It-advokat om Tingbogen-kopi: Det kan give bøder at scrape offentlige data

Når man scraper offentlige hjemmesider for data og offentliggør dem i nye sammenhænge, kan det være ulovligt på flere måder.

Der gik kun en dags tid fra, at en kopi af Tingbogens database blev offentliggjort på en privat hjemmeside, til den blev taget ned igen.

Den anonyme person bag Tingbogen-kopien mente ikke selv, at han havde gjort noget ulovligt.

Alligevel fik han kolde fødder, da han blev kontaktet af Rigspolitiets Nationale Cyber Crime Center (NC3) og bedt om at blokere sitet, som samtidig blev heftigt debatteret i medierne. Til sidst valgte han at lukke siden ned.

Omdrejningspunktet for debatten var, at han blot havde taget allerede offentligt tilgængelige data og lagt dem ind i en ny database på hans eget domæne. Hvad skulle der være ulovligt ved det, spurgte nogle af Version2’s læsere.

Historien blev især blæst op på, at man i kopien af Tingbogen kunne finde navne på personer, som nød navne- og adressebeskyttelse i den officielle udgave af Tingbogen.

Læs også: Dansk tingbogs-database med hemmelige adresser frit tilgængelig fra server i USA

»Kære danskere, kan I venligst forklare mig, hvad det er for et postyr med disse beskyttede adresser?,« spurgte den udenlandske person bag sitet, der på Reddit kalder sig Protuck.

Det viser sig dog nu, at der næppe er tale om tusindvis af kompromitterede navne, som først antaget. I den officielle og nutidige udgave af Tingbogen er der 15.560 personer med navnebeskyttelse, viser en optælling som Tinglysningsretten har foretaget for Version2. På kopi-sitet var der 15.0041 personer med navnebeskyttelse ifølge en analyse foretaget af datalog Christian Panton.

Forskellen på de to udgaver skyldes sandsynligvis, at Protuck scrapede Tingbogen i perioden august til december 2015, og at der sidenhen er flere personer, som har fået tildelt navnebeskyttelse. Hvor disse ændringer slår igennem på den officielle udgave af Tingbogen med det samme, så vil kopi-databasen kun indeholde de gamle oplysninger.

Denne konklusion anerkender retspræsident for Tinglysningsretten, Søren Sørup Hansen, der er mest tilbøjelig til at tro, »at oplysningerne alene er hentet fra den offentlige del af systemet.«

Således kunne man foranledige til at tro, at Protucks kopi-database var helt lovlig. Alligevel er der flere ting, der gør hans scraping og efterfølgende offentliggørelse af Tingbogen problematisk ifølge it-advokat Martin von Haller Grønbæk.

Sagen kan dermed også gøre det klarere for entusiastiske hackere (i ordets positive betydning), hvordan de skal forholde sig, inden de begynder at scrape og sammenkøre offentlige databaser.

1. Sådan må du ikke anskaffe data - jf. straffeloven

Selvom det kan virke indlysende på de fleste, så er det ulovligt at indhente oplysninger, hvis man har fået uautoriseret adgang til nogle af dem.

Dette bliver i straffeloven også kendt som hackerparagraffen, og det er blandt andet den, som den svenske Pirate Bay-stifter Gottfrid Svartholm Warg blev dømt efter i forbindelse med hackingen af CSC-mainframen.

Det er ikke uproblematisk at eksperimentere med offentlige data. It-advokat Martin von Haller Grønbæk peger på nogle problemer ved den aktuelle sag om kopieringen af Tingbogen.

I den konkrete sag om Tingbogen, var alle data dog allerede offentligt tilgængelige. Protuck benyttede sig af en hjemmelavet web scraper til at hente dem systematisk over en række måneder, hvilket var helt legalt ifølge Tinglysningsretten.

»Den pågældende har ikke gjort noget galt i forhold til os. Data er indhentet helt legalt ved forespørgsler,« siger Søren Sørup Hansen.

Dette står i skarp kontrast til Rigspolitiets henvendelse, hvor der blandt andet står, at han har »tilegnet sig databasen på ulovlig vis« samt, at data indeholder personlige oplysninger om personer, der bliver anset som mulige mål for terrorister.

Når Rigspolitiet skriver sådan, så tyder det ifølge Martin von Haller Grønbæk på, at de mistænker ham for en overtrædelse af hackerparagraffen i straffeloven.

»Betragtes det som hacking, er det desuden en særskilt forbrydelse at videregive de her oplysninger,« siger it-advokaten.

Rigspolitiet bekræfter over for Version2 henvendelsen samt ordlyden af den, men vil ikke svare på, om de mener, at det er ulovligt at scrape en offentligt tilgængelig database.

»Vi gør ikke noget videre ved sagen på nuværende tidspunkt,« siger kommunikationskonsulent ved Rigspolitiet Thomas Kristensen.

Det er derfor stadig uvist, hvad politiet mener med, at Protuck har indhentet data »på ulovlig vis«.

2. Offentlige databaser kan også være beskyttet af ophavsretten

Det kan godt være, at data ligger åbent tilgængelige, som det eksempelvis er tilfældet med Tingbogen. Men det betyder ikke nødvendigvis, at man uden videre måde indsamle hele databaser ifølge Martin von Haller Grønbæk.

Et enkelt opslag med navn og adresse i Tingbogen er der ikke noget i vejen for at indsamle. Grænsen går, når man indsamler hele eller dele af databaser, da de kan være beskyttet af ophavsrettens særlige beskyttelse af databaser.

Martin von Haller Grønbæk anbefaler, at man undersøger, om data bliver stillet til rådighed på åbne vilkår.

Gør de ikke det, så kan ejeren af databasen anklage data-scraperen for at overtræde ophavsretten.

»Åbne data forudsætter, at den der har databasen har gjort det eksplicit, at man godt må downloade og bruge databasen,« siger han.

I tilfældet med Tingbogen er der ikke givet eksplicit tilladelse til, at man må indsamle databasen. Men da det er op til ejeren af databasen selv at påberåbe sig ophavsretten, er det ikke altid, at det ender med en sag. Og det har Tinglysningsretten tilsyneladende ikke tænkt sig at gøre i den aktuelle situation.

»Det er ikke et problem for os med ophavsretten, fordi data ligger offentligt tilgængeligt,« siger Søren Sørup Hansen.

3. Vær varsom med personhenførbare data

Umiddelbart skulle man tro, at hvis noget allerede ligger offentligt på nettet, så er der ikke noget i vejen for, at man offentliggør det et andet sted.

Dette er også Datatilsynets generelle vurdering:

»Ting der i forvejen er offentliggjort - at de så bliver offentliggjort en gang til vil som udgangspunkt ikke være noget problem,« siger kommitteret hos Datatilsynet, Birgit Kleis.

Sådan er det dog ikke altid - især ikke, hvis der er personhenførbare oplysninger indblandet.

Da Protuck kopierede Tingbogen, var der nemlig flere aspekter af persondataloven, han ikke tog hensyn til.

For det første blev hans kopi af Tingbogen hurtigt forældet, da den officielle udgave som sagt bliver opdateret konstant. Det kunne blandt andet ses i, at der var omkring 500 færre personer med navnebeskyttelse i kopi-databasen end den officielle udgave.

»Hvis du har en offentlig database med daglige opdateringer, og du tager en kopi af den, så kan du blive ansvarlig for, at den er vedligeholdt,« siger Birgit Kleis.

Samtidig havde Protuck også lavet en ny søgefunktion i hans kopi af Tingbogen: Nu kunne man ikke kun søge efter adresser, men også navne.

Og heri består en grundlæggende udfordring for kreative hackere, der vil give offentlige data nyt liv. Når man tager offentlige data ind i en ny sammenhæng - måske kun med intentionen om at gøre det mere brugervenligt - så kan man også risikere at komme i karambolage med lovgivningen.

»Oplysningerne i Tingbogen var på en måde offentligt tilgængelige, men ikke til at foretage alle de former for søgninger, som man gør på det nye site. Derfor kan det godt være en overtrædelse af persondataloven,« siger Martin von Haller Grønbæk.
Netop den udvidede søgefunktion, er noget som Tinglysningsretten med vilje har undgået i sin udgave af Tingbogen.

»Det har vi ikke gjort, fordi det er lovreguleret af Tinglysningsloven. Der har ikke været et politisk ønske om, at man kan søge på navn,« siger Søren Sørup Hansen, der dog ikke er sikker på, om Tinglysningsloven gælder, hvis man som Protuck bygger en kopi op af registeret.

Websiden med kopien af Tingbogen er nu lukket ned, og hverken Rigspolitiet eller Datatilsynet regner med at forfølge sagen yderligere.

Hvad mener du om den aktuelle sag om Tingbogen og lovgivningen generelt? Er det for besværligt at udvikle nye tjenester baseret på offentlige data i Danmark?

Følg forløbet

Kommentarer (25)

Lars K. Hansen

»Den pågældende har ikke gjort noget galt i forhold til os. Data er indhentet helt legalt ved forespørgsler,« siger Søren Sørup Hansen.

Dette står i skarp kontrast til Rigspolitiets henvendelse, hvor der blandt andet står, at han har »tilegnet sig databasen på ulovlig vis« samt, at data indeholder personlige oplysninger om personer, der bliver anset som mulige mål for terrorister.

Så er det ulovligt eller lovligt? Der er nogen i det offentlige som ikke har styr på lovgivningen eller også har vi to love som går ind over hinanden med forskellige resultater... suk

Jacob Pind

Er jo lidt svært at tage det hele seriøst når alt hvad han havde gjort var en reverse mapping af allerede forhånede data.
Gør det jo ihverfald fremover svært at se hvordan nogen skulle kunne tage offenlig data og præsentere dem anederles.

Ophavesret forsætter vel en eller anden form for skabelse af noget nyt og ikke blot offenliggørelse af fakta ?

Thomas Johansen

Hvis man ikke må tage offentlige data og vise dem på en anden måde eller sammenkæde dem med andre offentlige data uden samtykke, gør diverse boligportaler (og andre lignende tilfælde) så ikke noget ulovligt? eller er det fordi de gør det via et api hvor Protuck brugte en scrapper?

Hvis nu Protuck havde lavet det sådan at hver gang man søgte på hans side så slog siden informationerne op hos tinglysningen, dvs ikke brugte en kopidatabase, vil det så også være ulovligt?

Jens Bengaard

Det er blot et nyt eksempel på det skred, der sker i retssikkerheden her i landet. Det virkelige problem er at vi ikke har haft en stærk justitsminister i mindst 20 år, så der bliver ikke sat grænser for embedsværket. Det er samme mekanisme der får samtlige love rettet mod terrorister til også at omfatte en masse anden kriminalitet.

Det ville være så let at knæsætte et princip om at det ikke er strafbart at anvende offentligt tilgængelige data, så vi slipper for ævl om ophavsret(!) og at private har pligt til at vedligeholde offentlige data.

Christian Nobel

Rigspolitiet bekræfter over for Version2 henvendelsen samt ordlyden af den, men vil ikke svare på, om de mener, at det er ulovligt at scrape en offentligt tilgængelig database.

»Vi gør ikke noget videre ved sagen på nuværende tidspunkt,« siger kommunikationskonsulent ved Rigspolitiet Thomas Kristensen.

Det er derfor stadig uvist, hvad politiet mener med, at Protuck har indhentet data »på ulovlig vis«.

Jeg vil mene at vi har et kæmpe demokratisk problem her, nemlig at politiet påtager sig rollen som en slags dømmende magt.

Befolkningen har krav på at vide om dette er lovligt eller ej, i stedet for at politiet nu kan true/intimidere folk, så de af frygt afstår fra at gøre noget som måske ikke engang er ulovligt.

Det er ikke en værdig handling i et såkaldt retssamfund, men en ageren der leder tanker hen på helt andre typer lande - og hvad bliver det næste, en "venlig" henvendelse ud fra ANPG?

Anne-Marie Krogsbøll

.. at der ikke er foretaget anmeldelse og indhentet tilladelse til overhovedet at oprette en database med personfølsomme oplysninger? Ikke et spørgsmål om ophavsret, men om, at denne type databaser generelt kræver anmeldelse og godkendelse?

Hvis det er tilfældet, kan det godt undre, at Datatilsynet ikke vil gøre mere ved sagen. Måske endnu et område, der er gennemhullet mht. at beskytte persondata?

Mikkel Planck

Det kan undre mig at politiet tilsyneladende har kontaktet manden, og givet udtryk for at han hellere måtte lukke for adgang til data, på en formodning om at hacker-paragraffen er brudt. De giver mig anledning til følgende spørgsmål:

  • Kontakter politiet folk med anklager om ulovligheder, og med påbud om at stoppe disse ulovligheder uden at efterforske først - Og burde man så ikke indkalde til afhøring, og sikre en afklaring af forholdet ?
  • Er reglerne i virkeligheden så uoverskuelige at politiets jurister ikke kan finde ud af dem?
  • Er det generelt for det danske politi, at hvis de ikke kan gennemskue en sammensæng, eller udføre den nødvendige efterforskning, at man så reagerer på en mavefornemmelse?
  • Tinglysningen har udeladt en søgefunktion i forbindelse med at lovgivningen på området skal overholdes, men samtidigt lagt data offenligt tilgængeligt, hvorfor der kan være tvivl om lovligheden af at bruge data i et format hvor det er søgbart - Hvordan stiller det lige eksempelvis Google, hvis andre henter data uden søgefunktion, men Google så indekserer??

Jeg har lidt svært ved at se rationalet i det her!

Finn Aarup Nielsen

"Oplysningerne i Tingbogen var på en måde offentligt tilgængelige, men ikke til at foretage alle de former for søgninger, som man gør på det nye site."

Der har været kommentatorer her på Version2 der har bemærket at tinglysning.dk har URL'er til deres individuelle poster og der ingen robots.txt er. Således vil man kunne forestille sig at internetsøgmaskiner vil indeksere tinglysning.dk og det derefter vil være nemt at finde ejere (heriblandt personer) via navn og "ejendomstype"-forespørgsel.

Som eksperiment lad os offentliggøre Marienborg:

https://www.tinglysning.dk/m/#/ejendomme/dadae1ed-db80-4f4a-a5e9-12b645c...

Den skulle så optræde på:

https://www.google.dk/search?q=Ejendomstype+%22Nybrovej+410%22+%22Styrel...

...efter et stykke tid.

Michael Jensen

Som sidebemærkning kan nævnes, at Google har cachet meget af den forbudte hackerterrorkopiside.
Så der kan man stadig nå at søge på hemmelige navne, indtil politiet altså sender dem en email.

David Anker

Eller på googles Cachede udgave af tinglysningsstatistikken...

NINJA-edit: Man kan ikke linke til cachede sider. Vælg den lille grønne pil ved siden af URL'en på googles søgeresultat (øverst hvis man klikker på første nedenstående link)
1 https://www.google.dk/search?q=Ejendomstype+%22Nybrovej+410%22+%22Styrel...

2 (virker ikke) http://webcache.googleusercontent.com/search?q=cache:iG0oh2XXOMoJ:tingbo...

Kontakter politiet google nu for at true?

Povl H. Pedersen

Hvis Protuck havde taget imod forespørgsler, og så for hver forespørgsel havde kørt opslag på alle 1.5 mio adresser, og dermed nok presset tinglysningen i knæ, så havde det hele været lovligt, ihvertfald i forhold til ophavsretten.

Hvis han bruge sin database som cache, evt kun med få felter, og hentede rigtige records ud fra det fundne, og opdaterede sin cache, så havde han levet op til kun at vise opdaterede oplysninger. Muligvis ville dette også slippe uden om ophavsretten ? Databasen ville så ikke reelt blive brugt, men alle data ville være de aktuelle.

Matin von Haller Grønbeck er ikke helt klar i spyttet om den her listede løsning ville fungere. Altså en anden søgning end der var stillet til rådighed.

Vi mangler generelt oplysning om hvilke offentlige data må man frit benytte ?

Jens Kristian Geyti

Din kommentar om robots.txt er valid, men søgemaskiner indekserer (normalt) ikke sider, der ikke er linket til - i dette tilfælde vil individuelle sider ikke blive indekseret, da du kun kommer til dem gennem søgeformularen.

Det interessante spørgsmål er så hvad der ville ske, hvis man opretter en webside der indeholder URLs til alle adresser i tingbogen. Denne side kan da findes af Google robot, og alle tingbogens sider kan (og vil, i kraft af den manglende robots.txt) indekseres, så de er søgbare i Google.

Knud Larsen

Denne sag afslører igen utålelige retsproblemer i Danmark.
Det er 'ikke klart ulovligt' som juristerne i administrationen selv ynder at sige det.
Ophavsret mener jeg er uvedkommende i denne sag. Borgerne har betalt skat og finansieret oplysninger, der er offentlige, så må de være offentlige for alle.
Hvis ikke vil jeg have lukket Bolighed og Myhousebook. Bolighed har jeg rettet hevendelse til, De vil ikke rette fejl, som jeg kræver rettet!
Kommunerne offentliggør mange oplysninger om ejendom se også:
linket: http://download.aws.dk/adgangsadresser
Tinglysningen klokkede klart i det med at offentlig gøre personnumre, hvorefter man dømmer en privat person for det samme??
Banker, teleselskaber og Google scraber og søger og offentliggør masser af oplysninger.
Dette emne viser at den er helt gal.
§1 . Vi er tilbage til Staten må alt og er ikke ansvarlig.
§2 Private må ikke noget - Hvis staten tagerf ejl træder §1 1 i funktion.

Jesper Frimann
Kristian Klausen

Den her sag virker mest af alt som noget der er blevet blæst op til noget det ikke er.
F.eks. mener/spreder "alle" medier at det enten hackerangreb eller et læk, og de holder stadig fast i at serveren ligger i USA (inkl. Tinglysningsretten), det giver åbenbart en god historie.

Hvis man ikke selv havde undersøgt lidt (og læst kommenterer på V2), så kunne man let få et helt andet indtryk af sagen.

Det blev jo kun til en sag, fordi databasen var forældet. Trist...

Christian Schmidt

»Åbne data forudsætter, at den der har databasen har gjort det eksplicit, at man godt må downloade og bruge databasen,« siger [Martin von Haller Grønbæk].

En sådan tilladelse er kun nødvendig, hvis databasen rent faktisk er beskyttet af lov om ophavsret (IANAL). Det er ikke alle databaser, der nyder ophavsretlig beskyttelse.

Jeg har ikke forstand på det, og om det er relevant i forhold til tingbogen, men emnet er bl.a. nævnt i Ofir-dommen fra 2006, hvor der bl.a. omtales et investeringskrav:
http://www.it-retsforum.dk/uploads/media/240206SH_Home_mod_Ofir.pdf#page=78

Jacob Andersen

Hvis vi for et øjeblik antager, at dette stunt er udført fra et land, hvor ophavsret-lovgivningen måske er en anelse mere "afslappet" (jeg mener at det var fremme, at "gerningsmanden" ikke var dansk og at serveren heller ikke stod i DK, så det kunne være tilfældet). Ville der så overhovedet være en sag? For dansk lovgivning er vel kun overtrådt, hvis "forbrydelsen" er foretaget på dansk jord.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen