen er offentliggjort - at de så bliver offentliggjort en gang til vil som udgangspunkt ikke være noget problem,« siger kommitteret hos Datatilsynet, Birgit Kleis.
Sådan er det dog ikke altid - især ikke, hvis der er personhenførbare oplysninger indblandet.
Da Protuck kopierede Tingbogen, var der nemlig flere aspekter af persondataloven, han ikke tog hensyn til.
For det første blev hans kopi af Tingbogen hurtigt forældet, da den officielle udgave som sagt bliver opdateret konstant. Det kunne blandt andet ses i, at der var omkring 500 færre personer med navnebeskyttelse i kopi-databasen end den officielle udgave.
»Hvis du har en offentlig database med daglige opdateringer, og du tager en kopi af den, så kan du blive ansvarlig for, at den er vedligeholdt,« siger Birgit Kleis.
Samtidig havde Protuck også lavet en ny søgefunktion i hans kopi af Tingbogen: Nu kunne man ikke kun søge efter adresser, men også navne.
Og heri består en grundlæggende udfordring for kreative hackere, der vil give offentlige data nyt liv. Når man tager offentlige data ind i en ny sammenhæng - måske kun med intentionen om at gøre det mere brugervenligt - så kan man også risikere at komme i karambolage med lovgivningen.
»Oplysningerne i Tingbogen var på en måde offentligt tilgængelige, men ikke til at foretage alle de former for søgninger, som man gør på det nye site. Derfor kan det godt være en overtrædelse af persondataloven,« siger Martin von Haller Grønbæk.
Netop den udvidede søgefunktion, er noget som Tinglysningsretten med vilje har undgået i sin udgave af Tingbogen.
»Det har vi ikke gjort, fordi det er lovreguleret af Tinglysningsloven. Der har ikke været et politisk ønske om, at man kan søge på navn,« siger Søren Sørup Hansen, der dog ikke er sikker på, om Tinglysningsloven gælder, hvis man som Protuck bygger en kopi op af registeret.
Websiden med kopien af Tingbogen er nu lukket ned, og hverken Rigspolitiet eller Datatilsynet regner med at forfølge sagen yderligere.
Hvad mener du om den aktuelle sag om Tingbogen og lovgivningen generelt? Er det for besværligt at udvikle nye tjenester baseret på offentlige data i Danmark?
