Høringssvar om DIFOs eventuelle rolle i bekæmpelse af lovovertrædelser på internettet
Oplæg til høringen kan ses her
http://www.difo.dk/nyheder/vis/artikel/startskud_paa_hoering_om_bekaempelse_af_kriminalitet_paa_internettet/
IT-Politisk Forening har følgende bemærkninger til de tre overvejelser om DIFO initiativer til bekæmpelse af lovovertrædelser på internettet. Vi står naturligvis til rådighed for at uddybe disse synspunkter, hvis DIFO måtte ønske det.
Suspensionsnævn
Oplæg til dette punkt fra DIFO:
Der blev præsenteret et forslag om at oprette et særligt suspensionsnævn, der hurtigt kan gå ind og suspendere et domænenavn for en hjemmeside med åbenlyst krænkende indhold. Kan man derved sikre en effektiv behandling af sager om åbenlys kriminalitet på internettet? Og hvad med retssikkerheden?
Det er IT-Politisk Forenings klare holdning, at der ikke skal oprettes et sådant suspensionsnævn, og der skal ikke være en videre adgang til at suspendere domæner via interne klagenævn hos DIFO, uden om domstolene, end det er tilfældet i dag.
DIFO skal alene, efter vores opfattelse, beskæftige sig med administrationen af domænenavne i .dk zonen. DIFOs opgave er at vedligeholde et register over domænenavne og varetage driften af (rod) navneservere for .dk, således at domænenavne på en sikker måde kan oversættes til IP adresser ved DNS opslag.
Domænenavnesystemet (DNS) er kun en del af den samlede infrastruktur for internettet. Øvrige områder er fordeling af IP adresser, routing af internetpakker (”internetudbydere”), og hosting af servere der stiller indhold til rådighed på internettet. Disse områder er reguleret af anden lovgivning end domæneloven, for eksempel e-handelsloven. Derudover er alle aktiviteter på internettet naturligvis undergivet den almindelige lovgivning, for eksempel ophavsretslov og varemærkelov.
Efter vores opfattelse skal DIFO ikke aktivt søge at brede sig til andre områder af den samlede infrastruktur for internettet end domænenavnesystemet, og DIFO skal heller ikke søge at blive part i eventuelle stridigheder (civile eller strafferetslige) som måtte opstå på disse områder. Hvad der foregår på de registrerede domæner bør efter vores opfattelse ikke være et anliggende, som DIFO interesserer sig for.
Så vidt vi er orienteret, behandler Klagenævnet for Domænenavne i dag alene sager om stridigheder som involverer retten til selve domænenavnet via overtrædelser af god domænenavnsskik. Sådan bør det fortsat være, og andre retslige stridigheder, der involverer aktiviteter på domænet (for eksempel websider med lovstridigt indhold) og ikke domænenavnet, skal behandles som civile sager hos domstolene eller af politiet eller andre myndigheder, hvis der er tale om et strafferetsligt forhold.
Vores klare holdning til dette spørgsmål begrundes i det følgende.
For det første har vi en principiel modstand mod privatiseret retshåndhævelse, som et sådant suspensionsnævn, uanset dets udformning, vil være udtryk for. Suspension og senere permanent inddragelse af et domænenavn er sanktioner, som kan have betydelige konsekvenser for registrantens grundlæggende rettigheder, især ytringsfrihed (EMRK artikel 10 og Charter om Grundlæggende Rettigheder artikel 11) og retten til at drive forretning (Charter om Grundlæggende Rettigheder artikel 16). Disse sanktioner kan efter omstændighederne være berettigede, hvis registranten har forbrudt sig mod lovgivningen, men denne afgørelse skal træffes af en domstol, ikke af private aktører.
Hvis der skal være offentlige klagenævn med mulighed for foreløbige sanktioner, der efterfølgende kan indbringes for domstolene, bør rammerne for disse klagenævn være klart fastsat i lovgivning. Domænelovens § 25 forpligter registranterne til god domænenavnssskik, hvilket må være begrænset til selve domænenavnet, og ikke eventuelle aktiviteter på for eksempel webservere, som dette domænenavn måtte henvise til. Registranten er selvfølgelig, ligesom alle andre fysiske og juridiske personer, forpligtet til at overholde gældende lovgivning, men udgangspunktet må være at retshåndhævelse på disse områder falder uden for DIFOs og domænelovens regi.
Klagenævnet for Domænenavne, nedsat efter kapitel 6 i domæneloven, kan træffe beslutning om suspension og overførsel af et domænenavn til en klager. Denne afgørelse kan efterfølgende indbringes for domstolene. Vi er opmærksom på at § 28, stk. 4, nr. 1) giver mulighed for suspension ved overtrædelser af anden lovgivning, men vi synes ikke at bemærkningerne til § 28 tillægger klagenævnet en kompetence til at afgøre, om der foreligger en overtrædelse af anden lovgivning. Den kompetence må ligge hos domstolene eller andre offentlige myndigheder, som af den lovgivende magt eksplicit er tillagt en sådan kompetence.
Det almindelige retssystem har også procedurer, som kan behandle hastesager, herunder muligheden for at nedlægge foreløbige forbud. Muligheden for at handle hurtigt mod lovovertrædelser, hvis dette er påkrævet, kan derfor ikke være et argument for at DIFO tillægger sig selv nye kompetencer for at afgøre retslige stridigheder om aktiviteter, der foregår på et .dk domæne.
Vores modstand mod frivillig (privatiseret) retshåndhævelse på internettet understøttes af den af Europarådet nyligt udgivne rapport ”Filtering, blocking and take-down of illegal content on the Internet” [1], der indeholder en række særdeles kritiske bemærkninger mod disse initiativer til at modvirke lovovertrædelser på internettet (se især afsnittet ”Human rights aspects of blocking and hosting”, side 781 ff i rapporten).
For det andet er der stor risiko for, at det skitserede suspensionsnævn vil føre til en skævvridning af retshåndhævelsen. IT-Politisk Forening deltog i den mundtlige høring hos DIFO den 6. juni 2016, og som vi forstod de foreløbige overvejelser om et suspensionsnævn, var det ikke meningen, at suspensionsnævnet skulle beskæftige sig med alle lovovertrædelser, men kun udvalgte typer overtrædelser. Denne prioritering vil formentlig blive fastsat af DIFOs medlemmer og afspejle deres især økonomiske interesser. Det kan meget let resultere i et ensidigt fokus på for eksempel IPR-krænkelser, hvis behandling fremmes i en non-transparent proces uden om domstolene, uden at der er nogen som har et politisk ansvar for denne prioritering, og uden at der er den fornødne sikkerhed for at borgernes grundlæggende rettigheder respekteres i processen.
For det tredje bør DIFO efter vores opfattelse ikke tillægge sig selv nye kompetencer ved en udvidende fortolkning af domæneloven. DIFOs naturlige opgave efter domæneloven er DNS og selve domænenavnet. Hvis DIFO skal have kompetence til at træffe foreløbige afgørelser om lovovertrædelser efter anden lovgivning (for eksempel ophavsretsloven og varemærkeloven), bør dette ske ved at Folketinget vedtager en lov, som eksplicit tillægger DIFO (eller et klagenævn i DIFOs regi) denne kompetence. Kun på den måde kan der sikres et politisk ansvar for magtudøvelsen, og kun på den måde kan det sikres, at borgernes grundlæggende rettigheder respekteres.
Opsummering: vi ser idéen om et suspensionsnævn som en glidebane mod en privatiseret retshåndhævelse, hvor registranternes retssikkerhed og andre grundlæggende rettigheder ikke kan garanteres.
Validering af registranters identitet
Oplæg til dette punkt fra DIFO:
Der blev forslået en mere restriktiv validering af registranters identitet, før de kan tage et domænenavn i brug. Forslaget gik på tvungen brug af NemID for danskere og aktivering af domænenavn ved kode - fremsendt per brev - til udenlandske registranter. Mener I, at DIFO derved kan reducere eller forhindre misbrug af .dk-domænenavne? Eller vil den øgede kontrol gøre domæneregistrering alt for besværlig for kunderne?
At gøre NemID obligatorisk for danske registranter har en række klare ulemper. Det vil fratage danske borgere, virksomheder og foreninger muligheden for at registrere .dk domæner, hvis de ikke har NemID. Vi synes ikke at muligheden for at registrere et .dk domæne skal være afhængigt af, at en borger eller en virksomhed har indgået en aftale med DanID A/S og accepteret DanIDs ensidigt fastsatte vilkår for brugen af NemID. Der bør være alternativer til NemID, også for danske registranter, således at de flere hundrede tusinder danske borgere uden NemID fortsat kan registrere .dk domæner.
NemID-tvang vil være særligt problematisk for private foreninger. Der er i Danmark foreningsfrihed, og der er ikke noget krav om at foreninger skal registreres hos staten. Tildeling af et CVR nummer er almindeligvis knyttet til at foreningen har et økonomisk mellemværende med staten, for eksempel momsafregning eller indeholdelse af A-skat for ansatte. Den nuværende validering af danske registranter mod CPR- og CVR-registeret giver allerede i dag problemer i form af betydeligt ekstra besvær for foreninger, som ikke har et CVR-nummer, og NemID-tvang vil gøre disse problemer meget værre.
NemID-tvang vil reelt fratage mange frivillige foreninger muligheden for overhovedet at registrere et .dk domæne. At henvise et medlem af foreningen til at registrere domænet på foreningens vegne er uhensigtsmæssigt, hvis denne person senere forlader foreningen. Det kan skabe nye, helt unødvendige klager til Klagenævnet for Domænenavne, hvis der opstår uenighed om hvorvidt domænet er registreret af personen eller foreningen.
Domæneloven giver ikke mulighed for at registrere .dk domæner anonymt. Det finder IT-Politisk Forening beklageligt, men det er naturligvis Folketingets valg at det skal være sådan. Vi mener dog ikke, at bemærkningerne til domæneloven giver administrator en særlig pligt til at validere registranternes identitet i forhold til det, som de selv oplyser, for eksempel med NemID. Administrator har efter domæneloven en pligt til at sikre at registranternes oplysninger er retvisende, men den pligt er defineret i forhold til international ”best practice”. Hvis en person har adressebeskyttelse efter CPR-loven, fastsætter domæneloven en konkret pligt for administrator til at sikre at de offentligt tilgængelige WHOIS-oplysninger afspejler dette. Men her vil registranten have en naturlig interesse i at navn og adresse matcher oplysningerne i CPR-registeret, og dette punkt er kun relevant for fysiske personer, ikke foreninger.
Spørgsmålet er derfor, om DIFO af egen drift skal iværksætte en mere restriktiv validering af registranternes oplyste identitet, idet vi formoder, at den nuværende praksis med check mod CPR/CVR registrene for danske registranter fuldt ud opfylder kravene i domæneloven.
De konkrete forslag til en mere restriktiv validering af registranternes identitet vil gøre det mere besværligt at registrere .dk domæner, og dette vil ramme alle registranter, hvoraf hovedparten aldrig vil gøre noget som falder ind under det som DIFO betegner som ”misbrug”. Efter vores opfattelse bør der som absolut minimum foreligge en systematisk undersøgelse af misbrugsproblemets omfang, og i hvilket omfang det er knyttet til registranter med falske identiteter eller kontaktoplysninger, før der indføres mere besværlige procedurer som rammer alle registranter.
For eksempel er der grænser for hvilke initiativer man kan tage overfor udenlandske registranter, der i sagens natur ikke kan få NemID. En aktiveringskode fremsendt per post vil give en sikkerhed for at registranten har modtaget koden, men adressen kunne være en anonym postboks, og der er ingen sikkerhed for, at den adresse kan bruges til noget i for eksempel efterforskningen af lovovertrædelser.
Generelt synes ulemperne at være store og fordelene beskedne ved en mere restriktiv validering, i hvert fald i det omfang denne ordning skal være obligatorisk for registranterne (som NemID-tvang).
I stedet vil vi foreslå, at DIFO undersøger mulighederne for, at der i WHOIS-databasen kan tilføjes et felt om, at domænets registrant er valideret med NemID. Internettets brugere kan derefter selv beslutte hvilken vægt de vil tillægge denne oplysning om domænet. For at undgå diskrimination mod borgere og virksomheder fra andre EU-lande, bør de have mulighed for en tilsvarende frivillig validering med deres nationale eID, jf. den gensidige anerkendelse af eID i andre medlemsstater som følger af eIDAS forordningen.
På høringen den 6. juni 2016 blev ønsket om at ”holde .dk zonen ren” nævnt. Det kan ikke være et operationelt kriterium for DIFO efter vores opfattelse. For det første er det uklart hvad der menes, og det er sikkert et stærkt subjektivt begreb med fokus på IPR-krænkelser og ikke for eksempel ulovlig overvågning af internettets brugere via diverse overtrædelse af cookie-reglerne. For det andet er ønsket urealistisk. Internettet er et spejl af samfundet, og når der sælges piratkopierede varer i fysiske butikker, vil det også ske i netbutikker. Derudover er .dk zonen kun en lille del af internettet, så vi kan ikke se nogen særlig grund til en grundigere præ-screening af netop denne del af internettet.
Hvis det handler om at sikre, at forbrugerne kan føle sig trygge ved at handle i netbutikker med et .dk domæne, kan dette formål langt bedre sikres med frivillige mærkningsordninger som e-mærket, ligesom der kan være frivillige mærkningsordninger for ansvarlig behandling af persondata (”privacy seals”), som forbrugerne kan vælge at tillægge betydning i deres valg af tjenester på internettet.
Udlevering af oplysninger om personer der er anonyme i WHOIS-databasen
I dag sker dette alene efter editionskendelse. I lighed med bemærkningerne til det første punkt (suspensionsnævn), vil IT-Politisk Forening stærkt fraråde, at DIFO frivilligt påtager sig opgaver, som i dag henhører under domstolene.
Vi vil desuden henvise til domænelovens § 18, stk. 5 og bemærkningerne hertil, hvoraf det fremgår, at de beskyttede oplysninger kun kan videregives til Klagenævnet for Domænenavne, politiet eller andre, der er berettigede hertil i medfør af anden lovgivning. En ordning, hvor DIFO selv tager stilling til, om oplysningerne skal udleveres til specielt private aktører, synes ikke at være forenelig med domænelovens § 18, stk. 5.
Noter
[1] Filtering, blocking and take-down of illegal content on the Internet, Europarådet, 2016
https://www.coe.int/en/web/freedom-expression/study-filtering-blocking-and-take-down-of-illegal-content-on-the-internet