I dette nyhetsbrevet for april gir CMS Kluges eksperter innen IP, IT og teknologi en oversikt over viktige nyheter og sentrale temaer innen immaterialrett, IT/teknologi og medierett.
Opphavsrett
Prejudisiell avgjørelse fra EU-domstolen – opphavers enerett
Den 20. april 2023 avsa EU-domstolen en prejudisiell avgjørelse i de forente sakene C-775/21 og C-826/21[1], om forståelsen av opphavsretts- og utleiedirektivet. Begge sakene ble oversendt fra den rumenske ankedomstolen, og stod mellom henholdsvis et flyselskap og et jernbaneselskap på den ene siden, og to kollektive forvaltningsorganisasjoner for opphavere på den andre.
Spørsmålene som ble forelagt EU-domstolen gjaldt tolkningen av direktivets artikkel 3, som omhandler opphaverens enerett til «å tillate eller forby overføring til allmennheten av deres verk».
Etter en gjennomgang av momenter etablert i tidligere EU-praksis, kom domstolen kom til at det å spille av bakgrunnsmusikk på et passasjerfly, enten under take-off, i luften eller ved landing, klart er å anse som «overføring til allmennheten» i direktivets forstand. Konklusjonen er i tråd med tidligere EU-praksis, og domstolen tilfører lite nytt om relevante momenter i vurderingen.
Mer interessant er imidlertid spørsmålet om eksistensen av fysiske fasiliteter som muliggjør avspilling av et verk (for eksempel et høyttaleranlegg) i et tog eller et fly, alene er tilstrekkelig til at man kan oppstille en presumsjon for at verket har blitt «overført til allmennheten». I denne sammenheng viste ankedomstolen til at nasjonale lovregler i noen tilfeller oppstiller et krav om at slike transportmidler skal ha fasiliteter for lydoverføring, for eksempel for å kunne formidle beskjeder til passasjerene.
I vurderingen så EU-domstolen på tidligere EU-praksis, hvor blant annet tjenestetilbydere som hoteller, spa og rehabiliteringssentre, har blitt ansett for å ha overført verket til allmennheten ved å ha lignende fasiliteter for lydoverføring til sine kunder. Deretter påpekte domstolen en avgjørende forskjell mellom denne typen tjenestetilbydere og transportmidler som tog eller fly, nemlig at de førstnevnte mer bevisst formidler bestemte verk til sine kunder, ved at de har valgt hvilke signal og dermed hvilke tv- og radiopakker som er tilgjengelig for kundene. Installasjon av lydoverføringsutstyr alene, kunne altså ikke sammenlignes med tilbydere som med hensikt overfører og tilgjengeliggjør bevisst utvalgte verk. Eksistensen av lydoverføringsutstyr på tog eller i fly, var altså ikke tilstrekkelig til å oppstille en presumsjon om at verket er «overført til allmennheten».
På bakgrunn av denne konklusjonen, kom også EU-domstolen til at direktivet hindrer en medlemsstat i å oppstille nasjonale lovregler som opererer med en slik presumsjon.
[1] ECLI:EU:C:2023:307
Forslag til ny lov om omsetning av bøker (bokloven)
Kultur- og likestillingsdepartementet har i Prop. 28 L (2022-2023) lagt frem forslag til lov om omsetning av bøker (bokloven). Med ny lov ønsker man blant annet å lage mer stabile rammevilkår for omsetning av bøker, i tillegg til at det pekes på at lovfesting av rammevilkårene for språk og litteratur blir stadig mer vanlig i andre europeiske land.
Bokloven foreslås å gjelde for omsetning av skjønnlitteratur, sakprosa, fagbøker for profesjonsmarkedet samt lærebøker for høyere utdanning som er utgitt av norsk utgiver for salg gjennom norsk forhandler. Det avgrenses mot bøker som selges til sluttkunde i en annen stat.
Forslaget til ny lov omfatter blant annet innføring av obligatorisk fastpris i tolv måneder for hvert publiseringsformat som utgis av den enkelte boka. Det er videre slik at fastprisordningen er foreslått for å styrke økonomien i hele bokbransjen og sikre forutsigbare rammevilkår for både forfattere, forlag og bokhandler.
Vi går ikke inn på alle de ulike elementene ved lovforslaget med viser kort til at de omfatter blant annet regulering av et stadig voksende lydbokmarked, lovfesting av plikt for forhandlere og utgivere til å skaffe og levere fysiske bøker, samt bestemmelser om samarbeid normalkontrakter mellom ulike aktører som omhandler honorar- og provisjonssatser.
Forslaget var gjenstand for åpen høring i Stortingets familie- og kulturkomité torsdag 27. april 2023. Foreløpig dato for første behandling i Stortinget er satt til 8. juni 2023.
Teknologi
Kan kunstig intelligens som eksempelvis ChatGPT røpe forretningshemmeligheter?
Den allmenne interessen for kunstig intelligens («AI») eksploderte etter OpenAI lanserte bildegeneratoren «Dall-E 2» og i enda større grad etter offentligheten fikk tilgang til den «smarte» språkmodellen ChatGPT. Slike programmer («AI-programmer») er «trent opp» ved hjelp av enorme mengder data, og har vist seg å (tidvis) gi veldig gode svar på input fra mennesker. ChatGPT kan for eksempel både produsere og feilsøke kildekode, produsere eller gjengi oppskrifter eller gi innspill til hvordan prosesser kan forenkles. Det ligger åpenbart enorme muligheter i dette, både som kreativ sparring, feilsøking og for å effektivisere oppgaver – men også noen fallgruver.
For å få resultater fra de mest kjente AI-programmene må brukerne gi programmet en forespørsel, ofte kalt ledetekst eller «prompt». Dette kan være alt fra en enkel kommando om å generere et bilde av en flyvende geit i kappe, til langt mer sensitive og/eller avanserte forespørsler. Men hva skjer med opplysningene som legges inn i AI-programmer? Vil det å legge forretningshemmeligheter inn i et AI-program føre til tap av rettslig vern av forretningshemmeligheter? Problemstillingen er høyrelevant, og i utenlandske medier er det allerede rapportert at forretningshemmeligheter har blitt lekket ved bruk av ChatGPT.
Vi har sett nærmere på situasjonen under norsk rett.
Generert med hjelp av "Dall-E 2".
I Norge nyter forretningshemmeligheter vern etter blant annet lov om forretningshemmeligheter. Vilkårene for at noe skal regnes som en forretningshemmeligheter følger av § 2 som langt på vei viderefører tidligere praksis. Bestemmelsen inneholder tre kumulative vilkår; a) opplysningene må være hemmelige, b) opplysningene må ha kommersiell verdi, og c) innehaveren må ha truffet rimelige tiltak for å holde opplysningene hemmelige.
I sammenheng med den ovennevnte problemstillingen må det for det første tas stilling til hvorvidt en opplysning er «hemmelig» dersom den legges inn et AI-program, f.eks. ChatGPT. Et avgjørende spørsmål er dermed om data som legges inn i et AI-program rent faktisk blir gjort allmenn kjent eller gjort lett tilgjengelig. Det kan også tenkes relevant hvorvidt det foreligger omstendigheter som ellers innebærer at hemmeligholdet kan gå tapt, slik som forbehold i lisensvilkårene som gjelder for det AI-programmet man velger å bruke.
Vi har sett nærmere på lisensvilkårene for ChatGPT i den relasjon.
Av lisensvilkårenes punkt 3 a) følger det at brukeren eier både det som legges inn i programmet («input») og svaret fra ChatGPT («output»), og har alle rettigheter til dette («all its rights, title and interests to it»), så lenge brukeren etterlever de aktuelle vilkårene. Brukeren har altså eierskap og vide rettigheter til både input og output. OpenAI lover imidlertid ikke konfidensialitet i vilkårene.
Videre inneholder punkt 3 a) en setning som kan vise seg kritisk når det gjelder vern for forretningshemmeligheter: OpenAI reserverer seg nemlig retten til å benytte både input og output til å forbedre egne tjenester, samt å etterleve lovverk og egne «policier». For å kunne gjøre dette må det forutsettes at opplysningene som skrives inn i ChatGPT sendes til OpenAIs og lagres på servere de kontrollerer. Eksempler på forbedring av OpenAIs tjenester kan tenkes å være «trening» av deres programvare, eller om så å tilgjengeliggjøre informasjonen for tredjeparter som output. Om opplysningene rent faktisk deles kan vi ikke se at brukeren har noen kontroll over.
En nærliggende slutning er altså at forretningshemmeligheter som deles med ChatGPT kan miste sitt vern etter nevnte § 2 enten ved at i) opplysningene ikke lenger er «hemmelige» eller ii) ved at noen som legger forretningshemmeligheter inn i ChatGPT ikke har gjort «rimelige tiltak» for å beholde hemmeligholdet.
Til dette skal bemerkes at lisensvilkårenes punkt 3 bokstav c) gjør et skille mellom innhold som er innsendt via «nett-versjonen» av ChatGPT (den «vanlige» versjonen), og innhold som er sendt inn via API, som reguleres etter egne vilkår. En bedrift som benytter ChatGPT via API vil dermed være bedre beskyttet enn de som benytter «nett-versjonen».
Kunstig intelligens som ChatGPT, er fantastisk spennende, men bør altså benyttes med varsomhet og etter nærmere tiltak hva gjelder beskyttelse av forretningshemmeligheter. Tiltak kan være å bearbeide/sensurere informasjon som legges inn i programmet, benytte egen programvare via API, samt å inkludere retningslinjer for utnyttelse av AI i selskapets IPR-strategi.
GDPR
Tesla-ansatte misbrukte personopplysninger fra elbiler – men hva med deg selv?
På tross av at Tesla Inc. har uttrykt at personvern «er og vil alltid være enormt viktig for oss», viser ferske avsløringer at grupper av Tesla-ansatte har delt bilder mellom seg for andre formål enn service. Hendelsene skjedde mellom 2019 og 2022.
Mye av materialet var sensitivt, og viste bl.a. en naken person, ulykker og ulike former for sinneutbrudd fra ansatte. Informasjonen er ikke avgrenset til kjøretøy, men formidlet også opplysninger om privat eiendom, f.eks. innsiden av garasjer. Andre bilder var mer uskyldige, og inneholdt morsomme skilt og hunder.
Saken illustrerer mange av dilemmaene med ulike former for «smarte» hus og biler samt forskjellige Internet of Things: Det samles inn personopplysninger, hvor ansvarsforholdene er uklare – og der informasjon spres mer ukontrollert. Bileiere bør også være klar over at de selv kan bli ansvarlige for bruken av personopplysninger, i samsvar med reglene i personopplysningsloven og personvernforordningen (GDPR). De ansvarlige må følge flere krav; blant annet vil innhenting og bruk av informasjon som er regulert av GDPR kreve hjemmel (“rettslig grunnlag”).
Tidligere i år konkluderte det nederlandske datatilsynet etter granskning av opplysningsbruken i Teslas Sentry Mode-innstilling, som filmer rundt bilen. Tesla ble «frifunnet», men bilprodusenten endret likevel enkelte funksjoner i mer personvernvennlig retning. Interessant nok påpekte tilsynet at det er bilbrukerne selv som vil ha det juridiske ansvaret for filming av personer utenfor bilen.
Med tanke på den rivende utviklingen og store mengden personopplysninger som samles inn i forbindelse med bruk av moderne biler, kan det være hensiktsmessig å se om nettopp din bil samler inn unødvendig mye informasjon – og for øvrig forholder seg til regelverket. Et naturlig sted kan være å se på Personvernrådets veileder for ulike nettoppkoblede kjøretøy, som kom for noen år siden.
IT
Status for de globale skyplattformenes lovnader om “EU Data Boundary”
En ny transatlantisk overføringsavtale mellom USA og EU lar vente på seg. Alle virksomheter som benytter de store globale skyplattformene må derfor inntil videre fortsatt gjøre grundige kartlegginger av om de konkrete PaaS- og IaaS-tjenestene virksomheten tar i bruk (og ev. hvordan de brukes) innebærer overføring av personopplysninger til USA. Dersom slike overføringer identifiseres, innebærer dette igjen krevende Schrems-II vurderinger. Aktuelle leverandører som bør gjennomgås, er bl.a. Google Cloud Platform (GCP), Amazon Web Services (AWS) og MS Azure
Support og IAM er eksempler på tjenester i skyplattformene som gjerne har vært globale og dermed ikke kunne låses til en bestemt region innenfor Europa. Tjenestene er samtidig gjerne vesentlige for kundenes bruk av skyplattformene. Som følge av utfordringene og usikkerheten Schrems II medførte for europeiske kunder, kom skyplattformene raskt på banen med lovnader om sikre tjenester. Microsoft kom med sin “EU Data Boundary”, GCP lanserte tjenestene “Assured Support” og “Assured workloads”, og AWS sertifiserte en rekke av sine tjenester i henhold til standarden “Cloud Infrastructure Service Providers Europe Data Protection Code (CISPE Code)”.
Men hva er egentlig status på de største Skyplattformenes varslede arbeid med å få flest mulig tjenester og dermed dataflyt innenfor EUs grenser? Nedenfor følger en kort gjennomgang av status for Azure, GCP og AWS.
Microsoft varslet ved årsskifte at startet en gradvis utrulling av såkalte EU Data Boundary Services. Allerede 26. januar kom det en presisering om at det var forsinkelser knyttet til å omdanne flere av de globale tjenestene (“non-regional services”) til regionale tjenester innenfor EU. Eksempler på listen er for eksempel Azure Devops, Azure Monitor m.fl. En full liste over Azure-tjenester som fortsatt ikke kan låses til en bestemt region finnes på følgende nettside: MS Azure tjenester og regioner. I januar ble det samtidig gitt tydelige forbehold knyttet til at selv bruk av EU Data Boundary Services under gitte omstendigheter vil kunne innebære overføringer av data til USA.1 Det fremkommer her som om support fortsatt er en slik omstendighet. Microsoft henviser bl.a. fortsatt til kundenes mulighet for å kjøpe Lockbox som en tjeneste for å få større kontroll på tilganger for supportpersonell og ulike alternativer for kryptering som en løsning på eventuelle overføringer.
GCP lanserte allerede i begynnelsen av 2022 Assured Support og Assured Workloads, som kundene kan kjøpe som en tilleggstjeneste til for eksempel Premium Support, for bl.a. å unngå dataflyt ut av EU i forbindelse med support. Mulighetene for Assured Workloads/Support utvides stadig og omfatter nå 22 av GCPs tjenester. Listen finner du her: GCP Supported Products by Assured Workloads.
AWS har siden 2017 løpende sertifisert en rekke tjenester i samsvar med CISPE Code. CISPE er en samarbeidsorganisasjon for skyleverandører i Europa og organisasjonen har fått godkjent en felles Code of Conduct av EDPB iht. Artikkel 40 i GDPR. Sertifiseringen skal innebære en garanti for Kunden om at tjenesten er “compliant” med GDPR og at data kun behandles innenfor EU. Per nå er 100 av AWS sine tjenester uavhengig sertifisert: Listen av tjenester fremgår her: AWS CISPE.
Som gjennomgangen viser, foregår det en “Cloud War” også på dette området og det kan synes som Microsoft Azure har de største utfordringene per nå. Dette utgjør imidlertid et øyeblikksbilde som fort kan endre seg.
Dersom du har spørsmål eller behov for bistand er det selvsagt bare å ta kontakt med oss.
Informasjonskapsler for sosiale medier samler informasjon om hvordan du deler informasjon fra vårt nettsted via verktøy i sosiale medier, eller vi foretar analyser av hvordan du surfer mellom sosiale media-verktøy eller våre sosiale medier-kampanjer og våre egne nettsteder. Dette gjør vi for å optimalisere sammensetningen av kanaler når vi presenterer innholdet vårt. Mer informasjon om verktøyene vi bruker finner du i våre personvernregler.