vonhaller.NET

Hvem "ejer" dine data?

Det diskuteres ofte, hvem der ejer de data, som udveksles via internet. Dette spørgsmål kommer særligt op i forbindelse med spørgsmål om privacy eller privatlivets fred, men også i stigende omfang i forbindelse med hele diskussionen om web 2.0 (eller i virkeligheden måske web 3.0), som i høj grad handler om, at brugere genererer data for forskellige webtjenester, som de benytter, og som disse webtjenester herefter udveksler mellem hinanden.

Dette fører til en myriade af spørgsmål omkring ejerskab til data. I dette – som sædvanlig alt for lange – blogindlæg vil jeg forsøge at give et overblik over, hvorledes jeg selv forsøger at strukturere diskussionen om ejerskab til data i forbindelse med privacy og web 2.0.

Nogen vil måske opfatte dette overblik som misvisende, men mit udgangspunkt er, at det giver mening at tage udgangspunkt i brugeren af internettet, når der diskuteres ejerskab til data, selvom anvendelsen af begrebet ”ejerskab” måske ikke er korrekt og bør undgås.

Jeg vil indlede med nogle tanker om, hvorledes det overhovedet giver mening at tale om ”ejerskab” til data. I forlængelse heraf vil jeg komme ind på de data, som vedrører personlige forhold, og som således har relevans for beskyttelsen af vores privatliv.

Ligeså interessant i en web 2.0 verden, når vi diskuterer data, der relaterer sig til brugere af Internet, er de data, som brugeren genererer i forbindelse med anvendelse af de webtjenester, som kan være sociale netværkstjenester og lignende, og som brugere i dag i vidt omfang anvender.

Disse brugergenererede data behøver slet ikke at være personlige i den forstand, at de fortæller noget personligt om den bruger, som genererer dem. De vil ofte omhandle forhold, som ikke relaterer sig til nogen personer, udover måske offentlige eller historiske personer. Dog vil således brugergenereret indhold dog ofte også være indhold, som identificerer og relaterer sig til andre privatpersoner, hvis privatliv nyder beskyttelse.

Data er værdifulde. Det kan derfor diskuteres, om brugerne, som genererer det indhold, som er af stor værdi for web 2.0 webtjenester – uanset om dataene vedrører personlige oplysninger – i et eller andet omfang – ”ejes” af de brugere, som skaber disse data, således at disse får en eller anden form for kompensation for værdien. Mit blogindlæg slutter af med nogle tanker herom.

En direkte foranledning til dette blogindlæg skyldes en interessant diskussion, som vi havde i DANSK IT’s Råd for IT- og Persondatasikkerhed her forleden. Vi drøftede, hvorvidt rådet burde have en holdning til, hvorvidt brugere burde eje deres personlige data. Denne diskussion gav mig anledning til efterfølgende at sætte mig ned og forsøge at strukturere nogle af de tanker, som havde været oppe at vende i denne diskussion.

Mange mennesker har en ide om, at de ejer deres data, uden at de i virkeligheden har tænkt nøje over, hvad et sådant ”ejerskab” skulle gå ud på eller medføre. I relation til personlige data, såsom CPR-nummer, adresse, telefonnummer, og de data, som skaber en profil på internettet, når man besøger forskellige websites, har man i henhold til europæisk persondatalovgivning ikke opereret med begrebet ejerskab.

Dette begreb er ikke uventet først og fremmest introduceret i en amerikansk sammenhæng. I USA er det nemlig sådan, at der ikke findes en samlet persondatalov, der generelt beskytter personlige data. Dette har vi i Europa – og derved i Danmark (Lov om behandling af personoplysninger) – men altså ikke i USA, hvor persondata beskyttes ad hoc, f.eks. indenfor finansverdenen og andre særlige områder.

Denne holdningsforskel mellem USA og Europa afspejler også, at vi i Europa betragter persondatabeskyttelse eller privatlivets fred, som noget, der ikke kan handles med. I USA er der imidlertid en mere udbredt tendens til at opfatte personlige oplysninger som noget, der kan købes og sælges på et marked.

Men egentlig giver det slet ikke mening at betragte data, som noget man kan eje. Enkelte data er ikke omfattet af nogen rettigheder. Enkelte data såsom en adresse, et telefonnummer, en skostørrelse eller lignende er ikke omfattet af ophavsretten.

Dette er hverken tilfældet på den ene eller den anden side af Atlanten. Derimod har vi i Europa valgt, at lade samlinger af data i databaser være ophavsretligt beskyttet af nogle særlige regler i ophavsretsloven. I USA har man derimod valgt ikke at beskytte databaser ved lovgivning.

I Danmark og resten af Europa er situationen altså den, at hverken du eller andre ejer de enkelte data, som du eller andre genererer om dine personlige forhold, andres personlige forhold eller forhold, der ikke er relaterede til personer.

Det teoretiske udgangspunkt er således, at alle har lov til at indsamle disse data, idet det så er dem, der indsamler disse data og samler dem i en database, som opnår en særlig eneret til at udnytte databasen under europæisk ophavsretslovgivning.

Dette er et teoretisk udgangspunkt i forbindelse med ejerskabet til personlige data. Dette udgangspunkt tilsidesættes imidlertid straks i realiteten af persondatalovgivningen. Persondatalovgivningen giver ikke de personer, hvis personlige data er omfattet, noget ejerskab til de enkelte data eller den database, som andre måtte have skabt. Kontrollen er generelt sikret med en masse overordnede og specifikke regler i persondatalovgivningen om, hvad dem som behandler personlige data (dataansvarlig og databehandler) må foretage sig. Helt fundamentalt er, at datasubjektet i mange situationer skal give en udtrykkelig tilladelse – et samtykke – til at vedkommendes personlige data behandles.

Når man diskuterer personlige data, giver det således ikke mening at tale om, hvem der ”ejer” disse data, idet det væsentlige spørgsmål er, hvem der ”kontrollerer” disse data.

Omfanget af og udøvelsen af kontrollen er imidlertid af stor betydning for værdien, både for brugeren og indehaveren af mange web 2.0 tjenester. For indehaveren af en Web 2.0 tjeneste er det af stor betydning, at så mange brugere besøger tjenesten og anvender den på en måde, som understøtter tjenestens forretningsmodel, f.eks. i relation til reklameindtægter eller til salg af særlige præmiumløsninger til brugerne, som de er villige til at betale penge for.

Flere brugere vil komme til, hvis det er muligt, at udveksle informationer med andre sociale tjenester, idet netværksteori dikterer, at værdien og anvendeligheden af de enkelte tjenester herved stiger.

Heraf følger det, at også værdien for de enkelte brugere stiger i takt med, at det bliver muligt let og ubesværet – og i de fleste tilfælde mere eller mindre automatiseret – at udveksle ofte helt personlige oplysninger mellem de forskellige sociale netværkstjenester.

Heri ligger skismaet mellem mange sociale netværkstjenester og i hvert fald europæisk persondatalovgivning. Denne persondatalovgivning har som nævnt som formål at sikre individets kontrol med vedkommendes personlige data og har som hovedværktøj hertil, at individet i videst muligt omfang skulle give samtykke ved hver eneste anvendelse af personlige data. Dette gælder særligt i forbindelse med udveksling af personlige data mellem forskellige tjenester, altså dataansvarlige.

Hvis dette samtykke imidlertid kræves hver eneste gang, at personlige oplysninger udveksles mellem forskellige sociale netværkstjenester, vil det være meget besværligt, ineffektivt og formodentlig så omkostningsfuldt, at grænsen overskrides for en rentable driften af de pågældende webtjenester.

Værdien af de sociale netværkstjenester vil også falde drastisk for brugerne, idet de sociale netværkstjenester netop har fået et gennembrud på grund af automatisk og ubesværet deling af data mellem tjenesterne mellem de såkaldte åbne API’er.

Hvorledes dette dilemma skal løses, må fremtiden vise. Vil vi som brugere stå fast på vores beskyttelse af privatlivets fred og vores personlige data, således som dette er sikret via kontrol gennem princippet om samtykke?

Eller vil vi give købe herpå ved at få de ubestridelige fordele, der findes ved let og ubesværet deling af endog meget personlige oplysninger mellem forskellige netværkstjenester?

Min holdning er, at løsningen her som så ofte ligger i et teknologisk fix. Jeg tror, at man i løbet af meget kort tid – faktisk er der allerede klare tendenser i den retning – vil se nye sociale netværkstjenester, som måske kan kaldes web 3.0 tjenester, hvor deres konkurrencefordel i forhold til web 2.0 tjenester netop ligger i, at de uden at det er dikteret via lovgivning dog giver brugerne en måske mere effektiv kontrol over deres personlige data end den, som kravet om samtykke i persondatalovgivningen giver.

Sådanne Web 3.0 tjenester vil via åbne standarder for meta-tagging af personlige oplysninger og udveksling heraf mellem forskellige systemer betyde, at brugerne lettere kan flytte personlige data fra en tjeneste til en anden, hvilket i dag stort set er en umulighed på nær lige for så vidt angår visse basale oplysninger om e-mailadresser og lignende.

Hvorledes sådanne web 3.0 tjenester vil tjene penge, når det bliver sværere at ”holde på” brugerne, er et åbent spørgsmål. Det samme spørgsmål kan dog i høj grad stilles om Web 2.0 tjenesterne i dag, hvis forretningsmodel i de fleste tilfælde ikke går ud på at generere omsætning direkte fra brugerne, men på at tjene penge ved et salg til en større internetaktør, som har brug for den trafik, som skabes via de sociale netværkstjenester.

Vi kan herefter bevæge os væk fra de personlige data og over til den form for brugergenereret data, som ikke vil være beskyttet af persondatalovgivningen.

Meget af sådanne brugergenererede data løber dog risikoen for at være omfattet af persondatalovgivningen, selvom de som udgangspunkt ikke er personhenførbare i den forstand, at det er tale om data, der nok fortæller noget om en eller anden persons præferencer, personlige forhold eller lignende, men som ikke kan henføres til en identificerbar person. Disse data foreligger i en eller anden form for anonymiseret stand.

Et relevant spørgsmål, som endnu ikke er blevet særligt grundigt behandlet af de forskellige datamyndigheder er, hvornår data, der hver især enten er ubetydelige, selvom de kan henføres til en identificerbar person, eller som i det hele taget foreligger i anonymiseret form, kan betragtes som oplysninger omfattet af persondatalovgivningen, alene fordi, at der er en væsentlig risiko for, at de enkelte data ved samkøring eller andre fælles referencer kan medføre, at der afdækkes en særdeles personlig og personhenførbar mængde af data.

Dette er naturligvis altid et spørgsmål om, hvilken form for sikkerhed, der må kræves af den enkelte dataansvarlige og dennes databehandler for behandling af konkrete data. Ofte vil det dog være umuligt for disse enkelte aktører effektivt at sikre sig mod den risiko, som måske bliver større og større for, at enkelte data i forskellige databaser eksternt og uden for de enkelte dataansvarliges kontrol kan sammenkøres eller sammenstilles.

Hvis vi ser bort fra ovennævnte, er udgangspunktet således klart, at den bruger, som generer data i forbindelse med anvendelse af et website, og hvis data således ikke er personlige, ingen ejerinteresser eller ret til kontrol har med disse data, med mindre at brugeren har fået tillagt disse i form af vilkår i brugervilkårene for tjenesten. Den database, som disse data samles i, ejes og kontrolleres af udbyderen af tjenesten.

Vær dog fortsat opmærksom på, at vi her taler om brugergenereret data. Data er som nævnt ikke ophavsretligt beskyttet hver for sig. Hvis der er tale om brugergenereret indhold i form af f.eks. anmeldelser, fotografier, tegninger og lignende, vil dette indhold ofte være ophavsretligt beskyttet og ophavsretten tilhører altid som det klare udgangspunkt den bruger, som skaber det.

Noget andet er så, at denne bruger ofte vil have overdraget en endog meget vide rettigheder til udnyttelse af dette indhold til den tjeneste, som indholdet er genereret på. I forbindelse med anvendelsen af sociale netværkstjenester som Facebook, Flickr og lignende har der været mange diskussioner og stridigheder mellem brugere og tjenesteudbydere omkring rimeligheden af sådanne rettighedsoverdragelser i brugerbetingelserne.

Hvis man fra lovgivningens side skulle kigge på dette område, skulle det ikke være ud fra en vurdering om en eventuel udvidelse af persondatalovgivningen, men mere om der er behov for en form for (for)brugerbeskyttelse. Hvad enten en sådan forbrugerbeskyttelsesregel omkring begrænsninger i overdragelse af rettigheder til brugergenereret indhold skulle indsættes i en traditionel eller en ny forbrugerlov eller måske som en undtagelse eller en særlig bestemmelse i ophavsretsloven er en anden diskussion.

Det er dog klart, at rettighedsforhold i forbindelse med de data eller nærmere databaser, som deles i forbindelse med forskellige web 2.0 tjenester, bliver mere og mere komplekse. Hvilke rettigheder har en tjeneste til at dele indhold genereret af brugere på tjenesten med andre tjenester, og hvilke rettigheder har andre tjenester eller dettes brugere til eventuelt at ændre dette indhold, og dele indholdet i ændret eller uændret form med endnu flere øvrige tjenester? Problemstillingen skal som nævnt også angribes anderledes, afhængig af, hvorvidt der er tale om data, databaser eller ophavsretligt beskyttet indhold.

En social netværkstjenestes brugerbetingelser regulerer således brugernes overdragelse af rettigheder til det brugergenererede indhold. Der er ikke grund til tilsvarende vilkår i brugerbetingelserne om overdragelsen af rettighederne til brugergenererede data (når det altså her forudsættes, at der ikke er tale om persondata).

Disse data hverken ejes eller kontrolleres af brugerne. Sådanne brugergenererede data er ofte af meget stor værdi for den tjeneste, som samler dem i en database. Er det rimeligt, at brugerne ikke modtager en eller anden form for kompensation for eller andel af denne væsentlige værdi?

For det første kan man jo hertil svare, at brugerne i høj grad allerede får en kompensation. Det må jo formodes, at brugerne opnår en værdi ved anvendelsen af disse tjenester, som overstiger de omkostninger, der er ved at udøve de aktiviteter, som genererer disse data. Et elementært økonomisk ræsonnement må jo føre til, at der finder en sådan udveksling sted mellem tjenesteudbydere og brugere, som medfører en passende kompensation af brugeren, idet brugerne ellers ikke ville anvende tjenesten.

Der kan imidlertid være mange økonomiske forhold, f.eks. asymmetrisk information, svage overfor stærke forhandlingsparter, osv. der gør, at man må antage, at udvekslingen mellem brugere og indehaver af tjeneste ikke er økonomisk efficient.

Min opfattelse er imidlertid, at der ikke vil opnås større økonomisk efficiens eller for den sags skyld større moralsk retfærdighed, ved at lovgive om eller på anden måde tvinge tjenesteudbyderne til at kompensere brugerne.

Jeg tror i langt højere grad, at de lave transaktionsomkostninger for brugere af webtjenester vil spille ind, når de således kan skifte fra den ene sociale netværkstjeneste til den anden uden større besvær, særligt i forbindelse med web 3.0 tjenester, hvor de personlige oplysninger i højere grad vil blive kontrolleret af brugerne.

Hvis den kompensation eller nytte som brugerne får ved anvendelsen af en social netværkstjeneste ikke står i forhold til den værdi, som brugernes anvendelse og generering af data medfører for tjenestens indehaver, vil der opstå nye konkurrerende tjenester som søger at kompensere herfor ved at give brugerne en større ”del af kagen”.

Afslutningsvis vil jeg blot konkludere, at jeg ikke mener, at det er hensigtsmæssigt at tale om, at brugerne i højere grad skal ”eje” de data, som de genererer i forbindelse med sociale netværkstjenester. I forbindelse med personlige oplysninger giver dette ikke mening, da den eksisterende persondatalovgivning baserer sig på, at brugerne skal have ”kontrol” med deres oplysninger.

I relation til ikke personlige brugergenererede data mener jeg heller ikke, at det giver mening at tale om brugernes ”ejerskab” til disse data. I det omfang, at disse data vil indgå i en database, vil denne enten ophavsretligt tilhøre den tjeneste, som skaber databasen, eller de facto alene kunne udnyttes økonomisk af den, som kontrollerer databasen. Dette vil dog ikke være til hinder for – og måske vil vi se en tendens i den retning – at brugerne i højere grad kompenseres fra databaseejerne for at bidrage med brugergenereret data til disse.

Technorati Tags:
, ,

  1. Olafur Vignir avatar
    Olafur Vignir

    Very good article, both the content and practice for my Danish 🙂 Thanks.

    Reply
  2. Niels Ole Finnemann avatar
    Niels Ole Finnemann

    Tak for denne meget instruktive redegoerelse. Nu er jeg en af dem, der let farer vild i reglerne, saa jeg kunne godt taenke mig, at faa uddybet et par punkter.
    1)Du sondrer mellem data og indhold, men hvordan traekkes dette skel, naar persondataloven fx ser oplysninger om politiske, religioese og filosofiske holdninger, og oplysninger om helbred osv som personfoelsomme. Har sondringen mellem data og indhold en officiel juridisk definition
    2)Naar det gaelder indhold paa nettet er det vel principielt altid underlagt ophavsretreglerne med mindre man afskriver sig dette.
    3)I forbindelse med det brugerskabte indhold paa sociale netsider som Facebook er maaske ogsaa behov for at overveje muligheden for at tilbagekalde afstaaede rettigheder. Dette spm maa ogsaa kunne rejses i forhold til cloudcomputing
    (Jeg ved ikke hvorfor tastaturet ikke tillader de danske vokaler og spoergsmaals tegn i dette skrivefelt, men haaber teksten gir mening alligevel)

    Reply
  3. Stephan Engberg avatar
    Stephan Engberg

    Martin.

    Noget af det mest fornuftige, du har sagt længe 😉

    Jeg tror der er behov for en nuancering. Du fokuserer på data ud fra en ophavsretsmæssig betragtning og det er et væsentligt perspektiv ud fra en kommerciel forståelse, dvs. hvem kan/må “tjene” på data.

    Men du har fat i den væsentlige problemstilling, når du taler “kontrol” og personhenførbarhed. Pointen er RISIKO-aspektet. Alle personhenførbare data udgår en trussel mod den person de vedrører – ingen grund til at forsøge at opgøre størrelsen af denne trussel ved forskellige data udover at gøre klart at den altid er reel.

    Pointen er at personhenførbarhede udgør forskellen mellem om vi “bare” skal betragte data ud fra en ophavsrettig tilgang eller skal prioritere sikkerhedsforståelsen.

    I et demokrati og som central del af rammebetingelserne for et frit marked er sikkerhedsforståelsen langt vigtigere fordi borgerne og specielt profiler/efterspørgselsparamtre er samfundets vigtigste aktiv – de udgør både principielt og økonomisk reelt selve motoren for samfundet.

    Vi skal derfor skelne mellem ejerskab til data selv og til personhenførbarheden af data. Sidstnævnte tilhører rundet trusselsbilledet borgeren, mens data i sig selv er et andet spørgsmål.

    Så det helt kritiske aspekt af web x.x er ganske enkelt i bunden og via selve infrastrukturen at kunne sikre at data aldrig bliver personhenførbare. Dermed opstår der konsistens mellem de forskellige juridiske, økonomiske, tekniske og sikkerhedsmæssige perspektiver.

    At indrette et it-system så det identificerer er dermed også tyveri og at stjæle nøgler specielt biometriske nøgler (som er uerstattelige) egentlig overgrab på individetsw suverænitet.

    Men undgår man disse simple problemstillinger, dvs. undgår personhenførbarhed, er data frie fra et ikke-ophavsretsmæssigt synspunkt.

    Dvs. ejerskab = kontrol over personhenførbarhed. Hvis borgeren kontrollerer personhenførbarheden har borgeren IKKE juridisk ejerskab til data, hvis borgeren IKKE kontrollere personhenførbarhen har borgeren juridiske ejerskab til data.

    Så vil jeg undlade at diskutere ophavsret som jeg opfatter som en besynderlig automatisk og gratis tildelt eneret der misbruges i mange sammenhænge og man kan diskutere overhovedet dækker en samfundsmæssig interesse.

    Reply
  4. Carl Verner Skou avatar
    Carl Verner Skou

    Med stor interesse har jeg læst din blog og ikke mindst kommentarerne til den. Især finder jeg kontrolaspektet interessant ud fra den nuværende danske lovgivning og den fremtidige udvikling, hvor vi i fremtiden antageligt vil se et pres på den danske lovgivning i forbindelse med indsamling og anvendelse af data. Her tænker jeg ikke blot på WEB 2.0/3.0, men ligeledes på f.eks. sundhedsundersøgelser, socialdemografiske undersøgelser, som traditionelt har været varetaget af danske forskningsinstitutioner eller analysefirmaer underlagt dansk lovgivning.

    Reply
  5. Stephan E avatar
    Stephan E

    @ Carl Verner

    Vær opmøærksom på at Danmark selv har undermineret lovgivningen ved i årevis at have slækket på principperne uden at indbygge sikkerhedsmeksnismer.

    Danmark er præget af systematisk struktureret misbrug af persondata for at kunne detailanalysere, -kontrollere og -diktere samfundsprocesserne fra centralt hold. Specielt “registerforskning” er et udbredt misbrugsargument, hvor vi stadigt grovere tiltag uden nødvendige sikkerhedsmekanismer.
    F.eks.
    http://vtu.dk/nyheder/pressemeddelelser/2009/danmark-faar-national-biobank-i-verdensklasse/danmark-faar-national-biobank-i-verdensklasse

    Pointen er ikke at vi ikke ønsker den viden som forskningen giver, men at måden man gør det systemetisk nedbryder retssamfundet uden at inddrage bæredygtige mekanismer.

    I samme process er grundlaget for tillid gået fløjten.

    Reply
  6. KIm avatar
    KIm

    Jeg er personligt meget bekymret over den generelle rettighedsfraskrivelse, som mange af disse web 2.0 tilsyneladende benytter sig af. Man kan f.eks. næppe benytte en Google-tjeneste [Læs nu de vilkår] uden, at man giver dem frie rettigheder over det man måtte have skrevet.

    En ting er, at man måske kan leve med, at de kan benytte alt, hvad der står på bloggen, en anden ting er at give en tredjepart fuld ret til frit at anvende alt hvad man i fællesskab måtte have skrevet, blot fordi det er blevet udvekslet via google docs.

    /Kim

    Reply
  7. “Er retten til at blive glemt” det nye privacy mantra ? «

    […] I skærende modsætning hertil vil en europæisk debat om beskyttelse af privacy tage udgangspunkt i et menneskerettighedsmæssigt perspektiv. Man kan ikke tale om kommerciel ejendomsret i forbindelse med privacy, fordi  privacy er knyttet til det at være et menneske som sådan. Denne ret kan ikke fraviges eller overføres til andre (enten kommercielt eller af andre grunde). Man kan også udtrykke det således, at menneskerettighederne udgør og opretholder en persons personlige integritet. Som udgangspunkt ejer man derfor sine personlige data. Om ejerskab og ophavsret til persondata kan i øvrigt henvises til Hvem “ejer” dine data? […]

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *