jesper løffler

Fra Wargames til Schrems II: Tech-regulering i historisk kontekst

Dette er 2. indlæg i min mini-serie, som jeg har givet overskriften "Mod mere regulering af tech". I forrige indlæg var fokus på den aktuelle "techlash"-trend og det heraf følgende stigende pres for regulering af nye teknologier. Formålet med dette indlæg er at sætte de aktuelle tendenser i en historisk kontekst.

I netop disse år...

»Man ser i vore dage, at den tekniske udvikling skånselsløst sprænger de forudsætninger, som retsordenen har indrettet sig under, og tvinger juristerne til at foretage en omvurdering af hidtil uanfægtede retsprincipper, undertiden endog således, at man alvorligt må overveje at bygge systemet inden for et retsområde op fra bunden for at bevare balancen på området.« (Niels Alkil)

Det kan føles som om, vi lige nu og her står lige midt i orkanens øje, og vi netop i disse år oplever det helt store sammenstød mellem teknologiens udvikling og retssystemet. Men sagen er, at teknologien altid har udviklet sig hurtigere end lovgivningen med heraf følgende udfordringer.

Når jeg underviser jurastuderende i faget IT-ret, ynder jeg at bruge citatet ovenfor. Til de flestes overraskelse stammer citatet nemlig fra en juridisk artikel skrevet i 1955 med overskriften ”Magnetofoner i ophavsretlig belysning” (til dem der ikke ved det, så er/var en "magnetofon" en form for spolebåndoptager, og artiklen belyser de udfordringer som opstod, fordi de daværende ophavsretlige regler ikke tog højde for denne nye teknologi, som muliggjorde at man langt lettere end tidligere kunne optage musik fra radioen og/eller lave kopier af ophavsretligt beskyttede værker).

Igennem tiden har vi set utallige eksempler på lignende udtalelser, hvor det grundlæggende budskab er, at teknologien "netop i disse år" udvikler sig så markant, at retssystemet står overfor nogle helt nye og unikke udfordringer. Som et eksempel fra det store udland kan nævnes dette citat USA's Office of Technology Assessment (OTA) i en rapport fra 1986:

“[o]nce a relatively slow and ponderous process, technological change is now outpacing the legal structure that governs the system, and is creating pressures on Congress to adjust the law to accommodate these changes

Den samme overordnede konklusion nåede World Economic Forum også til i 2016:

“Given the Fourth Industrial Revolution’s extraordinarily fast technological and social change, relying only on government legislation and incentives to ensure the right outcomes is ill-advised. These are likely to be out-of-date or redundant by the time they are implemented.”

Så selvom dette utvivlsomt er et skelsættende tidspunkt for tech-branchen, så er det altså langt fra første gang, den teknologiske udvikling kolliderer med et langsomt og ofte konservativt retssystem. Som PhD-studerende forskede jeg i, hvordan retssystemet igennem tiden har forsøgt at følge med den teknologiske udvikling. I det følgende vil jeg forsøge at give en kortfattet indblik i, hvad vi kan lære af fortiden, når vi skal løse nutidens udfordringer relateret til nye teknologier.

Hvordan regulerer man nye teknologier?

Hovedbudskabet er således, at vi har haft rigtig mange år til at gøre os kloge tanker om, hvordan man bedst griber (lov)regulering af nye teknologier an, herunder hvordan man ikke skal gøre.

Som nævnt ovenfor er retssystemet ofte så lang tid om at reagere, at teknologien allerede er videre, når vi endelig får fastlagt retsstillingen for en given teknologi.

Et eksempel herpå er en dansk retssag, som tog sin begyndelse i 1997: Virksomheden Coffilters anvendelse af deres konkurrents varemærke "Melitta" som hhv. "metatags" samt "usynlig tekst" på deres hjemmeside, hvilket i slutningen af 1990'erne havde afgørende indflydelse på de daværende søgemaskiners søgeresultater (herunder "Jubii" og "Kvasir", som nævnes i dommen). Da sagen endelig nåede til Højesteret i 2003, fik Melitta medhold i, at Coffilter havde krænket deres rettigheder, og juristerne havde nu endelig et klart og værdifuldt præjudikat at fastlægge retsstillingen ud fra.

Problemet var bare, Google i den mellemliggende periode var blevet den mest udbredte søgemaskine i Danmark, hvilket dels betød at metatags og tekst i samme farve som hjemmesidens baggrund spillede en langt mindre rolle ift. søgeresultater (som følge af Googles mere sofistikerede algoritmer), og så havde Google i mellemtiden introduceret tjenesten "AdWords", som gav nogle helt andre juridiske udfordringer - som i øvrigt først blev behandlet af EU-Domstolen i en række sager afsagt fra 2010 og frem...

Der har også været eksempler på regulering, som vedtages på baggrund af en aktuel problemstilling eller mediebegivenhed.

Et lidt sjovt eksempel herpå var da præsident Reagan i 1983 så sci-fi filmen "Wargames" om en teenager, der hacker sig ind i militærets super-computere og er lige ved at starte en atomkrig med Sovjetunionen, hvilket førte direkte til et præsentielt dekret og efterfølgende også til vedtagelsen af "Computer Fraud and Abuse Act" (Microsoft har lavet en kort film på 1,5 minut om filmens rolle her). "Computer Fraud and Abuse Act" er i øvrigt blevet kaldt "the worst law in technology", bl.a. fordi den i dag er det eneste juridiske grundlag for at afgøre sager om scraping fra hjemmesider.

Loven tager på ingen måde stilling til scraping, så når US-domstole er blevet forelagt spørgsmål om lovligheden af scraping i sager såsom "Facebook v. Power Ventures and Vachani" og "HiQ Labs v. LinkedIn", så er de nødt til at lave analogier, hvor man sidestiller en bots scraping med en hackers bevidste indtrængning i et IT-system...

Aktuelle juridiske emner i en historisk kontekst

Der er mange, mange flere eksempler, men af pladsmæssige årsager er fokus i det følgende på de historiske rødder for nogle af nutidens mest højaktuelle emner:

Rettigheder til data

I takt med at data er blevet verdens mest værdifulde ressource, har vi set et stigende fokus på, hvem der egentlig "ejer" data, jf. også mit tidligere blogindlæg om samme emne.

Emnet er komplekst, og personligt er jeg pt. ved at grave mig dybt ned i retskilderne. Men i denne kontekst vil jeg blot fremhæve en historisk vinkel: For 30 år siden var vi igennem nøjagtig samme udvikling med software. Selvom "EDB-maskiner" havde eksisteret længe, så blev spørgsmålet om regulering af rettigheder til software (Ophavsret og/eller patent? Hvem “ejer” koden: Leverandør eller kunde? Må man sælge “brugt” software? Beskyttelse af UI/brugergrænseflade?) først for alvor taget op i 1970'erne og 1980'erne, da den teknologiske udvikling gjorde det muligt at købe og sælge software særskilt fra hardwaren.

Også her var processen meget langvarig med mange store og små justeringer af retsstillingen, hvoraf de væsentlige har været EU's programdirektiv fra 1991 samt afgørelser fra EU-Domstolen i BSA-sagen fra 2010, Usedsoft mod Oracle fra 2012, SAS Institute Inc. mod World Programming Ltd fra samme år.

Algoritmer (AI)

Et andet højaktuelt emne er regulering af “AI”. Også her er forklaringen, at teknologien i disse år når helt nye stadier og udbredelse, herunder ikke mindst i kraft af teknologier såsom machine learning og neurale netværk.

Men også her er det værd at have i mente, at disse teknologier trækker tråde langt tilbage: Mange af de algoritmer, som anvendes i dag, blev udviklet for adskillige årtier siden.

Eksempelvis er det i dag næsten 25 år siden at en computer første gang vandt over verdensmesteren i skak. Og mange af nutidens algoritmer er endnu ældre med tråde helt tilbage til 1970’erne.

Derfor har der adskillige gange i løbet af de seneste 40 år været debat om behovet for regulering af ekspertsystemer/algoritmer/autonome systemer/AI, hvorfor lovgiverne (forhåbentlig!) ikke starter med en blank tavle.

Cookie-samtykke

Et tredje aktuelt emne er reguleringen af hjemmesider, idet EU pt. behandler adskillige regelsæt, som har til formål at regulere forskellige aspekter heraf. Her vil jeg særligt fremhæve ét emne, som synes at være præget af misforståelser: Cookie-samtykket.

Jeg har hørt mange bruge de irriterende cookie-samtykke-bannere som argument for, at GDPR er noget møg, og at EU ikke kan finde ud af at regulere moderne teknologier.

Men rent faktisk stammer kravet om samtykke til cookies ikke fra GDPR, men fra det såkaldte "ePrivacy-direktiv". Direktivet, som første gang blev vedtaget i 2002, handler om meget andet end cookies - rent faktisk er cookies alene en bisætning i reglerne (artikel 5, stk. 3).

Koblingen til GDPR stammer således fra, at direktivet i stedet for at indføre sin egen definition på "samtykke", i stedet henviste til den daværende definition på samtykke i persondata-direktivet fra 1995. Det havde dog den uheldige konsekvens, at da GDPR trådte i kraft, blev definitionen på samtykke skærpet, hvilket så i 2019 førte til at EU-Domstolen i Planet49-sagen ikke havde andre muligheder end at konkludere, at brug af cookies kræver udtrykkeligt samtykke.

På dette tidspunkt var EU i øvrigt for længst i gang med at revidere cookie-reglerne, idet Kommissionen helt tilbage i 2017 fremlagde et udkast til en ny "ePrivacy-forordning". Regelsættet handler dog som nævnt om meget andet end cookies, og der er store lobbyisme-kræfter på spil (fordi online-tracking er en af verdens mest profitable industrier), så indtil videre er det ikke lykkedes at få endeligt vedtaget en revision af reglerne.

Vi må derfor desværre leve med cookie-samtykke-helvedet lidt endnu...

P.S: Som jeg tidligere har behandlet i et andet indlæg, så har vi i Danmark haft en meget speciel historik på disse regler, bl.a. fordi vi implementerede reglerne 9 år for sent, og fordi vi har valgt at ligge håndhævelsen hos en myndighed (Erhvervsstyrelsen), som på intet tidspunkt har taget ét eneste skridt i retning mod rent faktisk at håndhæve reglerne. For en uddybning heraf, se Christian Schmidt's mange indlæg om emnet her.

Schrems II

Til sidst er jeg selvfølgelig også nødt til at komme omkring tidens måske hotteste emne: Schrems II.

Det er en sag, som fylder utroligt meget pt, ikke mindst hos leverandører og kunder i cloud-branchen. Og som jeg har skrevet om i flere tidligere indlæg (her, her og her), så er det en ganske kompleks sag med mange facetter.

Men denne gang vil jeg anlægge en anden vinkel, idet jeg vil sætte sagen i et historisk i perspektiv, herunder særligt give et lidt mere nuanceret billede af, hvor "synd" det er for USA, at deres virksomheder pt. er ramt af en masse bøvl.

Man kan starte historikken mange steder, men ét sted kunne være for præcis 40 år siden, hvor Europarådets konvention nr. 108 om behandling af personoplysninger blev vedtaget.

På dette tidspunkt besluttede en lang række lande således, at der var behov for at vedtage nogle udtrykkelige regler om beskyttelse af personoplysninger, og mange af konventionens regler og principper er identiske med dem, vi har i GDPR i dag. Konventionen er efterfølgende både blevet opdateret og også ratificeret af en række lande udenfor Europa - dog ikke af USA...

Som følge af konventionen, havde de fleste EU-lande allerede regler om beskyttelse af personoplysninger, da persondata-direktivet blev vedtaget i 1995 (I Danmark havde vi register-lovene). Direktivet havde dog også en række skærpede krav, herunder et krav om at nogle særlige betingelser skulle være opfyldt, når personoplysninger "overføres ud af EU".

Ifølge reglerne skulle der således særlige foranstaltninger til, medmindre det land, man overførte til, var blevet godkendt som havende tilstrækkelige regler om databeskyttelse (“sikkert tredjeland”). Det kunne USA selvsagt ikke få, men fordi vi handelsmæssigt var så afhængige af dem, valgte EU-Kommissionen at lave en særaftale med dem kaldet “Safe Harbor”.

Og det var denne ordning, som Schrems mente gav en utilstrækkelig beskyttelse, da han startede sagen op mod Facebook helt tilbage i 2013. Schrems henviste således bl.a. til Snowdens afsløringer om NSA, samt til USA's utilstrækkelige regler på området. Det var/er i øvrigt ikke et budskab han stod alene med, og fx skrev New York Times følgende i en leder helt tilbage i 2010:

"Dial-Up Law in a Broadband World: The Internet has given the government powerful 21st-century tools for invading people’s privacy and monitoring their activities, but the main federal law governing online privacy is a 20th-century relic."

Selvom der siden da har været gjort forsøg på at få indført mere tidssvarende regler om privatlivsbeskyttelse i USA, så er det ikke lykkedes.

Derfor endte Schrems' klage da også med, at den særlige SafeHarbor-ordning, som dengang muliggjorde overførsler fra EU til USA, blev underkendt i 2015. Kort tid efter valgte EU-Kommissionen (hvis hovedfokus var/er på at sikre samhandel med USA) at indgå en ny aftale kaldet Privacy Shield.

Da USA rent faktisk ikke havde foretaget nogen ændringer af deres lovgivning, var det almindeligt kendt, at Privacy Shield var i fare for at lide samme skæbne som sin forgænger, hvilket den i sidste ende gjorde. Denne gang tyder alt dog på, at USA har forstået alvoren, og der har således aldrig været større opbakning til at få indført nationale regler om privacy.

Jeg vil afslutte dette indlæg med et citat fra Microsofts President og CLO, Brad Smith, idet han tilbage i 2019 (før Schrems II-dommen) skrev følgende om underkendelsen af Safe Harbor og den efterfølgende vedtagelse af Privacy Shield i hans bog "Tools and weapons":

“A data disaster had been averted, but the episode revealed how much had changed. For one thing, it showed that there is no such thing as a privacy island... However like the reactions to many near-disasters, the immediate response to the negotiation of the Privacy Shield was mostly a sigh of relief. It was another wake up call but again people hit the snooze-button. Data-flows could continue and companies could continue to do business. Most tech-companies and government officials postponed for another day deeper thinking about the longer term geo-political implications.”

Måske bogen også indeholder Microsofts kortsigtede løsning på Schrems II?

“At Microsoft we explored whether we could take advantage of Seattle’s proximity to Canada and shift key support to our facilities in Vancouver. It would mean shuttling some Redmond employees back and forth, but because the court’s decision didn’t impact data transfers between Canada and Europe, we could insure more seamless operations. Ultimately this proved unnecessary..."

Afrunding og næste indlæg

Formålet med dette indlæg har været at vise, at selvom vi "netop i disse år" oplever en hidtil uset opbakning til regulering af tech (jf. forrige indlæg om "techlash"), så har vi årtiers erfaringer med værdifulde "do's and dont's" ift. hvordan man regulerer hastigt udviklende teknologier. I næste indlæg ser vi nærmere på, hvilke emner og teknologier der vil blive reguleret de kommende år, hvordan *man bedst griber reguleringen af, og sidst men ikke mindst, *hvem der der egentlig sætter dagsordenen: USA/tech-giganterne, EU eller Danmark?

Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Johnny Lüchau Blogger

Tak for den fine gennemgang Jesper.

Jeg vil tillade mig at supplere med et par bemærkninger, primært om det folk insisterer på at kalde "Schrems II" selvom det underliggende problem nok er ældre end unge Max himself :-)

Først og fremmest så bør man tilføje at den amerikanske regerings ulovlige dataindsamling, blev lovliggjort i amerikansk optik, med den vanvittige lovpakke som var udviklet af Joe Biden og indført i oktober 2001. Her kunne vi læse sort på hvidt, at amerikanske selskaber skal udlevere data som de råder over, uanset hvor det findes, til myndighederne og at de ikke må sige det til dataejer.

Selvom den paragraf er blevet "pakket om" et par gange og nu lever i de hemmelige FISA-retssale, så er den ligeså gældende i dag som den var i 2001.

Et andet lidt overset faktum er, at de lækkede dokumenter i 2013 hævdede, at amerikanske tech-selskaber deltager frivilligt i dataindsamlingen.

Flere forsøg på omgåelser

Som du nævner så vil man fra amerikansk side prøve at finde nye måder at omgå EU-reglerne på og det kunne være datacentre i Canada. Microsoft har forsøgt sig med at friste med 3 datacentre i Danmark, men det vil naturligvis ikke løse problemet, da det aldrig har været den fysiske lokation, der er afgørende. Jeg tror de fleste ved at man kan sende data fra Europa til USA og endda fra Canada til USA ;-)

EUs Vera Jorouva vil også prøve at hjælpe de amerikanske virksomheder, ved at lancere et nyt sæt SCC'ere til afløsning af Privacy Shield. Og så kan vi vente på en stensikker Screms III-dom.

De er vigtigt at minde om hvad løsningsmulighederne reelt er. Og selvfølgelig minde om at det ikke er et EU-problem, men et USA-problem. Det er ikke os der skal løse det, men den amerikanske regering og/eller de amerikanske tech-virksomheder.

I virkeligheden er det nok slet ikke så kompliceret.

Hvis de amerikanske tech-virksomheder vil drive lovlig forretning i EU, så skal de garantere at EU-borgere, fsva. deres persondata, har mindst samme rettigheder som de har hjemme i EU. Hvis vi har den mindste mistanke om at vores data er beskyttet i ringere grad end i EU, når de er i amerikanske selskabers varetægt, så kan vi ikke bruge disse virksomheder som databehandlere.

Løsningerne findes

Der er ifølge flere sagkyndige, kun to muligheder for at løse problemet og den første kan de amerikanske tech-selskaber klare selv: Udlicitere deres software til virksomheder ejet af EU-borgere. Det bør kunne lade sig gøre.

Den anden handler om at den amerikanske regering skal ændre lovgivning og praksis, herunder at give EU-borgere rettigheder i USA. Denne er mere tvivlsom, specielt da arkitekten bag loven fra 2001, nu er præsident.

Jeg håber, ligesom mange andre, at de amerikanske tech-selskaber vil vise os den respekt, at de udlicenserer deres software til EU-virksomheder. Og hvis ikke, så er der jo masser af fine, alternative løsninger i hele EU.

(Og vi kan sagtens bruge et boost i EUs IT-sektor!)

  • 8
  • 0
#3 Eskild Nielsen

og der har således aldrig været større opbakning til at få indført nationale regler om privacy.

Dette kan på dansk betyde:

  • a. Opbakningen er forsvindende
  • b. Opbakningen er tiltagende, og eftehånden stor nok

Jeg håber du mener b. Hvis du gør, så kunne du skrive;

... og der har således aldrig været større opbakning end nu til at få indført nationale regler om privacy.

  • 1
  • 1
#4 Ivo Santos

Det jeg findes mest skræmmende er at hvis jeg tager en kopi af mit kunde kartotek, i papir form, og gemmer det i et lagerrum som jeg lejer af en amerikansk firma, så kan de amerikanske myndigheder sådan set stadig gennemgå de dokumenter jeg har i det pågældende lagerrum, og det er uanset om det pågældende lagerrum befinder sig i USA eller i europa.

  • 2
  • 0
Log ind eller Opret konto for at kommentere